遭遇黑客攻击？你可能无法索赔——《华尔街日报》

2017年1月4日，伦敦劳合社有限公司大楼图片来源：克里斯·拉特克利夫/彭博新闻伦敦劳合社于8月宣布，其保险政策将不再承保国家支持的网络攻击行为。这类黑客行为虽不完全等同于战争，但显然也不属于保险常规承保的普通事故范畴。私营企业需未雨绸缪，积极应对者将赢得消费者与市场的青睐。

“劳合社必须确保各承保辛迪加能有效管控战争及国家支持网络攻击所引发的责任风险，“托尼·乔杜里在给这家保险巨头的承保人公告中强调。他阐明公司网络保险条款须包含"适当免责条款，免除因国家支持网络攻击所致损失的赔偿责任”。

对于旨在保护客户免受普通犯罪侵害的保险业而言，国家支持的网络攻击正变得难以应对。“初期网络保险赔付额并不高，“英国国家网络安全中心首任CEO夏兰·马丁接受采访时表示，“但随着勒索软件、GDPR法规及’诺佩提亚’等重大攻击事件出现，网络保险从普通险种演变为高赔付产品，企业开始讨论系统性风险。”

1月，新泽西州一名法官裁定，美国制药巨头默克公司（NotPetya病毒的受害者之一）有权获得14亿美元的赔偿。其保险公司ACE American曾辩称，由于西方政府将NotPetya归咎于俄罗斯政府，这属于类似战争行为，根据战争或敌对行为除外条款不予承保。

网络攻击并非企业面临的唯一国家敌对行为威胁。以立陶宛企业为例，因维尔纽斯允许台湾设立代表处，其出口中国的货物在北京港口遭封锁作为报复。正如白宫在新版《国家安全战略》中指出：“北京经常运用经济实力胁迫他国。“再看那些在普京入侵乌克兰后被迫撤出俄罗斯并蒙受巨额损失的企业——德国建材连锁Obi Baumarkt仓促退出时，其俄罗斯业务几乎以白送价格出售给当地投资者。北溪1号、2号管道的德法荷少数股东们呢？虽然外界无从知晓企业保单细节，但管道遭遇的地缘政治破坏很可能引发理赔难题。

保险条款将战争列为除外责任——但战争已难以简单界定。如今，地缘政治驱动的侵略行为可能以无限形式出现，私营企业常成为靶心。这种不确定性或将导致某些商业行为无法投保。鉴于企业因地缘政治侵略已蒙受巨额损失，政府几乎不可能为敌对政权及其代理人造成的所有损害提供补偿。

这并不意味着企业只能坐以待毙。五年前因NotPetya病毒遭受重创后，丹麦航运巨头马士基特意公开了其加强网络防护的措施，将不幸转化为竞争优势。捷克国防部去年为私营部门开展了以灰色地带风险（未达到武装军事暴力的侵略行为）为主题的演习。发起该演习的国防部副部长托马什·科佩奇尼在接受采访时表示：“灰色地带演习应成为每家负责任企业风险管理的基石。这类演习总能暴露企业风险管理的漏洞，还能让企业了解其他公司的经验，并在灰色地带侵略升级时帮助他们认识需要打交道的政府部门和官员。”

其他国家政府应效仿捷克的做法，无法参与此类演习的企业则可以联合其他公司测试抗风险能力。企业还应重新评估在某些国家开展业务的政治风险。

随着地缘政治冲突加剧，企业可将未雨绸缪转化为优势。他们应加倍重视网络防护——尤其无法预知攻击是来自外国政府还是犯罪分子。但同时也应通过演讲、访谈、宣传材料和年报等方式公开强调这些努力。展现这种防范意识将赢得现有股东和客户的青睐，并吸引新的合作伙伴。

布劳女士是美国企业研究所的高级研究员，同时也是支持安全技术公司的风险投资公司Gallos Technologies的顾问委员会成员。