De rechtbank van New Jersey spreekt een kort geding uit tegen de weigering van de verzekeringsmaatschappij om te betalen op basis van een oorlogsuitsluitingsclausule
De NotPetya malware-uitbraak van 2017 veroorzaakte enorme schade en verstoring over de hele wereld. Het leidde tot twee grote rechtszaken tussen grote bedrijven en hun verzekeraars. Mondelez claimde $ 100 miljoen van Zurich American Insurance Company, terwijl Merck claimde $ 1.4 miljard van Ace American Insurance Co.
Beide bedrijven hadden een 'all-risk' inboedelverzekering, maar van beide bedrijven werd hun claim afgewezen op grond van een oorlogsuitsluitingsclausule. Beide bedrijven hebben een rechtszaak aangespannen tegen hun verzekeraar.
De zaak Mondelez loopt nog, maar Merck vroeg en kreeg vorige week een kort geding.
De kwestie is er een van interpretatie: kan de NotPetya-uitbraak worden aangemerkt als een 'oorlogsdaad'. Volgens veel definities kan het. Het lijdt weinig twijfel dat het voortkwam uit de activiteit van agenten van de Russische regering als onderdeel van de aanhoudende vijandelijkheden tegen Oekraïne. Maar er waren geen gewapende soldaten bij betrokken, er is (nog) geen formele staat van oorlog tussen de twee landen, en de schade aan Merck en Mondelez staat geheel los van elke toestand tussen Rusland en Oekraïne.
[ Lees: Het wilde westen van de opkomende cyberverzekeringsindustrie ]
Toen cyberverzekeringen begonnen, werd het beschouwd als een 'gatvuller'. De verzekeraars vroegen zich af of er lacunes waren in de verzekeringen die ze aanboden en kwamen tot de conclusie dat cyberrisico's iets anders zijn dan fysieke risico's en daarom hun eigen aparte polissen eisen. Vanuit het standpunt van de verzekeraars is een opstalverzekering voor vastgoedrisico's en een cyberverzekering voor cyberrisico's.
Wat ze leken te vergeten is dat cyberaanvallen materiële schade kunnen veroorzaken - en Mondelez en Merck beweerden op basis van fysieke schade aan eigendommen.
Bij zijn beslissing in de Merck-zaak oordeelde Thomas J. Walsh, rechter van het Hooggerechtshof van New Jersey, op 13 januari 2022 dat de duidelijke taalbetekenis van de woorden die in de oorlogsuitsluitingsclausule worden gebruikt, van het grootste belang is. Hij concludeerde dat van verzekerde niet kon worden verwacht dat deze clausule lichamelijke schade veroorzaakt door NotPetya zou uitsluiten; dat wil zeggen, de schade veroorzaakt door een compromis van NotPetya wordt niet automatisch erkend als een oorlogsdaad.
"Gezien de duidelijke betekenis van de taal in de uitsluiting", schreef hij, "constateert de rechtbank zonder aarzelen dat de uitsluiting niet van toepassing is." Maar hij voegde er ook aan toe: "Verzekeraars hebben niets gedaan om de taal van de vrijstelling te veranderen om deze verzekerde redelijkerwijs te laten weten dat het de bedoeling was cyberaanvallen uit te sluiten... Merck had het volste recht om te verwachten dat de uitsluiting alleen van toepassing was op traditionele vormen van oorlogvoering."
Dus wat nu? Een onvermijdelijk effect zal zijn dat alle verzekeraars de precieze polisvoorwaarden en vooral de oorlogsuitsluitingsclausule opnieuw onder de loep zullen nemen. De bedoeling is om elke mogelijkheid uit te sluiten dat cyberrisico's worden gedekt door een eigendomsverzekering, al was het maar om meer klanten ertoe aan te zetten een aparte en aanvullende verzekering voor cyberrisico's af te sluiten.
Jack Kudale, oprichter en CEO van Koebel Cyber, die cyberverzekeringen voor het MKB aanbiedt, suggereert dat dit geen flauwekul is van de verzekeringsmaatschappijen, maar onderdeel is van het inbeddingsproces voor wat de nieuwste klasse van verzekeringen blijft. "Cyberverzekeringen zijn de afgelopen vier jaar dramatisch vooruitgegaan", vertelde hij SecurityWeek. Essentiële elementen die nodig zijn om de aanpak te moderniseren en volledige afstemming tussen polishouders en hun verzekeraars te bereiken, zijn onder meer standaardisatie van dekkingen, verduidelijking van voorwaarden, geavanceerde en continue beoordeling van cyberrisico's en transparantie in het acceptatieproces.
John Bambenek, voornaamste bedreigingsjager bij Netenrich, heeft een iets andere mening. “De groei van ransomware verlegt de financiële grenzen van verzekeringsmaatschappijen, dus ze waren op zoek naar ontsnappingsluiken. 'Act of war'-clausules komen veel voor in verzekeringscontracten, maar alleen in cybersecurity is daar een reëel risico op. Organisaties zullen dit gat in hun risicobeperkingsplannen moeten inbakken, maar het antwoord op cyberbeveiliging is sowieso nooit 'meer verzekeren' geweest."
Een tweede en onvermijdelijk effect van deze uitspraak is een verdere verhoging van de premies (hoewel het niet duidelijk is of dit zal zijn in eigendomsverzekeringen of cyberverzekeringen of tussen beide). Verzekeringsmaatschappijen kunnen het zich niet veroorloven om 1.4 miljard dollar uit hun winstmarges te halen zonder enige vorm van reactie.
Verwant: Beveiligingshouding verbeteren om verzekeringspremies te verlagen
Verwant: Het wilde westen van de opkomende cyberverzekeringsindustrie
Verwant: De discrepantie tussen de dekking van de cyberverzekering en het werkelijke risico dichten
Verwant: De zaak voor cyberverzekeringen
Kevin Townsend is Senior Contributor bij SecurityWeek. Hij schrijft al sinds de geboorte van Microsoft over hightech-problemen. De laatste 15 jaar heeft hij zich gespecialiseerd in informatiebeveiliging; en heeft vele duizenden artikelen gepubliceerd in tientallen verschillende tijdschriften - van The Times en de Financial Times tot huidige en lang vervlogen computertijdschriften.
Tags:
