image

Merck wint rechtszaak over vergoeding van schade NotPetya-malware

dinsdag 25 januari 2022, 10:26 door Redactie, 4 reacties

De farmaceutische gigant Merck heeft een rechtszaak gewonnen tegen de eigen verzekeringsmaatschappij over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij de aanval met de NotPetya-malware raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers.

Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed, zo melden Bloomberg Law en Lexology.

Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.

Reacties (4)
25-01-2022, 11:09 door Anoniem
En dan zijn er in Nederland verzekeraars die geen MFA voor gevoelige accounts in in cyberverzekeringspolis hebben staan.
25-01-2022, 11:17 door Anoniem
De verzekeringsmaatschappij is failliet nu?
25-01-2022, 12:29 door Anoniem
Erg jammer, want zo komt Merck uit onder de eigen verantwoordelijkheid in dit verhaal.
NotPetya was slim, maar in een redelijk professioneel beheerde omgeving was de schade nooit zo enorm geweest.
Dan waren er backups geweest, dan was de kwetsbaarheid waardoor de malware zo makkelijk kon rondgaan al *jaren* daarvoor gepatched (of toch op zijn minst in de maanden ervoor, na de herhaaldelijk waarschuwingen daartoe), en dan waren kritieke systemen sowieso goed afgeschermd.
Nu dreigt Merck eerder een voorbeeld van hoe het niet moet te worden: pruts maar raak in de IT, de verzekeraar betaalt wel.
25-01-2022, 14:46 door Anoniem
Door Anoniem: Erg jammer, want zo komt Merck uit onder de eigen verantwoordelijkheid in dit verhaal.
NotPetya was slim, maar in een redelijk professioneel beheerde omgeving was de schade nooit zo enorm geweest.
Dan waren er backups geweest, dan was de kwetsbaarheid waardoor de malware zo makkelijk kon rondgaan al *jaren* daarvoor gepatched (of toch op zijn minst in de maanden ervoor, na de herhaaldelijk waarschuwingen daartoe), en dan waren kritieke systemen sowieso goed afgeschermd.
Nu dreigt Merck eerder een voorbeeld van hoe het niet moet te worden: pruts maar raak in de IT, de verzekeraar betaalt wel.

je hebt deels gelijk over die eigen verantwoordelijkheid maar toch....een verzekeraar is geen liefdadigheidsinstelling. Dit soort uitspraken/incidenten laat zien dat hier iets moet gebeuren. Of premies gaan enorm omhoog en worden onbetaalbaar of men gaat wel flink serieuze security eisen stellen. In beide gevallen komt het dus gewoon weer terug bij de probleemeigenaar. Geen enkele verzekeraar gaat je maar wat laten prutsen en daarna zoveel mogelijk uitkeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.