Merck schikt met verzekeraars over miljoenenschade NotPetya-aanval
De farmaceutische gigant Merck heeft met verschillende verzekeraars geschikt over de miljoenenschade die het door de NotPetya-aanval leed en die de verzekeraars niet wilden vergoeden. Bij de aanval met de NotPetya-malware in 2017 raakten computers via een malafide update van het Oekraïense softwarebedrijf M.E.Doc besmet. NotPetya deed zich voor als ransomware, maar had als enig doel het saboteren van computers.
Bij Merck raakten veertigduizend computers met NotPetya besmet, wat volgens het bedrijf voor een schade van 1,4 miljard dollar zorgde. Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. Een deel van de betrokken verzekeringsmaatschappijen weigerden echter de schade van Merck te vergoeden, omdat ze vonden dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In de verzekeringspolis was een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed.
Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om een officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. Vorig jaar kreeg het bedrijf van een Amerikaanse rechter gelijk, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.
Meer dan dertig verzekeringsmaatschappijen waren in eerste instantie bij de zaak betrokken. Het grootste deel daarvan heeft inmiddels hun claims met Merck afgehandeld. Acht verzekeringsmaatschappijen weigerden dit en wilden een bedrag van 700 miljoen dollar niet vergoeden. Deze partijen trokken zoals gezegd vorig jaar aan het kortste eind. De verzekeraars tekenden echter beroep aan bij het Supreme Court van de Amerikaanse staat New Jersey. Er zal echter geen uitspraak volgen, want de partijen zijn nu een schikking overeengekomen. Details zijn niet bekendgemaakt, meldt Bloomberg Law.
technerd denkt dat ie iets bedacht heeft dat zou kunnen werken wat de juristen van verzekeraars nog niet bedacht hebben ??
Gewoon - gaat niet gebeuren. De verzekeraar en de klant zijn de enige contract partijen . Verzekaar kan helemaal geen derde partij , niet betrokkken bij het contract ,"in gebreke stellen" .
Verzeraar verzekert - en heeft uitsluitingen (klant moet de boel op slot doen, niet dronken geweest zijn tijdens rijden etc).
De verzekeraar kan of zal misschien eisen dat de klant bepaalde maatregelen neemt - net zoals ze doen bij fysieke inbraak. Naarmate de waarde hoger wordt, worden de eisen strenger (alarm, bewakers etc)
technerd denkt dat ie iets bedacht heeft dat zou kunnen werken wat de juristen van verzekeraars nog niet bedacht hebben ??
Gewoon - gaat niet gebeuren. De verzekeraar en de klant zijn de enige contract partijen . Verzekaar kan helemaal geen derde partij , niet betrokkken bij het contract ,"in gebreke stellen" .
Verzeraar verzekert - en heeft uitsluitingen (klant moet de boel op slot doen, niet dronken geweest zijn tijdens rijden etc).
De verzekeraar kan of zal misschien eisen dat de klant bepaalde maatregelen neemt - net zoals ze doen bij fysieke inbraak. Naarmate de waarde hoger wordt, worden de eisen strenger (alarm, bewakers etc)
Wat ik wel eens heb begrepen is dat een verzekeraar verhaalschade kan eisen. Zij het bij de dader zij het bij de gebrekige 3de partij die voor veiligheid zorgt. ( Degene die bv voor camerabewaking zorgt waar toevalig storing is)
technerd denkt dat ie iets bedacht heeft dat zou kunnen werken wat de juristen van verzekeraars nog niet bedacht hebben ??
Gewoon - gaat niet gebeuren. De verzekeraar en de klant zijn de enige contract partijen . Verzekaar kan helemaal geen derde partij , niet betrokkken bij het contract ,"in gebreke stellen" .
Verzeraar verzekert - en heeft uitsluitingen (klant moet de boel op slot doen, niet dronken geweest zijn tijdens rijden etc).
De verzekeraar kan of zal misschien eisen dat de klant bepaalde maatregelen neemt - net zoals ze doen bij fysieke inbraak. Naarmate de waarde hoger wordt, worden de eisen strenger (alarm, bewakers etc)
joh als het maar om genoeg geld gaat, dan zal verzekeraar gewoon niet meer die systemen verzekeren waarvan zij het risico te hoog vinden. ronde een in het spel is wel verzekeren geld inhalen en bij te veel claims recht zaakjes doen [die fase zitten we nu in] en dan komt ronde 2 waarbij je geen betaalbare verzekering meer kan krijgen als je systemen te hoge risico hebben. echter in ronde 1 bij recht zaakjes kan verzekeraar een deel van de schuld proberen te leggen bij klant en systeem leverancier als ze vinden dat die zwaar in gebreke is. niet geschoten is altijd mis en verzekeraars doen dit vanuit een business model.
maar goed, je had ook wel anders kunnen reageren nietwaar? minder denigrerend.
technerd denkt dat ie iets bedacht heeft dat zou kunnen werken wat de juristen van verzekeraars nog niet bedacht hebben ??
