概要
- MERCK は、2017 年 6 月 27 日のネットワークサイバー攻撃が、製造、研究、販売を含む全世界の事業を混乱させたと開示した。2017 年の Form 10-K では、この攻撃が 2017 年の売上に約 2 億 6000 万ドルの不利な影響を与え、約 4500 万ドルの保険回収を除いて 2 億 8500 万ドルの製造関連費用および復旧費用が発生したと述べている。
- その後、2018 年の Form 10-K では、2018 年の売上が残存受注残により約 1 億 5000 万ドルの不利な影響を受けたとし、一部の保険会社との間で 2017 年のサイバー攻撃に関する保険補償の範囲について争いが続いていると述べた。
- ニュージャージー州控訴審の意見書は、保険プログラムを、1 億 5000 万ドルの免責額を超える総額 17 億 5000 万ドルの支払限度額を持つ 26 のオールリスク財物保険と説明し、上訴で争われた補償額は総額 6 億 9947 万 5000 ドルで、保険期間の総補償額の 40%弱に相当すると述べた。
- 同意見書は、提示された状況において敵対的/戦争的行為の免責条項が補償を妨げないことを確認した。これは補償に関する判断であり、すべての支払い、すべての保険会社、またはすべての損害区分についての公的な最終会計ではない。
- ニュージャージー州最高裁判所への上訴は、本案判断前に和解および取下げにより終了した。公的報道では和解内容は非公開または秘密とされており、そのため和解を誰が何を支払ったかの公的な最終配分とみなすべきではない。
- 持続的な説明責任の教訓は俗説よりも限定的である。NotPetya によって、企業のレジリエンス、医薬品供給の継続性、損失会計、原因帰属、保険契約書の作成が、同一の証拠記録の一部となったのである。
NotPetya は通常の企業依存関係を医薬品供給リスクに変えた
MERCK の NotPetya 経験が重要であるのは、グローバルな Windows ドメインの混乱を医薬品事業、そして保険補償に結びつけるからである。この事象は単なる技術部門の問題ではなかった。MERCK は投資家に対して、2017 年 6 月 27 日のネットワークサイバー攻撃により、製造、研究、販売を含む全世界の事業が混乱したと伝えた。ワクチン、処方薬、動物用医薬品を製造する企業にとって、この種の混乱を通常のエンドポイントクリーンアップとして扱うことはできない。
企業としての主要な記録は、MERCK の2017 Form 10-Kに始まる。MERCK は、サイバー攻撃が製造、研究、販売を含む世界的な事業の混乱を引き起こしたと述べた。また、提出時点までにすべての製造拠点が操業可能となり、原薬の製造、製剤化、包装、出荷が行われていたとも述べている。さらに、外部委託製造には影響がなく、MERCK は引き続き注文に応じ、製品を出荷していたとしている。これらの記述は誇張を防ぐ上で重要である。公開提出書類は、MERCK が全世界の医薬品供給を無期限に停止したとは述べていない。深刻な混乱を経験しつつも、製品の出荷を続け、後にすべての製造拠点を復旧させたと述べている。
同提出書類は事業への影響を定量化している。MERCK は、特定の市場において特定の製品の注文に応じられず、2017 年の売上に約 2 億 6000 万ドルの不利な影響があったと述べた。また、主に不利な製造差異からなる製造関連費用に加え、管理部門および研究開発部門における復旧費用を計上し、2017 年において約 4500 万ドルの保険回収を差し引いた純額で 2 億 8500 万ドルに上った。さらに、残存受注残により、2018 年の特定市場における売上に約 2 億ドルの不利な影響があると見込んでいた。
MERCK の公的な提出経路が重要であるのは、これらが取材インタビューでの場当たり的な推計ではないからだ。MERCK の投資家向け SEC 提出書類ページは投資家を正式な記録へと導き、年次報告書はサイバー攻撃をリスク、業績、および保険に関する議論の中に位置づけている。これにより、当該事象には多くのランサムウェア事例にはない公的説明責任の層が加わる。これらの提出書類は内部の請求ファイルを示すものではないが、売上影響、費用認識、製造復旧、保険回収、未解決の補償争いに関する経営陣の公的な見解を示している。取締役会にとって、この組み合わせはサイバー損失開示の最小限の有用な形式となる。すなわち、事業区分、財務指標、期間、復旧状況、不確実性である。
