Verzekeraars: stop met het vergoeden van losgeld

Het vergoeden van losgeld bij ransomware-aanvallen werkt namelijk als een perverse prikkel die criminelen rechtstreeks in de kaart speelt.

Ransomware blijft een van de belangrijkste cyberrisico’s. Zo werd Ahold Delhaize in april getroffen door een cyberaanval. Volgens ransomware-expert Rickey Gevers vragen de criminelen €1 miljard en €2 miljard losgeld, zo stelt de Telegraaf. Dat is een recordbedrag. In ieder geval zou de verzekeraar, indien Ahold zich voor ransomware verzekerd heeft, het losgeld niet moeten betalen. (https://www.telegraaf.nl/financieel/188304915/hackers-eisen-recordbedrag-van-ahold-delhaize-losgeldeis-1-miljard-tot-2-miljard)

Het vergoeden van losgeld bij ransomware-aanvallen werkt namelijk als een perverse prikkel die criminelen rechtstreeks in de kaart speelt. Cybercriminelen blijken bij hun aanvallen niet alleen te speuren naar zwakke plekken in digitale systemen, maar ook naar de aanwezigheid van een cyberverzekering. Uit promotieonderzoek van Tom Meurs, cybersecurityexpert bij de politie Oost-Nederland, komt naar voren dat verzekeringspolissen een gouden troef vormen voor hackers. Tijdens een aanval scannen criminelen doelbewust netwerken op sporen van verzekeringsdocumenten, om deze vervolgens als pressiemiddel in te zetten. Verzekerde bedrijven blijken gemiddeld maar liefst 2,8 keer meer losgeld te betalen. (https://fd.nl/tech-en-innovatie/1544044/criminelen-achter-gijzelsoftware-zoeken-eerst-naar-de-verzekeringspolis)

Dit inzicht legt een weeffout in deze cyberverzekeringen bloot. Cyberverzekeringen worden door criminelen misbruikt als hefboom voor hogere opbrengsten.

Elke euro die Nederlandse organisaties aan losgeld betalen als hun systemen zijn gehackt, maken van ons land een aantrekkelijkere markt voor cybercriminelen. Eerder betoogde ik met Michael Faure dat een belasting op een losgeldbetaling een effectief instrument kan zijn om het betalen van losgeld minder aantrekkelijk te maken. ( https://bernold.substack.com/p/laat-gehackt-bedrijf-belasting-betalen ) ) Bedrijven worden zo aangemoedigd om meer energie in cyberveiligheid te stoppen, in plaats van cyber-investeringen uit te stellen. Het voorstel leverde ons, naast bijval, een storm van kritiek op. Critici stelden dat een losgeldbelasting onsympathiek is. Slachtoffers van een ransomware-aanval ‘geef je nog een trap na’.

Laten we de inzichten van het promotie-onderzoek van Tom Meurs gebruiken om de losgeldbelasting te verfijnen. Richt deze puur op verzekeraars. Het is namelijk onverstandig als cyberverzekeraars een losgeldbetaling vergoeden. Niet alleen leidt het, volgens het onderzoek van Meurs, tot hogere losgeldbedragen, maar het leidt ook tot hogere hogere kosten voor de cyberverzekeraars zelf. De pool van de cyberverzekeraar (en de pools van andere verzekeraars op de markt) krijgt namelijk meer cyberaanvallen en dus schade te verduren.

Bovendien vermindert het verzekeren van een losgeldbetaling de prikkel bij een cyberverzekeraar om te zorgen dat de verzekerde pool juiste cybersecuritymaatregelen heeft geïmplementeerd. Die maatregelen zorgen ervoor dat organisaties juist niet met de rug tegen de muur komen te staan. Het gaat dan om maatregelen die je als cyberverzekeraar kan eisen voorafgaand aan het afsluiten van de verzekering en tijdens de verzekerde periode. Denk aan een goede (offline) back-up maar ook aan het versleutelen van de belangrijke data zodat ook bij een zogenaamde dubbele afpersing (waarbij de cybercriminelen ook bedrijfsgegevens stelen en ze dreigen die online te zetten of te verkopen), gegevens veilig zijn.

Het onderzoek van Meurs en de ransomware-aanval bij Ahold laten zien dat beleidsmaatregelen niet kunnen wachten. Cyberverzekeraars zouden, bijvoorbeeld via de bond van verzekeraars, ook een onderling systeem van belasting op losgeld kunnen opzetten. Je zou het een bonus/malus systeem kunnen noemen waarbij verzekeraars die weinig losgeld betalen een vergoeding krijgen van verzekeraars die veel losgeld betalen. De opbrengst van die vergoedingen kan dan gestoken worden in het promoten van cyberverzekeringen en/of het implementeren van de genoemde preventiemaatregelen bij de risicopool. Zo staan verzekerde organisaties sterker in hun schoenen ten tijde van een ransomware-aanval en kunnen ze de cybercrimineel nul op het rekest geven. Verzekeraars: los deze kwalijke weeffout nu op!

Tevens gepubliceerd op AMWeb: https://www.amweb.nl/152171/column-belast-het-betalen-van-losgeld-na-een-cyberaanval