摘要
- MERCK 披露,2017 年 6 月 27 日的网络攻击中断了其全球运营,包括制造、研究和销售。其 2017 年 10-K 表年度报告称,该攻击对 2017 年销售额产生了约 2.6 亿美元的不利影响,并产生了 2.85 亿美元的制造和修复费用(扣除约 4500 万美元的保险赔偿后)。
- MERCK 随后在 2018 年 10-K 表年度报告中表示,2018 年销售额因残余积压订单而受到约 1.5 亿美元的不利影响,并且与某些保险公司就 2017 年网络攻击相关索赔的某些保险覆盖范围仍存在争议。
- 新泽西州上诉法院的判决意见将保险方案描述为 26 份一切险财产保险单,总上限为 17.5 亿美元,免赔额为 1.5 亿美元,并称上诉中争议的保额共计 6.99475 亿美元,略低于 MERCK 该保单期内总保额的 40%。
- 同一判决确认,在当时的情况下,敌对/战争行为除外条款并未阻止保险赔付。这是一项保险责任范围的裁决,并非对所有付款、所有保险公司或所有损失类别的最终公开核算。
- 新泽西州最高法院的上诉后来以和解和撤诉告终,并未就实体问题作出裁决。公开报道称该和解条款为保密或未披露,因此不应将该和解视为最终公开的付款分配方案。
- 持久的问责教训比传奇故事更为狭窄:NotPetya 使企业韧性、药品供应链连续性、损失核算、归因和保险条款起草共同成为同一证据记录的一部分。
NotPetya 将普通企业依赖转变为药品供应风险
MERCK 的 NotPetya 经历之所以重要,是因为它将全球 Windows 域的中断与制药业务联系起来,进而关联到保险覆盖。这不仅仅是技术部门的问题。MERCK 向投资者表示,2017 年 6 月 27 日的网络攻击中断了其全球运营,包括制造、研究和销售。一家制造疫苗、处方药和动物保健产品的公司,不能将这种中断视为常规的端点清理。
核心的公司档案始于 MERCK 的2017 年 10-K 表年度报告。MERCK 称,网络攻击导致全球运营中断,包括制造、研究和销售。它表示,在提交文件时,所有生产基地均已恢复运营,并正在进行活性药物成分的生产、制剂、包装和产品运输。它还表示,外部制造未受影响,MERCK 继续履行订单并运送产品。这些声明很重要,因为它们防止了夸大。公开文件并未说 MERCK 无限期停止了全球所有药品供应。它说公司经历了严重的中断,同时继续运送产品,随后恢复了所有生产基地。
同一份文件量化了业务影响。MERCK 称,它无法满足某些市场某些产品的订单,这对 2017 年销售额产生了约 2.6 亿美元的不利影响。它还记录了制造相关费用,主要是制造差异的不利影响,加上管理和研发类别的修复费用,2017 年合计 2.85 亿美元,扣除约 4500 万美元的保险赔偿。MERCK 还预计,残余的积压订单将对 2018 年某些市场的销售额产生约 2 亿美元的不利影响。
MERCK 的公开申报渠道之所以重要,是因为这些并非媒体采访中的随意估计。MERCK 的投资者 SEC 申报页面引导投资者查阅正式记录,而年度报告将网络攻击置于风险、运营结果和保险讨论之中。这赋予了该事件一个许多勒索软件案例所缺乏的公共问责层面。文件虽未展示内部索赔档案,但确实显示了管理层对销售影响、费用确认、制造恢复、保险赔偿和剩余保险争议的公开看法。对董事会而言,这种组合是网络损失披露的最低有用形态:运营类别、财务指标、时间段、恢复状态和不确定性。
随着记录的成熟,这一预期数字发生了变化。在其2018 年 10-K 表年度报告中,MERCK 再次描述了 2017 年的网络攻击,并表示 2018 年销售额在特定市场受到网络攻击的约 1.5 亿美元不利影响。该文件重申了 2017 年约 2.6 亿美元的销售影响和 2.85 亿美元的费用数字,扣除约 4500 万美元保险赔偿。它还表示,MERCK 拥有承保网络攻击造成损失的保险,已收到赔款,并与某些保险公司就 2017 年网络攻击相关索赔的某些保险覆盖范围存在争议。一份2018 年第三季度 10-Q 表季度报告显示了过渡:2018 年前九个月的销售影响约为 1.5 亿美元,其中第三季度影响微乎其微,而 2018 年前九个月的制造和修复费用则无关紧要。
这些文件比宽泛的损失估计更有用,因为它们将问题分解为运营类别。销售损失与特定市场未完成的订单挂钩。制造成本与不利差异和恢复挂钩。修复成本与行政和研究工作挂钩。收到了保险赔款,但并非所有保险覆盖都无争议。因此,药业连续性中断变成了一个证明问题:什么损失了,在哪里,为什么,持续多久,适用哪种保单措辞,免赔额是多少,以及有哪些除外条款?
