概要

  • Merck は、2017年6月27日のネットワークサイバー攻撃により、製造、研究、販売を含む世界的な事業が混乱したことを開示した。同社の 2017 年 Form 10-K によると、この攻撃による 2017 年の売上高への悪影響は約 2 億 6,000 万ドルに上り、保険回収額約 4,500 万ドルを差し引いた後の製造関連費用と修復費用は 2 億 8,500 万ドルに達した。
  • Merck の 2018 年 Form 10-K では後に、2018 年の売上高が残余の受注残により約 1 億 5,000 万ドルの悪影響を受けたこと、また 2017 年のサイバー攻撃に関連する請求の一部について、特定の保険会社との間で保険適用をめぐる争いが残っていることが述べられている。
  • ニュージャージー州控訴裁判所の意見書は、保険プログラムを、1 億 5,000 万ドルの免責金額を超える総額 17 億 5,000 万ドルの補償限度額を持つ 26 本のオールリスク財産保険契約と説明し、控訴審で争われている補償額は合計 6 億 9,947 万 5,000 ドルで、これは当該保険期間における Merck の総補償額の 40% 弱に相当すると述べた。
  • 同意見書は、提示された状況下では、敵対的/戦争的行為の免責条項は保険適用を妨げないと確認した。これは補償に関する判決であり、全ての支払い、全ての保険会社、あるいは全ての損失区分に関する最終的な公的会計ではない。
  • その後のニュージャージー州最高裁判所への上訴は、本案判決前に和解と訴訟取下げにより終結した。公開報道はこの和解を秘密扱いまたは非公表と報じており、したがってこの和解は、誰が何を支払ったかという最終的な公的配分とは見なされるべきではない。
  • 持続的な説明責任の教訓は伝説よりも狭い。NotPetya は、企業のレジリエンス、医薬品供給の継続性、損失会計、アトリビューション、保険条項の作成を、同一の証拠記録の一部としたのである。

NotPetya は通常の企業依存を医薬品供給リスクに変えた

Merck の NotPetya 体験が重要なのは、世界的な Windows ドメインの混乱を医薬品事業に、さらに保険適用に結びつけているからである。このインシデントは単なる技術部門の問題ではなかった。Merck は投資家に対し、2017年6月27日のネットワークサイバー攻撃が製造、研究、販売を含む世界的な事業を混乱させたと説明した。ワクチン、処方薬、動物用医薬品を製造する企業が、そのような混乱を日常的なエンドポイントのクリーンアップとして扱うことはできない。

中核となる企業記録は、Merck の2017 年 Form 10-Kに始まる。Merck は、サイバー攻撃により製造、研究、販売を含む世界的な事業の混乱が生じたと述べた。また、提出時点では全ての製造拠点が稼働しており、原薬の製造、製剤化、包装、製品の出荷を行っているとした。さらに、外部製造には影響がなく、Merck は受注に対応し製品を出荷し続けたとも述べている。これらの記述は誇張を防ぐ上で重要である。公的提出書類は、Merck が全世界の医薬品供給を無期限に停止したとは言っていない。同社は深刻な混乱を経験したが、製品の出荷を続け、後に全ての製造拠点を復旧させたと述べている。

同提出書類は事業への影響も定量化した。Merck は、特定の市場で特定の製品の受注に対応できず、2017 年の売上高に約 2 億 6,000 万ドルの悪影響が生じたと述べた。また、主に不利な製造差異からなる製造関連費用、ならびに管理部門および研究開発部門における修復費用を計上し、2017 年には保険回収額約 4,500 万ドルを差し引いた後で総額 2 億 8,500 万ドルに達した。Merck はさらに、残余の受注残が特定の市場において 2018 年の売上高に約 2 億ドルの悪影響を及ぼすと予想していた。

Merck の公的提出経路が重要なのは、これらが記者会見での場当たり的な見積もりではないからだ。Merck の投資家向け SEC 提出書類ページは投資家を公式記録へと導き、年次報告書はサイバー攻撃をリスク、業績、保険に関する議論の中に位置づけている。これにより、このインシデントには、多くのランサムウェア事例に欠けている公的説明責任の層が加わる。提出書類は内部の請求ファイルを示すものではないが、売上高への影響、費用認識、製造復旧、保険回収、継続中の保険適用紛争に対する経営陣の公的見解は示している。取締役会にとって、その組み合わせはサイバー損失開示の最低限有用な形である。すなわち、業務区分、財務指標、期間、復旧状況、そして不確実性だ。

