Het Amerikaanse voedingsmiddelenconcern Mondelez spant een zaak aan tegen zijn verzekeringsmaatschappij Zurich. Deze wil niet opdraaien voor een schadevergoeding van honderd miljoen dollar, omdat Rusland waarschijnlijk achter de NotPetya-aanval zit. Dit is wellicht de eerste keer dat een verzekerde zijn verzekeraar aanklaagt over een schadeclaim na een cyberaanval door een 'staatsactor'.
Mondelez is producent van onder meer Oreo-koekjes en Cadbury-chocola. De multinational was in 2017 tweemaal doelwit van NotPetya, een hardnekkige en snel verspreidende encryptiemalware die it-systemen platlegt en de bedrijfsvoering daardoor verhindert.
De schade bij de onderneming was aanzienlijk. 1700 servers en 24.000 laptops konden ineens en permanent niet meer worden worden gebruikt, schrijft de Financial Times op basis van stukken die bij rechtbank zijn ingediend. Het bedrijf schat de financiële schade op honderd miljoen dollar.
Verzekeringsvoorwaarden
Op basis van de schade sprak Mondelez zijn verzekering aan voor een vergoeding. In de verzekeringspolis staat een passage over vergoeding bij fysiek verlies of schade aan elektronische gegevens en software. Zelfs fysieke schade door schadelijke softwarecode of instructies zou zijn gedekt.
In eerste instantie beloofde verzekeraar Zurich een tussentijdse uitkering van tien miljoen dollar. Deze belofte werd later ingetrokken. Toen bleek namelijk dat de ransomware-aanvallen zeer waarschijnlijk zijn uitgevoerd in opdracht van Rusland, iets wat het Kremlin overigens ontkent. Mondelez vindt het onbegrijpelijk dat Zurich niet wil uitkeren.
Vijandige actie door landen
Veel verzekeringsmaatschappijen sluiten uitkering uit als er sprake is van vijandige of oorlogsgerelateerde acties door landen of individuen die ze uitvoeren in opdracht van een land.
Veel juristen zullen de rechtszaak tussen Mondelez en Zurich met veel interesse volgen. Het is de eerste keer dat een rechter moet oordelen over wie het financieel risico draagt bij schade door cyberaanvallen door staatsactoren: de verzekeraar of de gedupeerde. Als Mondelez de zaak wint, verwachten experts dat verzekeraars wereldwijd hun voorwaarden zullen aanscherpen.
Consternatie
NotPetya zorgde in 2017 wereldwijd voor veel consternatie. Behalve Mondelez werden onder meer ook farmaceut Merck, scheepvaartmultinational Maersk en consumptiegoederenfabrikant Reckitt Benckiser slachtoffer.