bron: Security.nl
Lloyd’s stopt volgend jaar dekking voor catastrofale statelijke cyberaanvallen
In veel verzekeringspolissen staat dat schade door oorlogen niet is gedekt. Nu duidelijk is geworden dat Cyberaanvallen zijn uitgevoerd binnen het kader van de oorlog met Oekraine, is Lloyd’s genoodzaakt dergelijke schade standaard uit te sluiten van haar Cyberpolissen.
Verzekeringsmarkt Lloyd’s of London biedt vanaf 31 maart volgend jaar via de standaard cyberpolissen geen dekking meer voor catastrofale statelijke cyberaanvallen.
Lloyd’s of London is een marktplaats waar verzekeringsmakelaars van over de hele wereld rechtstreeks onderhandelen met de verzekeraars (Underwriters) die risicodekking voor hun rekening kunnen nemen.
Vanaf uiterlijk 31 maart 2023 moeten de makelaars aan hun klanten duidelijk maken dat fysieke en/of digitale schade als gevolg van cyberaanvallen niet meer door standaard cyberpolissen wordt gedekt.
Systematisch risico
Lloyd’s of London laat weten dat de schade die statelijke cyberaanvallen kunnen veroorzaken een systemisch risico voor de verzekeringsmarkt kunnen zijn (pdf).
Lloyd’s stelt dat cyberpolissen belangrijk zijn, maar dat die vanwege het veranderende dreigingslandschap op de juiste wijze moeten worden beheerd. “Met name de mogelijkheid van vijandige actoren om een aanval uit te voeren, de mogelijkheid om schadelijke code te verspreiden en de vitale afhankelijkheid die samenlevingen van hun it-infrastructuur hebben, waaronder de bediening van fysieke middelen, houdt in dat verliezen veel groter kunnen zijn dan wat de verzekeringsmarkt aan kan.”
NotPetya (LINK)
Eén van de schadelijkste statelijke aanvallen was die met de NotPetya-malware.
Eerder dit jaar werd bekend dat farmaceutische gigant Merck een rechtszaak tegen de eigen verzekeringsmaatschappij had gewonnen over het vergoeden van de 1,4 miljard dollar schade die het als gevolg van de NotPetya-malware leed. Bij Merck raakten veertigduizend computers met NotPetya besmet, wat voor een schade van 1,4 miljard dollar zorgde.
Het bedrijf had ter bescherming tegen dergelijke schade een verzekering van 1,75 miljard dollar afgesloten. De verzekeringsmaatschappij weigerde echter de schade van Merck te vergoeden, omdat het vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. In die verzekeringspolis was namelijk wel een clausule opgenomen dat schade door oorlogsdaden niet wordt vergoed.
Merck tekende beroep aan. Volgens de farmaceutische gigant ging het namelijk niet om officiële statelijke actie en maakte de clausule geen melding van cyberaanvallen. De rechter was het hiermee eens, aangezien de omschrijving van de clausule alleen over een gewapend conflict gaat en geen melding maakt dat cyberaanvallen niet worden gedekt. Merck had dan ook alle recht om aan te nemen dat de uitzonderingsclausule alleen opging voor traditionele vormen van oorlogsvoering en niet voor cyberaanvallen zoals NotPetya, aldus de rechter.