法院记录为保险纠纷提供了技术支撑
最详细的公开诉讼记录是新泽西州上诉法院分院 2023 年的判决意见,可通过新泽西州法院官方 PDF和Justia 上的 Merck & Co., Inc. v. ACE American Insurance Co. 副本获取。该意见并非技术事故报告,也不应被视为 MERCK 的完整取证档案。然而,它异常清晰地阐述了档案中对保险争议有重要影响的部分。
法院将 MERCK 描述为根据 26 份一切险财产保险单寻求确认性判决,以赔偿因 2017 年 6 月被称为 NotPetya 的恶意软件攻击造成的损失。该保险方案从 2017 年 6 月 1 日至 2018 年 6 月 1 日,总保额为 17.5 亿美元,免赔额为 1.5 亿美元。法院称,双方争议的保额为 6.99475 亿美元,略低于 MERCK 该保单期内总保额的 40%。这些数字并非 MERCK 的总经济损失;它们是该上诉记录中有争议的保额。这一区别很重要,因为损失可能大于或小于某一法律上诉中涉及的金额。
该意见还根据法庭记录总结了恶意软件如何进入和传播。它描述了 M.E.Doc,一款由 MERCK 和其他在乌克兰开展业务的公司使用的乌克兰会计软件应用,以及一个被破坏的更新机制。该意见称,MERCK 通过位于乌克兰的自动检查 M.E.Doc 新版本的服务器接收了恶意更新。它将 NotPetya 描述为以勒索软件的形式呈现,会加密某些数据,使系统无法访问,并使受感染的系统无法运行。根据该意见,在 90 秒内,MERCK 全球网络中约 10,000 台机器被感染;在 5 分钟内,约 20,000 台机器被感染;最终,超过 40,000 台机器被感染。
这一规模解释了为何这不只是一个乌克兰当地办事处的问题。恶意软件迅速到达全球企业网络,使得中央韧性、身份验证、补丁管理、备份和网络划分成为同一问责记录的一部分。法院引用了 MERCK 的立场,即 NotPetya 导致生产设施和关键应用下线,并大量中断了运营,包括制造、研发和销售。这是诉讼档案中的措辞,不能替代逐厂细节。但它与 MERCK 向 SEC 提交的文件一致,这些文件描述了制造、研究和销售的中断。
公开技术来源支持了 NotPetya 的一般背景。CISA 关于 Petya 勒索软件的警报于 2017 年 6 月警告了该活动和缓解措施。微软的2017 年 6 月分析将该恶意软件描述为将勒索软件技术与蠕虫式传播和凭证滥用相结合。英国国家网络安全中心后来将 NotPetya 归因于俄罗斯军事情报部门,作为更广泛公开归因记录的一部分,而白宫声明将 NotPetya 描述为一场鲁莽且不分青红皂白的网络攻击。这些政府公开声明对地缘政治背景很重要。它们并未自动决定新泽西州的保险合同问题。
该技术背景下隐含的运营控制是常见的,但大规模实施却很困难。NIST SP 800-61 Rev. 2将事件处理描述为准备、检测与分析、遏制、根除、恢复和事件后活动。在 NotPetya 规模的事件中,这些阶段不会整齐地排列。一家公司可能仍在检测受影响的主机,同时正在遏制网络段、恢复紧急业务系统、保存证据并向领导层汇报。对 MERCK 而言,重点不在于公开来源证明它如何执行了每个阶段。重点在于事件的规模使得事件处理成为一项企业治理职能,而非帮助台队列。
连续性指南强化了同样的教训。NIST SP 800-34 Rev. 1围绕业务影响、恢复优先级、替代处理和计划测试构建了应急计划框架。CISA 勒索软件指南强调了对勒索软件事件的准备、备份、遏制和恢复,而 NotPetya 的破坏性特征意味着不应将其视为普通的可恢复勒索软件。这些来源并非对 MERCK 吹毛求疵。它们有助于解释为什么制药业务需要在恶意软件感染数万台机器之前,为身份验证、制造支持、发布文档、销售系统和运输记录提供经过测试的恢复路径。