その見込数値は記録が蓄積されるにつれて変化した。MERCK は2018 Form 10-Kにおいて再び 2017 年のネットワークサイバー攻撃に言及し、2018 年の特定市場における売上が同攻撃により約 1 億 5000 万ドルの不利な影響を受けたと述べた。同提出書類は、2017 年の約 2 億 6000 万ドルの売上影響と約 4500 万ドルの保険回収を差し引いた純額 2 億 8500 万ドルという費用額を繰り返し記載した。また、MERCK がサイバー攻撃に起因する費用を補償する保険に加入しており、既に保険金を受領していること、一部の保険会社との間で 2017 年のサイバー攻撃に関連する請求の一部について保険補償の有無を巡り係争中であることを記した。2018 年第 3 四半期 Form 10-Qはその推移を示しており、2018 年の最初の 9 か月間における売上影響は約 1 億 5000 万ドル(うち第 3 四半期の影響は僅少)、他方で同期間の製造関連費用および復旧費用は僅少であった。
これらの提出書類は、問題を業務上の区分に分解しているため、包括的な損失推計よりも有用である。売上損失は特定市場における未履行の注文と結びつけられ、製造費用は不利な差異と復旧活動に、復旧費用は管理業務と研究業務に結びつけられている。保険金は受領されたが、すべての補償が無争議であったわけではない。したがって、医薬品供給継続の失敗は立証の問題となった。すなわち、何が、どこで、なぜ、どれほどの期間損失となり、どの保険証券文言の下で、どの免責額および免責条項のもとで補償されるのか、という問題である。
裁判記録が保険紛争に技術的骨格を与えた
最も詳細な公的訴訟記録は、ニュージャージー州高等裁判所控訴部の 2023 年意見書であり、ニュージャージー州裁判所の公式 PDFおよびJustia の Merck & Co., Inc. 対 ACE American Insurance Co. 事件の記録で入手可能である。この意見書は技術的なインシデントレポートではなく、MERCK の完全なフォレンジックファイルとみなすべきではない。しかし、保険紛争にとって重要であった記録の部分については異例なほど明快である。
裁判所は、MERCK が NotPetya として知られる 2017 年 6 月のマルウェア攻撃による損失について、26 のオールリスク財物保険契約に基づき確認判決を求めていると説明した。保険プログラムの期間は 2017 年 6 月 1 日から 2018 年 6 月 1 日までで、1 億 5000 万ドルの免責額を超える総支払限度額は 17 億 5000 万ドルであった。裁判所は、当事者が 6 億 9947 万 5000 ドルの補償を争っており、これは保険期間における MERCK の総補償額の 40%弱にあたると述べた。これらの数字は MERCK の総経済コストではなく、当該控訴審記録上の争いのある補償額である。この区別は重要である。なぜなら、損失は特定の法的上訴のために残された金額よりも大きい場合も小さい場合もあるからだ。
同意見書はまた、裁判所に提出された記録に基づき、マルウェアがどのように侵入・拡散したかを要約している。意見書は、MERCK およびウクライナで事業を行う他の企業が使用していたウクライナの会計ソフトウェア「M.E.Doc」と、侵害されたアップデート機構について述べている。意見書によれば、MERCK はウクライナにあるサーバーを介して悪意のあるアップデートを受信し、そのサーバーは M.E.Doc の新しいバージョンを自動的にチェックしていた。NotPetya はランサムウェアを装い、特定のデータを暗号化し、システムにアクセス不能にし、感染したシステムを作動不能にしたと説明している。意見書によれば、90 秒以内に MERCK のグローバルネットワーク内の約 1 万台のマシンが感染し、5 分以内に約 2 万台、最終的には 4 万台以上のマシンが感染した。
この規模の大きさが、本件が単なるウクライナの一事業所の問題ではなかった理由を説明している。マルウェアはグローバル企業ネットワークに極めて迅速に到達したため、中央のレジリエンス、アイデンティティ管理、パッチ適用、バックアップ、ネットワークセグメンテーションが同一の説明責任記録の一部となった。裁判所は、NotPetya によって生産設備と重要アプリケーションが停止し、製造、研究開発、販売を含む事業に大規模な混乱が生じたとする MERCK の主張を引用した。これは訴訟記録上の表現であり、工場ごとの業務詳細の代わりにはならない。しかし、製造、研究、販売の混乱を記述した MERCK の SEC 提出書類と整合している。
