image

Jurist: verbod op betalen losgeld ransomware door verzekeraars zinloos

maandag 11 oktober 2021, 12:30 door Redactie, 10 reacties

Een verbod dat verzekeraars verbiedt om het bij ransomware betaalde losgeld te vergoeden is zinloos, bedrijven hebben vaak geen andere keus. Dat stelt jurist Nynke Brouwer, die hier onderzoek naar deed en afgelopen donderdag op het onderwerp aan de Radboud Universiteit promoveerde. Vorige week liet demissionair minister Grapperhaus van Justitie en Veiligheid weten dat de overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen.

Allerlei verzekeringsmaatschappen bieden inmiddels "cyberverzekeringen" aan waarbij het losgeld wordt vergoed dat slachtoffers van ransomware betalen om hun bestanden terug te krijgen. Volgens sommige experts zijn aanvallers hierdoor veel hogere losgeldbedragen gaan vragen. "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware", liet Grapperhaus eerder weten.

Volgens Brouwer vergoeden de meeste cyberverzekeraars het losgeld dat hun verzekerde heeft betaald. Een verbod hiervan zou echter weinig uithalen. "Dat is een druppel op een gloeiende plaat. In mijn onderzoek heb ik geen duidelijke verbanden gevonden tussen het hebben van verzekeringsdekking voor betaald losgeld en de beslissing van het bedrijf om te betalen. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen", laat Brouwer weten.

Ze stelt dat een verbod de betalingen alleen maar de illegaliteit in zal drukken. "Bedrijven vinden dan wel weer een andere manier om te betalen. Een verzekering is bovendien een overeenkomst. Voor overeenkomsten geldt contractvrijheid. Een verbod op het bieden van verzekeringsdekking vormt een vergaand ingrijpen daarop."

Brouwer betoogt dat de overheid cyberverzekeraars niet moet zien als hinder, maar als handig hulpmiddel voor betere cyberbeveiliging. In de praktijk kunnen verzekeringen namelijk helpen het beveiligingsniveau van bedrijven te verbeteren. "Bij het afsluiten van een cyberverzekering moet een bedrijf aan bepaalde voorwaarden voldoen. Over deze eisen zou weliswaar meer consensus kunnen worden bereikt, maar daartoe zijn al ontwikkelingen gaande in de markt."

Wanneer bedrijven en organisaties als gevolg van het afsluiten van een verzekering nadenken over de risico's, maatregelen nemen om aanvallen te voorkomen, die regelmatig evalueren en versterken, kunnen volgens Brouwer veel incidenten worden voorkomen.

Reacties (10)
11-10-2021, 14:12 door Erik van Straten
Een artikel met m.i. interessante aandachtspunten: https://www.theregister.com/2021/09/06/what_do_do_when_hit_by_ransomware/, waaronder:
Some of the insurers sell themselves on having a list of recommended firms to help you in a crisis, from law to technical and – given that attacks now make front pages – PR.

But here's the thing. The technical people work for the insurer, not you, so while they provide help and untangle your systems, they will also be looking for the ways you have not complied with the "reasonable" precautions mandated by your policy.

Vergelijkbaar: als, bijv. na waterschade, een verzekeraar komt vaststellen dat jouw inboedel veel meer waard is/was en je dus onderverzekerd was, krijg je ook niet alle schade vergoed.

Uit het security.nl artikel hierboven:
Wanneer bedrijven en organisaties als gevolg van het afsluiten van een verzekering nadenken over de risico's, maatregelen nemen om aanvallen te voorkomen, die regelmatig evalueren en versterken, kunnen volgens Brouwer veel incidenten worden voorkomen.
Ik vraag me af hoeveel organisaties geen (prijzige) aanvullende beveiligingsmaatregelen nemen, omdat ze denken de risico's voldoende te hebben afgedekt via een (eveneens prijzige) verzekering. En hoeveel van hen de "kleine lettertjes" in de voorwaarden grondig hebben bestudeerd en gecheckt of zij aan die voorwaarden voldoen en de verzekeraar er niet met iets als "act of war" onderuit kan komen.

Dit naast dat betalen niet garandeert dat je al jouw bestanden intact en snel terugkrijgt, en al helemaal niet dat de afpersers geen extra geld zullen eisen om af te zien van de verkoop en/of publicatie op internet van gestolen vertrouwelijke informatie uit jouw organisatie.

Ik vermoed dat beginnen met beter beveiligen (en het vooraf maken van crisisplannen) i.p.v. beginnen met het afsluiten van een verzekering, voor de meeste organisaties de verstandigste keuze is, want er zijn risico's die je niet volledig (of, als je pech hebt, geheel niet) wegneemt met zo'n verzekering. Als je de beveiliging redelijkerwijs op orde hebt, kan een verzekering wellicht wel helpen om restrisico's te helpen afdekken, maar sowieso zou ik de kleine lettertjes dan goed (laten) lezen. Het vooraf laten uitvoeren van een assessment door een door de verzekeraar erkende partij zou ook wel eens in jouw eigen belang kunnen blijken te zijn.
11-10-2021, 14:41 door Anoniem
Volgens Brouwer vergoeden de meeste cyberverzekeraars het losgeld dat hun verzekerde heeft betaald. Een verbod hiervan zou echter weinig uithalen. "Dat is een druppel op een gloeiende plaat. In mijn onderzoek heb ik geen duidelijke verbanden gevonden tussen het hebben van verzekeringsdekking voor betaald losgeld en de beslissing van het bedrijf om te betalen. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen", laat Brouwer weten.

