23 jan ‘Verzekeraars moeten stoppen met losgeldbetalingen bij afperssoftware’
- Verzekeraars dekken de betaling van losgeld aan criminelen wanneer een bedrijf getroffen wordt door een besmetting met afperssoftware.
- Cyberexperts vrezen dat verzekeraars hiermee onbedoeld criminaliteit financieren.
- Een getroffen bedrijf laten stilvallen kan echter tot een faillissement leiden.
Nederlanders verzekeraars vergoeden losgeld aan criminelen die bedrijven onder druk zetten met afperssoftware. Beveiligingsdeskundigen vinden dat verzekeraars hiermee moeten stoppen, omdat ze daarmee een verdienmodel voor digitale misdaad in stand houden. Dat blijkt uit een rondgang door het FD.
‘Ik vind klakkeloos uitbetalen van losgeld onbegrijpelijk’, zegt Frank Groenewegen, chief security expert bij cyberbeveiligingsbedrijf Fox-IT. ‘Het is alleen maar een signaal aan criminelen dat misdaad loont.’ ‘Betaal nooit’, zegt Brian Schippers, manager bij het Britse beveiligingsbedrijf Sophos. Zijn standpunt krijgt bijval van Greg Day, security officer van de Amerikaanse netwerkbeveiliger Palo Alto Networks.
Bedrijven kunnen zich met een cyberverzekering indekken tegen schade door digitale inbraken, zoals een besmetting met zogenoemde ‘ransomware’, die bestanden op een bedrijfsnetwerk onbruikbaar maakt. Een getroffen bedrijf kan daardoor bijvoorbeeld niet meer bij zijn financiële administratie, interne documenten en e-mails. Tegen forse betalingen kunnen criminelen de versleutelde bestanden echter weer vrijgeven, zodat het bedrijf verder kan. In een op de drie gevallen wordt dit losgeld betaald, schat Sophos.
Expliciet in voorwaarden
De mogelijkheid om losgeld uit te keren staat expliciet in de voorwaarden van verschillende aanbieders van speciale ‘cyberverzekeringen’ in Nederland. Het gaat onder meer om Centraal Beheer Achmea, Nationale Nederlanden, AIG, Allianz en HDI. Volgens cijfers van risico- en verzekeringsadviseur Aon is ongeveer 18% van de bedrijven verzekerd tegen cyberschade.
De gemiddelde schade na een incident ligt volgens Aon op zo’n €5 mln. In sommige gevallen leidt de nasleep van een digitale inbraak tot een faillissement, bijvoorbeeld omdat bedrijven geen toegang meer konden krijgen tot hun gegevens.
Verzekeraars zijn bereid losgeld te betalen. ‘Het is een uiterst vangnet’, zegt Stefan Zwager, cyber risk expert bij verzekeraar AIG. Hij vindt de losgeldbetalingen een dilemma. ‘We willen het niet. Maar we willen ook niet dat onze klanten failliet gaan omdat hun bedrijf stil blijft liggen na een aanval, en dat is soms de keuze.’
Bentley
Verzekeraars willen niet zeggen hoe vaak ze in de praktijk daadwerkelijk losgeld uitkeren. ‘Het komt voor’, weet Marie-Louise de Smit, specialist cyberverzekeringen bij Aon. ‘Maar het aantal gevallen wordt niet bekendgemaakt. Dat zou criminelen alleen maar in de kaart spelen’, legt ze uit. Om dezelfde reden vertellen bedrijven vaak überhaupt niet dat ze een cyberverzekering hebben.
Groenewegen van Fox-IT vindt dat verzekeraars eerst de autoriteiten moeten raadplegen voordat ze besluiten om losgeld te vergoeden. ‘In de fysieke wereld zou zoiets uiterst vreemd zijn. Het is alsof criminelen een Bentley van €300.000 stelen en de verzekeraar deze auto voor €200.000 terugkoopt’, zegt Groenewegen. ‘Als je vindt dat er geen andere optie is dan betalen, moet daar een volledig onafhankelijke partij bij betrokken worden. Wanneer er losgeld wordt uitbetaald aan ontvoerders, kijkt de politie toch ook mee? Een verzekeraar heeft toch als belang om de goedkoopste oplossing te kiezen.’
Verzekeraars gaan in elk geval niet klakkeloos over tot betaling, benadrukt De Smit. Om zich tegen cyberschade te kunnen verzekeren, moeten bedrijven eerst genoeg voorzorgsmaatregelen nemen. Zo moeten ze regelmatig reservekopieën van bestanden maken en hun netwerkbeveiliging op orde houden. Pas als uit onderzoek blijkt dat er echt geen andere optie is dan het betalen van losgeld, keert een verzekeraar uit.
Juridisch discutabel
Het is onduidelijk in hoeverre het uitkeren van losgeld wettelijk is toegestaan. Het burgerlijk wetboek verbiedt ’transacties in strijd met de goede zeden’. ‘Maar je zou een heel debat kunnen voeren of het betalen van losgeld daar wel of niet onder valt’, zegt advocaat Nynke Brouwer, specialist in verzekeringsvraagstukken rond cyberveiligheid bij Dirkzwager.
Wel zijn er al jaren een soort ‘kidnapverzekeringen’, bedoeld voor expats die naar gevaarlijke gebieden reizen. Deze verzekeringen kunnen in uitzonderlijke gevallen losgeld uitbetalen. Ook over deze verzekeringen is discussie.
Verzekeraars betalen het losgeld in elk geval nooit zelf, bevestigen onder meer Nationale Nederlanden en Aon. Als wordt betaald, kiest het bedrijf dat slachtoffer is daar altijd zelf voor. De verzekeraar keert het uitbetaalde losgeld vervolgens al of niet weer aan het slachtoffer uit.
Sorry, het is niet mogelijk om te reageren.