公的な技術情報源は、一般的な NotPetya の背景を裏付けている。Petya ランサムウェアに関する CISA の注意喚起は 2017 年 6 月にこの攻撃キャンペーンと緩和策について警告した。Microsoft の2017 年 6 月の分析は、このマルウェアをランサムウェアの手法とワーム型の拡散、資格情報の悪用を組み合わせたものと説明した。英国国家サイバーセキュリティセンターは後に NotPetya をロシア軍参謀本部情報総局の関与とするより広範な公的原因帰属の一環とし、ホワイトハウスの声明は NotPetya を無謀かつ無差別なサイバー攻撃の一部と表現した。これらの政府の公的声明は地政学的な文脈において重要であるが、ニュージャージー州における保険契約上の問題を自動的に決定するものではなかった。
その技術的文脈から示唆される運用管理策はよく知られているが、大規模に実施することは困難である。NIST SP 800-61 Rev. 2は、準備、検知・分析、封じ込め、根絶、復旧、インシデント後活動としてインシデント対応を説明している。NotPetya 規模の事象では、これらの段階はきれいに連続するわけではない。企業は、ネットワークセグメントの封じ込め、緊急の業務システムの復旧、証拠の保全、経営陣への報告を行いながら、依然として影響を受けたホストを検知している可能性がある。MERCK にとっての要点は、公的情報源が各段階の実施状況を証明しているわけではないということである。要点は、事象の規模によってインシデント対応がヘルプデスクの行列ではなく、ビジネスガバナンス機能となったということである。
事業継続のガイダンスも同じ教訓を補強している。NIST SP 800-34 Rev. 1は、事業影響、復旧優先順位、代替処理、計画テストを中心に緊急時対応計画を枠付けている。CISA ランサムウェアガイドはランサムウェア事象に対する準備、バックアップ、封じ込め、復旧を強調しているが、NotPetya の破壊的な性質は、これが通常の回復可能なランサムウェアとして扱われるべきではないことを意味している。これらの情報源は MERCK の落ち度を指摘するものではない。それらは、マルウェアが数万台のマシンに到達する前に、医薬品事業においてアイデンティティ、製造支援、出荷文書、販売システム、出荷記録について検証済みの復旧経路が必要である理由を説明する助けとなる。
戦争免責条項を巡る判断は保険文言に関するものであり、道徳的帰属ではない
法廷闘争はしばしば「NotPetya は戦争行為だったのか」と過度に単純化される。控訴審意見書はより慎重であった。保険会社らは敵対的/戦争的行為の免責条項を援用した。彼らは、NotPetya がロシア連邦のために、またはその代理として活動する主体によって画策されたとされることを理由に、補償が妨げられると主張した。MERCK は免責条項の適用に異議を唱えた。第一審裁判所は MERCK に有利な一部略式判決を下し、免責条項は補償を妨げるようには適用されないと判断した。控訴部もこれを支持した。
この意見書の論理は重要である。なぜなら、原因帰属と契約解釈を分けているからだ。裁判所は、当事者が原因帰属について争っており、第一審裁判所が一部略式判決を下すにあたり原因帰属の問題に立ち入る必要はなかったと指摘した。控訴部は、免責条項の平易な文言は保険会社の解釈を支持していないと述べた。戦時または平時における政府または主権者による敵対的または戦争的行為によって引き起こされた損害を免責するには、軍事行動の関与が必要であると説明した。免責条項は、悪意に動機づけられた政府の行為から生じた損害がすべて免責されるとは述べていなかった。
裁判所はまた、合理的な保険証券の文言に焦点を当てた。裁判所は、保険会社が様々な形態のサイバー攻撃(時として国家主体によるもの)がより一般的になっていることを認識しながらも、サイバー攻撃が免責されることを保険契約者に合理的に通知するように保険証券文言を変更しなかったという第一審裁判所の見解に同意した。控訴裁判所は、免責条項の平易な文言は、非軍事的企業が商業目的で非軍事的消費者に提供する会計ソフトウェアに対するサイバー攻撃が、私人または政府・主権者によって扇動されたか否かを問わず、含まれていないと述べた。そして、保険会社が NotPetya に免責条項を公正に適用できることを示す立証責任を果たしていないと判断した。
