Een Amerikaanse rechtbank heeft beslist dat een bedrijf dat slachtoffer werd van NotPetya-ransomware recht heeft op een vergoeding. De uitspraak kan een interessant precedent vormen voor bedrijven die ten prooi vallen aan cybercriminelen.
Het Amerikaanse farmaceutische bedrijf Merck & Co viel in 2021 ten prooi aan NotPetya-ransomware. Het bedrijf klopte aan bij zijn verzekeringsmakelaar om de schade van de aanval te dekken. Die deed echter beroep op een ‘oorlogsclausule’ in het contract omdat de ransomware uitdrukkelijk gelinkt werd aan Rusland.
De zaak kwam voor de rechtbank van New Jersey en daar krijg Merck & Co tot twee keer toe gelijk. De rechtbank oordeelde dat de aanval op het bedrijf geen onderdeel was van militaire acties, maar eerder een kwestie van ‘ongelukkige nevenschade’ doordat de ransomware in handen van criminelen was gevallen.
Hierdoor moet het incident als een doorsnee cyberaanval worden beschouwd en heeft Merck & Co het recht om beroep te doen op de verzekeraar voor een tussenkomt in de schade. In totaal mag het bedrijf 1,4 miljard dollar eisen van zijn verzekeraar(s).
Systemische risico’s
Wat is nu de relevantie van dit voorval? Dit kan een precedent kan vormen voor conflicten tussen verzekeraars en klanten. Aanvallen met ransomware nemen wereldwijd toe en dat heeft ook voor verzekeringsmaatschappijen gevolgen. De topman van Zurich Insurance, een van de grootste verzekeringsmaatschappijen van Europa, liet recent nog uitvallen dat cyberaanvallen stilaan ‘onverzekerbaar’ zijn geworden, en dat ze als een systemisch risico moeten worden beschouwd.
Onder die term vallen bepaalde uitzonderlijke situaties waarin de verzekeraar niet tussenkomt bij schade. Veel polissen beschouwen ‘schade door oorlogsrisico’ als zo’n systemisch risico. In de context van de aanval op Merck & Co wilde de verzekeraar zich dus op deze clausule beroepen. Cyberaanvallen zijn vandaag de dag immers ook een vorm van oorlogsvoering.
Dat argument veegde de rechter dus van tafel, en daar valt ook wat voor te zeggen. Het is niet omdat een ransomwarevirus een keer gebruikt is in een politieke context, dat elk incident hogere doelen moet dienen. Criminelen die uit zijn op snel geldgewin gebruiken dezelfde wapens en in criminele milieus wordt ransomware verhandeld als broodjes in een broodjeszaak.
Dat maakt de lijn tussen economisch en politiek getinte aanvallen zeer dun. De uitspraak van de rechter bepaalt dus dat het aan de verzekeraar en niet aan het slachtoffer is om aan te tonen dat het om een vorm van cyberoorlogsvoering gaat.
Doekje voor het bloeden
Beschouw dit zeker niet als een ‘overwinning’ voor Merck & Co; de schadevergoeding dekt slechts een deel van de totale kosten van de aanval. Een cyberverzekering is niet meer dan een pleister op de wonde als het al kwaad al geschieden is. Investeren in preventie is nog altijd het beste medicijn tegen cyberaanvallen.