摘要
- MERCK 披露,2017 年 6 月 27 日的网络攻击中断了全球运营,包括制造、研究和销售。其 2017 年 10-K 报表称,该攻击对 2017 年销售额造成了约 2.6 亿美元的不利影响,并产生了 2.85 亿美元的制造和补救费用(扣除约 4500 万美元的保险赔偿后)。
- MERCK 的 2018 年 10-K 报表后来表示,2018 年销售额因剩余订单积压受到约 1.5 亿美元的不利影响,并且与某些保险公司就 2017 年网络攻击相关索赔的部分保险范围仍存在争议。
- 新泽西州上诉法院的意见将保险方案描述为 26 份全风险财产保单,总限额 17.5 亿美元,免赔额 1.5 亿美元,并指出上诉中争议的保险范围总计 699,475,000 美元,略低于 MERCK 在该保单期间总保额的 40%。
- 同一意见确认,在当前情况下,敌对/战争行为除外责任条款并不排除保险责任。这是一项关于保险范围的裁决,并非对所有付款、所有保险公司或所有损失类别的公开最终核算。
- 新泽西州最高法院的上诉后来以和解和撤诉告终,未作出实质判决。公开报道称,和解条款保密或未披露,因此不应将和解视为关于谁支付了多少款项的公开最终分配。
- 持久的问责教训比传闻更为具体:NotPetya 使企业韧性、药品供应连续性、损失核算、归因和保险条款起草成为同一证据记录的一部分。
NotPetya 将普通的企业依赖转变为药品供应风险
MERCK 的 NotPetya 经历之所以重要,是因为它将全球 Windows 域中断与制药运营联系起来,进而与保险范围挂钩。该事件不仅仅是技术部门的问题。MERCK 向投资者表示,2017 年 6 月 27 日的网络攻击中断了全球运营,包括制造、研究和销售。一家制造疫苗、处方药和动物保健产品的公司不能将这类中断视为常规的终端清理工作。
核心公司记录始于 MERCK 的2017 年 10-K 报表。MERCK 称,网络攻击导致全球运营中断,包括制造、研究和销售。它还表示,在提交该文件时,所有制造基地均已恢复运营,并正在生产活性药物成分、进行配制、包装和运输产品。它还表示,外部制造未受影响,MERCK 继续履行订单并发货。这些陈述很重要,因为它们防止了夸大其词。公开文件并未说 MERCK 无限期地停止了全球所有药品供应。它说公司经历了严重中断,同时继续发货,随后恢复了所有制造基地。
同一文件量化了业务影响。MERCK 表示,它无法满足某些市场上某些产品的订单,这对 2017 年销售额产生了约 2.6 亿美元的不利影响。它还记录了与制造相关的费用,主要是不利的制造差异,以及行政和研发类别的补救费用,2017 年总计 2.85 亿美元,扣除约 4500 万美元的保险赔偿。MERCK 还预计,剩余订单积压将对 2018 年某些市场的销售额产生约 2 亿美元的不利影响。
MERCK 的公开文件渠道之所以重要,是因为这些不是新闻采访中的随口估计。MERCK 的投资者 SEC 文件页面引导投资者查阅正式记录,而年度报告则将网络攻击置于风险、运营结果和保险讨论之中。这赋予了该事件许多勒索软件案件所缺乏的公共问责层。文件并未显示内部索赔档案,但确实显示了管理层对销售影响、费用确认、制造恢复、保险赔偿和剩余保险争议的公开看法。对董事会而言,这种组合是网络攻击损失披露的最低有用形态:运营类别、财务指标、时间段、恢复状态和不确定性。
随着记录的完善,预期的数字发生了变化。在其2018 年 10-K 报表中,MERCK 再次描述了 2017 年的网络攻击,并表示 2018 年某些市场的销售额因网络攻击受到约 1.5 亿美元的不利影响。该文件重复了 2017 年约 2.6 亿美元的销售影响和 2.85 亿美元的费用数字(扣除约 4500 万美元保险赔偿)。它还表示,MERCK 拥有针对网络攻击成本的保险,已收到赔偿,并与某些保险公司就 2017 年网络攻击相关索赔的部分保险范围存在争议。一份2018 年第三季度 10-Q 报表显示了过渡:2018 年前九个月的销售影响约为 1.5 亿美元,包括第三季度微不足道的影响,而 2018 年前九个月的制造和补救费用微不足道。
这些文件比宽泛的损失估计更有用,因为它们将问题分解为运营类别。销售损失与某些市场上未完成的订单相关。制造成本与不利差异和恢复相关。补救成本与行政和研究工作相关。保险赔偿已收到,但并非所有保险范围都无争议。因此,药品连续性失败成为一个证据问题:损失了什么,在哪里,为什么,持续多久,根据哪项保单条款,适用哪种免赔额,以及哪些除外责任?
