Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak

Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. De gerechtelijke uitspraak kan veel gevolgen hebben voor verzekeraars wereldwijd, omdat Ace Insurance zich erop beriep dat NotPetya een oorlogsdaad was.

Met de uitspraak wordt een langslepende rechtszaak tussen Ace American Insurance en Merck, dat in de rest van de wereld opereert als Merck, Sharpe and Dohme of MSD, beslecht. Het internationale farmaceutische en chemiebedrijf Merck werd in juni 2017 getroffen door de ransomware NotPetya, samen met tientallen andere bedrijven en overheidsinstellingen. NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne, waar Rusland op papier nog niet bij betrokken was. Merck was geen primair doelwit, maar werd desondanks via boekhoudprogramma MEdoc getroffen door de ransomware. Het bedrijf leed uiteindelijk ruim honderden miljoenen dollar schade door die aanval nadat 10.000 machines werden geïnfecteerd.

Merck klopte aan bij acht verzekeraars waar het bedrijf een polis had, waaronder Ace American Insurance. Het bedrijf had bij de verschillende verzekeraars polissen lopen waarmee tot 1,75 miljard dollar zou worden uitgekeerd na een eigen risico van 150 miljoen dollar. De verzekeraars weigerden echter om 700 miljoen dollar daarvan uit te keren, met als reden dat NotPetya een oorlogsdaad zou zijn. Daarvoor waren uitzonderingen opgenomen in de polis.

Merck stapte daarop naar de rechter. Dat werd een langlopende strijd, die Merck in januari 2022 leek te winnen. Toen bepaalde een rechter uit New Jersey dat de verschillende verzekeraars 1,4 miljard dollar aan totale schade moesten vergoeden aan Merck. De verzekeraars gingen in hoger beroep, maar hebben nu bakzeil gehaald bij het gerechtshof.

Niet gelinkt aan militaire actie

De rechter in het hoger beroep zegt dat NotPetya 'niet voldoende gelinkt kan worden aan een militaire actie, omdat het een niet-militaire cyberaanval tegen een boekhoudsoftwareprovider was'. Daarmee hebben de verzekeraars niet genoeg bewezen dat de aanval onder de uitzonderingsclausule voor oorlogssituaties viel. De rechter vindt dat die uitzonderingsclausule alleen van toepassing is als er militaire actie bij betrokken is. Hoewel de Verenigde Staten over het algemeen aannemen dat NotPetya een Russische militaire operatie was, ziet het leger het niet als een officiële militaire oorlogsdaad.

De uitspraak kan verstrekkende gevolgen hebben voor de manier waarop ransomware nu wordt verzekerd. Veel verzekeraars bieden polissen tegen de schade van cyberaanvallen en dan vooral ransomware aan. Net zoals bij de meeste verzekeringen vallen oorlogsdaden buiten de dekking, maar bij ransomware is het altijd vaag geweest wanneer een infectie een oorlogs- of offensieve daad is van een ander land. Verzekeraars beroepen zich bij ransomware steeds vaker op de uitzonderingsclausules, die door juristen ook weleens een 'catch-all-categorie' worden genoemd. In de zaak spreken de rechters nu in duidelijke termen uit dat verzekeraars niet iedere aanval zomaar meer een oorlogsdaad kunnen noemen.

Door Tijs Hofmans

Nieuwscoördinator

05-05-2023 • 07:45

88

Reacties (88)

Sorteer op:

Weergave:

Edit: artikel aangepast, niet meer relevant.

Begrijp ik het goed dat maar 700.000 dollar niet werd uitgekeerd? Dat is toch peanuts in vergelijking met het totaalbedrag?

[Reactie gewijzigd door appel00 op 22 juli 2024 18:58]

Foutje in het artikel, het gaat om 700.000.000, oftewel 700 miljoen, dollar.
In appeal, eight insurers disputed nearly $700 million in coverage, or about 40% of the total Merck had in its property insurance program at the time.
Zie https://www.fiercepharma....rers-warlike-action-claim
In de uitspraak:
In total, the parties dispute $699,475,000 in coverage or just under forty

percent of Merck's total coverage for the policy period.
AuteurTijsZonderH Nieuwscoördinator @appel005 mei 2023 08:04
Moet 700 miljoen zijn idd, aangepast!
Na het uitkeren van een cent kun je niet meer beroepen op oorlogsmisdaden.
Ken verder het verhaal niet, maar suggereert dat ze achter af er van wilde komen.
In de zaak spreken de rechters zich nu in duidelijke termen uit dat verzekeraars niet iedere aanval zomaar meer een oorlogsdaad kan noemen.
Volgens mij moet oorlog ook 'officieel' uitgesproken worden. Zonder zijn zaken zoals de Geneefse Conventies ook niet van toepassing. Een militaire aanval op een andere staat is mogelijk een de facto verklaring van oorlog, maar dat kan dus nu niet voldoende hard gemaakt worden.