その予想数字は記録が成熟するにつれて変化した。Merck は2018 年 Form 10-Kにおいて、再び2017年のネットワークサイバー攻撃に言及し、2018年の売上高が特定の市場でこのサイバー攻撃により約 1 億 5,000 万ドルの悪影響を受けたと述べた。同提出書類は、2017 年の約 2 億 6,000 万ドルの売上高影響と、保険回収約 4,500 万ドルを差し引いた 2 億 8,500 万ドルの費用額を繰り返し示した。また、Merck はサイバー攻撃に起因する費用を補償する保険に加入しており、保険金を受け取っていたが、特定の保険会社との間で 2017 年のサイバー攻撃に関連する請求の一部の保険適用可能性について争いがあることも開示された。2018 年第 3 四半期 Form 10-Qは、その推移を示している。2018 年最初の 9 ヶ月間の売上高影響は約 1 億 5,000 万ドルで、第 3 四半期の影響は僅少であり、2018 年最初の 9 ヶ月間の製造および修復費用は僅少であった。

これらの提出書類は、問題を業務区分に分割しているため、大まかな損失見積もりよりも有用である。売上損失は特定の市場における未履行の受注に関連付けられていた。製造費用は不利な差異と復旧に関連付けられていた。修復費用は管理業務と研究業務に関連付けられていた。保険金は受け取られたが、全ての補償が争いのないものではなかった。したがって、医薬品供給継続性の失敗は証明問題となった。すなわち、何が、どこで、なぜ、どれだけの期間、どの約款文言の下で、どの免責金額で、どの免責条項の下で失われたのか、という問題である。

裁判所記録は保険紛争に技術的な骨格を与えた

最も詳細な公的訴訟記録は、ニュージャージー州控訴裁判所の 2023 年の意見書であり、ニュージャージー州裁判所公式 PDFおよびJustia の Merck & Co., Inc. 対 ACE American Insurance Co. 事件のコピーから入手できる。この意見書は技術的なインシデント報告書ではなく、Merck の完全なフォレンジックファイルとして読むべきではない。しかしながら、保険紛争にとって重要であった記録の部分については、極めて明確である。

裁判所は、Merck が NotPetya として知られる 2017 年 6 月のマルウェア攻撃によって生じた損失について、26 本のオールリスク財産保険契約に基づく確認判決を求めていると説明した。保険プログラムは 2017 年 6 月 1 日から 2018 年 6 月 1 日までを期間とし、1 億 5,000 万ドルの免責金額を超える総額 17 億 5,000 万ドルの補償限度額を有していた。裁判所は、当事者が 6 億 9,947 万 5,000 ドルの補償額を争っており、これは当該保険期間における Merck の総補償額の 40% 弱に相当すると述べた。これらの数字は Merck の総経済的損失ではなく、当該控訴記録における争いのある補償額である。この区別は重要である。なぜなら、損失は特定の上訴審で問題となっている金額よりも大きい場合も小さい場合もあるからだ。

この意見書はまた、裁判所に提出された記録に基づき、マルウェアがどのように侵入し拡散したかを要約している。M.E.Doc は、ウクライナで事業を行う Merck や他の企業が使用していたウクライナの会計ソフトウェアアプリケーションであり、その更新メカニズムが侵害されたと説明されている。意見書によると、Merck は M.E.Doc の新しいバージョンを自動的にチェックするウクライナに所在するサーバーを通じて、悪意のある更新を受信した。NotPetya はランサムウェアとして振る舞い、特定のデータを暗号化し、システムをアクセス不能にし、感染したシステムを動作不能にしたと説明されている。意見書によると、90 秒以内に Merck のグローバルネットワーク内の約 10,000 台のマシンが感染し、5 分以内に約 20,000 台が感染し、最終的には 40,000 台以上が感染した。

この規模は、これが単にウクライナの現地事務所の問題ではなかった理由を説明している。マルウェアはグローバル企業ネットワークに十分な速さで到達したため、中心的なレジリエンス、アイデンティティ、パッチ適用、バックアップ、ネットワークセグメンテーションが同じ説明責任記録の一部となった。裁判所は、NotPetya が生産施設や重要アプリケーションをオフラインにし、製造、研究開発、販売を含む事業に大規模な混乱をもたらしたという Merck の主張を引用している。これは訴訟記録の文言であり、工場ごとの運用詳細の代わりにはならない。しかし、製造、研究、販売の混乱を記述した Merck の SEC 提出書類と一致している。

