Merck wint rechtszaak over vergoeding van schade NotPetya-malware
De farmaceutische gigant Merck heeft een rechtszaak gewonnen tegen de eigen verzekeringsmaatschappij over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij de aanval met de NotPetya-malware raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers.
Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed, zo melden Bloomberg Law en Lexology.
Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.
NotPetya was slim, maar in een redelijk professioneel beheerde omgeving was de schade nooit zo enorm geweest.
Dan waren er backups geweest, dan was de kwetsbaarheid waardoor de malware zo makkelijk kon rondgaan al *jaren* daarvoor gepatched (of toch op zijn minst in de maanden ervoor, na de herhaaldelijk waarschuwingen daartoe), en dan waren kritieke systemen sowieso goed afgeschermd.
Nu dreigt Merck eerder een voorbeeld van hoe het niet moet te worden: pruts maar raak in de IT, de verzekeraar betaalt wel.
NotPetya was slim, maar in een redelijk professioneel beheerde omgeving was de schade nooit zo enorm geweest.
Dan waren er backups geweest, dan was de kwetsbaarheid waardoor de malware zo makkelijk kon rondgaan al *jaren* daarvoor gepatched (of toch op zijn minst in de maanden ervoor, na de herhaaldelijk waarschuwingen daartoe), en dan waren kritieke systemen sowieso goed afgeschermd.
Nu dreigt Merck eerder een voorbeeld van hoe het niet moet te worden: pruts maar raak in de IT, de verzekeraar betaalt wel.
je hebt deels gelijk over die eigen verantwoordelijkheid maar toch....een verzekeraar is geen liefdadigheidsinstelling. Dit soort uitspraken/incidenten laat zien dat hier iets moet gebeuren. Of premies gaan enorm omhoog en worden onbetaalbaar of men gaat wel flink serieuze security eisen stellen. In beide gevallen komt het dus gewoon weer terug bij de probleemeigenaar. Geen enkele verzekeraar gaat je maar wat laten prutsen en daarna zoveel mogelijk uitkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.