Dit is een goede uitspraak.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:58]

Ik denk dat er verschil is tussen staatsrechtelijk in oorlog zijn of slachtoffer van een oorlogsdaad (zie ook MH17 bijv). Of in dit geval meer specifiek terreur.

Maar je hebt natuurlijk wel precies het punt waar de rechters over vallen. Dat er formeel geen sprake is van oorlog en daarnaast de handeling, afpersing, in aard en doelwit, boekhoudsoftware, er nu niet is.

Zou er wel formeel oorlog zijn valt het ook niet vanzelfsprekend onder "the fog of war" lijkt me. Om van Clausewitz er maar eens bij te halen.

[Reactie gewijzigd door gaskabouter op 22 juli 2024 18:58]

Volgens mij moet oorlog ook 'officieel' uitgesproken worden
Waar baseer je dit op dan ?
Er is een verschil tussen daadwerkelijk in oorlog zijn of het begaan van een oorlogsdaad.
Dit zijn 2 losse zaken die wel met elkaar gelieerd kunnen worden maar dit niet per definitie zijn.

Zo kan een oorlogsdaad het begin van een oorlog veroorzaken, maar ten tijde van de daad ben je nog niet in oorlog. Om maar een voorbeeld te noemen. Tijdens een oorlog vinden er oorlogsdaden plaats maar dit is niet perse noodzakelijk om een daad als een oorlogsdaad te kunnen bestempelen.

Al eerder benoemd hier in de reactie, maar de aanslag op de MH17 is ook door sommigen een oorlogsdaad genoemd om een voorbeeld te geven.
Bron NOS

[Reactie gewijzigd door cyclone op 22 juli 2024 18:58]

Oorlogen worden tegenwoordig (sinds de tweede wereldoorlog) niet meer verklaard. Dat heeft verschillende redenen maar het is niet echt redelijk tegenover verzekeraars om die eis van een verklaring te stellen, en dat gebeurt dan ook niet.
Precies!
We zouden nooit WW2 gehad hebben als Hitler niet de oorlog had verklaard aan de halve wereld?
Hoe zou je de slachting die hij heeft aangericht dan moeten noemen? Relletje, opstootje of protestmars?
Moeten partijen elkaar de oorlog verklaren, of kan dat ook eenzijdig?

Zoals je het nu zegt zou Oekraine dus niet in oorlog zijn is de Geneefse Conventie daar niet van toepassing? Het lijkt mij dat hier veel meer bij komt kijken en bovendien het grijze gebied heel erg groot is.
toevallig gister nog deze te luisteren. ook interessant https://darknetdiaries.com/episode/54/
Volgens het Volkenrecht is een oorlog een oorlog als het als oorlog werd erkend door andere naties. Een formele oorlogsverklaring is al meet dan een eeuw niet meer nodig.
Zover ik weet bestaat een formele staat van oorlog niet. In een situatie als deze zal een rechter zelf moeten beslissen, op basis van redelijke criteria, of het als oorlog betiteld kan worden. Deze rechter vindt dat daarvoor sprake van militair geweld moet zijn en dat lijkt mij een hele redelijke opvatting.
Zover ik weet bestaat een formele staat van oorlog niet.
Die bestaat wel degelijk, met eigen protocollen zelfs:
A declaration of war is a formal act by which one state announces existing or impending war activity against another. The declaration is a performative speech act (or the signing of a document) by an authorized party of a national government, in order to create a state of war between two or more states.

[...]

The official international protocol for declaring war was defined in the Hague Convention (III) of 1907 on the Opening of Hostilities.
Zie https://en.wikipedia.org/wiki/Declaration_of_war en https://en.wikipedia.org/...ventions_of_1899_and_1907

Weliswaar is deze formele declaratie een beetje outdated, maar zoals hetzelfde artikel als hierboven al aangeeft kan het per land wel degelijk juridisch relevant zijn. Bijvoorbeeld voor verzekeringskwestie, waar het in dit artikel dus ook over gaat:
Since 1945, developments in international law such as the United Nations Charter, which prohibits both the threat and the use of force in international conflicts, have made declarations of war largely obsolete in international relations though such declarations may have relevance within the domestic law of the belligerents or of neutral nations.
Nederland heeft zelfs een compleet eigen artikel in de grondwet, Artikel 96, dat dit regelt.
1.
Het Koninkrijk wordt niet in oorlog verklaard dan na voorafgaande toestemming van de Staten-Generaal.
2.
De toestemming is niet vereist, wanneer het overleg met de Staten-Generaal ten gevolge van een feitelijk bestaande oorlogstoestand niet mogelijk is gebleken.
3.
De Staten-Generaal beraadslagen en besluiten ter zake in verenigde vergadering.
4.
Het bepaalde in het eerste en het derde lid is van overeenkomstige toepassing voor een verklaring dat een oorlog beëindigd is.

