网络保险模式的重大转变始于制药巨头 Merck 遭受的网络攻击。也可能起因于其他事件？
2017 年 6 月，NotPetya 事件袭击了 Merck 约 4 万台计算机，摧毁了数据，并迫使公司进行长达数月的恢复。此次攻击波及数千家跨国企业，包括 Mondelez和 Maersk。此次恶意软件总计造成约 100 亿美元的损失。
NotPetya 恶意软件利用了两个 Windows 漏洞：EternalBlue（NSA 泄露的数字万能钥匙）和 Mimikatz（从 Windows 系统收集用户密码的漏洞）。
该恶意软件设计为无需用户操作即可感染系统，能在网络内横向扩散，传播速度极快，有时不到一分钟便可瘫痪整个网络。一旦被执行，它会覆盖主引导记录，使计算机无法启动。
赎金通知要求支付费用以解密数据，然而根本没有任何可执行的机制或方案来完成这一步，其真实目的只是让受害者误以为遭遇了勒索软件攻击。事实上，NotPetya 的存在唯一目标就是彻底破坏数据，且无任何恢复途径。
Merck 估算，此次攻击造成约 14 亿美元损失。这些损失包括生产能力暂时下降，以及为恢复运营所需的设备投入和新招聘 IT 人员的费用。
公司曾向 Ace American 投保一份总额 17.5 亿美元的“全险”保险。但保险公司拒绝理赔，理由是 NotPetya 起源于俄乌冲突，“战争行为”条款不适用赔付。
Merck 于 2019 年 11 月对 Ace American 提起诉讼。诉讼核心在于，攻击并非官方国家行为所致，而 Merck 仅为冲突区域之外的旁观者。新泽西州高等法院法官 Thomas J. Walsh 作出有利于 Merck 的判决。
Ace American 提出上诉，州上诉法院裁定，保险单中的“战争责任排除条款”（排除因政府敌对或战争行为造成的损失）在本案中不适用。
双方于 2024 年 1 月 5 日与保险公司达成了保密和解协议。
其他大型企业也经历过类似诉讼，并达成和解，虽然和解金额可能相对较低。
此案结果既难以完全预测，也不一定符合直觉。普遍认为，NotPetya 起源于战争，由俄罗斯政府（尤其是隶属于俄罗斯军事情报的 Sandworm 黑客组织）在乌克兰发动，其推测目的是推动俄罗斯在冲突中的战略目标。
尽管这可能属于网络战争行为，但攻击随后扩散至乌克兰境外的全球计算机，造成了可称为附带损害的影响。
网络保险通常包含战争责任排除条款。例如，劳埃德市场协会（LMA）发布了针对网络战争排除条款的指导意见。其建议指出，在特定情况下，国家在非热战状态下发起的网络行动不应受排除条款限制。例如，若网络攻击发生在冲突区之外，或企业并非直接攻击目标。
法院裁决与劳埃德指导一致，认定战争排除条款不适用于 NotPetya 攻击的具体情况。
尽管如此，该裁决具有重要意义。一些最复杂、破坏性最大的网络攻击往往源自国家针对竞争对手或敌人的行动。若保险公司无法通过标准战争排除条款应对这些具有国家背景的破坏性网络攻击，他们将不得不调整保单、提高保费，或同时采取两者措施。
网络保险市场至少在过去十年中持续波动。随着网络攻击造成的损失日益严重，保险客户面临保费上涨、承保要求更严格以及保险覆盖范围收窄的局面。
这些变化源于网络攻击格局中的多种趋势，包括几年前的勒索软件浪潮。
瑞士再保险研究所数据显示，全球网络保险保费已从 2018 年不足 50 亿美元攀升至今年约 180 亿美元。
各企业必须依照日益严格的指导方针，完善自身网络安全体系，这样才能获得保险保障。保险公司在审核承保对象时所需时间更长，且选择更为严格。
保险覆盖范围正在缩小，部分原因是各类排除条款数量增加，其中“战争不保”是主要条款之一，在特定情况下可能导致保险无效。
Merck 和解案使业界更加关注网络保险中战争排除条款的界定难题。保险公司可能会进一步收紧条款措辞，尤其是战争责任排除条款，这一趋势自 2022 年便已显现。
这同样改变了保险购买者的关注重点。企业在选择保险公司时，需要仔细评估排除条款、等待期、保单限额及其他因素。另一个关键因素是评估企业是否可能因地缘政治事件而成为攻击目标，并考虑排除条款可能导致在遭遇重大国家支持的网络攻击时无法获得赔偿。
最为关键的是关注实际网络安全防护，尤其是自动化工具和 AI 技术。
尽管 Merck 及相关诉讼和和解可能对网络安全保险的成本、条款、排除项目及保额产生重大影响，但更根本的驱动因素是网络攻击整体愈发复杂且代价高昂。