Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. De gerechtelijke uitspraak kan veel gevolgen hebben voor verzekeraars wereldwijd, omdat Ace Insurance zich erop beriep dat NotPetya een oorlogsdaad was.
Met de uitspraak wordt een langslepende rechtszaak tussen Ace American Insurance en Merck, dat in de rest van de wereld opereert als Merck, Sharpe and Dohme of MSD, beslecht. Het internationale farmaceutische en chemiebedrijf Merck werd in juni 2017 getroffen door de ransomware NotPetya, samen met tientallen andere bedrijven en overheidsinstellingen. NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne, waar Rusland op papier nog niet bij betrokken was. Merck was geen primair doelwit, maar werd desondanks via boekhoudprogramma MEdoc getroffen door de ransomware. Het bedrijf leed uiteindelijk ruim honderden miljoenen dollar schade door die aanval nadat 10.000 machines werden geïnfecteerd.
Merck klopte aan bij acht verzekeraars waar het bedrijf een polis had, waaronder Ace American Insurance. Het bedrijf had bij de verschillende verzekeraars polissen lopen waarmee tot 1,75 miljard dollar zou worden uitgekeerd na een eigen risico van 150 miljoen dollar. De verzekeraars weigerden echter om 700 miljoen dollar daarvan uit te keren, met als reden dat NotPetya een oorlogsdaad zou zijn. Daarvoor waren uitzonderingen opgenomen in de polis.
Merck stapte daarop naar de rechter. Dat werd een langlopende strijd, die Merck in januari 2022 leek te winnen. Toen bepaalde een rechter uit New Jersey dat de verschillende verzekeraars 1,4 miljard dollar aan totale schade moesten vergoeden aan Merck. De verzekeraars gingen in hoger beroep, maar hebben nu bakzeil gehaald bij het gerechtshof.
Niet gelinkt aan militaire actie
De rechter in het hoger beroep zegt dat NotPetya 'niet voldoende gelinkt kan worden aan een militaire actie, omdat het een niet-militaire cyberaanval tegen een boekhoudsoftwareprovider was'. Daarmee hebben de verzekeraars niet genoeg bewezen dat de aanval onder de uitzonderingsclausule voor oorlogssituaties viel. De rechter vindt dat die uitzonderingsclausule alleen van toepassing is als er militaire actie bij betrokken is. Hoewel de Verenigde Staten over het algemeen aannemen dat NotPetya een Russische militaire operatie was, ziet het leger het niet als een officiële militaire oorlogsdaad.
De uitspraak kan verstrekkende gevolgen hebben voor de manier waarop ransomware nu wordt verzekerd. Veel verzekeraars bieden polissen tegen de schade van cyberaanvallen en dan vooral ransomware aan. Net zoals bij de meeste verzekeringen vallen oorlogsdaden buiten de dekking, maar bij ransomware is het altijd vaag geweest wanneer een infectie een oorlogs- of offensieve daad is van een ander land. Verzekeraars beroepen zich bij ransomware steeds vaker op de uitzonderingsclausules, die door juristen ook weleens een 'catch-all-categorie' worden genoemd. In de zaak spreken de rechters nu in duidelijke termen uit dat verzekeraars niet iedere aanval zomaar meer een oorlogsdaad kunnen noemen.