Verzekeringsmarktplaats Lloyd's of London biedt vanaf 31 maart volgend jaar via de standaard cyberpolissen geen dekking meer voor catastrofale statelijke cyberaanvallen. Lloyd's is een marktplaats waar verzekeringsmakelaars van over de hele wereld rechtstreeks onderhandelen met de verzekeraars die de risico’s van hun klanten dekken.
Vanaf 31 maart 2023 moeten partijen die bij Lloyd's op de marktplaats onderhandelen duidelijk maken aan hun klanten dat fysieke en digitale schade als gevolg van "catastrofale" cyberaanvallen niet meer door standaard cyberpolissen wordt gedekt. In een bericht aan verzekeringsmaatschappijen laat Lloyd's weten dat de schade die statelijke cyberaanvallen kunnen veroorzaken een systemisch risico voor de verzekeringsmarkt kunnen zijn (pdf).
In veel verzekeringspolissen wordt bijvoorbeeld al opgenomen dat schade door oorlogen niet zijn gedekt. Lloyd's stelt dat cyberpolissen belangrijk zijn, maar dat die vanwege het veranderende dreigingslandschap op de juiste wijze moeten worden beheerd. "Met name de mogelijkheid van vijandige actoren om een aanval uit te voeren, de mogelijkheid om schadelijke code te verspreiden en de vitale afhankelijkheid die samenlevingen van hun it-infrastructuur hebben, waaronder de bediening van fysieke middelen, houdt in dat verliezen veel groter kunnen zijn dan wat de verzekeringsmarkt aan kan."
Eén van de schadelijkste statelijke aanvallen was die met de NotPetya-malware. Eerder dit jaar werd bekend dat farmaceutische gigant Merck een rechtszaak tegen de eigen verzekeringsmaatschappij had gewonnen over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde.
Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed.
Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.
Deze posting is gelocked. Reageren is niet meer mogelijk.