この判示は正確に記述されなければならない。これは、サイバー攻撃が決して免責され得ないと言っているのではない。すべての保険証券において政府の原因帰属が無関係であると言っているのでもない。戦争免責条項が将来のサイバー作戦に適用されないと言っているのでもない。MERCK のあらゆるレジリエンス判断に落ち度がなかったと言っているのでもない。これは、裁判所に提示された保険証券と状況の下で、保険会社が敵対的/戦争的行為の免責条項が補償を妨げることを証明しなかった、ということを述べているのである。
この区別こそ、保険の説明責任が業務上重要となる点である。保険会社は、契約書の作成、免責条項、サブリミット、特約、引受質問書、保険料設定を管理している。保険契約者は、資産、事業中断エクスポージャー、復旧目標、サイバー依存関係をどのように記述するかを管理している。裁判所は、紛争発生後の保険証券文言の解釈を管理している。損失発生前に販売された保険証券が国家関連のサイバー作戦を明確に免責していなければ、保険会社は通常のオールリスク財物保険の文言が後に意図した以上を補償するリスクに直面し得る。保険契約者が財物保険をサイバー損失の移転手段として頼るならば、資金が確実になるまでに何年もの訴訟に直面し得る。
したがって、MERCK 事件は単に NotPetya が悪質であったかどうかを問うたのではない。それが破壊的であったことは誰もが認めていた。この事件は、誰がそのサイバーリスクを契約上配分された財物リスクに変換したのか、そして免責条項の文言がその損失を MERCK に戻すのに十分明確であったかを問うたのである。裁判所の回答は、その免責条項に関して MERCK に有利であった。その後の和解により、残る争いは公的な支払いの全体像を示すことなく終結した。
和解は上訴を終結させたが、公的証拠の欠落は解消しなかった
控訴部の決定後、保険会社らはニュージャージー州最高裁判所に上告受理の申立てをした。2024 年 1 月の公開情報によれば、MERCK と保険会社らは予定されていた弁論の前に和解した。ロイターは、MERCK が NotPetya サイバー攻撃の請求を巡り保険会社らと和解したと報じ、Insurance Journal は、和解条件は非公開であると報じた。Cybersecurity Dive も同様に、ニュージャージー州最高裁判所が判断を示す前に、注目を集めた保険争議が解決されたと報じた。公的な法的報道および裁判所の記録では、州最高裁判所による本案判断ではなく、和解に基づく訴訟終了が示された。
この終結状態は重要である。控訴部の意見書は依然として公表された重要な補償判断であるが、最高裁判所は最終的な本案判断を下さなかった。和解では、各保険会社がいくら支払ったか、争われていたすべての補償区分が支払われたかどうか、防御費用や利息がどのように扱われたか、いずれかの当事者が非公開の立場を保持したかどうかは、明らかにされなかった。公的説明責任の観点からは、この和解は当事者が紛争を解決したことの証拠であり、完全な公的損失配分の証拠ではない。
これが、単一の見出し数字を「MERCK の NotPetya コスト」として引用することが危険である理由である。裁判記録は、控訴審で争われた補償額を 6 億 9947 万 5000 ドルと記述した。報道では、より広範な請求額をしばしば約 14 億ドルと概算的に報じた。MERCK の提出書類は、2017 年と 2018 年の売上影響と費用影響を別個に示し、保険回収についても記述した。これらは関連するが、同じ尺度ではない。保険請求には、物的損害、事業中断、臨時費用、その他の補償区分が含まれ得る。売上影響は収益の尺度である。製造差異は会計上の費用区分である。和解は交渉による解決である。これらを交換可能なものとして扱うことは、記録を実際以上に確かなものに見せてしまう。
この証拠の欠落はサイバーリスク市場にとって特に重要である。保険会社、ブローカー、企業のリスク管理者、取締役会、公共部門の主体は、この判決が財物保険におけるサイバー損失の見通しに影響を与えたため、MERCK 事件を注視していた。しかし、公の和解は、ニュージャージー州最高裁判所からの最終的な司法判断をもたらさず、公的な保険数理上の会計も提供しない。保険会社は依然として文言を変更することで対応できる。保険契約者は、専用のサイバー保険を購入し、より明確な戦争条項を要求し、または財物とサイバーの重複をより注意深くマッピングすることで対応できる。市場の教訓は、MERCK の事実パターンが常に補償を生むということではない。曖昧または古い文言は、巨大なサイバー損失の配分を何年も未解決のままにし得るということである。