公開されている技術情報源は、NotPetya の一般的な背景を裏付けている。CISA の Petya ランサムウェアに関するアラートは、2017 年 6 月にこのキャンペーンと緩和策について警告した。Microsoft の2017 年 6 月の分析は、このマルウェアがランサムウェア技術とワームのような伝播、資格情報の悪用を組み合わせたものであると説明した。英国国家サイバーセキュリティセンターは後に、NotPetya をロシア軍情報機関によるものとし、より広範な公的アトリビューション記録の一部とした。またホワイトハウス声明は、NotPetya を無差別かつ無謀なサイバー攻撃の一部と表現した。これらの公的な政府声明は地政学的な文脈において重要である。これらがニュージャージー州における保険契約の問題を自動的に決定したわけではない。

その技術的背景が示唆する運用管理策はよく知られているが、大規模には難しい。NIST SP 800-61 Rev. 2は、インシデント対応を準備、検知と分析、封じ込め、根絶、復旧、事後活動と説明している。NotPetya 規模の事象では、これらのフェーズはきちんと一列には並ばない。企業は、ネットワークセグメントを封じ込め、緊急のビジネスシステムを復旧し、証拠を保全し、経営陣に説明している間も、影響を受けたホストを検知し続けているかもしれない。Merck にとってのポイントは、公開情報源が各フェーズの実行状況を証明することではない。ポイントは、事象の規模が、インシデント対応をヘルプデスクの待ち行列ではなく、ビジネスガバナンスの機能にしたということだ。

事業継続に関するガイダンスも同じ教訓を強化している。NIST SP 800-34 Rev. 1は、事業への影響、復旧の優先順位、代替処理、計画テストを中心に緊急時対応計画を構成している。CISA ランサムウェアガイドは、ランサムウェアインシデントに対する準備、バックアップ、封じ込め、復旧を強調しているが、NotPetya の破壊的特性は、通常の復旧可能なランサムウェアとして扱うべきではないことを意味している。これらの情報源が Merck の落ち度を見つけているわけではない。これらは、マルウェアが数万台のマシンに到達する前に、医薬品事業がアイデンティティ、製造サポート、リリース文書、販売システム、出荷記録のテスト済み復旧パスを必要とする理由を説明するのに役立つ。

戦争免責条項に関する判決は、道徳的アトリビューションではなく約款文言に関するものだった

この法廷闘争はしばしば「NotPetya は戦争行為だったのか」と過度に単純化される。控訴裁判所の意見書はより慎重だった。保険会社は敵対的/戦争的行為の免責条項を援用した。彼らは、NotPetya がロシア連邦のために、またはその指示で行動する主体によって仕組まれたとされるため、保険適用は妨げられると主張した。Merck は免責条項の適用に異議を唱えた。第一審裁判所は Merck の部分勝訴の略式判決を下し、免責条項は保険適用を妨げるものとして適用されないと判断した。控訴部もこれを支持した。

この意見書の推論は、アトリビューションと契約解釈を分離している点で重要である。裁判所は、当事者がアトリビューションについて争っていること、また第一審裁判所は部分勝訴の略式判決を下すにあたりアトリビューションの問題に踏み込む必要はなかったと指摘した。控訴部は、免責条項の平易な文言は保険会社の解釈を支持しないとした。そして、戦時または平時を問わず政府または主権国家による敵対的または戦争的行為に起因する損害の免責には、軍事行動の関与が必要であると説明した。免責条項は、悪意に動機付けられた政府の行動から生じる損害を免責するとは規定していなかった。

裁判所はまた、合理的な約款文言にも焦点を当てた。控訴部は、保険会社が様々な形態のサイバー攻撃(時に国家主体によるもの)がより一般的になっていることを認識していたにもかかわらず、サイバー攻撃が免責されることを被保険者に合理的に通知するよう約款文言を変更しなかったという第一審裁判所の判断に同意した。控訴裁判所は、免責条項の平易な文言は、非軍事目的の消費者に商用目的で会計ソフトウェアを提供する非軍事企業に対するサイバー攻撃を含んでおらず、その攻撃が私人によって扇動されたか、政府や主権国家によって扇動されたかを問わないと述べた。そして、保険会社は免責条項が NotPetya に公正に適用され得ることを示す立証責任を果たしていないと判断した。