法院记录为保险争议提供了技术支柱
最详细的公开诉讼记录是新泽西州上诉法院 2023 年的意见,可通过新泽西州法院官方 PDF和Justia 上的 MERCK & Co., Inc. 诉 ACE American Insurance Co. 案副本获取。该意见并非技术性的事件报告,也不应被视为 MERCK 的完整取证文件。然而,对于保险争议中重要的记录部分,它异常清晰。
法院描述,MERCK 根据 26 份全风险财产保单寻求宣告性判决,针对 2017 年 6 月被称为 NotPetya 的恶意软件攻击造成的损失。该保单计划有效期从 2017 年 6 月 1 日至 2018 年 6 月 1 日,总限额 17.5 亿美元,免赔额 1.5 亿美元。法院称,双方争议的保险范围金额为 699,475,000 美元,略低于 MERCK 在该保单期间总保额的 40%。这些数字并非 MERCK 的全部经济成本;它们是上诉记录中争议的保险金额。这种区分很重要,因为损失可能大于或小于特定法律上诉所剩下的金额。
该意见还根据法庭记录总结了恶意软件如何进入和传播。它描述了 M.E.Doc,这是一款乌克兰会计软件应用程序,被 MERCK 和其他在乌克兰开展业务的公司使用,以及一个受感染的更新机制。意见称,MERCK 通过位于乌克兰的服务器接收恶意更新,该服务器会自动检查 M.E.Doc 的新版本。它描述了 NotPetya 表现为勒索软件,加密某些数据,使系统无法访问,并导致受感染的系统无法运行。根据意见,在 90 秒内,MERCK 全球网络中的约 10,000 台机器被感染;在五分钟内,约 20,000 台机器被感染;最终,超过 40,000 台机器被感染。
这种规模解释了为什么这不仅仅是乌克兰当地办事处的问题。恶意软件迅速到达全球企业网络,使中央韧性、身份、补丁、备份和网络分段成为同一问责记录的一部分。法院引用了 MERCK 的立场,即 NotPetya 导致生产设施和关键应用程序离线,并大规模中断了运营,包括制造、研发和销售。这是诉讼记录的语言,不能替代逐个工厂的运营细节。但它与 MERCK 的 SEC 文件一致,后者描述了制造、研究和销售中断。
公开技术来源支持 NotPetya 的一般背景。CISA 关于 Petya 勒索软件的警报于 2017 年 6 月警告了该活动及缓解步骤。微软的2017 年 6 月分析将恶意软件描述为结合了勒索软件技术与蠕虫式传播和凭证滥用。英国国家网络安全中心后来将 NotPetya 归因于俄罗斯军事情报机构,作为更广泛的公开归因记录的一部分,而白宫声明将 NotPetya 描述为一次鲁莽和滥杀无辜的网络攻击。这些政府公开声明对地缘政治背景很重要。它们并没有自动决定新泽西州的保险合同问题。
该技术背景所隐含的操作控制是熟悉的,但规模上却很困难。NIST SP 800-61 Rev. 2将事件处理描述为准备、检测与分析、遏制、根除、恢复和事后活动。在 NotPetya 规模的事件中,这些阶段并不整齐划一。在遏制网段、恢复紧急业务系统、保存证据和向领导层汇报的同时,公司可能仍在检测受影响的主机。对 MERCK 而言,关键不是公开来源证明了它在每个阶段的表现如何,而是事件的规模使事件处理成为业务治理职能,而不是帮助台队列。