医薬品継続性には異なる公共の利益の側面があった
NotPetya の記録が多くの企業向けマルウェア事例と異なるのは、MERCK の影響を受けた事業にワクチンと医薬品が含まれていたからである。公開提出書類は、グローバル市場全体にわたる医薬品と動物用医薬品を特定している。サイバー攻撃が製造システムと出荷システムに打撃を与えた場合、製薬企業はオフィスの生産性を失うだけではない。製品配分の決定、バッチ出荷の遅延、市場での不足、在庫の不確実性、温度管理された物流の課題、規制文書の問題、患者や提供者への影響に直面する可能性がある。公開情報から製品別の完全な被害マップを作成することはできないが、MERCK 自身の提出書類は、特定の市場で特定の注文に応じられなかったことを示している。
2017 Form 10-K はまた、一時的な生産停止が Gardasil 9 の予想を上回る需要に対応できない一因となったとも述べている。この記述は注意深く扱わなければならない。これは、NotPetya だけが当該ワクチンのすべての需要・供給不均衡を引き起こしたことを意味するものではない。MERCK が停止を一因として特定したということを意味する。本稿は、これを患者への危害、規制違反、マルウェアのみによる広範なワクチン不足の公的認定へと誇張すべきではない。より正確な論点は、マルウェアの復旧が、企業自身の会計の外で重要となる形で、生産能力と需要に衝突し得るということである。
MERCK は民間企業であるにもかかわらず、公共部門の継続性もこの物語の一部である。政府、公衆衛生プログラム、病院、診療所、薬局、学校、患者は、安定した医薬品供給に依存し得る。製造業者が特定の市場で特定の注文に応じられない場合、その結果は調達システムや医療サービス計画に波及し得る。FDA の医薬品不足プログラムは、医薬品の入手可能性が公的な関心事として扱われるかを示しているが、FDA のページは MERCK の NotPetya 事象に関する認定ではない。公共の利益という視点は、製品の性質によって正当化されるものであり、NotPetya が特定の法定上の不足を引き起こしたという公的認定によるものではない。
中小企業もサプライチェーンの川下に存在する。独立系クリニック、薬局、卸売業者、獣医診療所、地域の医療提供者は、MERCK の事業復旧の証拠に直接アクセスできないかもしれない。彼らは入手可能性、代替品、受注残、連絡状況を目の当たりにする。製造業者が特定の市場での注文に応じられないと述べる場合、小規模な取引相手は透明性のある状況説明と公正な割り当てのシグナルを必要とする。彼らはグローバル企業の復旧プロジェクトを精査することはできない。この非対称性こそが、継続性の記録が株主や保険会社以上の者にとって重要である理由である。
事業継続の概念は、分析をドラマではなく供給に結びつけておく上で有用である。ISO 22301は、許容可能な時間枠と能力で製品とサービスの提供を継続する組織の能力を中心に継続性管理を説明している。製薬企業にとって、この概念は具体的である。原薬の製造、製剤化、包装、品質リリース、出荷、市場配分、顧客サービス、規制文書のすべてが、破壊的なサイバー事象の後に再結合されなければならない。公開記録はこれらの機能の各々が MERCK で失敗したことを証明するものではないが、MERCK 自身の提出書類は、製造、研究、販売、受注、受注残が公的開示を必要とするほど十分に影響を受けたことを確認している。
公衆衛生の側面は、費用配分も複雑にする。企業が製品の入手可能性を維持するために臨時費用を負担した場合、それはある記録では財務コストと見えるかもしれないが、別の記録では継続性の成功と見えるかもしれない。特定市場で注文に応じられなかった場合、それは失われた売上として示される一方で、取引相手は調達ストレスとして経験する。MERCK が開示したように外部製造に影響がなかった場合、それは供給維持に役立つかもしれないが、社内の復旧費用を排除するものではない。したがって、保険と公的説明責任は異なる質問を投げかける。保険会社はその費用が保険証券に適合するかを問い、公衆は必須の製品が公正かつ正確な情報とともに流通し続けたかを問うのである。