Gewoon - gaat niet gebeuren. De verzekeraar en de klant zijn de enige contract partijen . Verzekaar kan helemaal geen derde partij , niet betrokkken bij het contract ,"in gebreke stellen" .
Verzeraar verzekert - en heeft uitsluitingen (klant moet de boel op slot doen, niet dronken geweest zijn tijdens rijden etc).
De verzekeraar kan of zal misschien eisen dat de klant bepaalde maatregelen neemt - net zoals ze doen bij fysieke inbraak. Naarmate de waarde hoger wordt, worden de eisen strenger (alarm, bewakers etc)
joh als het maar om genoeg geld gaat, dan zal verzekeraar gewoon niet meer die systemen verzekeren waarvan zij het risico te hoog vinden. ronde een in het spel is wel verzekeren geld inhalen en bij te veel claims recht zaakjes doen [die fase zitten we nu in] en dan komt ronde 2 waarbij je geen betaalbare verzekering meer kan krijgen als je systemen te hoge risico hebben.
Natuurlijk. In de kern is verzekeren gemiddeld wat meer premie binnenhalen dan je uitkeert aan claims.
Dat kan prima zolang het gemiddelde risico in te schatten is . En "extreme" gevallen uitgesloten zijn - de molest clausule (oorlog , gewapende opstand, 'kernreacties' ).
echter in ronde 1 bij recht zaakjes kan verzekeraar een deel van de schuld proberen te leggen bij klant en systeem leverancier als ze vinden dat die zwaar in gebreke is. niet geschoten is altijd mis en verzekeraars doen dit vanuit een business model.
De verzekeraar is wel partij met z'n klant - en kan dus proberen de claim af te wijzen.
En (secundair) normen opstellen : "UL labs" - Underwriter labs - is begonnen als test/certificatie bedrijf van brandverzekeraars .
Precies om risico's te beperken/inzichtelijk te houden - en niet (meer) aansprakelijk voor schade te zijn als de apparatuur te slecht was . (nl 'niet UL certified' ) .
Rechtstreeks een leverancier (of werknemer, of whatever) van de klant aanspreken door een verzekeraar ken ik geen voorbeelden van - en er is toch een ruime geschiedenis van verzekeraars en grote claims.
maar goed, je had ook wel anders kunnen reageren nietwaar? minder denigrerend.
de stellende vorm van amateurs die het beter denken weten is bijzonder arrogant .
er van uit gaan dat jij het wel allemaal beter weet en goed gelezen hebt en niet wat over het hoofd gezien hebt is nog arroganter.
https://www.ictrecht.nl/blog/nieuwe-regels-voor-productaansprakelijkheid-ook-voor-ai
99% is het een verkeerde configuratie, slechte monitoring en verouderde software.
Voordat de verzekeraars het op de kwaliteit van de software kunnen gooien zullen ze eerst moeten onderzoeken of die klant niet zelf een potje van zijn IT heeft gemaakt. Een ingebrekestelling van een softwareleverancier zal geen succes hebben als ze bij het eerste het beste weerwoord met hun mond vol tanden staan omdat ze dat hebben overgeslagen.
Ik denk al met al niet dat dit speelt.
En als het toch wel speelt, wat dan nog? Dan kan het zijn dat de verzekeraars gelijk krijgen en heb je een softwareleverancier die aan een betere robuustheid moet werken, wat niet slecht zou zijn; of de verzekeraars krijgen ongelijk en dan verandert er eigenlijk geen donder. En het zou allemaal tergend langzaam verlopen, want beide partijen kunnen legers advocaten in stelling brengen die er een heel complexe zaak van maken. Ondertussen draait de wereld gewoon door.
Voordat de verzekeraars het op de kwaliteit van de software kunnen gooien zullen ze eerst moeten onderzoeken of die klant niet zelf een potje van zijn IT heeft gemaakt. Een ingebrekestelling van een softwareleverancier zal geen succes hebben als ze bij het eerste het beste weerwoord met hun mond vol tanden staan omdat ze dat hebben overgeslagen.
Ik denk al met al niet dat dit speelt.
En als het toch wel speelt, wat dan nog? Dan kan het zijn dat de verzekeraars gelijk krijgen en heb je een softwareleverancier die aan een betere robuustheid moet werken, wat niet slecht zou zijn; of de verzekeraars krijgen ongelijk en dan verandert er eigenlijk geen donder. En het zou allemaal tergend langzaam verlopen, want beide partijen kunnen legers advocaten in stelling brengen die er een heel complexe zaak van maken. Ondertussen draait de wereld gewoon door.
tijden veranderen: https://www.leve.nl/eu-richtlijn-productaansprakelijkheid-kan-verzekeringen-vergaand-veranderen/
99% is het een verkeerde configuratie, slechte monitoring en verouderde software.
De gebruiker kiest zelf de software na "uitgebreid" onderzoek naar toepasbaarheid, geschiktheid, dat is inclusief veiligheid.
De gebruiker blijft aansprakelijk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