业务连续性指南强化了同样的教训。NIST SP 800-34 Rev. 1围绕业务影响、恢复优先级、替代处理和计划测试构建应急规划。CISA 勒索软件指南强调了针对勒索软件事件的准备、备份、遏制和恢复,而 NotPetya 的破坏性特征意味着不应将其视为普通的可恢复勒索软件。这些来源并未指责 MERCK。它们有助于解释为什么制药运营需要经过测试的恢复路径,用于身份、制造支持、放行文件、销售系统和运输记录,在恶意软件感染数万台机器之前。
战争除外责任裁决关乎保单语言,而非道德归因
法律斗争常常被过度简化为“NotPetya 是战争行为吗?”上诉法院的意见更为谨慎。保险公司援引了敌对/战争行为除外责任条款。他们主张,由于 NotPetya 据称是由为俄罗斯联邦工作或代表俄罗斯联邦的行为者策划的,因此保险范围被排除。MERCK 对该除外责任条款的适用提出异议。初审法院对 MERCK 作出部分简易判决,认定该除外责任条款不适用,不能排除保险责任。上诉法院维持了原判。
该意见的推理很重要,因为它区分了归因和合同解释。法院指出,双方对归因存在争议,初审法院在作出部分简易判决时无需触及归因问题。上诉法院称,该除外责任条款的明文规定并不支持保险公司的解释。它解释说,排除因政府或主权力量的敌对或战争行为(无论是在战时还是平时)造成的损害,要求涉及军事行动。该除外责任条款并未表明,任何出于恶意动机的政府行为造成的损害都被排除。
法院还关注合理的保单措辞。它同意初审法院的观点,即保险公司意识到各种形式的网络攻击(有时来自民族国家)已变得更加普遍,但并未修改保单语言以合理告知被保险人网络攻击将被排除。上诉法院称,该除外责任条款的明文规定并未包括对非军事公司的网络攻击,该公司为商业目的向非军事消费者提供会计软件,无论攻击是由私人行为者还是政府或主权力量策划。它认定,保险公司并未满足其举证责任,以证明该除外责任条款可以公平地适用于 NotPetya。
这项裁决应被准确描述。它并未说网络攻击永远不能被排除。它并未说政府归因在每份保单中都无关紧要。它并未说战争除外责任条款对未来网络行动没有适用性。它并未使 MERCK 对每项韧性决策都无可指责。它说的是,在法庭面前的保单和情况下,保险公司并未证明敌对/战争行为除外责任条款排除了保险责任。
这一区别是保险问责变得可操作的地方。保险公司控制着起草、除外责任、分项限额、批单、承保问题和保费定价。被保险人控制着他们如何描述资产、中断风险、恢复目标和网络依赖关系。法院在争议发生后控制着保单语言的解释。如果一份在损失发生前销售的保单没有明确排除与国家相关的网络行动,保险公司可能面临普通全风险财产险语言覆盖范围超出其后来意图的风险。如果被保险人依靠财产保险作为网络损失转移,它可能面临多年的诉讼,直到资金变得确定。
因此,MERCK 案并不仅仅询问 NotPetya 是否糟糕。每个人都同意它具有破坏性。它询问的是,谁将这种网络风险转化为了合同上分配的财产风险,以及除外责任语言是否足够清晰,可以将损失转回给 MERCK。法院的答案在该除外责任条款上有利于 MERCK。后来的和解结束了剩余的争斗,但没有公开的最终支付分配图。
和解结束了上诉,而非公开证据缺口
上诉法院判决后,保险公司向新泽西州最高法院寻求复核。2024 年 1 月的公开报道称,MERCK 与保险公司在预定辩论前达成和解。路透社报道称,MERCK 就 NotPetya 网络攻击索赔与保险公司达成和解,而《保险杂志》报道称,和解条款未披露。Cybersecurity Dive 同样报道称,双方在州最高法院介入前解决了这一引人注目的保险纠纷。公开的法律报道和法院案卷记录描述了在和解后撤诉,而非来自州最高法院的实体判决。