[Reactie gewijzigd door wildhagen op 22 juli 2024 18:58]

A declaration of war is a formal act by which one state announces existing or impending war activity against another.
Als twee partijen elkaar nooit formeel de oorlog verklaren maar elkaar bij wijze van spreken wel met kruisraketten bestoken *kuch* Rusland *kuch*, en die kruisraketten hebben een effect op derde partijen, zoals in een verzekeringskwestie, dan kunnen die derde partijen zich er toch niet achter verschuilen dat er geen oorlog zou zijn...

Dus ja, er is een protocol, maar als dat niet gevolgd wordt betekent dat niet dat er geen oorlog is.

Andersom bestaan er ook wel oeroude oorlogsverklaringen die nooit formeel zijn opgezegd terwijl er tussen de landen in oorlog tegenwoordig geen vuiltje meer aan de lucht is. Ook daarin zal een verzekeraar zich niet op die oorlog kunnen beroepen. :P
[...]

Dus ja, er is een protocol, maar als dat niet gevolgd wordt betekent dat niet dat er geen oorlog is.
Klopt helemaal, ik had ook niet anders beweerd. Ik reageerde alleen op de claim dat een 'state of war' formeel niet bestaat, want dat doet hij dus wel :)

En zoals mijn eerdere quote ook al aangaf kan die formele status voor de binnenlandse wet (domestic law) dus wel relevant zijn, ivm potentiele aansprakelijkheden, zoals in dit specifieke geval voor verzekeraars. Weet overigens niet of dit in de VS, waar dit allemaal speelde, ook relevant is, daar ken ik de Amerikaanse wetgeving niet goed genoeg voor.
Andersom bestaan er ook wel oeroude oorlogsverklaringen die nooit formeel zijn opgezegd terwijl er tussen de landen in oorlog tegenwoordig geen vuiltje meer aan de lucht is. Ook daarin zal een verzekeraar zich niet op die oorlog kunnen beroepen. :P
Klopt. Zo bleek Nederland al 335 jaar lang in oorlog te zijn met de Scilly Islands. Deze oorlog werd pas in 1986 formeel beëindigd.

Dit was de Three Hundred and Thirty Five Years' War.
Maar dat was wat ik bedoelde. Leuk dat je daar een protocol voor hebt maar als niemand het volgt dan bestaat het feitelijk niet. Het is niet alsof we geen oorlogen meer hebben doordat niemand meer de oorlog verklaart.

We hebben dus een protocol wat niemand volgt en wetten die per land anders zijn. Interessant dat twee landen oorlog kunnen voeren maar beide kunnen weigeren om de oorlog te verklaren zodat de regering van een derde land kan doen alsof z'n neus bloedt.
.. om het vervolgens een 'speciale militaire operatie' te noemen. Dit zegt allemaal niet zo veel. Dit betreft gewoon het zoveelste geval van een verzekeraar die doet wat verzekeraars doen: alles aangrijpen om niet de verzekerde te betalen, maar de aandeelhouder.
Wat is militair geweld?

Als Zelensky met een cyberaanval alle Russische ziekenhuizen platlegt, is dat militair geweld?
Als Putin alle banken in de Oekraine offline gooit, is dat militair geweld?
Als Biden alle raketsilo's in Rusland platlegt met een cyberaanval, is dat militair geweld?
Drie keer nee.
Gelukkig wel, als Irak de oorlog aan ons dat verklaart toen wij hielpen , dat ik jaren in militaire dienst moeten zitten.
Turkije ook, oa ook voor lopende orders toch te kunnen leveren.
Een rechter is geen overheid
De rechter in het hoger beroep zegt dat NotPetya 'niet voldoende gelinkt kan worden aan een militaire actie, omdat het een niet-militaire cyberaanval tegen een boekhoudsoftwareprovider was'
...
Hoewel de Verenigde Staten over het algemeen aannemen dat NotPetya een Russische militaire operatie was, ziet het leger het niet als een officiële militaire oorlogsdaad.
Zoals ik het lees hebben ze geen (expert)getuigen van welke overheidsdienst dan ook kunnen oproepen om dat laatste effectief te bewijzen. Daarmee staat natuurlijk niet vast dat het niet zo is, maar volgens het principe onschuldig tot schuldig bewezen zal dit wel als dusdanig geïnterpreteerd moeten worden.
Daarmee staat natuurlijk niet vast dat het niet zo is, maar volgens het principe onschuldig tot schuldig bewezen zal dit wel als dusdanig geïnterpreteerd moeten worden.
Dat lijkt me niet. Het draait hier om een verzekeringskwestie waarin maar twee zaken tellen: Was er schade en was het gevolg van een oorlogsdaad? Wie het deed is van ondergeschikt belang en hoeft daarom in principe niet bewezen te worden.
als het niet bewezen wordt (of het nodig is of niet), dan blijft het principe overeind ;)
Wie was het dan, volgens u?
En daar gaat het nou net NIET om 8)7
Als je niet weet wie het gedaan heeft, dan is ook niet hard te maken dat het een oorlogsdaad was.
Dat is ook de hele reden waarom het leger het niet als officiele militaire oorlogsdaad ziet. Ze weten immers niet 100% zeker of het een russische militaire operatie was.

