Vanuit de ict- en securitywereld wordt kritisch gereageerd op een mogelijk verbod op losgeldpolissen. Vorige week werd bekend dat het ministerie van Justitie en Veiligheid (J&V) onderzoekt of de uitbetaling van losgeld door verzekeraars aan banden is te leggen. Die geldstromen zouden het verdienmodel van cybercriminelen in stand houden. Directeur van ict-beveiliger Fox-it, Inge Bryan, en Computable-expert Jaap van Belkum vinden die aanpak te kort door de bocht.
Bryan uitte afgelopen vrijdag in een opiniestuk in het FD dat een verbod op het verzekeren van losgeld de ellende niet zal verminderen, maar juist een ‘fors averechts effect’ zal hebben. Ze begrijpt de controverse rondom het betalen van losgeld, maar een mogelijk verbod is volgens haar niet de oplossing en zal niet leiden tot minder losgeldbetalingen.
Het betalen van losgeld moet volgens de topvrouw van de ict-beveiliger uit Delft gezien worden als een uiterste stap die alleen genomen wordt als het niet mogelijk is om gegijzelde data op een andere manier terug te krijgen. Bijvoorbeeld als ook de backups versleuteld zijn. Vanuit de verzekeraars bekeken benadrukt ze dat de schade vaak te overzien blijft, doordat een bedrijf weer sneller aan de slag kan dan wanneer de schade oploopt doordat het bedrijf lange tijd stil ligt.
Een structurele oplossing om het ‘verfoeide’ verdienmodel van cybercriminelen aan te pakken ligt volgens Bryan in een samenwerking met verzekeraars. ‘In plaats van de rol van de verzekeraars te marginaliseren, zou de minister juist gericht gebruik moeten maken van hun toegang tot de markt en hun mogelijkheid de veiligheidsnormen te verhogen.’
Rechtvaardiger en effectiever
Als belangrijke voorbeelden noemt Bryan een overzicht van alle ict die een organisatie gebruikt, ofwel een configuration management database. Ict die niet meer in gebruik is, moet opgeruimd worden. En zaken als netwerksegmentatie, toegangsbeheer en security-monitoring zijn voorwaarden voor standaardbeveiliging waarin ook verzekeraars een rol kunnen spelen.
Bryan denkt dat bedrijven gestimuleerd moeten worden om zorgvuldig preventieve veiligheidsmaatregelen te treffen. Dat is ‘rechtvaardiger én effectiever’ dan hen met nog meer schade op te zadelen als het onverhoopt toch is misgegaan.
Kwesties en vragen
Ook Computable-expert Jaap van Belkum, die reageert op het Computable-artikel Justitie verkent verbod op losgeldpolis, is kritisch. Volgens hem is een mogelijk verbod op een losgeldpolis niet de oplossing. Bovendien zijn er nogal wat kwesties en vragen die eerst duidelijk moeten worden. ‘Wil justitie alleen ransom-polissen verbieden of bijvoorbeeld ook belastingaftrek van losgeld? En geldt dit verbod alleen voor de inzet van ransomware als criminele daad om geld te verdienen of ook als het om sabotage door een ander land gaat, uitgevoerd door professionele kapers van internet?’
Hij vindt het belangrijk dat het verdienmodel van ‘internetkapers’ wordt aangepakt, zeker gezien de omvang van die ‘criminele business.’ Maar een simpel verbod op losgeldverzekeringen zou de ransom-markt amper beïnvloeden, denkt hij. Zeker als het niet op EU-niveau geregeld wordt. ‘Het losgeld kan immers ‘zogenaamd’ betaald worden door vestigingen in het buitenland, waar andere wetten gelden.’ Hij ziet meer in hogere eisen die verzekeraars en de rijksoverheid stellen aan de ict-beveiliging van organisaties.
Privacy
Ook wijst Van Belkum op de gevolgen die een mogelijk verbod op losgeldpolissen hebben voor de privacy. ‘Rechtstreekse financiële schade door hacks en ransomware is één ding, het op straat gooien van privégegevens als dwangmiddel is een ander ding. De gevolgschade komt ook bij derden terecht.’
Met een verbod op een losgeldpolis houdt de overheid er volgens hem onvoldoende rekening mee dat elk bedrijf en instelling, ook de overheid zelf, slachtoffer kan worden. ‘Je kan met vlag en wimpel door een hacktest komen en de volgende dag toch gehackt worden. En hoe zit het bij bedrijven die er vanuit gingen dat derden de beveiliging goed voor hen hadden geregeld?’ Volgens Van Belkum zijn er dus nog heel wat vragen die eerst beantwoord moeten worden. ‘Maar een verbod is sowieso geen goed idee.’
