Over de fouten van Crowdstrike die een week geleden voor wereldwijde chaos en schade leidde gaat nog heel veel geschreven worden. Er is zo veel fout gegaan, de schade was zo groot dat het ook niet anders kan dat er rechtszaken gaan volgen.
Een Amerikaans beursgenoteerd bedrijf zonder uitgebreide aansprakelijkheidsverzekering: dat bestaat niet. Amerikaanse bestuurders zonder een breed verzekeringspakket is eveneens onmogelijk. Dus Crowdstrike zal op korte termijn in overleg moeten treden met de verzekeraars.
Claims
Die claim kan met zekerheid worden opgeschreven. We weten nu al dat Delta Airlines een substantieel deel van de geleden schade, en dat gaat over honderden miljoenen Dollars, vergoed wil zien. Een tweede groep die zich al gemeld heeft met claims zijn groepen aandeelhouders. In ieder geval gaan die de strijd om compensatie voeren op grond van “misleading information about its testing practices prior to the outage.” (bron: reuters)
Zodra de eerste “boze brief” van een advocaat binnen is moet Crowdstrike op het gelijke niveau gaan communiceren. Dus ook kosten maken en daar wordt het direct spannend. Niemand weet zeker of de verzekeraars voorschotten gaan verstrekken zonder eisen vooraf.
Voorzichtigheid van de kant van verzekeraars is te begrijpen, helemaal in dit geval. De omvang van de ellende was ongekend groot. Er is geen sprake van een cyberaanval, dus alle ervaring rond het behandelen en toekennen van claims die daarmee zijn gemaakt (Not Petya!) is niet relevant.
Dit is echt nieuw onontgonnen terrein en op het eerste gezicht is dat niet een wedstrijd waarbij de partijen even sterk uit de startblokken komen. De oorzaak van de ellende is bekend en toegegeven. Menselijke fout, geen controle, geen roll-back draaiboek dat effectief was.
Wie een autobotsing veroorzaakt door het niet verlenen van voorrang en een allrisk heeft weet zeker dat zijn premie het volgend jaar flink omhoog gaat. Als het ongeluk is veroorzaakt omdat er ook alcohol in het spel is kan op zoek gaan naar een nieuwe verzekeraar en er is geen 100% garantie voor vergoeding voor de schade. De reden: het gedrag van de verzekerde wijst op nalatigheid en eigen schuld.
Verzekeraars gaan doorlichten
Die twee verwijten – maar dan vertaald naar Amerikaans recht – zullen er voor kunnen zorgen dat de verzekeringen een deel van de claims en bestuurders zal gaan afwijzen. Het punt waar het om gaat is echter niet dat Crowdstrike zelf voor de kosten van fouten mag gaan opdraaien en dat ook daar weer aandeelhouders boos om zullen worden. Waar het wel om gaat is dat elke verzekeraar door deze case de klanten moet gaan doorlichten. Hoeveel bedrijven in cybersecurity is een risico voor de verzekeraars?