この判示は正確に説明されなければならない。これは、サイバー攻撃が決して免責され得ないと言っているのではない。政府のアトリビューションが全ての保険契約において無関係であると言っているのでもない。戦争免責条項が将来のサイバー作戦に適用されないと言っているのでもない。また、Merck の全てのレジリエンス判断に非がないとしているのでもない。裁判所に提出された保険契約と状況の下では、保険会社が敵対的/戦争的行為の免責条項によって保険適用が妨げられることを証明できなかった、と言っているのである。

この区別こそ、保険の説明責任が運用上のものとなる地点である。保険会社は、約款作成、免責条項、サブリミット、特約、引受質問、保険料設定を管理する。保険契約者は、資産、事業中断エクスポージャー、復旧目標、サイバー依存をどのように記述するかを管理する。裁判所は紛争後の約款文言の解釈を管理する。損失前に販売された保険契約が国家関連のサイバー作戦を明確に免責していない場合、保険会社は通常のオールリスク財産保険の文言が後に意図した以上をカバーするリスクに直面する可能性がある。保険契約者が財産保険をサイバー損失の移転手段として依存している場合、資金が確実になるまでに何年もの訴訟に直面する可能性がある。

したがって、Merck 事件は単に NotPetya が悪質かどうかを問うたのではない。誰もがそれが破壊的だったことに同意している。この事件が問うたのは、誰がそのサイバーリスクを契約上配分された財産リスクに変換したのか、そして免責文言が損失を Merck に戻すのに十分明確だったかどうかである。裁判所の回答は、その免責条項に関しては Merck に有利だった。その後の和解は、最終的な公的支払いマップなしに、残る争いを終結させた。

和解は上訴を終わらせたが、公的証拠のギャップを埋めたわけではない

控訴部の決定後、保険会社はニュージャージー州最高裁判所に再審理を求めた。2024 年 1 月の公開報道によると、Merck と保険会社は予定されていた弁論の前に和解した。Reuters は、Merck が NotPetya サイバー攻撃請求をめぐり保険会社と和解したと報じ、Insurance Journal は和解条件は明らかにされなかったと報じた。Cybersecurity Dive も同様に、当事者たちがニュージャージー州最高裁判所が判断を下す前に注目を集めた保険闘争を解決したと報じた。公開された法的報道と裁判所の事件記録は、州の最高裁判所による本案意見ではなく、和解後の訴訟取下げを説明していた。

この結末は重要である。控訴部の意見書は重要な公刊物としての保険適用判断であり続けるが、最高裁判所は最終的な本案判決を下さなかった。和解は、各保険会社がいくら支払ったか、争われた全ての補償区分が支払われたかどうか、防御費用や利息がどのように処理されたか、あるいはいずれかの側が非公開の立場を保持したかどうかを公に明らかにしなかった。公的説明責任にとって、和解は当事者が紛争を解決した証拠ではあるが、完全な公的損失配分の証拠ではない。

このため、「Merck の NotPetya コスト」として単一の見出し数字を引用することはリスクがある。裁判所記録は、控訴審で争われた補償額が 6 億 9,947 万 5,000 ドルであると述べた。ニュース報道は、公開情報がしばしば約 14 億ドルに丸める、より広範な請求について説明した。Merck の提出書類は別途、2017 年と 2018 年の売上高と費用への影響を示し、保険回収について述べている。これらは関連しているが、同じ尺度ではない。保険請求には、物的損害、事業中断、臨時費用、その他の保険対象区分が含まれ得る。売上高影響は収益の尺度である。製造差異は会計上の費用区分である。和解は交渉による解決である。これらを交換可能なものとして扱うことは、記録を実際よりも確実に見せることになる。

証拠のギャップは、サイバーリスク市場にとって特に重要である。保険会社、ブローカー、企業のリスク管理者、取締役会、公共部門の主体は、この判決が財産保険契約の下でのサイバー損失に関する期待に影響を与えたため、Merck を注視した。しかし、公的な和解はニュージャージー州最高裁判所からの最終的な司法的ルールをもたらさず、公的な保険数理計算も提供しない。保険会社は依然として文言を変更することで対応できる。保険契約者は依然として専用のサイバー保険を購入したり、より明確な戦争文言を要求したり、財産保険とサイバー保険の重複をより注意深くマッピングしたりすることで対応できる。市場の教訓は、Merck の事実パターンが常に保険適用を生むということではない。曖昧または古い文言が、巨額のサイバー損失配分を何年も未解決のままに残し得るということである。

