“Losgeld ransomware moet verzekeraar niet vergoeden”, aldus Grapperhaus

Minister Grapperhaus (van Jusitie en Veiligheid) vindt dat het vergoeden van losgeld niet thuishoort in een cyberverzekering. Daarom roept hij alle verzekeraars op om bij ransomwareaanvallen losgeldbetalingen niet te vergoeden. Hij vindt dat ze wel de schades moeten vergoeden die ontstaan zijn doordat de verzekerde het geëiste geldbedrag heeft besloten niet te betalen.

Aanleiding

De uitspraak van Grapperhaus over het betalen van losgeld, is naar aanleiding van een ransomwarebetaling door de Universiteit Maastricht, die eind 2019, begin 2020 werd getroffen door ransomware. Zo werden het Windows-systemen en het mailverkeer een aantal weken gegijzeld door criminelen, waarna de universiteit ruim een kwart miljoen euro aan losgeld heeft betaald. Er is niet bekend of de universiteit dit bedrag vergoed kreeg via een verzekering.

Niet vergoeden

Minister Grapperhaus raadt verzekeraars aan om niet de losgeldbetalingen te vergoeden, maar juist de schade die geleden is door het niet-betalen van losgeld. Daarnaast vindt hij het niet wenselijk om geld te betalen bij ransomwareaanvalen, omdat dit criminelen enkel beloont en stimuleert. Dit zou ook weer kunnen leiden tot juist meer aanvallen van ransomware.

Ook is dit advies onder de aandacht gebracht bij het Verbond van Verzekeraars. De minister schrijft dat verzekeraars zich bewust zijn van de maatschappelijke gevolgen van het betalen van losgeld. Ook vindt hij dat bedrijven die zicht tegen cyberrisico’s verzekeren zich bewuster zijn van de risico’s en beter beschermd, maar desondanks slachtoffer kunnen worden van cypercriminelen. Verzekeraars dragen volgens Grapperhaus bij aan verbeterde cybersecurity, omdat hun verzekeringsproducten vaak voorzien zijn van specifieke voorwaarden.

Cyberverzekeringen

Er zijn verschillende verzekeringsmaatschappijen die cyberverzekeringen bieden. Hiermee kunnen organisaties de financiële gevolgen van cyberrisico’s afdekken. Hierbij gaat het bijvoorbeeld over het vergoeden van schade door uitval van systemen of kostenvergoedingen voor forensisch onderzoek en het herstel door technische experts. Vaak zijn de cyberverzekeringen aan een preventieprogramma gekoppeld.

De minister vindt dat organisaties zelf verantwoordelijk zijn voor hun digitale weerbaarheid. Cybersecurity is volgens hem daarom in iedere organisatie van belang. De overheid heeft in dit kader twee taken: optreden en adviseren. Optreden gebeurt door opsporing, vervolging en attributie (toekenning van bevoegdheid tot rechtspraak). Advisering gebeurt via preventiecampagnes en communicatie over acties, bijvoorbeeld over het maken van backups.

ConanDoyle

Hoewel verzekeraars nog niet hebben besloten of ze nooit meer het losgeld verbeteren, is in de basis die verzekering er ook niet voor bedoeld. Het is dus belangrijk om aandacht te besteden aan zowel preventie, als detectie en recovery. Natuurlijk is het onmogelijk om alles “waterdicht” te krijgen, maar met de juiste balans tussen procedurele, technische en menselijke maatregelen is het voor de meeste organisaties haalbaar om een behoorlijk (passend) niveau van bescherming te komen. Detectie is vaak lastiger, maar ook daar zijn betaalbare opties voor. Voor recovery komen vooral normale ICT-maatregelen, zoals back en restore aan de orde. Maar ook daar is een goede voorbereiding essentieel.

Benieuwd hoe dit allemaal geregeld te krijgen zonder dat de investering de schade overstijgt? Bel of mail: 085 - 06 06 496 of sirarthur@conandoyle.eu

Bron: Computeable.nl