Ze begrijpt het hele probleem niet! Het gaat er niet om of dat de bedrijven het zelf betalen of via een verzekering, maar
om het standpunt van de criminelen dat het "toch verzekerd is dus kunnen we wel meer vragen".
Dit zelfde probleem jaagt ook in andere situaties de kosten op, zoals bij ziektekosten, autoverzekeringen, etc.
Daarom is er in die situaties ook een duidelijke onafhankelijke controlerende instantie om excessen te voorkomen.
DIe is er bij losgeld niet.

Ze stelt dat een verbod de betalingen alleen maar de illegaliteit in zal drukken.
Dat is een dooddoener die je bij iedere wet kunt aanvoeren. Duidelijk geen juridische hoogvlieger als ze hier mee komt.
11-10-2021, 16:21 door Anoniem
Ik ben ook een voorstander van cyberverzekeringen. Zo'n verzekeraar heeft namelijk tot doel om zo min mogelijk uit te betalen, en het eerste wat zo'n verzekeraar doet is bij een bedrijf de stand van zaken omtrent security opnemen. Zo'n verzekeraar wil eerst de risico's in kaart hebben en waar nodig mitigerende maatregelen ingesteld hebben.

Zo'n verzekering gaat dus altijd gepaard met in ieder geval een basisniveau van security.

Voor de rest: een bedrijf heeft vaak simpelweg geen keus. Het is, óf betalen, óf je bedrijf gaat failliet. Dus ongeacht of er een verzekering achter hangt zou er wel betaald worden. Het klinkt als een heel makkelijke oplossing, "dan maak je het toch gewoon illegaal om dat losgeld te betalen", maar ransomware is een veel ingewikkelder probleem dan dat. Als het echt zo makkelijk was om op te lossen, dan was dat allang gedaan.
11-10-2021, 18:11 door Anoniem
Inbraak- en brand(stichting)verzekeringen ook maar verbieden dan? Situatie is vergelijkbaar. Crimineel verwoest eigendom van de ondernemer, ondernemer ziet zich geconfronteerd met (hoge) herstelkosten, want niet herstellen is geen optie. Mocht justitie al een dader achterhalen dan volgt vaak een fopstraf, en mogelijk een aanfluiting van een schadevergoeding (ook al pak je zo'n dader, na strafrechtelijke veroordeling middels civiel recht aan). Mijns inziens ligt het probleem voornamelijk aan de justitiële kant, misdaad is te loongevend met zo'n lage pakkans, laat staan een straf die een lachertje is voor de dader.

Verzekeraars zijn ontzettend goed in het inschatten van risico versus baten. Kijk maar naar een fikse hagelbui waarbij miljoenen worden uitgekeerd, toch worden dergelijke verzekeringen nog steeds verkocht. En mocht een bepaalde vorm uit de hand lopen, dan stellen verzekeraars hun voorwaarden bij, zie bijvoorbeeld dit artikel uit 2019 https://solarmagazine.nl/nieuws-zonne-energie/i19508/verzekeraars-stoppen-met-vergoeden-onzichtbare-hagelschade-aan-zonnepanelen.

Het mes snijdt dus aan twee kanten, iets wat niet te verzekeren valt is niet de beste keuze. Als ondernemer zou je dat aan het denken moeten zetten. En verzekeraars zorgen er wel voor dat hun kleine lettertjes er zorg voor dragen dat de kans dat zij (veel) schade dienen uit te keren beperkt blijkt.

Kortom, verzekeraars zullen sneller tot een stijgende cybersecurity leiden dan onze overheid.
11-10-2021, 22:27 door Anoniem
Verzekeren tegen misdaad is altijd al de gewoonste zaak geweest. Zo viel vroeger je VOC boot al te verzekeren tegen piraterij. En je inboedel tegen pikkedieven. Het principe van verzekeren is risico sprijden over alle premiebetalers en daar zelf ook wat aan overhouden.

Naar mijn mening is er geen enkel verschil met het fenomeen van ransomware.

Als politiek en bestuur het juist op dat laatste willen verbieden, dan zeggen ze wat mij betreft dat ze zelf klungels zijn. Er ontbreekt veel op dat vlak. je kunt natuurlijk niet een boa met een blauw mutsje achter een miljoenenroof aan sturen. Je mag die ook niet vragen overal dan maar zelf te gaan zitten hekken want opsporing is aan regels gebonden. En wel fijn als dat zo blijft. Dan hoeft tenmiste ook daar geen geld bij voor zaken die ze helemaal niet zouden moeten horen mogen.