医薬品供給継続性は異なる公共の利益プロファイルを持っていた

NotPetya の記録は、影響を受けた Merck の事業にワクチンと医薬品が含まれていたため、多くの企業向けマルウェアの話とは異なる。公的提出書類は、グローバル市場にわたる医薬品と動物用医薬品を特定している。製薬企業は、サイバー攻撃が製造・出荷システムを直撃した場合、オフィスの生産性を失うだけではない。製品配分の決定、バッチリリースの遅延、市場での不足、在庫の不確実性、温度管理された物流の課題、規制文書の問題、患者や医療提供者への影響に直面する可能性がある。公的記録は製品ごとの完全な被害マップを許容しないが、Merck 自身の提出書類は、特定の市場における特定の注文が履行できなかったことを示している。

2017 年 Form 10-K はまた、一時的な生産停止が Gardasil 9 に対する予想を上回る需要に対応できない要因の一つであったと述べている。この記述は慎重に扱われるべきである。これは、NotPetya 単独でそのワクチンの全ての需給不均衡を引き起こしたことを意味しない。Merck が停止を寄与要因として特定したことを意味する。本稿は、これをマルウェア単独によって引き起こされた患者への害、規制違反、広範なワクチン不足という公的認定に誇張すべきではない。ポイントはより正確である:マルウェア復旧は、企業自身の会計の外で重要な形で、生産能力と需要に衝突し得る。

公共部門の継続性は、Merck が民間企業であるにもかかわらず、この話の一部である。政府、公衆衛生プログラム、病院、診療所、薬局、学校、患者は、安定した医薬品供給に依存している場合がある。製造業者が特定の市場で特定の注文を履行できない場合、その結果は調達システムや医療サービス計画に波及し得る。FDA の医薬品不足プログラムは、FDA のページが Merck の NotPetya 事象に関する認定でないにもかかわらず、医薬品の入手可能性がどのように公共の関心事として扱われるかを示している。公共の利益というレンズは、製品の性質によって正当化されるのであり、NotPetya が特定の法定上の不足を引き起こしたという公的認定によるのではない。

中小規模の事業体も下流に現れる。独立した診療所、薬局、流通業者、獣医療機関、地域の医療提供者は、Merck の運用復旧証拠に直接アクセスできないかもしれない。彼らは入手可能性、代替品、バックオーダー、コミュニケーションを見ている。製造業者が特定の市場で注文を履行できないと言う場合、小規模な取引相手は透明性のある状況と公正な配分シグナルを必要とする。彼らはグローバル企業の復旧プロジェクトを検査することはできない。この非対称性こそ、継続性の記録が株主や保険会社以上の者にとって重要である理由である。

事業継続の言語は、分析をドラマではなく供給に結びつけるため、ここで役立つ。ISO 22301は、組織が許容可能な時間枠と能力内で製品とサービスを提供し続ける能力を中心に、継続性管理を説明している。製薬企業にとって、その概念は具体的である:原薬生産、製剤化、包装、品質リリース、出荷、市場配分、顧客サービス、規制文書は全て、破壊的なサイバー事象の後に再結合されなければならない。公的記録は、これらの機能の各々が Merck で機能不全に陥ったことを証明するものではないが、Merck 自身の提出書類は、製造、研究、販売、注文、受注残が公的開示を必要とするほど十分に影響を受けたことを確認している。

公衆衛生の側面は、費用配分も複雑にする。企業が製品の入手可能性を維持するために臨時費用を負担する場合、それはある記録では財務コストに見え、別の記録では継続性の成功に見えるかもしれない。特定の市場で注文を履行できない場合、それは失われた売上として現れる一方、取引相手は調達ストレスとして経験する。外部製造が影響を受けていない場合(Merck が開示したように)、それは供給維持に役立つかもしれないが、内部の復旧コストを排除するわけではない。したがって、保険と公的説明責任は異なる質問をする:保険会社はその費用が保険契約に適合するかどうかを問う。公衆は、必須製品が公正かつ正確な情報とともに動き続けたかどうかを問う。

この違いはインシデント演習を形作るべきである。システムが復旧した時点で終了する製薬サイバー演習は、供給の質問を見逃している。演習は、どの製品が制約されているか、どの市場が露出しているか、どの規制リリース文書が遅延しているか、どの顧客が配分ガイダンスを必要としているか、どの公共機関が早期警告を必要としている可能性があるかを問うべきである。また、保険会社のためにどの証拠が保存され、供給保証のためにどの証拠が保存されているかも問うべきである。それらは関連しているが同一のファイルではない。保険会社は請求書、システム再構築コスト、事業中断計算、因果関係の裏付けを必要とするかもしれない。公衆衛生や調達の利害関係者は、状況、配分の根拠、代替品のタイミング、製品品質記録が完全に保たれているという確信を必要とするかもしれない。

