Minister Grapperhaus (Justitie en Veiligheid) roept verzekeraars op losgeldbetalingen bij ransomware-aanvallen niet te vergoeden. Wel moeten ze schades vergoeden die zijn ontstaan doordat verzekerden het geëiste losgeld juist niet betalen.
Vergoeding van betaald losgeld hoort niet thuis in een cyberverzekering, vindt Grapperhaus. Hij reageert ermee op Kamervragen naar aanleiding van een ransomwarebetaling door de Universiteit Maastricht. Rond de jaarwisseling werden het mailverkeer en Windows-systemen enkele weken door criminelen gegijzeld, waarna de universiteit besloot ruim een kwart miljoen euro losgeld te betalen. Het is overigens niet bekend of de universiteit dit geld via een verzekering vergoed kreeg.
Onwenselijk
Minister Grapperhaus roept verzekeraars op om dergelijke losgeldbetalingen niet te vergoeden, maar juist de geleden schade door het niet-betalen van dit losgeld. Volgens de bewindsman is het sowieso ‘onwenselijk’ om bij een ransomware-aanval losgeld te betalen, omdat dit criminele activiteiten beloont en stimuleert. Het zou ook leiden tot meer aanvallen van ransomware.
De bewindsman heeft dit onder de aandacht gebracht van het Verbond van Verzekeraars, dat dit met zijn leden gaat bespreken. ‘Verzekeraars zijn zich bewust van de grote maatschappelijke gevolgen van het betalen van losgeld’, schrijft de minister. ‘Bedrijven die zich verzekeren tegen cyberrisico’s zijn in de regel zich bewuster van de risico’s en beter beschermd, maar kunnen desondanks slachtoffer zijn van cybercriminelen.’ Volgens Grapperhaus dragen verzekeraars bij aan verbeterde cybersecurity, doordat zij in hun verzekeringsproducten vaak specifieke voorwaarden stellen.
Cyberverzekering
Diverse verzekeringsmaatschappijen bieden cyberverzekeringen, waarmee organisaties de financiële gevolgen van cyberrisico’s kunnen afdekken. Het gaat bijvoorbeeld om vergoeding van schade veroorzaakt door de uitval van systemen en vergoeding van de kosten voor forensisch onderzoek en herstel door technische experts. In de meeste gevallen zijn de cyberverzekeringen gekoppeld aan een preventieprogramma.
Organisaties zijn primair zelf verantwoordelijk voor digitale weerbaarheid, vindt de minister. Volgens hem is cybersecurity daarom van belang in elke organisatie. In dit kader heeft de overheid twee taken: optreden en advisering. Optreden gebeurt onder meer door opsporing, vervolging en attributie (toekenning van bevoegdheid tot rechtspraak). Advisering gebeurt via preventiecampagnes en communicatie over concrete acties, zoals het maken van backups.