image

Lloyd's stopt volgend jaar dekking voor catastrofale statelijke cyberaanvallen

maandag 22 augustus 2022, 12:58 door Redactie, 8 reacties

Verzekeringsmarktplaats Lloyd's of London biedt vanaf 31 maart volgend jaar via de standaard cyberpolissen geen dekking meer voor catastrofale statelijke cyberaanvallen. Lloyd's is een marktplaats waar verzekeringsmakelaars van over de hele wereld rechtstreeks onderhandelen met de verzekeraars die de risico’s van hun klanten dekken.

Vanaf 31 maart 2023 moeten partijen die bij Lloyd's op de marktplaats onderhandelen duidelijk maken aan hun klanten dat fysieke en digitale schade als gevolg van "catastrofale" cyberaanvallen niet meer door standaard cyberpolissen wordt gedekt. In een bericht aan verzekeringsmaatschappijen laat Lloyd's weten dat de schade die statelijke cyberaanvallen kunnen veroorzaken een systemisch risico voor de verzekeringsmarkt kunnen zijn (pdf).

In veel verzekeringspolissen wordt bijvoorbeeld al opgenomen dat schade door oorlogen niet zijn gedekt. Lloyd's stelt dat cyberpolissen belangrijk zijn, maar dat die vanwege het veranderende dreigingslandschap op de juiste wijze moeten worden beheerd. "Met name de mogelijkheid van vijandige actoren om een aanval uit te voeren, de mogelijkheid om schadelijke code te verspreiden en de vitale afhankelijkheid die samenlevingen van hun it-infrastructuur hebben, waaronder de bediening van fysieke middelen, houdt in dat verliezen veel groter kunnen zijn dan wat de verzekeringsmarkt aan kan."

NotPetya

Eén van de schadelijkste statelijke aanvallen was die met de NotPetya-malware. Eerder dit jaar werd bekend dat farmaceutische gigant Merck een rechtszaak tegen de eigen verzekeringsmaatschappij had gewonnen over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde.

Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed.

Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.

Reacties (8)
22-08-2022, 13:22 door Anoniem
Dit komt over als een verkapte aankondiging van iets dergelijks.
22-08-2022, 13:34 door Anoniem
Dus over 7 maanden zijn alle cyberverzekeringen nutteloos, omdat ze altijd eronder kunnen komen door te zeggen 'het is rusland, dus staatsaangelegenheid dus oorlog dus get-out-of-paying-free-card voor verzekeringtoko's...

Handig... wel vangen maar niet hoeven betalen als het te erg wordt...
22-08-2022, 13:57 door bart_hGn4mQe
Jammer dat het proces om te bepalen of een cyberaanval ook state backing heeft niet uitgeleged is. Dat was misschien wel het meest interessante deel van deze publicatie geweest.
22-08-2022, 16:47 door Anoniem
Het is godsonmogelijk om bij 99.99% van de aanvallen met enige zekerheid te kunnen stellen door wie het uitgevoerd wordt. Het is zo niet te doen dat over het algemeen men niet zich er aan waagt, anders dan een vermoeden uitspreken dat een bepaald land erachter zit. Ik ben erg benieuwd hoe de verzekeringsmaatschappijen dit denken aan te kunnen gaan tonen op een manier waarop het ook nog eens stand houd in een rechtzaak.
22-08-2022, 19:12 door Anoniem
Door Anoniem: Dit komt over als een verkapte aankondiging van iets dergelijks.
Nee, als een openlijke aankondiging. Hier is niets verkapt aan, ze kondigen de verandering gewoon aan.
22-08-2022, 19:23 door Anoniem
Door Anoniem: Ik ben erg benieuwd hoe de verzekeringsmaatschappijen dit denken aan te kunnen gaan tonen op een manier waarop het ook nog eens stand houd in een rechtzaak.
Ongetwijfeld door te eisen dat een onafhankelijke forensische ICT-specialist de situatie onderzoekt en een oordeel geeft, en het recht voor te behouden dat de verzekeraar zelf zo'n specialist inschakelt om de situatie te onderzoeken. De rechter krijgt dan te maken met partijen die rapporten van experts kunnen overleggen, en dat is iets waar rechters al sinds mensenheugenis mee overweg kunnen. Juridisch is er niets nieuws onder de zon, dus.
22-08-2022, 21:03 door Anoniem
@anoniem van 19:12.

Ik bedoel ermee te zeggen dat dit een manier is om te zeggen dat we zulke grote statelijke cyberaanvalllen zeker kunnen verwachten.
Net als Hollyweird in films doet, kondigt men het als het ware aan.

Ik vermoed een manier om ook een deel van natuurlijk karma te kunnen ontgaan. Ze hebben het toch de gezamenlijke goyim-wereld aangekondigd. Dat bedoelde ik feitelijk met mijn eenregelzinnetje.
23-08-2022, 07:49 door Anoniem
Door Anoniem: Dus over 7 maanden zijn alle cyberverzekeringen nutteloos, omdat ze altijd eronder kunnen komen door te zeggen 'het is rusland, dus staatsaangelegenheid dus oorlog dus get-out-of-paying-free-card voor verzekeringtoko's...

Handig... wel vangen maar niet hoeven betalen als het te erg wordt...
Correct en dan kan je die 1,4 miljard (of een deel ervan), beter stoppen in het op orde brengen van je informatiebeveiliging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.