战争除外条款的裁决是关于保单措辞,而非道德归因
法律斗争常常被过度简化为“NotPetya 是否为战争行为?”上诉法院的意见更为谨慎。保险公司援引了敌对/战争行为除外条款。他们认为,由于 NotPetya 据称是由为俄罗斯联邦或代表俄罗斯联邦行事的行动者策划的,因此保险覆盖被排除。MERCK 对除外条款的适用性提出异议。初审法院作出了有利于 MERCK 的部分简易判决,认定该除外条款不适用于阻止保险覆盖。上诉法院分院予以维持。
该意见的推理很重要,因为它将归因与合同解释分开。法院指出,双方对归因存在争议,并且初审法院在作出部分简易判决时无需触及归因问题。上诉法院分院表示,除外条款的平实语言不支持保险公司的解释。它解释说,对于由政府或主权力量在任何和平或战争时期实施的敌对或战争行为造成的损害的除外条款,需要涉及军事行动。除外条款并未规定,任何出于恶意动机的政府行为造成的损害均被排除。
法院还重点关注了合理保单措辞。它赞同初审法院的观点,即保险公司意识到各种形式的网络攻击,有时来自民族国家,已变得更加普遍,但并未更改保单措辞,以合理告知投保人网络攻击将被排除。上诉法院表示,除外条款的平实语言并未涵盖对一家为非军事消费者提供商业会计软件的非军事公司的网络攻击,无论该攻击是由私人行为者还是政府或主权力量煽动。它认定,保险公司未能履行其证明该除外条款可公平适用于 NotPetya 的举证责任。
该裁定应被精确描述。它并未说网络攻击永远不能被排除。它并未说在任何保单中政府归因都不相关。它并未说战争除外条款未来对网络行动没有适用性。它并未使 MERCK 对每一项韧性决策豁免责任。它只是说,在法院审理的保单和情况下,保险公司未证明敌对/战争行为除外条款阻止了保险覆盖。
这种区别正是保险问责成为运营事项的地方。保险公司控制着措辞、除外条款、分项限额、批单、核保问题和保费定价。投保人控制着如何描述其资产、中断风险敞口、恢复目标和网络依赖。法院控制着争议发生后对保单措辞的解释。如果一份在损失发生前售出的保单未明确排除与国家相关的网络行动,保险公司可能面临风险,即普通的一切险财产措辞覆盖了其后来意图之外的损失。如果投保人依赖财产保险作为网络损失转移工具,它可能在资金变得确定之前面临多年的诉讼。
因此,MERCK 案不仅仅询问 NotPetya 是否糟糕。每个人都同意它是破坏性的。它询问谁已将这种网络风险转化为合同分配的财产风险,以及除外条款措辞是否足够明确,以将损失转移回 MERCK。法院的回答在该除外条款上有利于 MERCK。后来的和解结束了剩余的斗争,没有最终的公开付款地图。
和解结束了上诉,而非公开证据空白
上诉法院分院判决后,保险公司寻求新泽西州最高法院的复审。2024 年 1 月的公开报道称,MERCK 与保险公司已在预定辩论前达成和解。路透社报道,MERCK 就 NotPetya 网络攻击索赔与保险公司达成和解,Insurance Journal 报道称和解条款未披露。Cybersecurity Dive 同样报道,各方在新泽西州最高法院介入之前解决了这场备受瞩目的保险纠纷。公开法律报道和法院备审记录显示在实体判决前以和解和撤诉告终,而非州最高法院的实体意见。
这一最终状态很重要。上诉法院分院的意见仍是一项重要的已公布保险责任范围裁决,但最高法院并未作出最终实体判决。该和解并未公开揭示每家保险公司支付了多少,是否支付了每个有争议的保险类别,如何处理辩护费用和利息,或任何一方是否保留了非公开立场。就公共问责而言,该和解是双方解决争议的证据,而非完整的公开损失分配的证据。