Als een scriptkiddie uit rusland een ransomware service afneemt (en je weet niet wie) en een aanval opent op digid, is het dan een oorlogsdaad?

[Reactie gewijzigd door SunnieNL op 22 juli 2024 18:58]

Als je niet weet wie het gedaan heeft, dan is ook niet hard te maken dat het een oorlogsdaad was.
Dat is ook de hele reden waarom het leger het niet als officiele militaire oorlogsdaad ziet. Ze weten immers niet 100% zeker of het een russische militaire operatie was.
Ik geef toe dat dat lastig kan zijn. Maar als de operatie bijvoorbeeld in complexiteit en omvang zodanig is, dat het alleen maar door een state actor uitgevoerd kan zijn, dan ben je er eigenlijk al.
Dan hoef je niet meer te weten of het nu Rusland, Iran, Noord Korea of Liechtenstein was, want als je weet dat het een state actor moet zijn dan kun je het een oorlogsdaad noemen. Immers draait het niet om de vraag wie het heeft gedaan, maar of het slachtoffer een schade heeft die het gevolg van een oorlogsdaad is.
Ransomware aanvallen worden vooral door de georganiseerde misdaad uitgevoerd en niet door landen.
Die zijn helemaal niet zo complex dat ze alleen maar door een state actor uitgevoerd kunnen worden.
Da's dan een meevalletje voor de rechter.
Maar buiten het eisen v/h losgeld zijn ze identiek. Of kunnen identiek zijn.
Niet identiek op het gebied van de voorwaarden van de verzekeraar.
En daar gaat het hier over.
State actor is ook een achterhaalde term.
Je kunt alleen in oorlog zijn met een staat/land.
(Volgens sommige) is er nooit een oorlog tegen ISIS geweest omdat die club geen officieel land is/heeft.
State actor is ook een achterhaalde term.
Je kunt alleen in oorlog zijn met een staat/land.
(Volgens sommige) is er nooit een oorlog tegen ISIS geweest omdat die club geen officieel land is/heeft.
Een state actor is een organisatie die functioneert als een staat. ISIS bestuurde enkele jaren een groot grondgebied en kon toen prima als de facto state actor gezien worden. Dan maakt het weinig uit of die state actor wel formeel als staat is erkend.
Een oorlogsdaad heeft echter een oorlog nodig. Volgens de VS is het geen oorlog, want anders zitten ze er ook zelf diep in (https://fortune.com/2023/...ukraine-leaked-documents/)

De rechter stelt hier dat niet elke staatsoperatie een oorlogsdaad is, bespioneren, staatsterrorisme ligt meestal niet onder de noemer van ‘oorlog’, en ik denk niet dat de rechter de eerste ambtenaar in de VS wil zijn die een oorlogsdaad van Rusland op Amerikaans land verklaart, want volgens de huidige militaire doctrine wil dit zeggen dat ze moeten wraak nemen of tenminste antwoord geven over de actie.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 18:58]

ik denk niet dat de rechter de eerste ambtenaar in de VS wil zijn die een oorlogsdaad van Rusland op Amerikaans land verklaart, want volgens de huidige militaire doctrine wil dit zeggen dat ze moeten wraak nemen of tenminste antwoord geven over de actie.
Je overschat het belang van zo'n uitspraak. Dat een rechter in een civiele zaak het een oorlogsdaad noemt betekent niet dat de Amerikaanse regering dat ook moet vinden. Buiten de context van die ene zaak hoeft een dergelijke uitspraak helemaal geen consequenties te hebben.
OJ Simpson werd indertijd in zijn strafproces vrijgesproken maar veroordeeld in een civiele zaak die erop volgde. Het klinkt raar dat de uitspraak in de strafzaak geen invloed op de civiele zaak had maar juridisch klopt het. Strafrecht en civiel recht zijn nu eenmaal verschillende dingen.
De rechter in dit geval is deel van de Amerikaanse regering, in de meeste gevallen aangesteld door een president of verkozen door de bevolking. Een rechter moet, zelfs in civiele zaken, de wet interpreteren.

De OJ Simpson zaak is aardig enkel en alleen omdat de bewijslast bij een strafzaak hoger ligt dan een civiele zaak. Bij een strafzaak moet je dingen uitsluitend bewijzen, bij een civiele zaak enkel dat jouw bewijs sterker dan de andere kant is. Daarom dat OJ Simpson ook zo raar is, je kunt niet bewijzen dat je niets gedaan hebt.

In dit geval waren er wel degelijk verzoeken om een officieel verslag van de overheid/rechter te krijgen over of dit al dan niet als een oorlog gedefinieerd is, de overheid is echter stil gebleven en heeft dit niet beantwoord.

