近期俄亥俄州最高法院案件暴露网络保险漏洞

文章重点总结

本月初，俄亥俄州最高法院的一起案件悄然达成和解，其语言可能进一步加剧网络保险，尤其是依赖替代保险政策的医疗服务提供者的风险。案件由医疗计费软件供应商EMOI对Owners保险公司的索赔引发，该保险公司拒绝赔付因2019年网络攻击造成的损失。法院裁定，因软件属于无形项，故不适用于保险条款。该情况提醒各组织，在变动的保险环境中，必须认真审查自己的保险政策及风险管理。

早在本月初，俄亥俄州最高法院的一个案件悄然达成和解，案件中包含的语言可能在网络保险不断变化的背景下，特别对依赖替代保险政策来保护其企业的医疗服务提供者来说，发出了警示。

七位俄亥俄州法官一致支持了的裁决，该公司是由EMOI提起的诉讼的被告，EMOI是一家医疗计费软件供应商。Owners保险公司为EMOI提供了一份全险政策，但拒绝了一项因2019年9月发生的网络攻击而产生的损失索赔。

法院在裁决中指出，保险条款中的电子设备附加条款明确要求发生直接的物理损失或损坏。

接下来法院的表述让许多技术和网络安全领袖感到不安：“由于软件是无形项目，无法发生直接的物理损失或直接的物理损坏，因此该附加条款不适用本案。”

EMOI的保单中规定的媒介被视为物理性质，法官裁定这一定义不适用于软件，因为软件在这些定义下并不存在物理形态。“‘受保媒介’指的是具有物理存在的媒介，”裁决指出。

“计算机软件无法发生‘直接的物理损失或物理损坏’，因为它没有物理存在，”裁决继续道。软件本质上不过是一套指令，让计算机执行特定任务……虽然计算机或其他电子媒介的电子组件是有形的，但是存储在其中的信息是没有物理存在的。

换句话说，软件的信息完全是无形的。

从技术角度来看，这种表述明显存在偏差。Clearwater公司CynergisTek的安全服务副总裁DaveBailey指出：“如果它不能再使用，虽然可能没有‘物理摧毁’，但实际上就是你要丢掉的东西。”

显而易见，任何有安全意识的公司都不会使用无法清理或恢复的硬盘，因为没有办法保证威胁已经完全消除。那块硬盘将经历销毁流程，并不再使用。

EMOI与Owners的保单可能确实包含超出了这些技术要素的语言，这从整体企业风险的角度看是个更广泛的问题。

Owners保险公司拒绝EMOI的软件损失索赔

该法律案件源于Owners保险公司因2019年网络攻击而拒绝了EMOI的索赔请求。经过评估恢复时间和费用，EMOI最终选择支付35,000美元的赎金以恢复其系统。尽管提供的解密工具恢复了大多数系统，但其自动电话系统的服务器仍然被加密。

EMOI提出索赔以弥补损失，但Owners基于保单语言中要求的并未发生直接的物理损失或损坏而拒绝该索赔。

拒绝索赔引发了一场诉讼，虽然初次被驳回，但经过上诉后，低级法院法官裁定支持EMOI。然而，俄亥俄州最高法院的裁定推翻了这一 ruling。

Owners保险公司发布了一份“全险政策”，而要获得俄亥俄州最高法院的裁决，该保险公司不得不经过“相当复杂的政策语言解读，”ReedSmith的合伙人CristinaM. Shea表示。

Shea认为这个裁决是完全错误的。

“我认为，俄亥俄州最高法院在解读保单时存在错误，”Shea表示，问题在于保单中对“媒介”的定义包括了软件语言，这“隐含或假设了软件