这就是为什么引用一个单一标题数字作为“MERCK NotPetya 成本”是很冒险的。法院记录描述了上诉中争议的 6.99475 亿美元保额。新闻报道描述了一项更广泛的索赔,公开报道通常将其四舍五入约为 14 亿美元。MERCK 的文件单独给出了 2017 年和 2018 年的销售和费用影响,并描述了保险赔偿。这些是相关的,但并非同一衡量标准。一份保单索赔可包括财产损失、营业中断、额外费用和其他承保类别。销售影响是一种收入指标。制造差异是一种会计费用类别。和解是一种协商解决方案。将它们视为可互换的,将使记录看起来比实际情况更确定。
证据空白对网络风险市场尤为重要。保险公司、经纪人、企业风险经理、董事会和公共部门实体关注 MERCK,因为该裁决影响了人们对网络损失在财产保单下的预期。但公开和解并未给出新泽西州最高法院的最终司法规则,也未给出公开的精算核算。保险公司仍然可以通过更改措辞来回应。投保人仍然可以通过购买专门的网络保险、要求更明确的战争用语或更仔细地映射财产和网络的重叠部分来回应。市场教训并非 MERCK 的事实模式将总会产生保险覆盖。而是模棱两可或旧措辞可能使巨大的网络损失分配多年悬而未决。
药品供应持续性具有不同的公共利益特征
NotPetya 记录与许多企业恶意软件故事不同,因为 MERCK 受影响的业务包括疫苗和药品。公开文件确定了全球市场的药品和动物保健产品。当网络攻击击中制造和运输系统时,一家制药企业失去的不仅是办公室生产力。它可能面临产品分配决策、批次放行延迟、市场短缺、库存不确定性、温控物流挑战、监管文档问题以及患者或服务提供方的后果。公开记录不允许绘制完整的产品逐一损害地图,但 MERCK 自己的文件显示,某些市场的某些订单无法履行。
2017 年 10-K 表还表示,临时停产是导致 MERCK 无法满足 Gardasil 9 高于预期的需求的原因之一。这一声明应谨慎对待。它并不意味着 NotPetya 单独导致了该疫苗的所有供需失衡。它意味着 MERCK 将停产视为一个促成因素。本文不应将其夸大为对患者伤害、监管违规或广泛疫苗短缺的公开发现,归因于恶意软件单独造成。重点更为精确:恶意软件恢复可能以超出公司自身核算的方式,与产能和需求发生碰撞。
尽管 MERCK 是一家私人公司,公共部门的连续性也是这个故事的一部分。政府、公共卫生项目、医院、诊所、药房、学校和患者可能依赖稳定的药品供应。当一家制造商无法满足某些市场的某些订单时,后果可能传递到采购系统和卫生服务规划中。美国食品药品管理局(FDA)的药品短缺项目显示了药品供应如何被视为一项公共关切,尽管 FDA 页面并非关于 MERCK NotPetya 事件的调查结果。公共利益视角因产品性质而合理,而非基于 NotPetya 造成特定法定短缺的公开发现。
中小型实体也出现在下游。独立诊所、药房、分销商、兽医诊所和地方卫生服务提供者可能无法直接获取 MERCK 的运营恢复证据。他们看到的是供应情况、替代品、延期交货和沟通。如果一家制造商称某些市场的某些订单无法履行,较小的交易对手需要透明的状态和公平的分配信号。他们无法检查一个全球企业的恢复项目。这种不对称性解释了为什么连续性记录不仅对股东和保险公司重要。
