Beroep op oorlogsuitsluiting na cyberaanval slaagt niet, verzekeraars moeten ruim miljard aan schade uitkeren

Feiten

De feiten in de uitspraak van de Appelate Division van het Superior Court of New Jersey van 1 mei 2023 illustreren de ongekende snelheid en kracht waarmee een cyberaanval een bedrijf kan treffen, zelfs als de aanval niet direct op dat bedrijf gericht was. Het NotPetya virus was in eerste instantie gericht op de computersystemen van een Oekraïens bedrijf dat accounting software ontwikkelde, maar heeft zich over heel de wereld verspreid.  

Binnen 90 seconden na de eerste besmetting met het NotPetya virus waren ongeveer 10.000 computers van Mercks wereldwijde netwerk geïnfecteerd; na vijf minuten waren dat al 20.000 computers. Uiteindelijk werden 40.000 computers in het netwerk van Merck geraakt, waardoor de gehele bedrijfsvoering van Merck werd onderbroken. De totale schade van Merck zou circa 1,4 miljard dollar bedragen.

Dekking en uitsluiting van schade in verzekeringspolissen

Voor schade als gevolg van cyberaanvallen en netwerkincidenten bestaan aparte cyberverzekeringen. Daarnaast bieden traditionele verzekeringen, zoals een property polis, soms ook (gedeeltelijk) dekking voor dergelijke schade. Merck had bij ruim 20 verzekeraars een allrisk property polis, die ook (expliciet) dekking bood voor schade aan computers, data en software:

“This policy insures against all risks of physical loss or damage to property, not otherwise excluded in this policy […]. Physical loss of damage shall include any destruction, distortion or corruption of any computer data, coding, program of software except as excluded specifically […].”

Zowel stand-alone cyberverzekeringen als traditionele property polissen bevatten vrijwel altijd een (standaard) uitsluiting voor schade die het gevolg is van bijvoorbeeld oorlog. Dat was ook in de polissen van Merck het geval:

“This policy does not insure against: Loss or damage caused by hostile or warlike action in time of peace or war […],

(a) by any government or sovereign power […] or by any authority maintaining or using military, naval, or air forces;

(b) or by military, naval, or air forces;

(c) or by an agent of such government, power, authority, or forces […].”

Het uitsluiten van oorlogsschade door verzekeraars gebeurt veelvuldig. In sommige landen, waaronder Nederland, is het verzekeren daarvan zelfs verboden (althans slechts onder specifieke omstandigheden toegestaan, zie artikel 3:38 Wft). De ratio van het uitsluiten van oorlogsrisico’s is dat verzekeringsdekking voor oorlogsschade onaanvaardbare financiële risico’s voor verzekeraars met zich brengen. Bij oorlog kan de schade immers zodanig groot zijn dat de verzekeraar in financiële problemen kan komen. De oorzaak van de schade is bovendien buitengewoon, wat het moeilijk maakt om het risico te voorspellen. Oorlogsschade is dus in beginsel niet verantwoord te verzekeren.

Cyberaanval een act of war/hostile act?

De verzekeraars van Merck hebben dekking geweigerd met een beroep op deze war exclusion, omdat de NotPetya-aanval door de Russische overheid zou zijn gebruikt als instrument in het conflict met Oekraïne. Volgens de verzekeraars was daardoor sprake van een hostile or warlike action. Merck betwistte dat en stelde dat simpelweg sprake was van ransomware, waarvan de schade was gedekt onder de polis.

Het is in principe aan de verzekeringnemer om aan te tonen dat sprake is van een gedekt evenement. Indien dat het geval is, maar de verzekeraar weigert uitkering vanwege een uitsluiting, dan rust de bewijslast daarvan op de verzekeraar. De verzekeraars dienden dus aan te tonen dat de NotPetya-aanval een hostile of warlike action was, door (kort gezegd) een statelijke actor en militaire middelen.

In mijn boek De cyberverzekering vanuit civielrechtelijk perspectief (Nijmegen: Wolters Kluwer 2021) en in het Nederlandse tijdschrift AV&S (N.M. Brouwer, ‘Hoog tijd voor modernisering: molest en terrorisme in het kader van de cyberverzekering’, AV&S 2020/33, p. 200-210) beschreef ik eerder uitgebreid dat en waarom het onduidelijk is in hoeverre cyberaanvallen als ‘oorlogshandelingen’ (of in Nederlandse polissen: ‘molest’) kunnen worden aangemerkt en daarmee van verzekeringsdekking zijn uitgesloten. Een van de kernproblemen daarbij is dat de in verzekeringspolissen gehanteerde begrippen zijn gebaseerd op traditionele vormen van oorlog en conflict, waarvan een redelijk beeld bestaat wat men daarmee bedoelt. Hoe het digitale domein – en dus cyberaanvallen – zich tot traditionele vormen van oorlog verhoudt, is echter niet duidelijk. Wanneer is een digitaal middel bijvoorbeeld een wapen, of zelfs een militair machtsmiddel? Bij digitale middelen vervaagt de exclusiviteit van wapens en machtsmiddelen, wat het lastig maakt om daaraan in de context van oorlog en conflict heldere duiding te geven. Bij cyberaanvallen bestaan bovendien problemen rondom het daderschap: het is bijvoorbeeld moeilijk om de aanval te attribueren aan een statelijke actor, onder meer omdat de daders veelal anoniem blijven. Het probleem van attributie is nog altijd niet opgelost en helaas biedt ook deze Merck-uitspraak daar geen uitsluitsel over.

