零食巨头与保险公司达成和解，解决与2017年NotPetya攻击相关的1亿美元索赔 媒体

Mondelez International与Zurich American保险公司达成和解

关键要点

Mondelez International与Zurich American保险公司最近就因2017年NotPetya网络攻击引发的1亿美元索赔达成了和解。此案广受关注，因为它引发了关于企业在遭受国家支持的网络攻击时，谁应对损失负责的持续讨论。政策制定者面临着创造有效、长期解决方案的迫切需求，以应对日益增长的网络威胁，这些威胁往往被归咎于国家行为者。

作为Oreo饼干、Triscuit饼干及其他多种小食品的拥有者，Mondelez并未对SC Media关于和解的评论请求作出回应。Zurich American的发言人告知SC Media：“双方已共同解决此事。”

当时，Mondelez是受到NotPetya影响的数百个受害者之一，这场网络攻击是历史上最大的攻击之一，全球损失高达10亿，该攻击后来被归咎于俄罗斯政府。根据Mondelez提交的法庭文件，该恶意软件影响了超过1700台服务器和24000台笔记本电脑，导致超过1亿美元的财务损失。

在此期间，Mondelez的保险合同规定其覆盖“所有物理损失或损害的风险”，包括“对电子数据、程序或软件的物理损失或损害”，以及“因恶意引入机器代码或指令造成的损失或损害。”然而，保险公司Zurich保险最初以合同中的一项条款“战争排除”条款为由拒绝赔偿，该条款旨在保护保险公司免于支付与战争或类似行动相关的损失。这一争议导致了双方的法律争斗，最终于上周达成和解。

另一个类似的案件涉及默克公司与其保险公司Ace American之间的法律纠纷，损失高达14亿美元，均由NotPetya引发。新泽西州法院驳回了Ace American的战争索赔，指出合同中的用语是指武装冲突，而NotPetya攻击并不属于该类别。

BlueVoyant的网络保险和法律业务发展主管Jennifer Mulvihill表示，这些案件特别突显了谁应负责确定归因的问题。

“可以说，保险公司应该参与任何归因调查，以确定是否承保。但随着市场对Lloyds在2023年排除性条款的公告作出反应，这似乎是一项更适合执法机关或政府完成的艰巨任务，”Mulvihill表示。

Deepwatch的安全战略副总监Christopher Gray对SC Media表示，他对未来政策语言变得“更严格”和更明确的前景感到乐观，随着灰色地带的持续消除。

“最终，保单将从仅包含‘四大保障领域’，即网络安全与隐私责任、网络业务中断、媒体责任及错误与遗漏，转变为包含具体针对高风险场景的附加条款和补充内容，”Gray表示。

虽然有些人指出，Mondelez和Zurich未发布交易的具体细节，因双方都希望避免法