Is schade door een cyberaanval als oorlogsdaad gedekt onder de cyberverzekering?
Cyberaanvallen komen steeds vaker voor. Maar hoe zit het eigenlijk als hackers vanuit het buitenland uw bedrijfssystemen aanvallen namens de overheid van het land? Valt deze digitale oorlogsvoering onder de dekking van uw cyberverzekering? Als voorbeeld nemen we de zogenaamde NotPetya-aanval in 2017 die wereldwijd veel schade heeft veroorzaakt en de daarop volgende rechtszaak tussen voedingsbedrijf Mondelez (o.a. Côte d'Or chocolade) en haar verzekeraar Zurich.
De claim
Mondelez diende een claim in van EUR 100.000.000 op haar property-polis (ander dan de cyberverzekering een verzekering tegen materiele schade) bij Zurich.
Zurich heeft de claim afwezen onder verwijzing naar de volgende clausule:
“B. This Policy excludes loss or damage directly or indirectly caused by or resulting from any of the following regardless of any other cause or event, whether or not insured under this Policy, contributing concurrently or in any other sequence to the loss:
2) a) hostile or warlike action in time of peace or war, including action in hindering, combating or defending against an actual, impending or expected attack by any:
(i) government or sovereign power (de jure or de facto);
(ii) military, naval, or air force; or
(iii) agent or authority of any party specified in i or ii above.”
Volgens Zürich is zij van de haak voor elke betaling van de claim als NotPetya eigenlijk “a hostile or warlike action in time of peace or war” was. Volgens Zürich is de NotPetya-cyberaanval ontstaan door Russische hackers die rechtstreeks met de Russische regering samenwerkten om Oekraïne te destabiliseren. Dit is wat Zürich in gedachten heeft wanneer het zich beroept op 'cyberoorlog' om de claim te betalen.
Ter ondersteuning van haar zaak verwijst Zurich naar de officiële verklaringen van nationale veiligheidsfunctionarissen van de Britse, Canadese en Australische regeringen, die Rusland de schuld gaven van de cyberaanval in februari 2018. Ook het Witte Huis stelt dat de cyberaanval deel uitmaakte van de inspanningen van het Kremlin om de Oekraïense regering te destabiliseren. Bovendien merkten al deze westerse regeringen specifiek op dat de eerste NotPetya-aanval plaatsvond in Oekraïne voordat deze zich over de hele wereld verspreidde om bedrijven zoals Mondelez te treffen.
Verzekeraar moet gelijk bewijzen
Voorlopig lijkt het momentum in het voordeel van Mondelez te zijn. De bewijslast ligt bij de verzekeringsmaatschappij. Zürich zal dus moeten bewijzen dat NotPetya aanval inderdaad een cyberoorlog was. Dat is lastig vast te stellen. Het is namelijk moeilijk om de oorsprong van een hackeraanval op een willekeurig computersysteem te achterhalen. Hoewel inlichtingendiensten Rusland de schuld gaven voor de aanslagen, hebben ze tot op heden geen hard bewijs geleverd.
In Nederland zal een dergelijke discussie niet snel spelen. De door mij geraadpleegde polisvoorwaarden bevatten namelijk de volgende uitsluiting:
“Oorlog"
Een gewapend conflict, burgeroorlog, opstand, binnenlandse onlusten, oproer en muiterij. Deze begrippen zijn gedefinieerd in de tekst die door het Verbond van Verzekeraars d.d. 2 november 1981 is gedeponeerd ter Griffie van de Arrondissementsrechtbank te ’s-Gravenhage”
Het zal u niet verbazen dat in 1981 niet is nagedacht over een cyberaanval en slechts is aangesloten op fysieke gevechten of andere situaties die daar op lijken.
Mogelijk dat in de toekomst wordt aangesloten bij een meer eigentijdse versie van omschrijving van ‘oorlog’ in de cyberverzekering. Ook dan blijft er sprake van een uitsluiting en moet de verzekeraar bewijzen dat sprake is van een aanval door een vijandige natie.