これらのファイルを分けておくことで、二つの過ちを防げる。第一の過ちは、保険の文言に公的な物語を定義させることである。補償は約款の文言、免責金額、免責条項、立証区分に左右されるが、それらは患者や医療提供者への影響にきちんと対応しない。第二の過ちは、公的な安心感が請求証拠を破壊してしまうことである。「供給は問題ない」と言わざるを得ないプレッシャーの下にある企業は、未履行の注文、製造差異、臨時費用を後で説明するために必要な記録を過度に単純化するかもしれない。成熟した復旧プログラムは、同時に、製品の入手可能性について分かっていることと、財務的回復のためにまだ文書化中であることを述べることができるべきである。

企業レジリエンスが最初の損失を左右し、証拠が第二の損失を左右した

Merck に対する最初の説明責任の問いは運用上のものである:なぜ NotPetya はこれほど迅速に拡散し、これほど多くの混乱を引き起こしたのか?公的記録は、信頼されたサードパーティアプリケーション、自動更新、通常の更新チェックに偽装された指令統制能力、Merck のグローバルネットワーク内での急速な伝播を説明している。また、40,000 台以上の感染マシンについても述べている。これは、共通の企業レジリエンス問題を指し示している:信頼された更新チャネルへの依存、セグメンテーション、資格情報の露出、Windows ドメインの到達範囲、特権アクセス、バックアップの隔離、アプリケーション依存関係マッピング、攻撃を封じ込めながら中核業務を復旧する能力である。

公開情報源は、Merck のインシデント前の管理策を正確に評価するのに十分な詳細を提供していない。ドメインアーキテクチャ、特権アカウントモデル、パッチ状態、バックアップトポロジ、エンドポイント検知のタイムライン、ディザスタリカバリテスト、製造システムのセグメンテーション設計は公開されていない。裁判所記録と提出書類は、その結果が製造、研究、販売に及んだことを示している。内部の事実を知っているふりをせずに、説明責任のある管理区分を特定するにはそれで十分である。Merck 規模の企業は、どの企業経路が生産施設や重要アプリケーションをオフラインにし得るか、そしてそれらの経路をどれだけ迅速に切断できるかを知る必要がある。

第二の説明責任の問いは証拠上のものである:いったん損失が発生したら、誰がそれが何であったかを証明できるのか?Merck は、損傷したシステム、中断された業務、臨時費用、売上高影響、製造差異、復旧作業、保険回収、保険適用を文書化する必要があった。保険会社は、因果関係、補償範囲、免責条項、免責金額、補償限度額、アトリビューションを評価する必要があった。敵対的/戦争的行為の免責条項をめぐる争いは、技術的証拠と約款文言がいかに絡み合うかを示している。NotPetya が M.E.Doc を通じて侵入したかどうか、それが国家主体に関連しているかどうか、データとソフトウェアに損害を与えたかどうか、損失が直接的であったかどうか、約款文言がそれを免責しているかどうか、全てが重要だった。

その証拠上の負担は復旧行動を形作り得る。インシデント中、企業は迅速に業務を復旧しなければならない。保険請求中は、記録を保存しなければならない。これらの目標は相反し得る。全てのアーティファクトが保存される前にシステムを再構築する必要があるかもしれない。手動の回避策は、通常の業務記録を自動的に生成しないかもしれない。売上高影響は、需要変動、在庫制約、市場行動と混ざり合うかもしれない。製造差異は複数の原因を含むかもしれない。したがって、保険回収は、サイバー攻撃前に準備され、事後に考案されるのではない、損失会計の規律に依存する。

Merck の提出書類は、多くのインシデントと比較して成熟した公的会計の軌跡を示している。それらは具体的な売上高と費用の影響を示し、保険回収を特定し、年が進むにつれて予想される 2018 年の売上高影響を修正し、保険会社との紛争を開示した。それでも、公的記録は基礎となる請求ファイルを暴露しなかった。どの保険契約がどの金額を支払ったか、各区分がどのように調整されたか、和解金がどのように配分されたかは述べられなかった。公的説明責任は、取締役会やリスク管理者がこの事象から学ぶのに十分な非公開の証拠を持っているかどうかを問いつつ、機密性を尊重することができる。

