Verzekeringsmaatschappij Ace American Insurance moet 1,4 miljard dollar schade die de farmaceutische gigant Merck leed door de NotPetya-aanval vergoeden, zo heeft een Amerikaans Hof van beroep bepaald, die daarmee de beslissing van een lagere rechtbank overneemt (pdf). Bij de aanval met de NotPetya-malware raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers.

Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed.

Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om een officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.

Ace American Insurance ging tegen de uitspraak in beroep, maar vangt opnieuw bot. Volgens het Hof van beroep is de NotPetya-aanval niet voldoende gelinkt aan een militaire actie of doel, aangezien het een niet-militaire aanval tegen een leverancier van boekhoudsoftware was. De uitzonderingsclausule die de verzekeringsmaatschappij hanteert kan dan ook niet op de schade van Merck worden toegepast, aldus het vonnis.