Je denkt aan een contractueel bindend besluit, die zijn inderdaad niet aan de regering verbonden.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 18:58]

Juist, dus een serie gerichte aanvallen naar 1 entiteit om die vervolgens over/in te nemen.
Lijkt mij......
Hmmm...dus gaan de premies omhoog. En dat kan interessant zijn. Want de opportunity cost voor het niet nemen van bepaalde veiligheidsmaatregelen gaan nu omhoog. Dus wordt het ook aantrekkelijker om je veiligheid beter op orde te hebben in plaats van te vertrouwen op de verzekering. Die wordt duurder en dus wordt het alternatief aantrekkelijker.
Ik ben bang dat je gelijk hebt (dat de premies omhoog gaan) maar zo was het systeem niet opgezet; vele partijen betalen een X bedrag voor geruime tijd en die buffer is voldoende om de schade te vergoeden en daarna duurt het weer enige tijd voordat zich weer een calamiteit voordoet.
Als de kans op calamiteit toeneemt dan moet de premie dus omhoog. Wat je ziet is dat als de buffer cq. winst van de verzekeraar afneemt dat dan de premie omhoog gaat....

Het side-effect dat men actief gaat proberen de kans op calamiteit te verminderen is niet zo groot als het risico toch wordt gedekt. Pas als de premie significant omhoog gaat dan wordt echt actief gezorgd voor minder risico. Maar dan ontstaat een behoorlijke backlash van de premie betaler... dus wordt de premie verhoging uitgesmeerd over verschillende soorten polissen en gedurende een lange tijd.
of de verzekeraars gaan meer eisen stellen aan de systeem veiligheid. Als het bedrijf geraakt wordt door een cyber aanval, terwijl er al een patch beschikbaar was bv.
Behoorlijk dubbel gevoel hierbij. Beide partijen zijn verkeerd bezig en het zorgt niet voor meer veiligheid en houdt het criminele circuit in leven.
Het grote probleem is namelijk dat juist de hele grote bedrijven wel in staat zijn om risico's af te dekken en dat dit wordt betaald doordat heel veel kleine partijen ook een polisje hebben (die zelden tot uitkering zal leiden en het bedrijf heeft ook onvoldoende middelen om te gaan proceduren tegen die enorme verzekeraars).
Dus al het voordeel komt terecht bij de echt grote bedrijven en het verlies wordt gecompenseerd door de kleine partijen. Dat is precies het omgekeerde waarvoor verzekeringen zijn bedacht. Juist gelijkverdeelde risico spreiding was de bedoeling.

Want ik lees honderden miljoenen schade...is dat dan 1400 miljoen? Want hoe becijfer je de schade en nu lijkt het of de farma er nog bijzonder goed vanaf komt.
Dat is precies het omgekeerde waarvoor verzekeringen zijn bedacht. Juist gelijkverdeelde risico spreiding was de bedoeling.
Verzekeringen zijn bedoelt om winst te maken. Al het andere is PR-prietpraat om het verdienmodel te promoten.
Daar ben ik ook bang voor idd.

En een neveneffect van verzekering is inmiddels ook dat we de werkelijke kosten niet eens meer 'zien' en dat daarmee een vrijbrief ontstaat voor verdere kostenverhoging.

"Wat maakt mij het uit dat een ritje met de ambulance 4.000 euro kost - wordt toch vergoed". Totdat het punt wordt bereikt dat sommige mensen de premie niet kunnen betalen (want die verplichte basis premie biedt ook steeds minder dekking).
Ik blijf het gek vinden dat je je kan verzekeren tegen malware. Er is nog altijd veel te veel mis bij bedrijven dus ik zou er als verzekeringsmaatschappij niet aan willen beginnen. In dit geval kost het ze 1.4 miljard.
Bij een fatsoenlijke polis moet je ook via audits kunnen aantonen dat je “redelijkerwijs alle mogelijke moeite hebt gedaan” om je te beschermen.

Als je een dure polis afsluit en vervolgens aankomt met een claim en het blijkt dat je alleen maar de gratis AVG AntiVirus had draaien op een deel van je assets en een Linksys firewalletje met default settings had draaien in je netwerk kun je fluiten naar een uitkering.

Als jij alles in place hebt zoals MDM, dure en goed ingerichte firewalls, conditional access, alles wat je in de (vage) definitie van zero trust kan gooien, en je interne audits en zo gedaan hebt, en slachtoffer wordt omdat een toeleverancier een zeroday niet op tijd gefixt heeft, dán heb je gewoon een geldige reden om je polis aan te spreken.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 18:58]

De meeste verzekeraars stellen de eisen ook steeds meer bij en halen de duimschroeven aan voor de verzekering. SIEM, SOAR, XDR, EDR, MFA, Patching SLA en reports, PAM. Het is ondertussen een flinke waslijst aan het worden waar je aan moet voldoen.
En terecht natuurlijk. De meeste ransomware komt nog steeds binnen via phishing, ongepatchde systemen of te eenvoudige wachtwoorden.

