2 min Security

Verzekeraar moet 1,4 miljard dollar betalen door ransomware-schade

Verzekeraar moet 1,4 miljard dollar betalen door ransomware-schade

Het Amerikaanse Ace Insurance moet 1,4 miljard dollar (1,27 miljard euro) overmaken aan farmaceuticabedrijf Merck. Laatstgenoemde werd getroffen door een ransomware-aanval van het Russische NotPetya. De verzekeraar wilde niet uitbetalen omdat het om een oorlogsdaad zou gaan.

De Amerikaanse rechter stelt dat de all-risk verzekering die Merck bij Ace had afgesloten, ook een mogelijk politiek gemotiveerde hack dekt. De zaak tussen de twee partijen liep al vijf jaar.

‘Act of war’

Merck werd in juni 2017 getroffen door de NotPetya-ransomware. Deze software zou volgens experts zijn ingezet door Rusland ter sabotage van Oekraïne, dat destijds nog niet officieel door de Russen was binnengevallen. Merck werd getroffen via het boekhoudprogramma MEdoc en had te maken met 10.000 geïnfecteerde apparaten.

Het kostte het bedrijf 850 miljoen dollar en ontregelde de ontwikkeling van een HPV-vaccin. Daarnaast zou het bedrijf voor 400 miljoen dollar aan omzet hebben misgelopen. De ransomware was een variant van de Petya-malwarefamilie dat een ongepatchte kwetsbaarheid in Microsoft-software exploiteerde. Ace Insurance wilde deze schade niet dekken, omdat het stelde dat de aanval een ‘act of war’ was vanuit Rusland. In de Amerikaanse wetgeving bestaat een clausule die verzekeraars vrijstelt van het dekken van schade door oorlogsgeweld. Echter is de rechter het niet eens met dit verweer. Omdat het een aanval op boekhoud-software betrof, was de aanval niet militair van aard. Met andere woorden, geen ‘act of war’.

Merck had in december 2021 al gelijk gekregen van de rechter in New Jersey, maar nu is dus ook het resultaat van het hoger beroep van Ace bekend.

Het rechterlijke besluit kan grote gevolgen hebben voor verzekeringsmaatschappijen. Cyberaanvallen hebben veelal een Russische origine, ook al is de exacte afkomst van elke betrokken hacker lang niet altijd met zekerheid te stellen. In 2018 schreven we al dat NotPetya volgens Britse autoriteiten ‘vrijwel zeker’ door het Russische leger aangestuurd werd. In dit geval is dus te beargumenteren dat Merck door een natiestaat is aangevallen, maar kan de verzekeringsmaatschappij niet om die reden de schadeclaim afwijzen. Het zal veel bedrijven in Amerika gerust stellen dat ze met een all-risk verzekering ook bij cybercrime gedekt zijn, ook al wil geen enkele organisatie door een ransomware-aanval getroffen zijn.

Lees ook: Bescherm je data tegen een ransomware-aanval