Verzekeraar moet 1,4 miljard dollar vergoeden in afzonderlijke ransomwarezaak – Computer – Nieuws

Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. De gerechtelijke uitspraak kan veel gevolgen hebben voor verzekeraars wereldwijd, omdat Ace Insurance zich erop vertrouwt dat NotPetya een oorlogsdaad was.

leerde kennen de uitspraak wordt een langslepende mogelijkheid tussen Ace American Insurance en Merck slecht. Het internationale farmaceutische en chemiebedrijf Merck werd in juni 2017 getroffen door de ransomware NotPetya, samen met bepaalde andere bedrijven en overheidsinstellingen. NotPetya wordt door beveiligingsexperts opgevolgd door de Russische militaire inlichtingendienst GROe, de ransomware wilde inzetten als sabotagedaad in het huidige conflict in Oekraïne, waar Rusland op papier nog niet bij betrokken was. Merck was niet primair leidend, maar werd desondanks via boekhoudprogramma MEdoc getroffen door de ransomware. Het bedrijf uiteindelijk ruim honderden miljoenen dollars schade door de aanval nadat 10.000 machines geïnfecteerd werden.

Merck klopte bij acht verzekeraars waar het bedrijf een polis had, waaronder Ace American Insurance. Het bedrijf had bij de verschillende verzekeraars polissen lopen waardoor tot 1,75 miljard dollar zou worden uitgekeerd tegen een eigen risico van 150 miljoen dollar. De verzekeraars hebben een paar keer om 700 miljoen dollar uit te keren, met als reden dat NotPetya een oorlogsdaad zou zijn. Er waren uitzonderingen opgenomen in de polis.

Merck stapte naar de rechter. Dat werd een langdurige strijd, die Merck in januari 2022 leek te winnen. Toen een rechter uit New Jersey bepaalde dat de verschillende verzekeraars 1,4 miljard dollar aan totale schade moesten vergoeden aan Merck. De verzekeraars gingen in hoger beroep, maar hebben nu bakzeil verkregen bij het gerechtshof.

Niet gelinkt aan militaire actie

De rechter in het hoger beroep zegt dat NotPetya ‘niet voldoende gelinkt kan worden aan een militaire actie, omdat het een niet-militaire cyberaanval tegen een boekhoudsoftwareprovider was’. samen hebben de verzekeraars niet genoeg bewezen dat de aanval onder de uitzonderingsclausule voor oorlogssituaties viel. De rechter vindt dat die uitzonderingsclausule alleen van toepassing is als er militaire actie bij gemoeid is. Terwijl de Verenigde Staten over de algemene reactie dat NotPetya een Russische militaire operatie was, ziet het leger het niet als een officiële militaire oorlogsdaad.

De uitspraak kan de gevolgen hebben voor de manier waarop ransomware nu verzekerd is. Veel verzekeraars bieden bescherming tegen de schade van cyberaanvallen en vooral ransomware. Net zoals bij de meeste verzekeringen vallen oorlogsdaden buiten de dekking, maar bij ransomware is het altijd vaag geweest wanneer een infectie een oorlogs- of offensieve daad is van een ander land. Verzekeraars beroepen zich bij ransomware steeds vaker op de uitzonderingsclausules, die door juristen ook weleens een ‘catch-all-categorie’ worden genoemd. In de zaak spreken de rechters nu in duidelijke termen uit dat verzekeraars niet elke aanval zomaar meer een oorlogsdaad kunnen noemen.