业务连续性语言在这里很有帮助,因为它使分析始终与交付而非戏剧性挂钩。ISO 22301将连续性管理描述为围绕组织在可接受的时间框架和容量内继续交付产品和服务的能力。对于一家制药公司,这一概念是具体的:活性成分生产、制剂、包装、质量发布、运输、市场分配、客户服务和监管文档都必须在中断性网络事件后重新接续。公开记录并未证明 MERCK 的这些功能每一个都失败了,但 MERCK 自己的文件确认,制造、研究、销售、订单和积压订单受到的影响足以需要公开披露。
公共卫生维度也使成本分配复杂化。如果一家公司为了保持产品供应而产生了额外费用,这在一种记录中可能看起来是一项财务成本,在另一种记录中则是一项连续性成功。如果它无法满足某些市场的订单,这可能显示为销售损失,而交易对手则经历采购压力。如果外部制造未受影响,正如 MERCK 披露的那样,这可能有助于保持供应,但不会消除内部恢复成本。因此,保险和公共问责提出了不同的问题:保险公司询问费用是否符合保单;公众询问基本产品是否以公平和准确的信息继续流动。
这种差异应塑造事件演练。一个在系统恢复后就结束的制药网络演习,忽略了供应问题。演习应询问哪些产品受到限制,哪些市场暴露,哪些监管放行文件延迟,哪些客户需要分配指导,以及哪些公共机构可能需要早期预警。它还应该询问哪些证据正在为保险公司保存,哪些证据正在为供应保证保存。这些是相关但不相同的档案。一家保险公司可能需要发票、系统重建成本、营业中断计算和因果关系支持。一位公共卫生或采购利益相关者可能需要状态、分配理由、替代时间安排以及对产品质量记录保持完好的信心。
将这些档案分开可防止两个错误。第一个错误是让保险语言定义公共叙事。保险覆盖可能取决于保单措辞、免赔额、除外条款和证明类别,这些与患者或服务提供方的后果并不精确对应。第二个错误是让公共保证破坏索赔证据。一家承受压力说“供应很好”的公司,可能会过度简化它后来需要用来解释未履行订单、制造差异或额外费用的记录。一个成熟的恢复项目应该能够同时说出,关于产品供应的已知情况,以及仍在为财务恢复记录的内容。
企业韧性控制了第一笔损失;证据控制了第二笔
第一个 MERCK 问责问题是运营性的:为什么 NotPetya 传播如此之快,破坏如此之大?公开记录描述了一个受信任的第三方应用、自动更新、伪装成正常更新检查的命令与控制能力,以及在 MERCK 全球网络内的快速传播。它还描述了超过 40,000 台受感染机器。这指出了常见的企业韧性问题:对受信任更新渠道的依赖、分段、凭证暴露、Windows 域触及范围、特权访问、备份隔离、应用程序依赖映射,以及在遏制攻击的同时恢复核心运营的能力。
公开来源未提供足够细节来精确评估 MERCK 事件前的控制措施。它们未发布域架构、特权账户模型、补丁状态、备份拓扑、端点检测时间线、灾难恢复测试或制造系统分段设计。法庭记录和文件确实显示后果跨越了制造、研究和销售。这足以识别可问责的控制类别,而无需假装知晓内部事实。一家像 MERCK 这样规模的公司需要知道,哪些企业途径可以使生产设施和关键应用下线,以及这些途径能以多快的速度被切断。
第二个问责问题是证据性的:一旦损失发生,谁能证明它是什么?MERCK 需要记录受损系统、中断的运营、额外费用、销售影响、制造差异、恢复工作、保险赔偿和保单覆盖。保险公司需要评估因果关系、保险范围、除外条款、免赔额、限额和归因。围绕敌对/战争行为除外条款的争议显示了技术证据和保单语言如何交织在一起。NotPetya 是否通过 M.E.Doc 传入,是否与国家行为者有关,是否损害了数据和软件,损失是否为直接损失,以及保单措辞是否排除了它,这些都至关重要。
这种证据负担可以塑造恢复行为。在一次事件中,公司必须快速恢复运营。在一次保险索赔中,它必须保存记录。这些目标可能冲突。系统可能需要在保存每一份证据之前就被重建。手动变通方法可能无法自动生成普通业务记录。销售影响可能混杂着需求变化、库存限制和市场行为。制造差异可能包含多种原因。因此,保险赔偿依赖于在攻击发生前就已准备好的损失核算纪律,而非事后发明。