这种最终状态很重要。上诉法院的意见仍然是重要的已公布保险范围裁决,但最高法院并未作出最终的实体判决。和解并未公开揭示每家保险公司支付了多少,是否支付了每项争议的保险类别,如何处理了抗辩费用和利息,或任何一方是否保留了非公开立场。对于公共问责而言,和解是双方解决争议的证据,而非完整的公开损失分配的证据。
这就是为什么引用单一标题数字作为“MERCK NotPetya 成本”是危险的。法院记录描述了上诉中 6.99475 亿美元的争议保额。新闻报道描述了一个更广泛的索赔,公开报道通常四舍五入为约 14 亿美元。MERCK 的文件分别给出了 2017 年和 2018 年的销售和费用影响,并描述了保险赔偿。这些是相关的,但不是同一衡量标准。保险索赔可以包括财产损失、业务中断、额外费用和其他保险类别。销售影响是收入衡量标准。制造差异是会计核算中的费用类别。和解是协商解决。将它们视为可互换的,会使记录看起来比实际更确定。
证据缺口对网络风险市场尤为重要。保险公司、经纪人、企业风险管理者、董事会和公共部门实体关注 MERCK,因为该裁决影响了在财产险保单下对网络损失的预期。但公开和解并未给出新泽西州最高法院的最终司法规则,也没有公开的精算核算。保险公司仍可通过修改措辞来应对。被保险人仍可通过购买专门的网络保险、要求更清晰的战争语言或更仔细地映射财产险和网络险的重叠部分来应对。市场的教训并非 MERCK 的事实模式总会产生保险覆盖。而是模糊或过时的措辞可能使巨大的网络损失分配多年悬而未决。
药品连续性具有不同的公共利益特征
NotPetya 记录不同于许多企业恶意软件故事,因为 MERCK 受影响的业务包括疫苗和药品。公开文件确定了全球市场上的药品和动物保健产品。当网络攻击影响制造和运输系统时,药品制造商不仅会损失办公效率。它可能面临产品分配决策、批次放行延迟、市场短缺、库存不确定性、温控物流挑战、监管文件问题,以及患者或医疗提供者的后果。公开记录不允许绘制完整的产品逐一损害图,但 MERCK 自己的文件显示,某些市场上的某些订单无法完成。
2017 年 10-K 报表还表示,临时停产导致 MERCK 无法满足对 Gardasil 9 高于预期的需求。这一陈述应谨慎对待。它并不意味着 NotPetya 单独导致了该疫苗的所有供需失衡。它意味着 MERCK 将停产确定为一个促成因素。本文不应将其夸大为公开认定患者受到伤害、违反监管规定或完全由恶意软件造成的大范围疫苗短缺。更准确的观点是:恶意软件恢复可能与生产能力和需求发生冲突,其影响超出了公司自身的会计核算。
尽管 MERCK 是一家私营公司,但公共部门的连续性是该事件的一部分。政府、公共卫生项目、医院、诊所、药房、学校和患者可能依赖稳定的药品供应。当制造商无法满足某些市场上的某些订单时,后果可能传导至采购系统和健康服务规划。美国食品药品管理局(FDA)的药品短缺计划显示了药品供应如何被视为公共关切,尽管 FDA 页面并非对 MERCK 的 NotPetya 事件的认定。公共利益视角的合理性在于产品的性质,而非公开认定 NotPetya 造成了特定的法定短缺。
下游也会出现中小型实体。独立诊所、药房、分销商、兽医诊所和当地卫生提供者可能无法直接访问 MERCK 的运营恢复证据。他们看到的是供应、替代品、延期交货和沟通。如果制造商表示某些市场上的订单无法完成,较小的交易对手需要透明的状态和公平的分配信号。他们无法检查全球企业的恢复项目。这种不对称性解释了为什么连续性记录对股东和保险公司之外的许多人也很重要。
