Merck wint rechtszaak over vergoeding van schade NotPetya-malware
De farmaceutische gigant Merck heeft een rechtszaak gewonnen tegen de eigen verzekeringsmaatschappij over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij de aanval met de NotPetya-malware raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers.
Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed, zo melden Bloomberg Law en Lexology.
Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.
NotPetya was slim, maar in een redelijk professioneel beheerde omgeving was de schade nooit zo enorm geweest.
Dan waren er backups geweest, dan was de kwetsbaarheid waardoor de malware zo makkelijk kon rondgaan al *jaren* daarvoor gepatched (of toch op zijn minst in de maanden ervoor, na de herhaaldelijk waarschuwingen daartoe), en dan waren kritieke systemen sowieso goed afgeschermd.
Nu dreigt Merck eerder een voorbeeld van hoe het niet moet te worden: pruts maar raak in de IT, de verzekeraar betaalt wel.
NotPetya was slim, maar in een redelijk professioneel beheerde omgeving was de schade nooit zo enorm geweest.
Dan waren er backups geweest, dan was de kwetsbaarheid waardoor de malware zo makkelijk kon rondgaan al *jaren* daarvoor gepatched (of toch op zijn minst in de maanden ervoor, na de herhaaldelijk waarschuwingen daartoe), en dan waren kritieke systemen sowieso goed afgeschermd.
Nu dreigt Merck eerder een voorbeeld van hoe het niet moet te worden: pruts maar raak in de IT, de verzekeraar betaalt wel.
je hebt deels gelijk over die eigen verantwoordelijkheid maar toch....een verzekeraar is geen liefdadigheidsinstelling. Dit soort uitspraken/incidenten laat zien dat hier iets moet gebeuren. Of premies gaan enorm omhoog en worden onbetaalbaar of men gaat wel flink serieuze security eisen stellen. In beide gevallen komt het dus gewoon weer terug bij de probleemeigenaar. Geen enkele verzekeraar gaat je maar wat laten prutsen en daarna zoveel mogelijk uitkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