この相違はインシデント演習を形作るはずだ。システムが復旧した時点で終了する製薬サイバー演習は、供給の問題を見逃している。演習では、どの製品が制約を受けているか、どの市場が晒されているか、どの規制出荷文書が遅延しているか、どの顧客が配分ガイダンスを必要としているか、どの公的機関が早期警告を必要としているかを問うべきである。また、保険会社のためにどの証拠が保全され、供給保証のためにどの証拠が保全されているかも問うべきである。これらは関連するが同一のファイルではない。保険会社は請求書、システム再構築費用、事業中断計算、因果関係の裏付けを必要とするかもしれない。公衆衛生や調達の利害関係者は、状況、配分の根拠、代替の時期、製品品質記録が無傷であることの確信を必要とするかもしれない。
これらのファイルを分けておくことで、二つの誤りを防ぐ。第一の誤りは、保険文言が公のストーリーを定義するに任せることだ。補償範囲は保険証券の文言、免責額、免責条項、立証区分に左右されるが、それらは患者や提供者への影響にきれいに対応しないかもしれない。第二の誤りは、公の安心感が請求証拠を損なうに任せることだ。「供給は大丈夫」と言わざるを得ない状況にある企業は、後に未履行注文、製造差異、臨時費用を説明するために必要となる記録を過度に単純化するかもしれない。成熟した復旧プログラムは、製品の入手可能性について判明していることと、財務的回復のために依然として文書化中であることを同時に伝えることができなければならない。
企業のレジリエンスが最初の損失を抑制し、証拠が次の損失を抑制した
MERCK に対する最初の説明責任の問いは業務上のものである。なぜ NotPetya はこれほど迅速に拡散し、これほど大規模な混乱を引き起こしたのか。公開記録は、信頼されたサードパーティアプリケーション、自動アップデート、通常のアップデート確認として偽装されたコマンド&コントロール機能、そして MERCK のグローバルネットワーク内部での急速な伝播を記述している。また、4 万台以上の感染マシンについても記述している。これは、信頼された更新チャネルへの依存、セグメンテーション、資格情報の露出、Windows ドメインの影響範囲、特権アクセス、バックアップの隔離、アプリケーション依存関係のマッピング、攻撃を封じ込めながら中核業務を復旧する能力といった、一般的な企業レジリエンスの問題を指し示している。
公開情報源は、MERCK のインシデント発生前の管理策を精確に評価するのに十分な詳細を提供していない。それらは、ドメインアーキテクチャ、特権アカウントモデル、パッチ適用状況、バックアップトポロジー、エンドポイント検知のタイムライン、災害復旧テスト、製造システムのセグメンテーション設計を公開していない。裁判記録と提出書類は、その結果が製造、研究、販売に及んだことを示している。それだけでも、内部事実を知っているふりをせずとも、説明責任を負うべき管理策のカテゴリーを特定するには十分である。MERCK の規模の企業は、どの企業経路が生産設備と重要アプリケーションを停止させ得るか、そしてそれらの経路をどれほどの速さで遮断できるかを知っておく必要がある。
第二の説明責任の問いは証拠に関するものである。すなわち、いったん損失が発生した後、誰がそれが何であったかを証明できたのか。MERCK は、損傷したシステム、中断された業務、臨時費用、売上影響、製造差異、復旧作業、保険回収、保険証券の補償を文書化する必要があった。保険会社は、因果関係、補償範囲、免責条項、免責額、支払限度額、原因帰属を評価する必要があった。敵対的/戦争的行為の免責条項を巡る紛争は、技術的証拠と保険証券文言がどのように絡み合うかを示している。NotPetya が M.E.Doc を通じて侵入したかどうか、国家主体と結びついていたかどうか、データやソフトウェアに損害を与えたかどうか、損失が直接的であったかどうか、保険証券文言がそれを免責していたかどうか、これらすべてが問題となった。
この立証責任は復旧行動を形作る可能性がある。インシデント発生中、企業は迅速に業務を復旧しなければならない。保険請求においては、記録を保全しなければならない。これらの目標は相反する可能性がある。すべての証跡が保全される前にシステムの再構築が必要になるかもしれない。手作業による回避策は、通常の業務記録を自動的に生成しないかもしれない。売上影響は、需要の変化、在庫制約、市場行動と混ざり合うかもしれない。製造差異には複数の原因が含まれ得る。したがって、保険による回復は、サイバー攻撃前に準備され、事後に考案されるのではない損失会計の規律にかかっている。
MERCK の提出書類は、多くのインシデントと比較して成熟した公的会計の軌跡を示している。それらは特定の売上影響と費用影響を示し、保険回収を特定し、年度の進行に伴い予想される 2018 年の売上影響を修正し、保険会社との争いを開示した。それでも、公開記録は基盤となる請求ファイルを露出させてはいない。どの保険証券がいくら支払ったか、各区分がどのように調整されたか、和解金がどのように配分されたかは示されていない。公的説明責任は、守秘義務を尊重しつつも、取締役会やリスク管理者が当該事象から学ぶために十分な非公開の証拠を有しているかを問うことができる。