业务连续性语言在此有帮助,因为它使分析聚焦于交付而非戏剧性。ISO 22301描述了围绕组织在可接受的时间框架和能力内继续交付产品和服务的能力的连续性管理。对于制药公司来说,这个概念是具体的:活性成分生产、配制、包装、质量放行、运输、市场分配、客户服务和监管文件记录都必须在破坏性网络事件后重新衔接。公开记录并未证明 MERCK 在每个功能上都失败了,但 MERCK 自己的文件证实制造、研究、销售、订单和积压受到的影响足以要求公开披露。
公共卫生维度也使成本分配复杂化。如果一家公司发生额外费用以保持产品供应,在一份记录中可能看起来是财务成本,在另一份记录中却可能是连续性成功。如果它无法满足某些市场上的订单,这可能会显示为销售损失,而交易对手则将其体验为采购压力。如果外部制造未受影响,正如 MERCK 所披露的,这可能有助于保持供应,但不会消除内部恢复成本。因此,保险和公共问责提出不同的问题:保险人询问费用是否符合保单;公众询问基本产品是否继续以公平和准确的信息流通。
这种差异应影响事件演练。当系统恢复就结束的药品网络演练,忽略了供应问题。演练应询问哪些产品受限,哪些市场暴露,哪些监管放行文件延迟,哪些客户需要分配指导,以及哪些公共机构可能需要早期预警。它还应询问哪些证据正在为保险公司保留,哪些证据正在为供应保证保留。这些是相关但并非相同的文件。保险公司可能需要发票、系统重建成本、业务中断计算和因果关系支持。公共卫生或采购利益相关者可能需要状态、分配理由、替代时间和产品品质记录保持完好的信心。
将这些文件分开可防止两个错误。第一个错误是让保险语言定义公开叙述。保险覆盖可能取决于保单措辞、免赔额、除外责任和证据类别,这些并不能整齐地映射到患者或医疗提供者的后果。第二个错误是让公开保证破坏索赔证据。一家公司迫于压力说“供应良好”,可能会过度简化其后来需要的记录,以解释未完成的订单、制造差异或额外费用。一个成熟的恢复项目应该能够同时说明,已知的产品供应情况以及仍在为财务恢复记录的情况。
企业韧性控制第一损失;证据控制第二损失
MERCK 的第一个问责问题是操作性的:为什么 NotPetya 传播如此之快,造成如此大的破坏?公开记录描述了一个受信任的第三方应用程序,自动更新,伪装成正常更新检查的命令与控制能力,以及在 MERCK 全球网络内快速传播。它还描述了超过 40,000 台受感染的机器。这指出了常见的企业韧性问题:对受信任更新渠道的依赖、网络分段、凭证暴露、Windows 域范围、特权访问、备份隔离、应用程序依赖关系映射,以及在遏制攻击的同时恢复核心运营的能力。
公开来源未提供足够的细节来精确评分 MERCK 的事件前控制。它们未公布域架构、特权账户模型、补丁状态、备份拓扑、终端检测时间线、灾难恢复测试或制造系统分段设计。法院记录和文件确实显示,后果跨越了制造、研究和销售。这足以确定可问责的控制类别,而无需假装了解内部事实。像 MERCK 这样规模的公司需要知道哪些企业路径可以使生产设施和关键应用程序离线,以及这些路径可以多快被切断。
第二个问责问题是证据性的:一旦损失发生,谁能证明它是什么?MERCK 需要记录受损系统、中断的运营、额外费用、销售影响、制造差异、恢复工作、保险赔偿和保单覆盖。保险公司需要评估因果关系、保险范围、除外责任、免赔额、限额和归因。关于敌对/战争行为除外责任的争议显示了技术证据和保单语言如何交织在一起。NotPetya 是否通过 M.E.Doc 进入,是否与国家行为者有关,是否损害了数据和软件,损失是否是直接的,以及保单措辞是否排除了它,这些都很重要。