Naast het vraagstuk van attributie vormen ook de factoren doelwit en intentie knelpunten rondom het daderschap. Eigen aan cyberaanvallen is dat het effect daarvan zich veel verder kan uitstrekken tot enkel het beoogde slachtoffer: de getroffen partijen staan vaak ver af van het daadwerkelijke, oorspronkelijke doelwit van de dader. Daarin verschillen cyberaanvallen van fysieke aanvallen. Anders dan fysieke aanvallen houden cyberaanvallen zich niet aan afgebakende, en daarmee min of meer voorspelbare zones. Dit was bij NotPetya heel duidelijk het geval: deze aanval raakte bedrijven over heel de wereld die niets – ook niet toevalligerwijs qua locatie – te maken hadden met het initiële doel in Oekraïne. Er bestaat dus geen enkel noodzakelijk verband en nauwelijks begrenzing tussen het (initieel) beoogde doelwit en de verzekerde bedrijven die slachtoffer zijn geworden, anders dan dat er bijvoorbeeld bepaalde software wordt gebruikt. 

In mijn eerdere bijdrage in AV&S schreef ik dat in die situatie vanuit het perspectief van de verzekerde dekkingsweigering wegens een act of war al snel lijkt te wringen. Het is dan ook niet verrassend dat Merck de dekkingsweigering van de verzekeraars niet accepteerde, en waarin zij in twee instanties van de rechter gelijk heeft gekregen.

Het oordeel van de rechtbank en het hof in de zaak Merck

Zowel in eerste aanleg als in hoger beroep legt de rechter de war exclusion uit. Gelet op de duidelijke bewoordingen (plain language) van de clausule en de context en geschiedenis van de toepassing daarvan, acht de rechter onvoldoende aangetoond dat in dit geval sprake was van een hostile of warlike action. Volgens de Superior Court dient daarvoor, mede gelet op de geschiedenis van de war exclusion, sprake te zijn van een militaire actie en dat blijkt bij NotPetya onvoldoende: de aanval was gericht op een niet-militair bedrijf (non-military company) dat software ontwikkelt voor commerciële doeleinden en niet-militaire afnemers (non-military consumers). Belangrijk is dat de Superior Court daaraan toevoegt dat een militaire actie reeds daaruit onvoldoende blijkt, ongeacht of de aanval is geïnitieerd door een private partij of een overheid of soevereine macht (government or sovereign power). De rechter lijkt daardoor meer nadruk te leggen op het doelwit en minder op de identiteit en/of de intentie van de dader. Dit oogt paradoxaal: de nadruk op het militaire karakter dat van een warlike of hostile act dient uit te gaan, impliceert betrokkenheid van een statelijke actor – dat vereist de polisclausule ook. Dat lijkt de rechter nu toch enigszins weg te wuiven.

Daarnaast is in mijn ogen wel opmerkelijk dat de rechter vrij strikt kijkt naar de geschiedenis van de war exclusion en eerdere case law daaromtrent. Gelet op het feit dat cyberaanvallen relatief nieuw zijn, komt dat in eerdere case law logischerwijs niet voor. Een strikte interpretatie daarvan miskent dat de huidige maatschappij sterk is gedigitaliseerd en dat dit tevens doorwerkt in vormen van oorlogsvoering.

Op grond van de uitleg van de war exclusion stelt dus ook de Superior Court Merck in het gelijk. De verzekeraars zullen de schade daarom moeten vergoeden. Zij hebben echter nog wel de mogelijkheid om zich tot het New Jersey Supreme Court te wenden. Gelet op het fundamenteel karakter van de voorliggende vraag, ligt dat wel voor de hand.

Wat leert de Merck uitspraak ons?

De verzekeraars hadden de Superior Court verzocht om zich uit te laten over de vraag welke soorten cyberaanvallen onder de war exclusion zouden vallen. Deze verduidelijking blijft uit. Wel weten we dat de rechter veel waarde hecht aan militaire karakter dat een aanval moet hebben om als warlike of hostile act te kwalificeren. De Merck uitspraak geeft evenmin weinig richting op het vlak van attributie. Dat is jammer, want zoals genoemd zijn dat prangende vragen. Er zijn inmiddels verwoede pogingen gedaan om daarover meer helderheid en handvatten te bieden, bijvoorbeeld in de modelclausules van Lloyd’s of London. Ook daarover bestaan echter nog altijd veel vragen, bijvoorbeeld over de betekenis van het begrip ‘major detrimental impact to the functioning of the state’ (zie ook dit nieuwsbericht).

Het oordeel van het Superior Court in de zaak Merck illustreert het belang voor verzekeraars bij meer helderheid over de invulling en afbakening van de war exclusion in de 21e eeuw. In Nederland is een soortgelijke discussie over de molestclausule eveneens zeer wel denkbaar. Zowel voor verzekeraars als verzekerden is het van belang dat hierover duidelijkheid bestaat, zodat beide partijen bij grote cyberaanvallen weten waar ze aan toe zijn en verzekeraars geen onverantwoorde financiële risico’s lopen.