その非公開の証拠は、公的な数字よりも豊かであるべきだ。システム停止を製造差異に、受注残を市場に、臨時費用を復旧決定に、保険請求を約款文言に結びつけるべきだ。停止による失われた売上を、需要シフト、在庫制約、計画保守、通常の商業的変動性から区別すべきだ。なぜ手動の回避策が使用されたか、誰がそれを承認したか、それが公衆衛生リスクを低減したのか、単に財務的損失を低減しただけなのかを保存すべきだ。その結合組織なしには、組織は資金を費やしたことを知っていても、その支出がレジリエンスを改善したかどうかを知らないかもしれない。

同じ証拠がより良い予防を支援できる。最も高額な損失がエンドポイントの再構築から生じたのであれば、セグメンテーションとエンドポイント復旧能力が投資リストの上位に来る。最も困難な立証問題が販売受注残から生じたのであれば、注文と配分の記録はより強靱に捕捉される必要がある。最大の争いが約款文言から生じたのであれば、リスク移転はより明確な配置レビューを必要とする。最も深い公的懸念が医薬品の入手可能性から生じたのであれば、復旧演習はサーバー復旧だけでなく、供給と顧客コミュニケーションを含むべきだ。訴訟を支援するだけの損失ファイルは、翌年の管理策も変える損失ファイルよりも価値が低い。

取締役会レベルの教訓は、証拠設計は損失前に所有されるべきだということだ。法務、財務、保険、製造、供給、サイバー、品質、コミュニケーションのチームは、停止開始、機能復旧、製品配分、臨時費用、失われた販売、手動回避策、最終的な復旧として何がカウントされるかについて共有の語彙を必要としている。各チームが危機の最中に定義を発明するならば、企業は業務を復旧しても、管理策を改善し請求を裏付けるために必要な筋道を失うかもしれない。NotPetya は、復旧証拠が事後の書類仕事ではないことを示した。それはレジリエンスそのものの一部である。その証拠は、リーダーシップの交代、訴訟圧力、市場の記憶を生き延びるべきだ。

市場が学習したため、保険文言は変化した

Merck の紛争が注目を集めた理由の一つは、サイバーリスクと伝統的な財産保険文言のミスマッチを明らかにしたことである。専用のサイバー保険が成熟する前は、多くの企業が物的損害、事業中断、臨時費用、データやソフトウェアの損失について、部分的に財産保険プログラムに依存していた。NotPetya は、マルウェアがソフトウェアと地政学的紛争を通じてもたらされながら、歴史的に大災害と関連付けられてきた規模で財産的損失を生み出し得ることを示した。

保険市場は時間とともにより明示的なサイバーおよび戦争文言で対応した。ロイズは後に、Lloyd's Market Bulletin Y5381などの公開市場速報を通じて、国家支援のサイバー攻撃文言を含むサイバー攻撃免責に関する市場ガイダンスを発行した。ロイズの速報は Merck の裁判所判断の一部ではなく、Merck の保険契約を遡及的に決定するものではない。これが関連するのは、市場が深刻なサイバー損失経験の後、より明示的な配分ルールを作成しようとしていることを示しているからだ。

より明確な文言は双方に役立つ。保険会社は、自分たちが価格設定している体系的なサイバーリスクがどれかを知る必要がある。保険契約者は、財産、サイバー、犯罪、特殊保険が、システムに損害を与え業務を中断させるマルウェアに対応するかどうかを知る必要がある。政府や重要インフラの顧客は、サイバー大災害後に供給業者が信頼できるリスク移転または自家保険能力を持っているかどうかを知る必要がある。曖昧さは引受時に取引の柔軟性を保つかもしれないが、損失後には高くつく不確実性になり得る。

説明責任のポイントは、保険会社が国家関連のサイバー集積を懸念したことが誤りだったということではない。彼らは現実の集積問題を抱えていた。一つのマルウェア事象が国境やセクターを越えて多くの被保険者を直撃し得るのだ。ポイントは、保険会社の集積懸念は、具体的、平易、明確、かつ顕著な約款文言に翻訳されなければならないということである。ニュージャージー州裁判所は、その前に置かれた敵対的/戦争的行為の免責条項は、NotPetya に対してその役割を果たさなかったと判断した。

保険契約者にとって、教訓は同様に厳しい。保険に加入することはレジリエンスを代替しない。Merck は依然として業務を復旧し、注文を管理し、損失を記録し、証拠を保存し、製品の供給を継続しなければならなかった。保険訴訟は何年も続いた。事業継続計画が、保険金支払いが業務上の混乱を解決するのに十分な速さで到着することを前提としているなら、それは事業継続計画ではない。保険は財務的回復ツールであり、プラント再起動ツールではない。