这种证据负担可以塑造恢复行为。在事件期间,公司必须迅速恢复运营。在保险索赔期间,它必须保存记录。这些目标可能冲突。在保存每件证据之前,可能需要重建系统。手动变通方法可能不会自动生成普通业务记录。销售影响可能与需求变化、库存限制和市场行为混合。制造差异可能包括多种原因。因此,保险赔偿依赖于一种在网络攻击之前就准备好的损失核算纪律,而不是事后发明。
与许多事件相比,MERCK 的文件显示了一条成熟的公开核算轨迹。它们提供了具体的销售和费用影响,确定了保险赔偿,随着年份的推进修订了预期的 2018 年销售影响,并披露了保险公司争议。然而,公开记录并未暴露基础索赔档案。它没有说明哪些保单支付了哪些金额,每个类别如何调整,或和解收益如何分配。公共问责可以尊重保密性,同时仍然询问董事会和风险管理人员是否有足够的非公开证据从事件中学习。
那些非公开证据应该比公开数字更丰富。它应将系统中断与制造差异联系起来,将积压订单与市场联系起来,将额外费用与恢复决策联系起来,将保险索赔与保单语言联系起来。它应区分由中断驱动的销售损失与需求变化、库存限制、计划维护和普通商业波动。它应保存为什么使用手动变通方法,谁批准了它,以及它是降低了公共卫生风险还是仅减少了财务损失。没有这些连接组织,组织可能知道它花了钱,但不知道这笔支出是否提高了韧性。
同样的证据可以支持更好的预防。如果最昂贵的损失来自重建终端,那么分段和终端恢复能力在投资清单上会上升。如果最难的证据问题来自销售积压,那么订单和分配记录需要更有韧性的捕获。如果最大的争议来自保单措辞,那么风险转移需要更清晰的安排审查。如果最深的公共关切来自药品供应,那么恢复演练应包括供应和客户沟通,而不仅仅是服务器恢复。一个仅支持诉讼的损失档案,价值不如一个也能改变下一年控制的损失档案。
董事会的教训是,证据设计应在损失发生前就进行。法律、财务、保险、制造、供应、网络、质量和沟通团队需要对什么是中断开始、功能恢复、产品分配、额外费用、销售损失、手动变通和最终恢复有共同的词汇。如果每个团队在危机期间发明自己的定义,公司可能在恢复运营的同时,失去改进控制和支持索赔所需的线索。NotPetya 表明,恢复证据不是事后的文书工作;它是韧性本身的一部分。这些证据应经受住领导层变动、诉讼压力和市场记忆的考验。
保险措辞因市场学习而改变
MERCK 争议引起关注的一个原因是,它揭示了网络风险与传统财产险措辞之间的不匹配。在专门的网络险保单成熟之前,许多公司部分依赖财产险方案来应对物理损坏、业务中断、额外费用以及数据或软件损失。NotPetya 表明,恶意软件可能产生历史上与巨灾相关的财产险类损失,同时仍然通过软件和地缘政治冲突传播。
随着时间的推移,保险市场以更明确的网络和战争措辞作出回应。劳合社后来发布了关于网络攻击除外责任的指南,包括国家支持的攻击语言,通过公开的市场公告,如劳合社市场公告 Y5381。该公告并非 MERCK 案法院判决的一部分,也不会追溯决定 MERCK 的保单。它的相关性在于,它显示了市场在经历高度严重的网络损失后,试图起草更明确的分配规则。
更清晰的措辞对双方都有帮助。保险公司需要知道他们正在为哪些系统性网络风险定价。被保险人需要知道财产险、网络险、犯罪险和专业险保单是否应对损害系统和中断运营的恶意软件。政府和关键基础设施客户需要知道供应商在网络灾难后是否有可信的风险转移或自保能力。模糊性可能在承保时保留交易灵活性,但在损失后可能变成代价高昂的不确定性。
