稱NotPetya為戰爭行動，保險公司拒絕理賠損失

2017年惡意軟體NotPetya肆虐歐美企業，許多企業受害。彭博、The Register等媒體及ZDNet報導，擁有麗滋（Ritz）及Oreo餅乾品牌的全球第二大食品億滋（Mondelez）控告蘇黎世美國保險（Zurich American Insurance）公司拒絕為賠償該公司因NotPetya攻擊蒙受的損失。

億滋去年11月向伊利諾州庫克市控告不履行保險公司理賠責任，理由是屬於「戰爭行為」，而不在保險政策涵蓋範圍。

2017年6月底爆發的NotPetya感染歐洲包括烏克蘭銀行、電廠、機場和船運業者Maersk等，它一度被認為是勒索軟體Petya的變種，但在被害者支付贖款後卻未將資料解密，後來被證實是新型的攻擊軟體。億滋在NotPetya災難中有1700多台伺服器和2.4萬台筆電遭永久性損壞，因此向蘇黎世保險申請理賠1億美元。

但就像所有保險業者總是會詳查可能賠償的事件，蘇黎世保險也做出了調查。蘇黎士美國保險公司表示其理賠範圍涵蓋「實體損失或毁損所有風險」及「對電子資料、程式或軟體的實體損失或毁損，包括由惡意加入的機器程式碼或入侵。」該公司最後的結論是，NotPetya是出於「承平時的敵意或類戰爭行為或是戰爭」，而不在其理賠的涵蓋範圍中，並在去年拒絕這家客戶的要求。

彭博引述Modelez的說法指出，蘇黎世保險將排除理由歸咎於戰爭或任何非傳統戰爭的作法是前所未聞。

此類案件中，必須由保險公司負責證明排除的理由，但蘇黎世保險也並非無的放矢。事實上，去年西方國家都指俄羅斯是NotPetya攻擊的背後元兇。英國政府去年也點明NotPetya背後為俄羅斯政府、特別是俄羅斯軍方針對烏克蘭發動的軍事攻擊。

本案也突顯了官方說法是否可被拿來當作呈堂證供，尤其是這些說法並沒有實質證據。彭博報導指出，本案可能影響未來對網路攻擊的法律認定，例如網路攻擊是否可用以「戰爭」來形容？是否只要被認定是戰爭，保險公司就可以不用理賠？至少，政客未來再發出像戰爭如此強硬的措辭前，最好三思而後行。