MERCK 的文件显示,与许多事件相比,它有一条成熟的公开核算记录。它们给出了具体的销售和费用影响,确定了保险赔偿,随着年份推进修订了预期的 2018 年销售影响,并披露了保险公司争议。不过,公开记录并未暴露底层的索赔档案。它没有说明哪些保单支付了哪些金额,每个类别如何调整,或和解收益如何分配。公共问责可以在尊重保密性的同时,仍然询问董事会和风险经理是否有足够的非公开证据从事件中学习。
这些非公开证据应比公开数字更丰富。它应将系统中断连接至制造差异,将积压订单连接至市场,将额外费用连接至恢复决策,将保险索赔连接至保单语言。它应区分因中断造成的销售损失与需求变化、库存限制、计划内维护和普通商业波动。它应保留为何使用手动变通方法、谁批准了它,以及它是否降低了公共健康风险或仅减少了财务损失。没有这些连接组织,组织可能知道它花了钱,但不知道这些花费是否改善了韧性。
同样的证据可以支持更好的预防。如果最昂贵的损失来自端点重建,那么分段和端点恢复能力就会在投资清单上上升。如果最困难的证明问题来自销售积压,那么订单和分配记录就需要更具韧性的捕获。如果最大的争议来自保单措辞,那么风险转移就需要更清晰的配置审查。如果最深的公共关切来自药品供应,那么恢复演习应包括供应和客户沟通,而不仅仅是服务器恢复。一个仅支持诉讼的损失档案,其价值不如一个也能改变下一年控制措施的损失档案。
董事会层面的教训是,证据设计应在损失发生前就拥有它。法律、财务、保险、制造、供应、网络、质量和通信团队需要一个共享词汇,用于描述什么算作中断开始、功能恢复、产品分配、额外费用、销售损失、手动变通和最终恢复。如果每个团队在危机期间都编造自己的定义,那么公司可能在恢复运营的同时,丢失了改进控制和支撑索赔所需的线索。NotPetya 表明,恢复证据并非事后的文书工作;它是韧性本身的一部分。这份证据应该经受住领导层更迭、诉讼压力和市场记忆的考验。
保险措辞因市场学习而改变
MERCK 争议之所以引人关注,一个原因是它揭示了网络风险与传统财产措辞之间的错配。在专门的网络保单成熟之前,许多公司部分依赖财产险方案来应对物理损坏、营业中断、额外费用以及数据或软件损失。NotPetya 表明,恶意软件可以造成历史上与巨灾相关的规模的财产类损失,同时仍可通过软件和地缘政治冲突传递。
保险市场随着时间的推移作出了回应,推出了更明确的网络和战争用语。劳合社后来通过公开市场公告(如Lloyd's Market Bulletin Y5381)发布了关于网络攻击除外条款的市场指引,包括国家支持的攻击者语言。劳合社的公告并非 MERCK 法院判决的一部分,也不追溯决定 MERCK 的保单。它之所以相关,是因为它显示了市场在经历严重网络损失后,试图起草更明确的分配规则。
更清晰的措辞对双方都有帮助。保险公司需要知道它们正在为哪些系统性网络风险定价。投保人需要知道其财产、网络、犯罪和专业保单是否对破坏系统并中断运营的恶意软件作出响应。政府和关键基础设施客户需要知道,在网络灾难后,供应商是否拥有可信的风险转移或自保能力。模棱两可可能在承保时保留交易的灵活性,但在损失发生后可能成为代价高昂的不确定性。
问责点不在于保险公司担心与国家相关的网络累积问题是错误的。它们确实有一个真实的聚合问题:一次恶意软件事件可以打击许多跨境跨行业的被保险人。重点在于,保险公司的累积担忧必须转化为具体、平实、清晰和突出的保单语言。新泽西州法院裁定,其面前的敌对/战争行为除外条款并未对 NotPetya 做到这一点。
