Als het aan de VVD ligt, kan het plan van demissionair minister van Justitie en Veiligheid Grapperhaus om verzekeraars te verbieden losgeld bij cyberaanvallen nog langer te vergoeden, rechtstreeks naar de prullenbak. De coalitiepartij vindt dat er te veel haken en ogen aan het plan zitten. Zo is het niet ondenkbaar dat ondernemers hierdoor failliet gaan. Ook creëert de minister een ongelijke positie tussen verzekerden en niet-verzekerden. De partij wil dan ook dat Grapperhaus tekst en uitleg geeft over zijn voorgenomen plan.
Dat blijkt uit schriftelijke vragen van Queeny Rajkowski (VVD) aan demissionair minister van Justitie en Veiligheid Ferd Grapperhaus.
Veel kritiek op voornemen minister Grapperhaus
Een woordvoerder van het ministerie bevestigde deze week aan de NOS dat minister Grapperhaus erover nadenkt om verzekeraars een verbod op te leggen om losgeld te vergoeden als er een ransomware- of andere digitale aanval heeft plaatsgevonden bij een bedrijf of organisatie. Op deze manier wil de minister voorkomen dat er geld in de beurs van hackers vloeit. Door het verdienmodel onderuit te halen, moet cybercriminaliteit minder aantrekkelijk worden. Als niemand betaalt, dan vinden er ook geen digitale aanvallen meer plaats, zo is de gedachte.
Niet iedereen was direct enthousiast over het plan. “We snappen het politieke sentiment, maar men moet niet over één nacht ijs gaan”, zo vertelde een woordvoerder van het Verbond van Verzekeraars. Yasi Chalabi van verzekeraar Hiscox begrijpt niet waarom er mogelijk een uitzondering komt voor ondernemers die geen cybersecurityverzekering hebben. “Verbied losgeldbetalingen dan voor alle bedrijven, want de meeste bedrijven hebben geen verzekering”, zei hij over het voornemen van minister Grapperhaus.
Ook beveiligingsexpert Frank Groenewegen is kritisch over het plan. “Ik heb veel bedrijven bijgestaan waar echt alle data weg was. Die hebben dan de keuze: betalen, of weken tot maanden bezig zijn met herstellen en soms zelfs failliet gaan.” Een verbod om losgeldbetalingen te vergoeden doet dan meer kwaad dan goed.
VVD ziet niets in algeheel verbod
Queeny Rajkowski van de VVD is eveneens niet te spreken over het plan van minister Grapperhaus. Ze heeft haar bedenkingen en heeft daarom een aantal schriftelijke vragen gesteld aan de bewindspersoon. Allereerst wil ze weten hoe de minister het verschil in beleid verklaart tussen verzekerden en niet-verzekerden, en of hij ook naar andere alternatieven kijkt om het aantal losgeldbetalingen te verminderen.
Net als de minister is Rajkowski het eens dat het betalen van losgeld bij een ransomware-aanval niet wenselijk is. Tegelijkertijd erkent ze dat er op korte termijn soms een noodzaak bestaat om te betalen, om zo de continuïteit van bedrijfsprocessen niet in gevaar te brengen. “Hoe beoordeelt u dan een algeheel verbod op het betalen van losgeld?”, vraagt de VVD-politica. Zij vindt het een beter idee om een ‘dringend advies’ te geven aan slachtoffers om niet te betalen in plaats van een verbod op te leggen.
Van de regen in de drup
Bedrijven en organisaties die getroffen zijn door een ransomware-aanval, zijn in de eerste plaats slachtoffer. Rajkowski vindt het daarom geen goed idee om gedupeerden verder de afgrond in te duwen. De liberaal vraagt aan de minister of hij zich ervan bewust is dat het niet-betalen van losgeld vaak langer duurt en meer kost dan het betalen van losgeld. Zeker als het slachtoffer zijn systemen van de grond af opnieuw moet opbouwen.
“Bent u zich ervan bewust dat een algemeen verbod op het betalen van losgeld zelfs kan leiden tot het faillissement van een getroffen bedrijf?”, wil Rajkowski van minister Grapperhaus weten. Dat vindt het Kamerlid een ‘zeer onwenselijk scenario’. Een verbod op het betalen van losgeld lost het probleem in dat geval niet op, maar maakt het mogelijk zelfs erger. Ondernemers raken hierdoor mogelijk van de regen in de drup.
Het moge duidelijk zijn dat coalitiepartner VVD weinig heil ziet in het voornemen van minister Grapperhaus. In plaats van losgeldbetalingen te verbieden, vindt de partij het een beter idee om te focussen op preventieve veiligheidsmaatregelen en ‘digitale basishygiëne’. Rajkowski wil van de minister weten welke mogelijkheden hij daartoe ziet.
AXA vergoedt niet langer losgeldbetalingen aan hackers
Het kabinet deed het afgelopen jaar meer dan eens een beroep op slachtoffers van ransomware-aanvallen om hackers niet te betalen. Uit onderzoek blijkt echter dat zes op de tien bedrijven er toch voor kiest om het losgeld op tafel te leggen. Op dit moment is er slechts één verzekeraar die niet langer losgeldbetalingen aan cybercriminelen vergoedt: AXA. Dat is overigens alleen in Frankrijk. In ons land keren verzekeraars die een cybersecurityverzekering aanbieden wel uit aan slachtoffers.
