网络保险和战争除外责任

俄罗斯与乌克兰的战争，引发一位网络安全领域律师的思考……

网络保险单通常设置了“战争除外”或“敌对行为除外”的条款，也就是说保险公司无法为战争行为买单。今年第一季度，网络保险市场已经收紧了战争排除条款，拒绝承保。鉴于俄乌之战，以及预期的网络后果，安全专业人员应审查其网络保险覆盖范围，以确定覆盖范围盲点。

战争除外简史

在探索俄罗斯对乌克兰战争所带来的网络风险之前，了解网络战争除外的历史非常重要。

在2017年NotPetya勒索软件针对乌克兰发起的大规模行动中，许多公司受到了附带损害。保险公司开始在保单中使用“战争除外”条款，试图把NotPetya排除在保险范围之外。理由是，NotPetya是由一个政府设计的，目的是以战争行为伤害另一个政府，因此保险公司不应承担损害赔偿责任。

新的战争排除条款

今年初，劳合社发布了四种新的网络战争和网络行动除外条款，每种条款对被保险人的承保范围都有所不同。其他网络保险运营商也纷纷效仿，网络保险中的战争除外条款现在可以被视为更严格的合同语言。

这些除外责任规定，保险人将“不承保由战争或网络行动直接或间接引起的，或因战争或网络行动而发生的、或由此产生的任何损失、损害、责任”（见合社除外责任条款1）。这些术语中的每一个都有严格的定义，战争意味着“一个国家对另一个国家使用武力……无论是否宣战。”“网络行动”一词的定义是“某国或代表某国使用计算机系统，破坏、拒绝、削弱、摧毁另一国家的信息或计算机系统中的信息。”

接下来的问题是：如何确定网络行动或战争归属于另一个国家？劳合社的政策为此提供了一种方法，包括确定“一个国家的政府（包括其情报和安全部门）”是否将责任归于“另一个国家”或代表另一个国家行事的人”。

因此，如果一个新的恶意软件威胁是由政府造成的，而一家公司因为难以控制此类恶意软件而受到打击，网络保险公司可能会拒绝承保。

以下是一些建议：

1. 不要猜测

在报告索赔时，注意只提交你知道的内容。例如，如果你的公司中了勒索软件，不知道攻击来源的情况下，不要猜测。在所有网络保险中，用语都很重要，尤其是负责索赔的安全专业人员的用语。你的猜测、报告或推测可能会被用作拒绝承保的依据。

2. 自己聘请律师

自己单独聘请律师。虽然保险公司指定的网络保险律师也可代表你的公司，但该网络保险律师在道德上不能对你的承保人提起诉讼，也不能轻易采取与你的承何人相反的立场。最好有独立的法律顾问，当然一般情况下费用要自己承担。

3. 不要想当然

有许多网络保险公司做了正确的事情，希望为被保险人提供保险。然而，在收到承保人的保险函（不仅仅是保险经纪人的话）之前，不要认为你已经投保了全部。

4. 做好准备

俄罗斯与乌克兰的战争造成的全球动荡可能会引发许多保险纠纷。因此要迟早做好准备，比如与承保公司无关的独立律师一起评估网络保险合同。

结论

随着俄罗斯与乌克兰的战争进程，以及由此产生的全球对俄罗斯的制裁，网络安全风险和相关利益风险比以往任何时候都要高。公司应仔细审查其网络保险范围，以确保其实际受到保护，而不应该事到临头时再做被动谈判。