Het ministerie van Justitie en Veiligheid bekijkt de mogelijkheid om het uitkeren van losgeld door verzekeraars aan banden te leggen. Bedrijven die ten prooi vallen aan een ransomware-aanval doen voor het ontsleutelen van bestanden vaak een beroep op hun verzekeraar. Volgens de overheid houdt die opstelling het verdienmodel van de criminelen in stand.
Dat melden bronnen aan de NOS. Bedrijven die slachtoffer worden van gijzelsoftware kiezen er vaak voor om losgeld te betalen, zodat ze snel weer aan de slag kunnen. Vaak is het geëiste bedrag aan losgeld lager dan de financiële schade die het bedrijf oploopt als het weken stilligt om de ict weer op orde te krijgen en bestanden te herstellen. Bovendien voeren criminelen vaak de druk op door te dreigen met het wissen van belangrijke bestanden of door privacygevoelige informatie openbaar te maken als het losgeld uitblijft.
‘We onderzoeken hoe we losgeldbetalingen kunnen verminderen’, bevestigt een woordvoerder van Justitie aan de omroepstichting. Het betalen van losgeld aan criminelen is een heet hangijzer. Politie en Justitie adviseren om niet te betalen omdat daarmee een crimineel verdienmodel in stand wordt gehouden. Bedrijven kiezen evenwel vaak eieren voor hun geld en gaan met tegenzin akkoord met de eis om snel weer de draad op te kunnen pakken.
Aanpassing huidige regels
Volgens Inge Bryan, directeur van ict-beveiliger Fox-IT, gaat een volledig verbod op polissen die losgeld dekken bij ransomware-aanvallen ‘veel te ver’. Ze denkt bovendien dat een verbod niet zal leiden tot minder betalingen.
‘Dit is echt de verkeerde aanpak van het probleem. Bedrijven zijn slachtoffer van criminelen en zien dit vaak als laatste strohalm. Die kun je hen niet ontnemen.’
Justitie moet verzekeraars niet ‘gebruiken’ voor een verbod, vindt ze. Ze ziet wél iets in een aanpassing van de huidige regels. Bijvoorbeeld dat er alleen uitgekeerd mag worden als er aan bepaalde ict-beveiligingsvoorwaarden is voldaan. Dat stimuleert bedrijven om hun security te verbeteren.
Voor miljoenen gedekt
Nederlandse bedrijven sluiten wereldwijd de hoogste verzekeringen af tegen schade door ransomware-aanvallen. Gemiddeld zijn ze voor 5,77 miljoen euro gedekt voor gijzelsoftware.
Minister Grapperhaus (Justitie en Veiligheid) riep in april 2020 verzekeraars al op om losgeldbetalingen bij ransomware-aanvallen niet te vergoeden. Wel moeten ze schade vergoeden die ontstaan doordat verzekerden het geëiste losgeld niet betalen en inkomsten mislopen doordat het bedrijf stilvalt, was zijn visie toen.
Justitie zou moeten laten controleren of de ict-beveiliging voldoende op orde was en zo niet, bovenop de betaalde losgeld een boete moeten opleggen, en die boete is niet verzekerbaar.
“Vaak is het geëiste bedrag aan losgeld lager dan de financiële schade die het bedrijf oploopt als het weken stilligt om de ICT weer op orde te krijgen en bestanden te herstellen.” Ben vanuit deze economische overweging benieuwd hoe succesvol Justitie gaat worden in het verbieden van een verzekeringspolis omdat ze op die manier ingrijpen in een markt, een markt die uiteindelijk net zo crimineel is als belasting heffen.
Dit is een nogal complex onderwerp. Wil justitie alleen ransom-polissen verbieden, of bijvoorbeeld ook belastingaftrek van losgeld? En geldt dit verbod alleen voor de inzet van ransomware als criminele daad om geld te verdienen, of gaat het ook als het om een sabotagedaad door een ander land, uitgevoerd door professionele kapers van het internet? (Daar zijn rechtszaken over gevoerd.) Gaat het verbod alleen over ICT-gerelateerde zaken of wil men ook Kidnap & Ransom verzekeringen voor de klassieke zeeroverij en het kidnappen van medewerkers van hulporganisaties, gaan verbieden? Waarom zou men hier eventueel onderscheid willen maken?
Het frustreren van het verdienmodel van de internet kapers is belangrijk gezien de omvang van deze criminele business, al heeft narcostaat Nederland wel grotere problemen. Maar een simpel verbod op losgeldverzekeringen zou de ransom markt amper beïnvloeden als het niet op bijvoorbeeld EU niveau geregeld wordt. Het losgeld kan immers (zogenaamd) betaald worden door vestigingen in het buitenland, waar andere wetten gelden.
En hoe staat het met preventie zoals Guus Brugman hierboven aangeeft? Moeten verzekeraars en de rijksoverheid niet gewoon hoge eisen gaan stellen? Nederland heeft wereldwijd het hoogste gemiddelde verzekerde bedrag per bedrijf. Dat mag niet ten koste van preventie gaan. En ik denk hierbij ook aan de AVG. Rechtstreekse financiële schade door hacks en ransomware is één ding, het op straat gooien van privégegeven als dwangmiddel is een ander ding. De gevolgschade komt ook bij derden terecht.
De rijksoverheid moet ook bedenken dat elk bedrijf en instelling (overheid) slachtoffer kan worden. Je kan met vlag en wimpel door een hack test komen en de volgende dag toch gehackt worden. De rijksoverheid richt zich op ransom markt, maar raakt zo ook de normale markt, zoals Ewoud aangeeft. Zou de rijksoverheid bedrijven en instelling willen helpen als ze hun beveiliging goed hadden geregeld maar desondanks gehackt zijn? En hoe zit het bij bedrijven die er vanuit gingen dat derden de beveiliging goed voor hen hadden geregeld? En zou de rijksoverheid samen met anderen actie willen ondernemen tegen de kapers van het internet, zoals men dat met gewone zeeroverij doet?