Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. Dat meldde Tweakers onlangs. De verzekeraar had dit geweigerd met een beroep op de overmachtsclausule, specifiek het feit dat het om militair optreden ging: NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne. De rechtbank ziet dat als irrelevant, wat de weg makkelijker maakt voor toekomstige verzekerden.
NotPetya is een variant op de iets oudere malware Petya, waarbij er duidelijke aanwijzingen zijn voor ontwikkeling door de Russische overheid. Zo lijkt NotPetya eerder ontworpen om data te vernietigen, omdat het ontsleutelen van bestanden (na betaling) niet goed werkt. Ook was de eerste aanvalsvector gericht op Oekraïne.
Farmacie- en chemiebedrijf Merck heeft daar niet echt iets mee te maken, maar kreeg wel een aanval van NotPetya over zich heen. Dit leidde tot honderden miljoenen dollar schade en 10.000 geïnfecteerde machines. Gelukkig voor haar had ze maar liefst acht verzekeringen die dit zouden moeten dekken. Het was dan ook nogal vervelend om te horen dat Ace American Insurance weigerde de toegezegde 700 miljoen dollar uit te keren.
De reden? De kleine lettertjes natuurlijk, meer specifiek zou geen uitkering plaatsvinden bij:
Loss or damage caused by hostile or warlike action in time of peace or war, including action in hindering, combating, or defending against an actual, impending, or expected attack:
(a) by any government or sovereign power (de jure or de facto) or by any authority maintaining or using military, naval, or air forces;
(b) or by military, naval, or air forces;
(c) or by an agent of such government, power, authority, or forces[.]
De verzekeraar nam namelijk het standpunt in dat NotPetya een “attack” was, die was “orchestrated by actors working for or on behalf of the Russian Federation.” Nou is dit taal die al decennia in verzekeringspolissen staat, maar verzekeraars hebben zelden reden om die in te roepen. De Russische aanslag op MH17 was de enige keer dat dit recent relevant werd.
Cyberaanvallen komen natuurlijk heel wat vaker voor, en er is dan ook grote discussie of dit een oorlogsdaad is, terrorisme of gewoon iets dat je in cyberspace kan overkomen. En dat maakt natuurlijk behoorlijk uit voor cyberverzekeringen, die ook in Nederland allemaal een oorlogs- of molest-uitzondering hebben.
De Amerikaanse rechter begint met te stellen dat je verzekeringspolissen hun “plain meaning” moet geven – er staat wat er staat, en bijdehand lezen is niet de bedoeling. Verzekeringen zijn immers bedoeld om duidelijkheid te creëren, en worden eenzijdig aangegaan want er valt weinig te onderhandelen.
Wat is dan de plain meaning van deze bepaling? Nou ja, dat het schadebrengende feit zelf een oorlogshandeling (of vergelijkbaar) is. Een handeling dus door strijdkrachten met een militair motief of doel. Men wil een brug veroveren en schiet daarbij jouw huis kapot. Je bedrijf wordt gebombardeerd omdat de kogellagers die je produceert, essentieel zijn voor de oorlogsproductie. Een tank rijdt over je auto heen in haar opmars naar het vijandelijk hoofdkwartier. Zulke dingen.
Merck is een chemiebedrijf en kreeg NotPetya over zich heen zonder dat daar enig militair motief aan te koppelen is. Dat is dus eerder “er lag een verdwaalde vliegtuigbom onder de parkeerplaats” dan een oorlogshandeling. En dat ziet de Amerikaanse rechter niet als een geldig beroep op de uitsluiting:
Coverage could only be excluded here if we stretched the meaning of “hostile” to its outer limit in an attempt to apply it to a cyberattack on a noncombatant firm that provided accounting software updates to various noncombatant customers, all wholly outside the context of any armed conflict or military objective. But that approach would conflict with our basic construction principles requiring a court to narrowly construe an insurance policy exclusion.
De zaak is natuurlijk Amerikaans, maar het principe is zeer redelijk en internationaal toepasbaar. In Nederland is de hoofdregel (Haviltex) dat je kijkt wat de bedoeling van partijen is, maar hoe grootzakelijker de partijen, en hoe meer standaard het contract, hoe dichter men bij de letterlijke tekst mag blijven. Dus ook daar zou het niet snel lukken om “oorlogsdaad” gelijk te stellen aan “iedere schade van malware waarvan de productie gelinkt kan worden aan een statelijke actor”.
Arnoud