Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. De gerechtelijke uitspraak kan veel gevolgen hebben voor wereldwijde verzekeraars, omdat Ace Insurance zich erop beriep dat NotPetya een oorlogsdaad was.
Met de uitspraak wordt een langslepende rechtszaak tussen Ace American Insurance en Merck beslecht. Het internationale farmaceutische en chemiebedrijf Merck werd in juni 2017 getroffen door de ransomware NotPetya, samen met tientallen andere bedrijven en overheidsinstellingen. NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GRoe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne, waar Rusland toen op papier nog niet bij betrokken was. Merck was geen primair doelwit, maar werd desondanks via boekhoudprogramma MEdoc toch getroffen door de ransomware. Het bedrijf leidde uiteindelijk ruim honderden miljoenen dollar schade door die aanval nadat 45.000 machines werden geïnfecteerd.
Merck klopte aan bij acht verzekeraars waar het bedrijf een polis had, waaronder Ace American Insurance. Het bedrijf had bij de verschillende verzekeraars polissen lopen waarmee tot 1,75 miljard dollar zou worden uitgekeerd na een eigen risico van 150 miljoen dollar. De verzekeraars weigerden echter om 700.000 dollar daarvan uit te keren, met als reden dat NotPetya een oorlogsdaad zou zijn. Daarvoor waren uitzonderingen opgenomen in de polis.
Merck stapte daarop naar de rechter. Dat werd een langlopende strijd, die Merck in januari 2022 leek te winnen. Toen dwong een rechter uit New Jersey dat dat de verschillende verzekeraars 1,4 miljard dollar aan totale schade moesten vergoeden aan Merck. De verzekeraars gingen in hoger beroep, maar hebben nu bakzeil gehaald bij het gerechtshof.
De rechter in het hoger beroep zegt dat NotPetya 'niet voldoende gelinkt kan worden aan een militaire actie, omdat het een niet-militaire cyberaanval tegen een boekhoudsoftwareprovider was'. Daarmee hebben de verzekeraars niet genoeg bewezen dat de aanval onder de uitzonderingsclausule voor oorlogssituaties viel. De rechter vindt dat die uitzonderingsclausule alleen van toepassing is als er militaire actie bij gemoeid is. Hoewel de Verenigde Staten over het algemeen aannemen dat NotPetya een Russische militaire operatie was, ziet het leger het niet als een officiële militaire oorlogsdaad.
De uitspraak kan verstrekkende gevolgen hebben voor de manier waarop ransomware nu wordt verzekerd. Veel verzekeraars bieden polissen tegen de schade van cyberaanvallen en dan vooral ransomware aan. Net zoals bij de meeste verzekeringen vallen oorlogsdaden buiten de dekking, maar bij ransomware is het altijd vaag geweest wanneer een infectie een oorlogs- of offensieve daad is van een ander land. Verzekeraars beroepen zich bij ransomware steeds vaker op de uitzonderingsclausules, die door juristen ook wel eens een 'catch-all-categorie' wordt genoemd. In de zaak spreken de rechters zich nu in duidelijke termen uit dat verzekeraars niet iedere aanval zomaar meer een oorlogsdaad kan noemen.
Source: Tweakers.net