问责的关键不是保险公司担心与国家相关的网络累积是错误的。他们有一个真正的聚合问题:一次恶意软件事件可能跨境、跨行业冲击许多被保险人。关键是保险公司的累积关切必须转化为具体、清晰、明确和突出的保单语言。新泽西州法院认为,当时面对的敌对/战争行为除外责任条款并未对 NotPetya 起到这样的作用。
对被保险人而言,教训同样严峻。购买保险并不能替代韧性。MERCK 仍然需要恢复运营、管理订单、记录损失、保存证据并继续供应产品。保险诉讼持续了多年。如果连续性规划假设索赔支付会足够快地解决运营中断,那它就不是连续性规划。保险是一种财务恢复工具,而不是工厂重启工具。
承保过程也需要技术参与。董事会可能批准财产险塔式方案、网络险保单和自保结构,但了解制造依赖关系的人通常知道真实的损失场景。恶意软件能否以财产险措辞认可的方式破坏配方、批次、放行或运输数据?业务中断保险覆盖是跟随软件和数据的损害,还是仅跟随物理设备?替代生产、手动质量工作、外部顾问、终端重建和客户沟通的额外费用是否得到明确覆盖?与国家相关的网络除外责任是否以风险委员会可以建模的方式编写?MERCK 的争议表明,这些问题应在续保前提出,而不是在破坏性恶意软件事件之后。
为下一次 NotPetya 进行更好的问责测试
MERCK 的记录为具有关键生产角色的组织提供了一个实用的检查清单。首先,映射受信任的更新路径。在法院记录中,M.E.Doc 是一个受信任的应用程序。如果受信任的路径在上游被破坏,它可能成为攻击者的路径。公司应知道哪些第三方更新系统具有网络访问权限,以及它们可以触及哪些环境。第二,映射爆炸半径。凭证、域信任、远程管理、共享存储和终端管理工具在分段减慢其速度之前可以携带恶意软件多远?第三,映射最低可行运营。哪些制造、放行、研究、销售和运输功能必须继续,以及哪些清洁系统可以支持它们?
第四,演练证据保存。事件日志、恢复的备份、重建记录、生产影响说明、库存影响、销售积压和额外费用批准应可收集,而不延误紧急恢复。第五,将保险语言与技术现实对齐。如果财产险保单预期覆盖数据损坏、系统恢复、额外费用和恶意软件导致的业务中断,那么这一预期应明确表述。如果保险公司打算排除国家支持的破坏性网络事件,那么该除外责任应足够明确,以便董事会在损失前理解保留的风险。第六,保持公开声明有边界。MERCK 的文件在这方面比许多公司做得更好,使用了具体数字并修订了预期。
公众也需要更好的区分。政府的归因声明与保单除外责任不同。初审或上诉判决与最高法院判决不同。和解不是公开承认责任。销售影响与被保险损失不同。恶意软件家族名称与完整的根本原因不同。恢复的制造基地与消除的下游影响不同。谨慎对待这些术语不是法律上的吹毛求疵;这是问责如何与证据保持联系的方式。
MERCK 的 NotPetya 记录仍然是网络风险同时成为企业风险、公共利益风险和保险风险的最清晰例子之一。公司控制了企业韧性和运营恢复的部分。保险公司控制了保单起草和保险范围立场。法院控制了对争议措辞的解释。政府控制了公开归因声明。患者、医疗提供者、分销商、员工和较小的交易对手承受了他们无法独立诊断的后果。
这就是为什么该案在和解后仍然重要。和解结束了公开争斗,但它没有抹去运营教训。一次破坏性恶意软件事件可以在几分钟内从受信任的软件更新传播到数万台机器,中断药品制造和销售,产生数亿美元的量化影响,并使经验丰富的各方就旧的战争语言是否适用争论多年。下一个组织不应等待这种争论,才发现其网络、恢复计划和保险措辞的实际含义。