Gewoon triest dat een juriste stukjes moet tikken dat dat allemaal van die verwarde mensendingen van kamerleden en bestuurders gewoon eenvoudig helemaal niet kunnen. Er wordt veel te veel gewicht verwacht van al dat vrijemeningengelul van tegenwoordig. Er is een probleem. Dat ransomware gedoe is dat zeker. Het treft ook ziekenhuizen. Los het maar op. Maar niet met afwimpelwetten gaan zitten bedenken. Of haha zelf stom geweest en nog leuker want losgeld betalen is verboden gemaakt en verzekeren van schade ook. Daar zijn de problemen veel te groot voor en ze groeien.

(Mijn mening over mijn mening is overigens dat ik daar zelf betrekkelijk weinig waarde aan hecht, niet eens zin heb om gelijk te krijgen en niks interessanters dan een betere te lezen.)
12-10-2021, 00:59 door Hyper
Is het niet sowieso verboden om willens en wetens (los)geld te betalen aan criminelen?
12-10-2021, 06:07 door Anoniem
Door Anoniem: Inbraak- en brand(stichting)verzekeringen ook maar verbieden dan? Situatie is vergelijkbaar.

Een interessante vergelijking. Een inbraakverzekering keert niet uit op het moment dat jij je voordeur open hebt laten staan of een bewezen slecht slot gebruikt hebt. Een brandverzekering keert (vaak) niet uit op het moment dat jij een bewust risico op brand genomen hebt (gehobby in de meterkast).

Mijn eerste gedachte is dus ook altijd geweest "een verzekeraar mag best uitkeren bij ransomware, maar dan moet wel de beveiliging op orde zijn". Maar dan krijg je weer zo'n lastig iets dat er dus ook bij die verzekeraars kundige specialisten moeten zitten, die je juist hard nodig hebt bij politie, zorginstellingen en bedrijven.

Je komt dus eigenlijk altijd in een spagaat terecht, welke oplossing je kiest.
12-10-2021, 09:08 door Anoniem
Is het niet sowieso verboden om willens en wetens (los)geld te betalen aan criminelen?

Nee slachtoffer zijn van afpersing is niet sowieso verboden. Verder lekker kort door de bocht. Stel dat je betaling *door verzekeraars* verbiedt. Dan mag een slachtoffer nog steeds zelf betalen. Vergeet daarnaast niet dat er meteen uitzondering gemaakt zullen worden voor omgevingen waar mensenlevens op het spel staan zoals ziekenhuizen. Op wat voor doelwitten denk je dat criminelen zich gaan richten, indien je in die situatie terecht komt ?
12-10-2021, 11:22 door Anoniem
Stel dan een eisenpakket op waarin staat dat men aan bepaalde minimum maatregelen moet worden voldaan, alvorens men in aanmerking komt voor een dergelijke verzekering.
Het hebben van voldoende backups, met encryptie op gevoelige data/persoonsgegevens, etc.

En aansporing op zowel on-premises als off-premises FLOSS oplossingen, zo dergelijke maatregelen breed en voor iedereen kenbaar en toegankelijk worden als geavanceerde basis voorzieningen met de vrijheid tot onafhankelijkheid/kosten drukking.
Zodoende er onder gezamenlijke omstandigheden weerbaarheid wordt gecreëerd, en dit niet alleen is weggelegd voor de bedrijven met flinke budgetten.
12-10-2021, 21:43 door Anoniem
Door Anoniem:
Door Anoniem: Inbraak- en brand(stichting)verzekeringen ook maar verbieden dan? Situatie is vergelijkbaar.

Een interessante vergelijking. Een inbraakverzekering keert niet uit op het moment dat jij je voordeur open hebt laten staan of een bewezen slecht slot gebruikt hebt. Een brandverzekering keert (vaak) niet uit op het moment dat jij een bewust risico op brand genomen hebt (gehobby in de meterkast).

Mijn eerste gedachte is dus ook altijd geweest "een verzekeraar mag best uitkeren bij ransomware, maar dan moet wel de beveiliging op orde zijn". Maar dan krijg je weer zo'n lastig iets dat er dus ook bij die verzekeraars kundige specialisten moeten zitten, die je juist hard nodig hebt bij politie, zorginstellingen en bedrijven.

Je komt dus eigenlijk altijd in een spagaat terecht, welke oplossing je kiest.

Niet perse. Een verzekeraar is erg goed in kleine lettertjes, en zij leren van die gevallen waar het tot uitkering is gekomen, waarna ze eventueel hun kleine lettertjes aanpassen voor al hun verzekerden, en zo verder. Een ondernemer met een SBS2008 server die alle poorten open heeft staan zal geen kans maken op verhaal. Daarnaast zijn veel verzekeraars een verband aangegaan met gespecialiseerde IT bedrijven. Zie bijvoorbeeld https://www.kvk.nl/advies-en-informatie/veiligzakendoen/cybersecurity/verzekeren-tegen-cybercrime-verstandig/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.