Technologie22 feb '22 23:48Aangepast op 24 feb '22 05:08

'Verzekeraars keren mogelijk niet uit bij Russische cyberaanval'

Auteur: Wesley Weerts

Nederlandse bedrijven lopen het risico dat hun verzekeraar niet uitkeert bij een cyberaanval door Russische hackers. Dat zeggen experts op het gebied van cyberbeveiliging en -verzekeringen tegen BNR. Verzekeraars kunnen zo'n aanval als oorlogsdaad bestempelen waardoor ze niet hoeven te betalen.

'Als er een virus uit Rusland komt, gericht is op Oekraïne en schade aanricht in West-Europa is de kans groot dat verzekeraars zeggen: dat risico ligt niet bij ons', zegt Job Kuijpers, ceo van cybersecuritybedrijf EYE en oud-directeur cyber security bij inlichtingendienst AIVD. 'Je komt in een grijs gebied waarin onduidelijk is wat verzekeraars gaan doen.'

Zo werd Oekraïne in 2017 getroffen door cyberaanval NotPetya. Dat virus maakte ook in het buitenland slachtoffers. Het legde wereldwijd computersystemen van multinationals plat, onder andere die van de Amerikaanse farmaceut Merck. De verzekeraar weigerde de schade te vergoeden omdat die vond dat de NotPetya-aanval een oorlogsdaad van Rusland tegen Oekraïne was. Merck stapte daarop naar de rechter.

Dunne scheidslijn

Maar ook als Russische hackers direct een aanval uitvoeren op Nederlandse bedrijven is sprake van een dunne scheidslijn, zegt Kuijpers. 'De ene keer zijn ze voor de overheid aan het werk, de andere keer werken ze voor zichzelf. Wanneer is er sprake van oorlogsvoering en wanneer van een puur criminele daad?' Daarover moet de rechter zich buigen.

Het is moeilijk om vast te stellen wat een oorlogsdaad is en wat niet, erkent Dave Maasland van IT-beveiligingsbedrijf ESET. Ook hij ziet dat verzekeraars bij schade door oorlog niet altijd uitkeren: 'Juist die onzekerheid maakt het lastig voor bedrijven.' Volgens Maasland kunnen de sancties tegen Rusland leiden tot een toename van digitale aanvallen. 'Het verhoogt ons risicoprofiel. Als je ons vanaf een afstand wil raken zijn digitale aanvallen een handig middel, waar je je goed achter kunt verschuilen.'

Uitzondering op uitzondering

In de polisvoorwaarden van cyberverzekeringen staat nu vaak dat oorlogssituaties zijn uitgesloten, zegt Marie-Louise de Smit van risico- en verzekeringsadviseur Aon. Al zijn er volgens haar verzekeraars die een uitzondering maken voor cyberterrorisme: 'Dan staat er dat er geen dekking is voor schade die voortvloeit uit oorlogsoperaties, tenzij dit cyberterrorisme betreft.'

Maar dit soort uitzonderingen zie je vaak alleen bij grote bedrijven, weet Kuijpers van cyberbedrijf EYE. 'Denk aan de Shells en ASML's van deze wereld, die dwingen hun polisvoorwaarden af. Mkb-bedrijven kunnen dat niet.'

Als het aantal aanvallen verder toeneemt is het volgens cyberexpert Tom Rijgersberg van Meijers Assurantiën aannemelijk dat verzekeraars zichzelf 'meer gaan beschermen door extra clausules te introduceren die dekking uitsluiten'.

Gerelateerde artikelen