Noodzaak voor verzekeraars om duidelijk te zijn over oorlogsdekking

Aan een jarenlange juridische strijd tussen Zürich en Mondelez (producent Oreos) is een einde gekomen. Aanleiding van het geschil was of uitbetaling van een cyberclaim vermeden kon worden vanwege een oorlogsuitsluiting.

Deze zaak benadrukt eens te meer de noodzaak voor verzekeraars om duidelijk te zijn of er wel of geen oorlogsdekking is, aangezien MKB bedrijven steeds vaker een cyberverzekering afsluiten vanwege de oorlog Rusland/Oekraïne.

Zaak Mondelez en Zurich 
In de geruchtmakende zaak van Verzekeraar Zurich en Mondelez International (eigenaar van Cadbury) de multinational achter Oreos, Ritz crackers en tientallen andere snackmerken, is een schikking van 100 miljoen dollar overeengekomen na een jarenlang juridisch geschil over de vraag of Zurich de uitbetaling van een cyberclaim kon vermijden vanwege een oorlogsuitsluiting. De aan Rusland toegeschreven cyberaanval vond plaats in 2017, na de annexatie van de Krim in 2014. Zurich geloofde dat de cyberaanval die aan Rusland werd toegeschreven het een ‘oorlogsdaad’ maakte, wat betekent dat het niet hoefde uit te betalen.
 
NotPetya was een vernietigende aanval die zich voordeed als ransomware en naar verluidt wereldwijd meer dan 10 miljard dollar aan schade heeft veroorzaakt. Hoewel het computers van zijn slachtoffers versleutelde en een eis tot losgeld achterliet, was het niet echt ontworpen om te worden ontsleuteld. De malware gebruikte een exploit waardoor het virus zich automatisch via vertrouwde netwerken kon verspreiden. Het was eerst in de software van een populair Oekraïens boekhoudbedrijf terechtgekomen, maar verspreidde zich al snel buiten Oekraïne en trof tal van andere landen en bedrijven, waaronder Mondelez en Merck. 
 
Verzekeraar Zurich had aanvankelijk geweigerd de schade te dekken voor Mondelez, dat in juridische documenten verklaarde dat het meer dan 1.700 servers en 24.000 laptops waren verloren door de malware.  De zaak tussen de twee was complex omdat Mondelez geen expliciete cyberverzekering had afgesloten, maar een onroerendgoedpolis die volgens haar cyberaanvallen dekte. Zurich stelde in reactie daarop dat de schade veroorzaakt door NotPetya was uitgesloten van deze polis omdat het een ‘vijandige of oorlogszuchtige actie’ was, uitgevoerd door een ‘regering of soevereine macht’.

Duidelijkheid is van cruciaal belang verzekeraars
Door Rusland geïnitieerde cyberaanvallen zouden kunnen leiden tot meer geschillen tussen bedrijven en verzekeraars na de zaak Zürich-Mondelez. Het blijkt dat één op de 10 kleine en middelgrote ondernemingen (MKB) die in 2022 een cyberverzekering heeft afgesloten dit deed uit voorzorg vanwege het conflict tussen Rusland en Oekraïne. Klanten zullen zeker verwachten dat ze worden uitbetaald als ze om deze reden slachtoffer worden van een cyberaanval.
 
De belangrijkste factor voor het afsluiten van een cyberverzekering was het toegenomen thuiswerken tijdens de pandemie (27,0%) - waardoor het cyberrisico voor bedrijven zou zijn toegenomen - en berichten in de media over cyberaanvallen (26,0%) - waardoor het bewustzijn van de gevaren is toegenomen.
 
Het is daarom van cruciaal belang dat verzekeraars heel duidelijk zijn over wat wel en niet gedekt is, aangezien een reeks spraakmakende cyber rechtszaken zeer schadelijk zou zijn voor de sector - vooral na de recente zaken over bedrijfsschade als gevolg van de pandemie. Dergelijke zaken zouden het beeld kunnen versterken dat verzekeraars proberen onder de betaling van claims uit te komen, waardoor het nog moeilijker wordt om klanten te behouden dan nu al het geval is, doordat de sterk gestegen kosten van levensonderhoud een rol speelt.