Zou een Nederlandse cyberverzekering bij schade door NotPetya beroep kunnen doen op de molestclausule?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Verzekeringsmaatschappij Ace American Insurance moet 1,4 miljard dollar schade die de farmaceutische gigant Merck leed door de NotPetya-aanval vergoeden. "Volgens het Hof van beroep is de NotPetya-aanval niet voldoende gelinkt aan een militaire actie of doel, aangezien het een niet-militaire aanval tegen een leverancier van boekhoudsoftware was." Kun je duiden hoe dit in Nederland uit zou pakken, het klinkt zeer relevant voor onze cyberverzekeringen.
Antwoord: De verzekeraar had Merck uitkering geweigerd met een beroep op de zogeheten molestclausule. Die geeft een standaard uitsluiting voor schade door terreur, oorlog, onlusten en dergelijke. Volgens de verzekeraar ging het om militair optreden: NotPetya wordt immers toegeschreven aan de Russische militaire inlichtingendienst GROe en er zijn duidelijke verbanden met Oekraïne (de eerste vector was Oekraïense belastingaangiftesoftware).
Farmacie- en chemiebedrijf Merck heeft daar niet echt iets mee te maken, maar kreeg wel een aanval van NotPetya over zich heen. Dit leidde tot honderden miljoenen dollar schade en 10.000 geïnfecteerde machines. Gelukkig voor haar had ze maar liefst acht verzekeringen die dit zouden moeten dekken. Het was dan ook nogal vervelend om te horen dat Ace American Insurance weigerde de toegezegde 700 miljoen dollar uit te keren.
{De reden? De kleine lettertjes natuurlijk, meer specifiek zou geen uitkering plaatsvinden bij:
Loss or damage caused by hostile or warlike action in time of peace or war, including action in hindering, combating, or defending against an actual, impending, or expected attack: (a) by any government or sovereign power (de jure or de facto) or by any authority maintaining or using military, naval, or air forces; (b) or by military, naval, or air forces; (c) or by an agent of such government, power, authority, or forces[.]
De verzekeraar nam namelijk het standpunt in dat NotPetya een “attack” was, die was “orchestrated by actors working for or on behalf of the Russian Federation.” Nou is dit taal die al decennia in verzekeringspolissen staat, maar verzekeraars hebben zelden reden om die in te roepen. De Russische aanslag op MH17 was de enige keer dat dit recent relevant werd.
Cyberaanvallen komen natuurlijk heel wat vaker voor, en er is dan ook grote discussie of dit een oorlogsdaad is, terrorisme of gewoon iets dat je in cyberspace kan overkomen. En dat maakt natuurlijk behoorlijk uit voor cyberverzekeringen, die ook in Nederland allemaal een oorlogs- of molest-uitzondering hebben.
De Amerikaanse rechter begint met te stellen dat je verzekeringspolissen hun “plain meaning” moet geven – er staat wat er staat, en bijdehand lezen is niet de bedoeling. Verzekeringen zijn immers bedoeld om duidelijkheid te creëren, en worden eenzijdig aangegaan want er valt weinig te onderhandelen.
Wat is dan de plain meaning van deze bepaling? Nou ja, dat het schadebrengende feit zelf een oorlogshandeling (of vergelijkbaar) is. Een handeling dus door strijdkrachten met een militair motief of doel. Men wil een brug veroveren en schiet daarbij jouw huis kapot. Je bedrijf wordt gebombardeerd omdat de kogellagers die je produceert, essentieel zijn voor de oorlogsproductie. Een tank rijdt over je auto heen in haar opmars naar het vijandelijk hoofdkwartier. Zulke dingen.
Merck is een chemiebedrijf en kreeg NotPetya over zich heen zonder dat daar enig militair motief aan te koppelen is. Dat is dus eerder “er lag een verdwaalde vliegtuigbom onder de parkeerplaats” dan een oorlogshandeling. En dat ziet de Amerikaanse rechter niet als een geldig beroep op de uitsluiting:
Coverage could only be excluded here if we stretched the meaning of “hostile” to its outer limit in an attempt to apply it to a cyberattack on a noncombatant firm that provided accounting software updates to various noncombatant customers, all wholly outside the context of any armed conflict or military objective. But that approach would conflict with our basic construction principles requiring a court to narrowly construe an insurance policy exclusion.
De zaak is natuurlijk Amerikaans, maar het principe is zeer redelijk en internationaal toepasbaar. In Nederland is de hoofdregel (Haviltex) dat je kijkt wat de bedoeling van partijen is, maar hoe grootzakelijker de partijen, en hoe meer standaard het contract, hoe dichter men bij de letterlijke tekst mag blijven. Dus ook daar zou het niet snel lukken om “oorlogsdaad” gelijk te stellen aan “iedere schade van malware waarvan de productie gelinkt kan worden aan een statelijke actor”.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
en exploitanten zich bevonden in Rusland en Oekraine. Alleen nu hoor je alleen nog maar over Rusland. Oekraine is lief.
en exploitanten zich bevonden in Rusland en Oekraine. Alleen nu hoor je alleen nog maar over Rusland. Oekraine is lief.
Bedenk daarbij dat als een westers bedrijf door Russische ransomware-criminelen onderuit wordt gehaald dat als onderdeel van de cyberoorlog tussen Rusland en het westen kan worden gezien, terwijl dat argument onzin is bij Oekraïense ransomware-criminelen, want Oekraïne heeft er echt geen belang bij om de landen bij wie het steun zoekt tegen zich in het harnas te jagen. Als forensisch onderzoek naar Oekraïense criminelen wijst heeft het bedrijf dat slachtoffer is er belang bij om dat luid en duidelijk te benadrukken, want dat benadrukt dat het om criminaliteit gaat en niet om een oorlogshandeling. Een verzekeraar die niet wil uitbetalen omdat het een oorlogshandeling zou zijn wordt zo dat argument uit handen geslagen.
Ik denk dat als een ransomware-aanval of andere cybercrime van Oekraïense criminelen zou komen we dat gewoon zouden horen.
Ik denk dat als een ransomware-aanval of andere cybercrime van Oekraïense criminelen zou komen we dat gewoon zouden horen.
Ik denk dat cybercriminelen zich niet bekend gaaan maken met nationaliteit. Die geven gewoon een of ander anoniem Bitcoin adres op als betalingsbestemming.
Hoe zit het met gestolen malware? Verbruikte malware?
Hoe zit het als de niet in oorlog zijnd vriendje van een wel in oorlog zijnd land dat vriendje wil beschermen?
Je moet eerst de zaken vanuit alle mogelijke perspectieven bekijken voordat überhaupt een aanname mogelijk is.
Hoe zit het met gestolen malware? Verbruikte malware?
Hoe zit het als de niet in oorlog zijnd vriendje van een wel in oorlog zijnd land dat vriendje wil beschermen?
Je moet eerst de zaken vanuit alle mogelijke perspectieven bekijken voordat überhaupt een aanname mogelijk is.
Ben je misschien een van die mensen die alles wat niet met je eigen aannames strookt wegredeneert met dit soort argumenten, daarmee bereikend er voor jou niets nog aannemelijk gemaakt kan worden, zodat jij alle argumenten voor wat dan ook kan negeren en comfortabel kan volharden in de aannames waar jij je lekker bij voelt? Dat is een van de mogelijke perspectieven waar ik rekening mee houd als ik jouw reactie lees (en soortgelijke reacties, die er op deze website volop zijn).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.