V.5.3.1 Statelijke actoren en georganiseerde partijen: dader, doelwit en intentie

Traditionele opvattingen van molest veronderstellen een bepaalde mate van geweld door of tegen een staat of het openbaar gezag. De betrokkenheid van een staat is dan ook, zeker bij de molestvorm gewapend conflict, een vereiste.

Uit het Cybersecuritybeeld Nederland 2019 en het advies van de Wetenschappelijke Raad voor het Regeringsbeleid blijkt in een digitale context dat de grootste dreiging afkomstig is van statelijke actoren.1 Dit vormt een aanknopingspunt om cyberaanvallen als molest te kunnen kwalificeren. Toch is het bij cyberaanvallen lang niet altijd mogelijk om de herkomst van de aanval te achterhalen of de aanval aan een bepaalde staat of partij toe te schrijven. De locatie van de computers vanaf waar de aanval plaatsvindt, is in dat verband weinigzeggend.2 Dit probleem van attributie is een veelbesproken onderwerp in het internationaal humanitair recht.3

Ook voor verzekeraars, op wie de bewijslast van de uitsluiting rust, is dit een problematisch gegeven. Het de vraag of zij in voldoende mate kunnen aantonen dat de schade is ontstaan door een conflict tussen staten. Een constatering van een opsporingsinstantie, zoals de CIA, zou daarbij behulpzaam kunnen zijn. Het valt echter te betwijfelen of dat voldoende bewijs vormt in verzekeringsrechtelijke zin, zeker als de beschuldigde partij ontkent en de internationale gemeenschap – al dan niet om politieke of diplomatieke redenen – geen verdere maatregelen treft. De WRR heeft in zijn regeringsadvies opgemerkt dat, met het oog op de ontwikkeling van de cyberverzekeringsmarkt, de Nederlandse overheid terughoudend zou moeten zijn met het typeren van cyberaanvallen als oorlogshandelingen.4 Daar staat tegenover dat dergelijke kwalificaties door met name de overheid juist zouden kunnen voorzien in een behoefte van de cyberverzekeringsmarkt aan meer duidelijkheid over de grenzen van de verzekerbaarheid van cyberrisico’s.

Naast het vraagstuk van attributie vormen ook de factoren doelwit en intentie knelpunten rondom het daderschap. Deze factoren hangen met elkaar samen: het doelwit en de intentie kunnen iets zeggen over de dader en andersom. Eigen aan cyberaanvallen is dat de getroffen partij vaak ver afstaat van het daadwerkelijke, oorspronkelijke doelwit van de dader. Daarin verschillen cyberaanvallen van fysieke aanvallen. Hoewel de getroffen verzekerde bedrijven ook in traditionele oorlogen lang niet altijd het doelwit van de dader zijn, kunnen dergelijke neveneffecten van oorlogshandelingen wel als zodanig worden afgebakend. Dat een bom behalve het daadwerkelijke doel, bijvoorbeeld een militair depot of een strategisch punt in de infrastructuur, ook schade kan toebrengen aan omliggende panden, is helder. Het getroffen pand bevindt zich dan immers in een aanwijsbaar oorlogsgebied.

Cyberaanvallen houden zich echter niet aan afgebakende zones, zoals de gevolgen van bijvoorbeeld NotPetya aantonen. Een aanval kan bedrijven over heel de wereld raken die daar in het geheel niets – ook niet toevalligerwijs qua locatie – mee te maken hebben. Er bestaat dan geen enkel noodzakelijk verband en nauwelijks begrenzing tussen het (initieel) beoogde doelwit en de verzekerde bedrijven die slachtoffer zijn geworden.5 Vanuit het perspectief van de verzekerde lijkt dekkingsweigering wegens molest of een act of war in die situatie al snel te wringen, zelfs indien in de polis is opgenomen dat ook schade is uitgesloten die indirect als gevolg van oorlog is veroorzaakt.6

De voor molest vereiste betrokkenheid van staten is in een digitale context dus zeer lastig aan te wijzen. In veel gevallen zal een (direct) verband tussen het getroffen verzekerde bedrijf enerzijds en het daadwerkelijke doelwit en de intenties van een statelijke actor anderzijds, grotendeels ontbreken. Daarbij spelen bovendien forse discussies over het vraagstuk van attributie, waardoor onduidelijk is wie de autoriteit heeft om een dader aan te wijzen en wanneer voldoende bewijs is geleverd.