对投保人而言,教训同样苛刻。购买保险并不能取代韧性。MERCK 仍然需要恢复运营、管理订单、记录损失、保存证据并继续供应产品。保险诉讼持续了多年。如果连续性规划假设一笔赔款会足够快地到达以解决运营中断,那么它就不是连续性规划。保险是一种财务恢复工具,而非工厂重启工具。
投保过程也需要技术参与。一家董事会可能批准一项财产共保、一份网络保单和一项自保结构,但了解制造依赖关系的人通常知道真实的损失情形。恶意软件能否以财产措辞认可的方式破坏配方、批次、放行或运输数据?营业中断保险仅跟随对软件和数据的损坏,还是仅跟随物理设备?替代生产、手工质量工作、外部顾问、端点重建和客户沟通等额外费用是否明确受保?与国家相关的网络除外条款是否以风险委员会能够模拟的方式书写?MERCK 的争议表明,这些问题应在续保前而非破坏性恶意软件事件后提出。
为下一个 NotPetya 准备更好的问责测试
MERCK 记录为具有关键生产角色的组织提出了一个实用的检查清单。首先,映射受信任更新路径。M.E.Doc 在法庭记录中是一款受信任的应用。如果在上游被攻破,一条受信任的路径可能成为攻击路径。公司应知道哪些第三方更新系统具有网络触及范围,以及它们可以触达哪些环境。第二,映射打击半径。在分段减缓恶意软件之前,凭证、域信任、远程管理、共享存储和端点管理工具能携带恶意软件走多远?第三,映射最小可存活运营。哪些制造、放行、研究、销售和运输功能必须继续,以及哪些清洁系统可以支持它们?
第四,演练证据保存。事件日志、已恢复备份、重建记录、生产影响注释、库存影响、销售积压和额外费用审批应可收集,而不延迟紧急恢复。第五,将保险语言与技术现实对齐。如果财产险保单预期覆盖数据损坏、系统恢复、额外费用和来自恶意软件的营业中断,那么这一预期应是明确的。如果保险公司意图排除国家支持的破坏性网络事件,那么该除外条款应足够明确,以使董事会能在损失发生前理解自留风险。第六,保持公开声明有边界。MERCK 的文件通过使用具体数字和修订预期,比许多公司做得更好。
公众也需要更好的区分。一份政府归因声明不等同于一份保单除外条款。一项初审或上诉裁定不等同于一项最高法院裁定。一项和解并非公开承认责任。一项销售影响不等同于一项保险损失。一个恶意软件家族名称不等同于完整的根本原因。一个已恢复的生产基地不等同于消除了下游影响。谨慎对待这些术语并非法律上的吹毛求疵;这是问责与证据保持联系的方式。
MERCK 的 NotPetya 记录仍然是网络风险同时成为企业风险、公共利益风险和保险风险的最清晰示例之一。公司控制了企业韧性和运营恢复的部分。保险公司控制了保单起草和保险范围立场。法院控制了有争议措辞的解释。政府控制了公开归因声明。患者、服务提供者、分销商、雇员和较小的交易对手承受了它们无法独立诊断的后果。
这就是为何该案在和解后依然重要。和解结束了公开争斗,但并未抹去运营教训。一次破坏性恶意软件事件可以在几分钟内从受信任的软件更新移动至数万台机器,中断制药制造和销售,产生数亿美元的量化的影响,并使老练的各方争论多年旧战争用语是否适用。下一个组织不应等待那种争论,才去发现其网络、恢复计划和保险措辞实际上意味着什么。
排印
排印是安排字型以使书面语言易读、易读且具有视觉吸引力的艺术和技术。它涉及选择字型、点数大小、行长、行距和字母间距。
- 排印起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键元素包括字体选择、字距调整、字间距和行距。
- 良好的排印能增强可读性,并在设计中传达情绪或基调。

