NotPetya навёл шороху: многолетние судебные разбирательства между Merck и Ace American наконец подошли к концу

Длинная история противостояния международной биофармацевтической компанией Merck & Co с её же страховой компанией Ace American началась несколько лет назад. Весной 2017 года Merck пострадала от атаки шифровальщика NotPetya. В тот год вирус затронул буквально тысячи различных компаний по всему миру, и Merck не повезло стать одной из них. В одном из февральских заявлений 2018 года Белый дом даже назвал вспышку NotPetya «самой разрушительной и дорогостоящей кибератакой в истории».

В результате атаки Merck понесла убытков на огромную сумму, около 1,4 миллиарда долларов, из которых, по словам компании: 135 миллионов недополученного дохода, 175 миллионов затрат на восстановление работоспособности внутренних систем, 870 миллионов на устранение сбоев, повышение безопасности и приобретение нового оборудования, и ещё около 220 миллионов на прочие издержки, вызванные атакой.

Страховая компания Ace American расценила повсеместные атаки NotPetya как акт глобальных военных действий и долгое время не хотела выплачивать Merck & Co положенную компенсацию, так как война является исключением для выплат страховых компенсаций.

Однако Merck не была согласна с таким поворотом и начала судиться с Ace American в попытках доказать, что простая кибератака, каких бы масштабов она не была и какие интересы бы не преследовала — не является проявлением войны.

В январе 2022 года Merck выиграла дело , но страховая компания не хотела сдаваться так просто и подала апелляцию. Как стало известно буквально на днях, апелляционное отделение Высшего суда Нью-Джерси отклонило прошение Ace American, заявив, что исключение, касающееся войны, не распространяется на кибератаки.

Рассматривая историю применения вышеописанного исключения из правил, которое было включено в американскую страховую политику более ста лет назад, суд пришёл к выводу, что подобные исключения никогда не применялись вне контекста явной войны или согласованных военных действий, под которые не попадают кибератаки.

Таким образом, как бы страховая компания не старалась найти спасительную лазейку, компенсацию выплатить всё же придётся. Стоит ли говорить, что Merck & Co за эти годы давно «встала на ноги» и существенно улучшила свои финансовые показатели, но даже спустя 6 лет, вряд ли она так просто откажется от 1,4 миллиардов долларов компенсации.

История в очередной раз обнажает все бюрократические проволочки, свойственные страховым компаниям, хотя и их тоже можно понять. Например, в феврале мы даже писали о группировке вымогателей, которая при атаке на обычные организации ставила своей основной целью именно страховые компании, утверждая, что страховщики никогда не ведут переговоры с вымогателями и не учитывают интересы своих клиентов.