Wat je aanhaalt dat als je geraakt wordt omdat een supplychain niet zijn zaken op orde heeft, zie ik in het komende jaar ook nog wel veranderd worden o.a. door de NIS2. Geraakt worden via je supplychain is redelijk opkomend en is een onderwerp die ik op security events en rapportages steeds meer voorbij zie komen (zowel een digitale aanval op je netwerk als dat je als bedrijf een probleem krijgt als je supplier van fysieke goederen er ineens uitligt door een ransomware aanval).
Precies wat je zegt. Ik zit (ook?) in de cybersecurity en zie exact hetzelfde gebeuren.. NIS2 wordt erg interessant straks en ben heel benieuwd hoe dat vorm krijgt. Maar nog benieuwder naar de controles en handhaving erop……
Ja, de proactieve supervisie in NIS2 voor essentiele entiteiten wordt wel een dingetje vrees ik. Mogelijk dat bestaande audit partijen daar een rol in kunnen gaan spelen. De reactive supervisie voor belangrijke entiteiten zal wel een gevalletje onderbezetting worden zoals bij de autoriteit persoonsgegevens.
(maar mss zie ik het negatiever dan het gaat worden)
Er worden dan ook wel eisen opgelegd vanuit de verzekering waar je aan moet voldoen.

Het is bij verzekeringen verder heel gebruikelijk dat je je kan verzekeren zolang je maar aan hun voorwaarden voldoet. Hoe hoger het potentiële schadebedrag, des te hoger de eisen.
Verzekeringen kunnen juist een cruciale rol bij verbetering spelen door gewoon te omlijnen waar bedrijven zich voor dekking aan moeten houden.
Precies wat security expert Bruce Schneier al schreef, 22 (!) jaar geleden.
https://www.schneier.com/...the_insurance_takeov.html
Daarom dat verzekeraars vooral níet willen uitkeren, maar wél premie willen blijven innen, dat is hun verdienmodel immers, zeker in de States. Alles wat stuk kan is te verzekeren, omdat ook daarmee simpelweg geld te verdienen is en mensen daar wat graag voor betalen willen.
Maar uiteindelijk moet je als verzekeraar ook gaan leveren, zo blijkt.
Ben dan wel benieuwd wat de premie van zo'n verzekering bedraagt.
Mits het inderdaad binnen de voorwaarden valt dat een verzekering uitkeert. Daar was dus eerst wat onenigheid over en daarom ging het bedrijf naar de rechter en is in het gelijk gesteld. Uiteindelijk is het natuurlijk wel een gevalletje broekszak vestzak. Drie keer raden wat de premie gaat doen. ;)
Daar heb je gelijk in.
Mijn werkgever is verzekerd voor fouten die het personeel bij klanten kan maken (IT dienstverlening)

Maar daar zit wel de voorwaarde aan dat alles gebeurd door mensen die gecertificeerd zijn voor het type werk, en er voor grote wijzigingen een RFC + PVA is gemaakt.

Een hele logische eis in mijn ogen om te zorgen dat er niet snel fouten gemaakt worden, maar wel het realisme bestaat dat er fouten gemaakt kunnen worden.
Verzekeraars verzekeren vaak bij zulke grote bedragen onder bij andere verzekeraars. Daardoor is het best mogelijk dat ook Nederlandse verzekeraars het haasje zijn. Het zal mij niets verbazen als de komende tijd de prijzen van de diverse verzekeringsproducten weer gaan stijgen en de clausules bij ransomware-aanvallen zullen ook uitgebreid worden.
Dat zijn reinsurance partijen en die zitten bijna niet in Nederland. Wel heeft bijna elke Nederlandse verzekeraar een contract met een reinsurance partij. Uiteindelijke risico verdeling over hele grote groepen want in theorie de kosten juist lager zou moeten halen maar wat inderdaad er voor kan zorgen dat de tarieven voor herverzekering omhoog gaan en dit raakt dan bijna alle verzekeringen. Maar die 1,7 miljard is niet heel veel op de hele reinsurance markt (ca.. 600 miljard), de verhoging van risico's zal pittiger zijn en voornamelijk het herverzekeren van ransomware of gecombineerde polissen treffen waardoor de prijzen hiervan inderdaad omhoog gaan.

Meer info:
https://www.dnb.nl/en/pub...ers/?p=1&l=100&rc=V0ZUSFY
https://en.wikipedia.org/wiki/Reinsurance
https://www.investopedia.com/terms/r/reinsurance.asp
Ja dat onderverdelen heb ik ook wel eens ergens gelezen. Dus ook hier in nederland zouden we wel eens meer moetten gaan betalen, als een nederlandse verzekeraar er zich ook mee heeft ingelaten.
Dat is idd wat er mis was gegaan rond de eeuwwisseling, verzekeraars hadden polissen verkocht voor cyberverzekering zonder enige controle of zicht op de veiligheid van een bedrijf. En zodra je een zo'n verzekering hebt valt een groot deel van de motivatie om jezelf goed te beveiligen weg. De polissen waren niet winstgevend en verzekeraars zitten er soms nog steeds aan vast.

