‘Losgeldverbod is druppel op gloeiende plaat’

Hacker die achter zijn laptop zit

Verzekeraars verbieden om losgeld te vergoeden dat cliënten aan hackers hebben betaald, is zinloos. Het is niet de oplossing om het verdienmodel van hackers en cybercriminelen te ondermijnen. Bedrijven en organisaties die het doelwit zijn van een ransomware-aanval, zoeken dan andere manieren om te betalen, simpelweg omdat ze geen andere uitweg zien.

Dat blijkt uit onderzoek van jurist Nynke Brouwer. Zij promoveerde vorig week donderdag op het functioneren van cyberverzekeringen.

Kabinet wil vergoeden van losgeldbetalingen door verzekeraars verbieden

Bedrijven die het getroffen zijn door ransomware of gijzelsoftware, zitten vaak met hun handen in het haar. Ze hebben vaak geen toegang meer tot hun systemen, laat staan tot vertrouwelijke informatie en andere data die op hun servers zijn opgeslagen. De aanvaller biedt zijn slachtoffers aan om tegen betaling het slot te verwijderen. Als gedupeerden daar niet mee akkoord gaan, dreigen de daders de gestolen informatie openbaar te maken of te verkopen aan de hoogste bieder. Uit angst voor gegevensverlies, bedrijfsstilstand, reputatieschade, aansprakelijkheid, herstelkosten of in het ergste geval faillissement, kiezen bedrijven er veelal voor om het losgeld te betalen.

Sinds enkele jaren bieden verzekeraars een cyberverzekering aan. Hiermee kunnen ondernemers zich financieel indekken tegen cyberdreigingen en -risico’s. In de meeste gevallen kiezen verzekeraars ervoor om het gevraagde losgeld te vergoeden: het herstellen en vervangen van de geïnfecteerde systemen kost in praktijk vaak meer tijd en geld. Het is een eenvoudige rekensom.

Het kabinet vindt dit een onwenselijke situatie. Door hackers en cybercriminelen te betalen, houden we het verdienmodel in stand. De overheid wil cybercriminaliteit juist minder aantrekkelijk maken. Als niemand losgeld betaalt, dan vinden er ook niet langer ransomware- en andere cyberaanvallen plaats. Het ministerie van Justitie en Veiligheid onderzoekt momenteel de mogelijkheden om een verbod op te leggen op het vergoeden van losgeld door verzekeraars.

Verbod is een slecht idee

Meester in de rechten Nynke Brouwer ziet een verbod niet als de oplossing. “Een verbod zal de betalingen alleen maar de illegaliteit in drukken. Bedrijven vinden dan wel weer een andere manier om te betalen”, zo legt de jurist uit. Het verbieden van het vergoeden van losgeld door verzekeraars is volgens haar ‘een druppel op een gloeiende plaat’. “In mijn onderzoek heb ik geen duidelijke verbanden gevonden tussen het hebben van verzekeringsdekking voor betaald losgeld en de beslissing van het bedrijf om te betalen. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen.”

Brouwer wijst erop dat cyberverzekeringen de laatste jaren sterk in opkomst zijn. Ze bieden allerlei voordelen voor ondernemers, omdat ze een ruime dekking bij cyberincidenten bieden. Denk aan herstelkosten na een aanval, boetes en aansprakelijkheid bij privacyovertredingen en netwerkincidenten, schade door bedrijfsstilstand en kosten van verweer in een juridische procedure. Ze is te spreken over de incident response diensten die verzekeraars aanbieden. “Als een bedrijf bijvoorbeeld getroffen wordt door ransomware, stuurt de verzekeraar een team van experts op het gebied van IT, juridische diensten en communicatie op ze af. Zo kan de impact van de ransomware aan alle kanten zoveel mogelijk beperkt worden.”

Cyberverzekeringen vergroten cyberweerbaarheid bedrijfsleven

De jurist wijst erop dat verzekeraars kernbegrippen als ‘cyberincident’ in de polisvoorwaarden vaak op hun eigen manier definiëren. Daardoor kan het lastig zijn om een goed beeld te krijgen van wat wel en niet wordt vergoed. Dat is volgens Brouwer niet vreemd. “Met andere vormen van verzekeringen hebben we honderden jaren aan schadehistorie om tot een duidelijk begrip te komen. We weten wat brand is, en verzekeraars hebben alleen in de marge verschillen wat zo’n brandverzekering wel en niet dekt. Maar die zekerheid en schadehistorie hebben we bij cyberincidenten nog niet, en daar worstelt iedereen mee.”

De gepromoveerde jurist wijst erop dat cyberverzekeringen een positieve uitwerking hebben. Ondernemers die namelijk zo’n verzekering willen afsluiten, moeten aan bepaalde minimale voorwaarden of eisen voldoen. Dat helpt om de cyberweerbaarheid van bedrijven en organisaties te vergroten. Er is nog een voordeel: “Door in het kader van (het afsluiten van) een verzekering na te denken over de risico’s, maatregelen te treffen en die regelmatig te evalueren en te versterken, kunnen veel incidenten worden voorkomen”, aldus Brouwer.

Veel kritiek op plan minister Grapperhaus

Nynke Brouwer is niet de enige expert die kritisch over het voornemen van het kabinet om een verbod op te leggen aan het vergoeden van losgeldbetalingen na een cyberaanval. Het Verbond van Verzekeraars verzocht demissionair minister Ferd Grapperhaus van Justitie en Veiligheid om het besluit niet over één nacht ijs te laten gaan. Cybersecurityexpert Frank Groenewegen vreest dat een verbod meer kwaad dan goed doet. “Ik heb veel bedrijven bijgestaan waar echt alle data weg was. Die hebben dan de keuze: betalen, of weken tot maanden bezig zijn met herstellen en soms zelfs failliet gaan.”

De VVD-fractie in de Tweede Kamer ziet eveneens niets in het plan van minister Grapperhaus. Queeny Rajkowski is bang dat ondernemers van de regen in de drup belanden. Het mag niet zo zijn dat ondernemers failliet gaan als ze geen losgeld mogen betalen. In plaats van losgeldbetalingen te verbieden, vindt de partij het een beter idee om te focussen op preventieve veiligheidsmaatregelen en ‘digitale basishygiëne’.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen