Ransomware niet gedekt door verzekering, oordeelt rechter VS

De uitspraak die vlak voor de jaarwisseling is gedaan, draait een vorig vonnis door een lagere rechtbank terug. Daar was in deze kwestie eerder bepaald dat ransomware wél gedekt was door de verzekering van EMOI Services (Electronic Medical Office Integration). Die leverancier van factuursoftware voor zorginstanties en medische bedrijven is in september 2019 getroffen door ransomware.

'Geen fysieke schade'

Het Hooggerechtshof van EMOI's thuisstaat Ohio heeft nu dus bepaald dat de daardoor geleden schade niet valt te verhalen op de verzekering. De aanval met malware voor digitale gijzeling heeft weliswaar de software en data van het bedrijf onbruikbaar en ontoegankelijk gemaakt, erkent het hof. Maar er is daarbij geen "directe fysieke schade" toegebracht aan de data en software, voegt het hof toe, waardoor het incident niet wordt gedekt door de verzekering.

EMOI heeft eind 2019 de timing en financiële haalbaarheid van herstel door een extern bedrijf onderzocht en toen besloten het losgeld te betalen. De cybercriminelen die de ICT-omgeving van de softwarefirma hadden versleuteld, vroegen drie bitcoins (toen 35.000 dollar). Voor dat bedrag heeft EMOI een decryptiesleutel gekregen en daarmee de gegijzelde systemen op één na weer ontsleuteld.

Daarna is aangeklopt bij verzekeringsbedrijf Owners, dat de claim echter heeft afgewezen. De jurist van Owners wees daarbij op twee clausules die van toepassing kunnen zijn, om dekking dus af te wijzen. De eerste betreft 'data compromise' waarbij het zou gaan om alleen persoonlijke data en waarbij afpersing zou zijn uitgesloten. De tweede betreft 'electronic equipment' waarbij fysiek verlies of beschadiging van elektronische apparatuur en media kunnen worden vergoed.

Kantelpunt

Ondanks die schijnbaar duidelijke beschrijvingen in de verzekeringspolis wilde EMOI toch aanspraak maken. Dat leek even succesvol; met de vorige uitspraak door het hof van beroep. De ronde daarna voor het Hooggerechtshof van Ohio heeft dat succes echter weer teniet gedaan. Amerikaanse juristen en advocatenkantoren zien hierin een kritiek kantelpunt voor de heikele kwestie van (toenemende) digitale afpersingsaanvallen en de mate van verzekeringsdekking daarvoor. Het dringende advies is nu om bestaande polissen goed door te nemen.