Nu heb je bedrijven die een verzekering en beveiliging combineren, zo hebben ze wel zicht en controle op wat er gebeurt. Je kan je redelijk goedkoop beveiligen tegen 95% van de risico's, het overige risico kan verzekerd worden.
Net als bij een gewone inboedelverzekering zul je moeten aantonen dat er sprake is van braak en dat je redelijke voorzorgen hebt genomen om die inbraak te voorkomen. Als de achterdeur wijd open stond, en de dief waarschijnlijk door die deur binnen kwam, dan is de kans klein dat de verzekeraar iets vergoedt. Met een verzekering tegen malware zal het niet veel anders liggen.

Overigens zijn verzekeraars vaak zelf ook weer verzekerd tegen dit soort megaclaims. Men noemt dat herverzekering: https://nl.wikipedia.org/wiki/Herverzekering
In Nederland kan je je ongeveer overal tegen verzekeren, daar kom je achter als je een tijdje in het buitenland woont. Zelfs zoiets simpels als een WA verzekering kijken zie hier raar tegenop.

Toen ik vorig jaar bij m'n moeder op bezoek was in oost Overijssel viel me zelfs op bij hoeveel akkers een bordje staat "deze gewassen zijn verzekerd bij ..."

Verzekeren is gewoon simpele wiskunde en keihard geld verdienen, als je genoeg betaalt kun je alles tegen alles verzekeren. Maar net als bij een casino, het huis wint altijd.

Het beste voorbeeld is een aanvullende tandarts verzekering. In ieder geval toen ik dat 10 jaar geleden voor het laatst keek was de dekking maximaal dat wat ik aan premie zou moeten betalen. Iets vergelijkbaars geld voor een aanvullende verzekering die brillen/lenzen vergoed, of fysiotherapie en ga zo maar door.

Met deze uitspraak in de hand zullen premies wel keihard gaan stijgen lijkt me.
Het huis wint altijd inderdaad, maar dat is logisch. Want anders gaat het huis failliet en verliest iedereen. Zo kan je elk bedrijf wel beschrijven natuurlijk. Het gaat er om dat een verzekeraar een redelijke marge pakt en de klant voor een acceptabel bedrag z'n risico afdekt. Een WA is een goed voorbeeld, voor een paar euro ben je voor miljoenen verzekerd.

Maar brillen/tanden/fysio, ja dat verzeker je alleen als je het ook gebruikt, en dan gaat dat steeds meer richting de kostprijs+marge. Die wiskunde geldt net zo hard voor de klant.
Wiskunde inderdaad. Zolang er bij mijn nog ieder jaar een wortelkanaalbehandeling plaatsvindt of een kies door midden gaat, blijf ik me verzekeren.
Premier is ~60% van het uitgekeerde bij mij. Dat loont. Aan de andere kant, voor fysio of zo neem ik geen extra pakket: ik heb in mijn bijna veertig jaar al 3x een fysiotherapeut van dichtbij gezien. Ik kan het makkelijk opbrengen als dat weer nodig is, en op lange termijn zal ik die premie niet snel inhalen

Zo gaat het ook bij bedrijven: kun je het veroorloven dat event X plaatsvind: dan geen verzekering. Kun je het niet veroorloven, kun je verzekeren tegen bedrag Y. Zo niet, is het een risico dat je bedrijf letterlijk kan laten omkiepen.
Zo zal de boer inschatten dat zijn oogst volledig kan mislukken, maar zijn gezin dankzij de verzekering nog steeds te eten heeft. Die verzekering zal dan eisen stellen aan welke maatregelen de boer moet treffen om zijn gewassen te beschermen.
En zo dus ook met malware: het kan een bedrijf laten omvallen, dus een verzekering voelt veilig. Met bijbehorende vaste kosten en maatregelen die je moet nemen
Dat is bij alle verzekeringen het geval. Dat vang je af door maatregelen te eisen die het risico verkleinen, of anders de premie zo hoog zetten dat het goedkoper is voor het bedrijf om meer maatregelen te nemen.

Ook bij brand bijvoorbeeld. Er zit verschil tussen een rijtjeswoning en een rafinaderij waar met explosieven en brandstoffen word gewerkt. Beide zijn te verzekeren, maar in het laatste geval zal een verzekeraar eisen dat het personeel goed getrained word, er een eigen brandweer aanwezig is, en alle risico's zoveel mogelijk worden vermeden.

Overigens is deze verzekeraar waarschijnlijk verzekerd voor zulke grote schadevergoedingen.

[Reactie gewijzigd door Kees op 22 juli 2024 18:58]

Gewoon genoeg premie vragen en het kan uit.
Ik gok dat deze dan ook wel in de tientallen miljoenen loopt op jaarbasis, als niet meer.
Dit zijn dan echt de grote verzekeringen die worden afgesloten, maar in het klein zie je het bijvoorbeeld bij een tandverzekering of een verzekering voor je kat.
In dat soort gevallen is de premie bijna net zo hoog als het maximale uitkeerbare bedrag of zelfs daarboven.
Maar hé, daar ben je dan wel voor verzekerd ;)
De verzekeraar heeft in de basis maar rekening te houden met één som.
Premie > Uitkering.

