Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.5.3.3
V.5.3.3 Consequentiële benadering: impact
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278910:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Hamer (Rathenau Instituut) 2019, p. 26.
Tallinn Manual 2.0, p. 333 en 415 (Rule 92).
Ibid, rule 92(6), p. 416. Over de verdere uitwerking en toepassing van dit uitgangspunt verschillende experts van mening.
R. Priyanka, ‘“Use of force” and “Armed attack” Thresholds in Cyber Conflict: The Looming Definitional Gaps and the Growing Need for Formal U.N. Response’, Texas International Law Journal 2015/50-2, p. 388: “Looking solely at an act’s physical effects to determinate if a cyber act qualifies as a use of force might be common sense, but this approach does not properly respond to the reality that there are non-physical effects of cyber attacks that are equally harmful to State sovereignty.”
Hamer (Rathenau Instituut) 2019.
Zie bijv. Priyanka 2015.
De Tallinn Manual geeft hiervoor bijvoorbeeld weliswaar een set gezichtspunten, maar laat de interpretatie daarvan verder over aan de staten zelf.
Een laatste aspect van de kwalificatie van molest in een digitale context betreft de impact van een cyberaanval. De impact van een fysieke aanval is vaak overduidelijk: om een land plat te leggen kan bijvoorbeeld belangrijke infrastructuur worden gebombardeerd met een zichtbaar maanlandschap tot gevolg. Een cyberaanval kan echter evengoed maatschappelijke ontwrichting veroorzaken en bij verzekerde bedrijven tot grote schade leiden, evenwel zonder dat dit op dezelfde manier zichtbaar is.1
Dit onzichtbare karakter van cyberaanvallen leidt tot verwarring. Het Rathenau Instituut concludeert bijvoorbeeld dat het schadepotentieel van cyberaanvallen op dit moment ‘verbleekt’ in vergelijking met conventioneel wapentuig.2 De perceptie dat de gevolgen van cyberaanvallen veel minder verstrekkend zijn dan van een conventionele aanval, heeft vooral te maken met de mate van directheid van het intreden van die gevolgen, zowel in tijd als in causaliteit. Daarnaast speelt mee dat schade door cyberaanvallen tot nu toe relatief herstelbaar is gebleken – anders dan bijvoorbeeld een verloren leven. Dit geldt ook voor NotPetya, waarbij de schade – hoe groot ook – met name bestond uit vermogensschade.
Deze perceptie van de impact van cyberaanvallen laat zien dat bij de vraag wanneer sprake is van maatschappelijke ontwrichting vaak wordt teruggegrepen op een traditioneel beeld: fysieke schade. Ook in de Tallinn Manual wordt de impact van cyberaanvallen op deze wijze benaderd. Indien de cyberaanval voorzienbaar leidt tot doden, gewonden, of vernietiging van zaken, dan kwalificeert de aanval als het gebruik van geweld.3 Dit geldt ook indien de aanval is gericht op data, bijvoorbeeld als het gaat om data waarvan de werking van (fysieke) systemen afhankelijk is.4 Deze focus op fysieke gevolgen van cyberincidenten wordt echter door anderen juist bekritiseerd, omdat daarmee wordt miskend dat cyberaanvallen zonder directe fysieke gevolgen wel degelijk maatschappelijk ontwrichtende effecten kunnen hebben.5
Die kritiek is mijns inziens terecht. Het schadepotentieel van cyberaanvallen is, zoals het Rathenau Instituut ook erkent, nog volop in ontwikkeling.6 Zoals in de inleiding van dit artikel reeds is geschetst en ook in andere literatuur wordt opgemerkt,7 zijn er scenario’s denkbaar waarin de impact extreem groot kan zijn, ook al leidt de aanval – anders dan een aanval met kinetische wapens – niet direct tot doden, gewonden of materiële schade.
Cyberaanvallen kunnen dus leiden tot nieuwe vormen van maatschappelijke ontwrichting, die mogelijk niet aansluiten bij het traditionele beeld dat men daarbij heeft. Over de vraag hoe de mate van impact van cyberaanvallen moet worden bepaald, wordt minder gereflecteerd. 8 Bij de uitleg van de huidige molestbepalingen bij cyberaanvallen is het dan ook de vraag welk begrip van maatschappelijke impact zal of moet worden gehanteerd.