Chemiebedrijf Merck krijgt schade door ransomware terug van verzekeraars
Een aantal Amerikaanse verzekeringsmaatschappijen moeten 1,4 miljard dollar uitkeren aan het chemiebedrijf Merck. Aanleiding is een aanval met de ransomware NotPetya in 2017, waardoor het bedrijf honderden miljoenen dollars schade leed.
Merck maakte na de aanval aansprak op polissen die het bij verschillende verzekeraars had afgesloten. In totaal zou hiermee tot 1,75 miljard dollar worden uitgekeerd bij een cyberaanval, waarbij Merck een eigen risico had van 150 miljoen dollar.
Verzekeraars: aanval was een oorlogsdaad
Na de aanval weigerden de verzekeraars echter om 700 miljoen dollar van dit bedrag uit te keren. Zij stellen dat de aanval met NotPetya een oorlogsdaad is, waarvoor in de polissen uitzonderingen zijn opgenomen. Dit aangezien NotPetya door beveiligingsexperts is toegeschreven aan de Russische militaire inlichtingendienst GROe. Dit zou de ransomware hebben willen inzetten in het conflict in Oekraïne, waar het toen nog niet officieel bij betrokken was.
De zaak heeft tot een langlopend juridische proces geleid. Een rechter stelde Merck in januari 2022 al in het gelijk, maar de verzekeraars gingen hiertegen in beroep. Nu stelt ook het Amerikaanse gerechtshof Merck in het gelijk en moeten de verzekeraars 1,4 miljard dollar betalen aan Merck.
De rechtbank oordeelt onder meer dat NotPetya onvoldoende gelinkt kan worden aan een militaire actie. Dit aangezien de cyberaanval gericht was tegen een leverancier van boekhoudsoftware. De verzekeraars hebben dan ook onvoldoende aangetoond dat de aanval onder de uitzonderingen vallen die in de polissen zijn opgenomen.