保険配置プロセスには技術的参加も必要である。取締役会は財産保険タワー、サイバー保険、キャプティブ構造を承認するかもしれないが、製造依存関係を理解する人々はしばしば現実の損失シナリオを知っている。マルウェアは、財産保険文言が認識するような形で、レシピ、バッチ、リリース、出荷データを破壊し得るか?事業中断補償はソフトウェアとデータへの損害に追随するのか、それとも物理的機器のみか?代替生産、手動による品質作業、外部コンサルタント、エンドポイント再構築、顧客コミュニケーションのための臨時費用は明確に補償されるか?国家関連のサイバー免責条項はリスク委員会がモデル化できる形で書かれているか?Merck の紛争は、これらの質問が破壊的なマルウェア事象の後ではなく、更新前になされるべきであることを示した。

次の NotPetya に向けた、より良い説明責任テスト

Merck の記録は、重要な生産役割を持つ組織のための実践的なチェックリストを示唆している。第一に、信頼された更新経路をマッピングすること。M.E.Doc は裁判所記録において信頼されたアプリケーションだった。信頼された経路は、上流で侵害されれば攻撃者の経路になり得る。企業は、どのサードパーティ更新システムがネットワーク到達範囲を持ち、どの環境に接触できるかを知るべきである。第二に、爆発半径をマッピングすること。資格情報、ドメイン信頼、リモート管理、共有ストレージ、エンドポイント管理ツールは、セグメンテーションがそれを遅くする前に、どこまでマルウェアを運び得るか?第三に、最小限の実行可能業務をマッピングすること。製造、リリース、研究、販売、出荷のどの機能が継続しなければならず、どのクリーンなシステムがそれらをサポートできるか?

第四に、証拠保存をリハーサルすること。インシデントログ、復元されたバックアップ、再構築記録、生産影響ノート、在庫影響、販売受注残、臨時費用承認は、緊急の復旧を遅らせることなく収集可能であるべきだ。第五に、保険文言を技術的現実と一致させること。財産保険契約がデータ破損、システム復旧、臨時費用、マルウェアからの事業中断を補償することが期待されるなら、その期待は明示的であるべきだ。保険会社が国家支援の破壊的サイバー事象を免責するつもりなら、その免責条項は、取締役会が損失前に保有リスクを理解できるほど明示的であるべきだ。第六に、公的声明を制限すること。Merck の提出書類は、具体的な数字を使い期待値を修正することで、多くの企業よりもこれをうまく行った。

公衆もより良い区別を必要としている。政府のアトリビューション声明は保険約款の免責条項と同じではない。第一審や控訴審の判決は最高裁判所の判決と同じではない。和解は公的な責任の承認ではない。売上高影響は被保険損失と同じではない。マルウェアファミリー名は完全な根本原因と同じではない。復旧した製造拠点は消去された下流への影響と同じではない。これらの用語を慎重に扱うことは、法律的な重箱の隅をつつくことではない。それは説明責任が証拠に結びつき続ける方法である。

Merck の NotPetya 記録は、サイバーリスクが同時に企業、公共の利益、保険リスクになる最も明確な例の一つであり続けている。同社は企業レジリエンスと運用復旧の一部を管理した。保険会社は約款作成と補償の立場を管理した。裁判所は争われた文言の解釈を管理した。政府は公的アトリビューション声明を管理した。患者、医療提供者、流通業者、従業員、小規模取引相手は、自分たちでは独自に診断できない結果とともに生きた。

だからこそ、このケースは和解後も依然として重要である。和解は公的闘争を終わらせたが、運用上の教訓を消し去ったわけではない。破壊的なマルウェア事象は、信頼されたソフトウェア更新から数分で数万台のマシンに広がり、医薬品製造と販売を中断させ、数億ドル規模の定量化された影響を生み出し、高度な当事者たちが古い戦争文言が適用されるかどうかをめぐって何年も議論する状態を残す。次の組織は、その議論を待って、自社のネットワーク、復旧計画、保険の文言が実際に何を意味するのかを発見すべきではない。

タイポグラフィ

タイポグラフィは、文字を読みやすく、判読しやすく、視覚的に魅力的にするために配置する技術である。書体、ポイントサイズ、行長、行間、文字間隔の選択を含む。

  • タイポグラフィは、15 世紀にヨハネス・グーテンベルクによる活版印刷の発明に端を発する。
  • 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは読みやすさを高め、デザインにおけるムードやトーンを伝える。