En de uitkering is gecapped. Je bent verzekerd voor een X bedrag voor de ransom en X bedrag om de business weer aan de praat te krijgen. In Nederland zijn ze wel meer op de inhoud zoals hieronder al geschreven. Over de plas nooit echt audit aanvragen gezien van de verzekeraars.

Het grappige vind ik vaak wel dat de sommetjes na de rit vaak kloppen. Dus besparing op it = betaalde premie. Dus uiteindelijk verdient de verzekeraar een beetje de ransom maker verdient een beetje en het bedrijf speelt kiet (nouja het is vaak kiet of failliet).

De lachende derde is de security sector. Die verdient aan alle kanten geld. Het zijn de slotenmakers van de 21ste eeuw. Hoe duur je slot ook is als je de klos bent ben je de klos. En wie komt er dan weer een nieuw slot plaatsen 8-)
Wat ik raar vindt is dat er 10k machines geinfecteerd kunnen worden. Bij het F500 bedrijf waar ik ooit werkte was alles dusdanig gesegmenteerd dat je nooit aan die 10000 zou kunnen komen (en ja, er was ook een ransomware aanval rond 2016l, maar die werd gestopt na een klein aantal machines en de backup strategie was een prima redding, clean install en weer gaan)
(Micro)segmentantie is altijd een prima idee. Maar NotPetya was ook wel echt nasty en waaróm Merck de pineut was op die schaal is me ook niet helemaal duidelijk ..

Maar hulde voor degenen die hun zaakjes beter op orde hebben of er in elk geval tijd en aandacht aan besteed hebben.

Vergeet echter niet dat we vorig jaar nog de ellende met Kaseya hebben gehad: dan kan je nog alles segmenteren, maar als je RMM-tooling de sjaak is, ben je alsnog platgelegd..
Toevallig werd Petya, Misha en NotPetya genoemd in wat materiaal dat ik laatst aan het doornemen was.

Hierin stond:
In June 2017, ransomware resembling Petya began to target organizations in Ukraine. Unlike Petya, however, this ransomware could move both laterally and independently within infected networks, exploiting additional machines by harvesting passwords in-memory to escalate privileges. Furthermore, it was discovered that ransom payments did not lead to the decryption of data. The ransomware became known as NotPetya, and appears to have been designed to render endpoints unusable with all data lost.
Natuurlijk hebben we niet genoeg details om dit met zekerheid te zeggen, maar het is mogelijk dat meer netwerk segmentatie in dit geval niet had geholpen.
Als information security consultant ben ik blij met deze uitspraak. Als ik zie hoe organisaties omgaan met informatiebeveiliging is het al behoorlijk triest, maar toen ze ook nog de mogelijkheid kregen om een verzekering ervoor af te sluiten werd het echt niet beter. Vooral in het beginstadium toen er nog weinig eisen werden gesteld door de verzekeraars was behoorlijk triest. Gelukkig zien die nu ook in dat ze niet jan-en-alleman een verzekering moeten aanbieden, maar eerst een assessment moeten doorlopen waarin (bij sommige verzekeraars) het net lijkt alsof je een audit doorloopt. Dat zorgt er in ieder geval voor dat bij een groot gedeelte de basis wel op orde is.
Ik vraag me wel af of er na deze uitspraak nog veel verzekeraars staan te springen om een cybersecurity verzekering aan te bieden. De kans dat een organisatie gehackt wordt is al groot, de vraag is hoe groot de premie moet zijn voordat verzekerden afhaken en dit geld liever besteden aan maatregelen die de risico's niet overdraagd maar werkelijk mitigeert.
NotPetya is (imho) geen ransomware maar een wiper. Mogelijks moet er ook bijgezegd worden dat dit een had kunnen vermeden worden als de 2 exploits die gebruikt werden door de worm gewoon gepatched hadden geweest ....

Boeiende achtergrond : https://darknetdiaries.com/episode/54/
Ik ben het er mee eens dat het technisch gezien geen ransomware is, aangezien het betalen van de ransom in dit geval niet resulteert in het decrypten van je data en het vernietigen / blokkeren het primaire doel was van de malware.

Aan de andere kant bevat de malware wel een optie om een betaling te doen, en traditionele ransomware heeft vaak ook geen garantie dat je daadwerkelijk (al) je data gaat terug krijgen. Dus ik denk dat daar ook nog wel een argument gemaakt kan worden om het alsnog ransomware te noemen.
sabotagedaad in het toenmalige conflict in Oekraïne, waar Rusland op papier nog niet bij betrokken was.

Nou, Rusland is het conflict begonnen in 2014, dus daar waren ze zelfs op papier al heel zeker bij betrokken.

Op dit item kan niet meer gereageerd worden.