その非公開の証拠は、公表数字よりも豊かであるべきである。システム停止と製造差異、受注残と市場、臨時費用と復旧判断、保険請求と保険証券文言を結びつけるべきである。停止に起因する売上損失を、需要変動、在庫制約、計画メンテナンス、通常の商業的変動から区別すべきである。手作業による回避策がなぜ使用されたか、誰が承認したか、それが公衆衛生リスクを低減したのか、財務的損失のみを低減したのかを保存すべきである。この結合組織なしには、組織は資金を費やしたことを知っていても、その支出がレジリエンスを改善したかどうかを知ることができないかもしれない。
同じ証拠は、より良い予防を支援し得る。最も高額な損失がエンドポイントの再構築から生じたのであれば、セグメンテーションとエンドポイント復旧能力が投資リストの上位に上がる。最も困難な立証問題が売上受注残から生じたのであれば、受注と配分の記録にはよりレジリエントな捕捉が必要となる。最大の争いが保険証券文言から生じたのであれば、リスク移転にはより明確な引受レビューが必要となる。最も深刻な公的懸念が医薬品の入手可能性から生じたのであれば、復旧演習にはサーバー復旧だけでなく、供給と顧客コミュニケーションを含めるべきである。訴訟のみを支援する損失ファイルは、翌年の管理策を変える損失ファイルほどには価値がない。
取締役会レベルでの教訓は、証拠設計は損失発生前に所有されるべきであるということだ。法務、財務、保険、製造、供給、サイバー、品質、コミュニケーションの各チームは、停止開始、機能復旧、製品配分、臨時費用、失注、手作業の回避策、最終復旧をどのように定義するかについて、共通の語彙を持つ必要がある。各チームが危機の最中に独自の定義を考案するならば、企業は業務を復旧しつつも、管理策の改善と請求の支援に必要な筋道を見失うかもしれない。NotPetya は、復旧の証拠が事後の書類作業ではなく、レジリエンスそのものの一部であることを示した。その証拠は、指導者の交代、訴訟圧力、市場の記憶を生き延びるべきである。
保険文言が変わったのは市場が学んだからだ
MERCK 紛争が注目を集めた理由の一つは、サイバーリスクと従来の財物保険文言との間の不整合を明らかにしたことである。専用のサイバー保険証券が成熟する以前は、多くの企業が物的損害、事業中断、臨時費用、データやソフトウェアの損失について、部分的に財物プログラムに依存していた。NotPetya は、マルウェアが歴史的に大災害に関連付けられてきた規模の財物のような損失を生み出し得る一方で、依然としてソフトウェアと地政学的紛争を通じて届けられることを示した。
保険市場は時を経て、より明示的なサイバーおよび戦争文言で対応した。ロイズは後にロイズ市場速報 Y5381などの公的市場速報を通じて、国家支援型サイバー攻撃の文言を含むサイバー攻撃免責条項に関する市場ガイダンスを発行した。このロイズ速報は MERCK 訴訟の判決の一部ではなく、MERCK の保険証券を遡及的に決定するものでもない。これが関連性を持つのは、高度の重大性を持つサイバー損失経験の後に、市場がより明示的な配分ルールの作成を試みていることを示すからである。
より明確な文言は双方を助け得る。保険会社は、どのようなシステミックなサイバーリスクを価格付けしているかを知る必要がある。保険契約者は、財物、サイバー、犯罪、専門保険証券が、システムに損害を与え業務を中断させるマルウェアに対応するかどうかを知る必要がある。政府や重要インフラの顧客は、サイバー大災害後にサプライヤーが信頼できるリスク移転または自家保険能力を有するかを知る必要がある。曖昧さは引受時の取引の柔軟性を保つかもしれないが、損失後には高くつく不確実性となり得る。
説明責任の要点は、保険会社が国家関連のサイバー累積リスクを懸念したことが誤りだったということではない。彼らは実際にアグリゲーション問題を抱えていた。一つのマルウェア事象が国境とセクターを越えて多くの被保険者を直撃する可能性があったのである。要点は、保険会社の累積懸念は、特定的、平易、明確、かつ目立つ保険証券文言に翻訳されなければならないということである。ニュージャージー州控訴裁判所は、問題となった敵対的/戦争的行為の免責条項は NotPetya に対してその機能を果たさなかったと判断した。