Verbond van Verzekeraars
Het Verbond van Verzekeraars meldt aan Computable dat verzekeraars er ‘alles aan doen’ om te voorkomen dat een bedrijf na een hack losgeld moet betalen. De branche-organisatie wijst erop dat een verbod op het verzekeren van het vergoeden van losgeld weinig oplevert en zelfs averechts kan werken.
‘Verzekeraars zorgen er juist voor dat bedrijven niet ingaan op losgeld-eisen en er eerst alles aan doen om het probleem op andere manieren op te lossen. Ze maken daarvoor veel extra kosten voor onder andere technisch en forensische onderzoek’, laat een woordvoerder weten.
Ze stelt dat hulpverlening en vergoeding van kosten al onder de dekking vallen. ‘Zo kunnen ondernemers concreet worden geholpen en kan de betaling van losgeld worden voorkomen.’ Als er uiteindelijk toch betaald wordt, is het bedrag vaak significant verminderd, stellen de verzekeraars.
Op haar website behandelt het verzekeraarsverbond allerlei thema’s rondom cybercriminaliteit, ransomware en verzekeringen.
In een volgend artikel van het FD over cybersecurity, Bedrijfsleven start eigen alarmsysteem tegen hackers: ‘overheid te traag’, speelt Fox-IT ook alweer een belangrijke rol om kritiek op J&V te spuien. Terwijl een extra meldpunt vanuit het bedrijfsleven door de overheid wordt verwelkomd en er vast graag samengewerkt wordt, ook met dit initiatief.
We moeten de discussie wel zuiver houden, ook met aandacht trekkende koppen in Computable. J&V onderzoekt in hoeverre de geldstromen richting hackers aan banden gelegd kunnen worden, staat in dit artikel. Dat is wat anders dan alleen het verbieden van het verzekeren van losgeld, zoals de kop benoemt.
In feite zijn alle bedrijven die geld verdienen aan security, onderdeel van de illegale economie er omheen en hebben er belang bij deze markt groeiende, urgent en noodzakelijk gevoeld te houden. Het levert niet alleen nieuwe of beter betalende klanten op, maar ook extra subsidie vanuit de overheid. Het FD daarbij ook als advertorial-blaadje in de media-mix inzetten is nu blijkbaar een trend aan het worden. En let op, dit gaat inderdaad om een goed geplande campagne: “De hardware en software voor het nieuwe systeem staan al klaar.”
Als de overheid samen met de verzekeraars naar de geldstromen richting hackers kijkt, is er vast iets te winnen. Vergoedingen betalen aan bedrijven of een verzekerings-economie optuigen die zogenaamd een flinke korting op het losgeld bij ransomware weet te bedingen, maar de facto onder één hoedje gaat spelen met de aanvallers, zou van mij best expliciet verboden en strafbaar gesteld mogen worden, hoe lastig te bewijzen en vaak een grijs gebied, ook. Het gaat om het principe en we hebben altijd nog Follow The Money en andere onderzoeksjournalistiek, die met minder juridische hindernissen dan overheidsdiensten zaken naar buiten kunnen brengen.
Die Fred, stellen dat alle bedrijven die geld verdienen aan security de farizeeërs in de sector zijn is een stevige stelling waar ik (quod erat demonstrandum?) eigenlijk niks tegen in kan brengen want angst verkoopt nu eenmaal beter dan hoop. De verzekeraar is in deze markt zowel de makelaar als de incubator want de winstgevendheid van een hogere premie en een lagere uitkering zijn de welbekende woekerpolissen welke de overheid graag afroomt omdat de staatskas zich ook niet vanzelf vult. Als criminele winsten afgeroomd kunnen worden met een belasting dan wordt het business-as-usual want een vos verliest wel zijn haren maar niet zijn streken.
Nee Inge, het betalen van het losgeld en daarover onderhandelen is in eerste instantie gewoon een zakelijke overweging volgens andere experts. Die onderhandeling kun je overlaten aan de experts omdat die gewoon handel in de dienstverlening zien en ik vermoed dat Fox IT niet zo principieël is dat ze medewerking zullen weigeren. En nee Jaap, de organisatie kan er ook voor kiezen om zich niet aan de wet te houden als de winst en het imago daarbij gebaat zijn. Want onrechtmatig handelen is nog niet direct onrechtvaardig handelen omdat er nog weleens conflicten in de wetgeving zitten waardoor je door de hond gebeten of door de kat gekrabt wordt. De benadeling van €10.000 aan losgeld betalen of €100.000 aan boete is uiteindelijk een zakelijke keus.