Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. Dat meldde Tweakers onlangs. De verzekeraar had dit geweigerd met een beroep op de overmachtsclausule, specifiek het feit dat het om militair optreden ging: NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne. De rechtbank ziet dat als irrelevant, wat de weg makkelijker maakt voor toekomstige verzekerden.
NotPetya is een variant op de iets oudere malware Petya, waarbij er duidelijke aanwijzingen zijn voor ontwikkeling door de Russische overheid. Zo lijkt NotPetya eerder ontworpen om data te vernietigen, omdat het ontsleutelen van bestanden (na betaling) niet goed werkt. Ook was de eerste aanvalsvector gericht op Oekraïne.
Farmacie- en chemiebedrijf Merck heeft daar niet echt iets mee te maken, maar kreeg wel een aanval van NotPetya over zich heen. Dit leidde tot honderden miljoenen dollar schade en 10.000 geïnfecteerde machines. Gelukkig voor haar had ze maar liefst acht verzekeringen die dit zouden moeten dekken. Het was dan ook nogal vervelend om te horen dat Ace American Insurance weigerde de toegezegde 700 miljoen dollar uit te keren.
De reden? De kleine lettertjes natuurlijk, meer specifiek zou geen uitkering plaatsvinden bij:
Loss or damage caused by hostile or warlike action in time of peace or war, including action in hindering, combating, or defending against an actual, impending, or expected attack: (a) by any government or sovereign power (de jure or de facto) or by any authority maintaining or using military, naval, or air forces; (b) or by military, naval, or air forces; (c) or by an agent of such government, power, authority, or forces[.]De verzekeraar nam namelijk het standpunt in dat NotPetya een “attack” was, die was “orchestrated by actors working for or on behalf of the Russian Federation.” Nou is dit taal die al decennia in verzekeringspolissen staat, maar verzekeraars hebben zelden reden om die in te roepen. De Russische aanslag op MH17 was de enige keer dat dit recent relevant werd.
Cyberaanvallen komen natuurlijk heel wat vaker voor, en er is dan ook grote discussie of dit een oorlogsdaad is, terrorisme of gewoon iets dat je in cyberspace kan overkomen. En dat maakt natuurlijk behoorlijk uit voor cyberverzekeringen, die ook in Nederland allemaal een oorlogs- of molest-uitzondering hebben.
De Amerikaanse rechter begint met te stellen dat je verzekeringspolissen hun “plain meaning” moet geven – er staat wat er staat, en bijdehand lezen is niet de bedoeling. Verzekeringen zijn immers bedoeld om duidelijkheid te creëren, en worden eenzijdig aangegaan want er valt weinig te onderhandelen.
Wat is dan de plain meaning van deze bepaling? Nou ja, dat het schadebrengende feit zelf een oorlogshandeling (of vergelijkbaar) is. Een handeling dus door strijdkrachten met een militair motief of doel. Men wil een brug veroveren en schiet daarbij jouw huis kapot. Je bedrijf wordt gebombardeerd omdat de kogellagers die je produceert, essentieel zijn voor de oorlogsproductie. Een tank rijdt over je auto heen in haar opmars naar het vijandelijk hoofdkwartier. Zulke dingen.
Merck is een chemiebedrijf en kreeg NotPetya over zich heen zonder dat daar enig militair motief aan te koppelen is. Dat is dus eerder “er lag een verdwaalde vliegtuigbom onder de parkeerplaats” dan een oorlogshandeling. En dat ziet de Amerikaanse rechter niet als een geldig beroep op de uitsluiting:
Coverage could only be excluded here if we stretched the meaning of “hostile” to its outer limit in an attempt to apply it to a cyberattack on a noncombatant firm that provided accounting software updates to various noncombatant customers, all wholly outside the context of any armed conflict or military objective. But that approach would conflict with our basic construction principles requiring a court to narrowly construe an insurance policy exclusion.De zaak is natuurlijk Amerikaans, maar het principe is zeer redelijk en internationaal toepasbaar. In Nederland is de hoofdregel (Haviltex) dat je kijkt wat de bedoeling van partijen is, maar hoe grootzakelijker de partijen, en hoe meer standaard het contract, hoe dichter men bij de letterlijke tekst mag blijven. Dus ook daar zou het niet snel lukken om “oorlogsdaad” gelijk te stellen aan “iedere schade van malware waarvan de productie gelinkt kan worden aan een statelijke actor”.
Arnoud
Ik woon op een paar kilometer afstand van een militaire basis. Een aanval daarop kan prima resulteren in missers die in mijn achtertuin landen. Met deze redenatie zou dat verzekerd zijn want er is geen intentie en geen militair motief om mijn huis te bombarderen. Waar zit het verschil?
Het verschil is dat jij dan collateral damage bent bij een evidente militaire actie. Merck staat niet vlak naast Oekraïense infrastructuur en heeft geen directe banden met de militaire doelwitten van de malware-verspreider. Het is een soort redelijkheidstoets, zeg je dat het nog redelijkerwijs een verband heeft met de aanval.
Dat was bij NotPetya ook aan de orde: iedereen met Oekraïens belastingaangiftepakket M.E.Doc werd aangevallen. De westerse bedrijven die handelden met Oekraïne hadden ‘dus’ ook ergens op een machine M.E.Doc draaien en zijn zo collateral damage geworden. Er is als zodanig zelfs min of meer gericht geschoten op Merck, als (neem ik aan) gebruiker van M.E.Doc en in hun geval “zelfs” met kantoren in Oekraïne. Niet anders dan een Oekraïens bedrijf in het zelfde bedrijvenpand.
Ik zie hier geen verschil met de fysieke situatie.
Toegegeven, het is een lastige lijn om te trekken. Het klopt dat ook bij Merck men via M.E.Doc binnengedrongen is. Maar ik denk dat het redelijk is om te zeggen dat de Russische aanvallers Merck nooit als relevant doel voor ogen hadden bij het vrijlaten van NotPetya. Ze zaten niet in Oekraïne, er waren geen negatieve acties vanuit Merck richting Rusland, je zou kunnen zeggen dat ze gewoon op het verkeerde moment op de verkeerde plek zaten.
Het is dat semi-autonome karakter dat maakt dat er geen vergelijking is. Militaire actie is altijd wel gericht tegen een militair doel, en als men per ongeluk jouw huis bombardeert (het vliegtuig moest lading lossen omdat ze dreigden neer te storten, zoiets) dan noemen we dat nog steeds een oorlogshandeling. Met achtergelaten mijnen of niet-ontplofte bommen ligt het ingewikkelder maar dat is vooral vanwege de tijdsduur. Als bij een verbouwing aan de fundering van jouw huis een bom uit WOII ontploft die daar al die tijd lag, dan zou ik dat geen oorlogsdaad noemen en zou ik denken dat de verzekeraar moet uitkeren. Maar dit artikel suggereert dat het toch ingewikkeld ligt.
De kern zou zitten in het feit dat oorlog zó massaal schade geeft dat je niet van een verzekeraar kunt vergen dat deze het dekt. Ik heb daar wat moeite mee als het dan in één zin ook over terrorisme gaat, want dat is niet dezelfde schaal van massaliteit. Maar dat is het criterium. En vanuit dat criterium zou je kunnen zeggen, een aanslag met NotPetya is hetzelfde als een aanslag met een bom in een wolkenkrabbber. Dus niet gedekt.