保険契約者にとっての教訓も同様に厳しい。保険購入はレジリエンスに取って代わらない。MERCK は依然として業務を復旧し、注文を管理し、損失を記録し、証拠を保全し、製品の供給を継続しなければならなかった。保険訴訟は何年も続いた。継続性計画が、業務上の混乱を解決するのに十分な速さで保険金支払いが到着すると仮定しているならば、それは継続性計画ではない。保険は財務的回復ツールであり、工場再起動ツールではない。
引受プロセスにも技術的参加が必要である。取締役会は財物保険タワー、サイバー保険証券、キャプティブ構造を承認するかもしれないが、製造依存関係を理解する人々こそが現実の損失シナリオを知っていることが多い。マルウェアは、レシピ、バッチ、出荷、または出荷データを財物保険文言が認識する形で破壊し得るか。事業中断補償はソフトウェアやデータへの損害に対応するのか、それとも物理的機器に限られるのか。代替生産、手作業の品質管理、外部コンサルタント、エンドポイント再構築、顧客コミュニケーションのための臨時費用は明確に補償されるか。国家関連のサイバー免責条項は、リスク委員会がモデル化できる形で書かれているか。MERCK 紛争は、これらの質問が更新前に行われるべきであり、破壊的なマルウェア事象の後に行われるべきでないことを示した。
次の NotPetya に備えた、より良い説明責任の試金石
MERCK の記録は、重要な生産機能を担う組織のための実践的なチェックリストを示唆する。第一に、信頼された更新経路をマッピングせよ。裁判記録において M.E.Doc は信頼されたアプリケーションであった。信頼された経路は、もし上流で侵害されれば攻撃経路になり得る。企業は、どのサードパーティの更新システムがネットワーク到達性を持ち、どの環境に触れ得るかを把握すべきである。第二に、被害範囲をマッピングせよ。資格情報、ドメイン信頼、リモート管理、共有ストレージ、エンドポイント管理ツールが、セグメンテーションがそれを遅らせる前にどこまでマルウェアを運び得るか。第三に、最小限の存続可能な業務をマッピングせよ。どの製造、リリース、研究、販売、出荷機能が継続されなければならず、どのクリーンなシステムがそれらを支援できるか。
第四に、証拠保全のリハーサルを行え。インシデントログ、復旧されたバックアップ、再構築記録、生産影響記録、在庫影響、売上受注残、臨時費用の承認は、緊急復旧を遅らせることなく収集可能であるべきだ。第五に、保険文言を技術的現実と整合させよ。財物保険証券がデータ破損、システム復旧、臨時費用、マルウェアによる事業中断を補償することを期待するならば、その期待は明示的であるべきだ。保険会社が国家支援型の破壊的なサイバー事象を免責する意図ならば、その免責条項は、取締役会が損失前に保持リスクを理解できるほど明示的であるべきだ。第六に、公表内容を境界づけておけ。MERCK の提出書類は、具体的な数字を使用し、予想を修正することにより、多くの企業よりもこれを上手く行った。
公衆もまた、より良い区別を必要としている。政府による原因帰属の声明は、保険証券の免責条項と同じではない。第一審または控訴審の判断は、最高裁判所の判決と同じではない。和解は責任の公的認容ではない。売上影響は被保険損失と同じではない。マルウェアファミリー名は完全な根本原因と同じではない。復旧された製造拠点は、解消された川下の影響と同じではない。これらの用語を慎重に扱うことは、法律的な杓子定規ではなく、説明責任が証拠に結びついたままであるための方法なのである。
MERCK の NotPetya 記録は、サイバーリスクが企業、公共の利益、保険リスクへと同時に転化した最も明快な事例の一つであり続けている。企業は企業レジリエンスと業務復旧の一部を管理した。保険会社は保険証券の作成と補償の立場を管理した。裁判所は争われた文言の解釈を管理した。政府は公的な原因帰属声明を管理した。患者、医療提供者、流通業者、従業員、小規模な取引相手は、独自に診断できなかった結果と共に生きた。
それが、和解後もこの事例が依然として重要である理由である。和解は公的な争いを終結させたが、業務上の教訓を消し去りはしなかった。破壊的なマルウェア事象は、信頼されたソフトウェアアップデートから数分で数万台のマシンに広がり、製薬の製造と販売を中断させ、定量化された数億ドルの影響を生み出し、高度な法的当事者に古い戦争条項が適用されるかどうかを何年も争わせ得る。次の組織は、その議論を待って、自社のネットワーク、復旧計画、保険文言が実際に何を意味するのかを発見すべきではない。

