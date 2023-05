Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Verzekeringsmaatschappij Ace American Insurance moet 1,4 miljard dollar schade die de farmaceutische gigant Merck leed door de NotPetya-aanval vergoeden. "Volgens het Hof van beroep is de NotPetya-aanval niet voldoende gelinkt aan een militaire actie of doel, aangezien het een niet-militaire aanval tegen een leverancier van boekhoudsoftware was." Kun je duiden hoe dit in Nederland uit zou pakken, het klinkt zeer relevant voor onze cyberverzekeringen.

Antwoord: De verzekeraar had Merck uitkering geweigerd met een beroep op de zogeheten molestclausule. Die geeft een standaard uitsluiting voor schade door terreur, oorlog, onlusten en dergelijke. Volgens de verzekeraar ging het om militair optreden: NotPetya wordt immers toegeschreven aan de Russische militaire inlichtingendienst GROe en er zijn duidelijke verbanden met Oekraïne (de eerste vector was Oekraïense belastingaangiftesoftware).

Farmacie- en chemiebedrijf Merck heeft daar niet echt iets mee te maken, maar kreeg wel een aanval van NotPetya over zich heen. Dit leidde tot honderden miljoenen dollar schade en 10.000 geïnfecteerde machines. Gelukkig voor haar had ze maar liefst acht verzekeringen die dit zouden moeten dekken. Het was dan ook nogal vervelend om te horen dat Ace American Insurance weigerde de toegezegde 700 miljoen dollar uit te keren.

{De reden? De kleine lettertjes natuurlijk, meer specifiek zou geen uitkering plaatsvinden bij:

Loss or damage caused by hostile or warlike action in time of peace or war, including action in hindering, combating, or defending against an actual, impending, or expected attack: (a) by any government or sovereign power (de jure or de facto) or by any authority maintaining or using military, naval, or air forces; (b) or by military, naval, or air forces; (c) or by an agent of such government, power, authority, or forces[.]

De verzekeraar nam namelijk het standpunt in dat NotPetya een “attack” was, die was “orchestrated by actors working for or on behalf of the Russian Federation.” Nou is dit taal die al decennia in verzekeringspolissen staat, maar verzekeraars hebben zelden reden om die in te roepen. De Russische aanslag op MH17 was de enige keer dat dit recent relevant werd.

Cyberaanvallen komen natuurlijk heel wat vaker voor, en er is dan ook grote discussie of dit een oorlogsdaad is, terrorisme of gewoon iets dat je in cyberspace kan overkomen. En dat maakt natuurlijk behoorlijk uit voor cyberverzekeringen, die ook in Nederland allemaal een oorlogs- of molest-uitzondering hebben.

De Amerikaanse rechter begint met te stellen dat je verzekeringspolissen hun “plain meaning” moet geven – er staat wat er staat, en bijdehand lezen is niet de bedoeling. Verzekeringen zijn immers bedoeld om duidelijkheid te creëren, en worden eenzijdig aangegaan want er valt weinig te onderhandelen.

Wat is dan de plain meaning van deze bepaling? Nou ja, dat het schadebrengende feit zelf een oorlogshandeling (of vergelijkbaar) is. Een handeling dus door strijdkrachten met een militair motief of doel. Men wil een brug veroveren en schiet daarbij jouw huis kapot. Je bedrijf wordt gebombardeerd omdat de kogellagers die je produceert, essentieel zijn voor de oorlogsproductie. Een tank rijdt over je auto heen in haar opmars naar het vijandelijk hoofdkwartier. Zulke dingen.

Merck is een chemiebedrijf en kreeg NotPetya over zich heen zonder dat daar enig militair motief aan te koppelen is. Dat is dus eerder “er lag een verdwaalde vliegtuigbom onder de parkeerplaats” dan een oorlogshandeling. En dat ziet de Amerikaanse rechter niet als een geldig beroep op de uitsluiting:

Coverage could only be excluded here if we stretched the meaning of “hostile” to its outer limit in an attempt to apply it to a cyberattack on a noncombatant firm that provided accounting software updates to various noncombatant customers, all wholly outside the context of any armed conflict or military objective. But that approach would conflict with our basic construction principles requiring a court to narrowly construe an insurance policy exclusion.

De zaak is natuurlijk Amerikaans, maar het principe is zeer redelijk en internationaal toepasbaar. In Nederland is de hoofdregel (Haviltex) dat je kijkt wat de bedoeling van partijen is, maar hoe grootzakelijker de partijen, en hoe meer standaard het contract, hoe dichter men bij de letterlijke tekst mag blijven. Dus ook daar zou het niet snel lukken om “oorlogsdaad” gelijk te stellen aan “iedere schade van malware waarvan de productie gelinkt kan worden aan een statelijke actor”.

