Minister aan verzekeraars: vergoed bij ransomware de schade en niet het losgeld
Minister Grapperhaus van Justitie en Veiligheid heeft verzekeringsmaatschappijen opgeroepen om bij organisaties die door ransomware worden getroffen niet het losgeld te vergoeden dat naar de criminelen gaat, maar juist de geleden schade. Volgens de minister is het onwenselijk om bij ransomware het losgeld te betalen voor het ontsleutelen van bestanden, zo laat hij in een brief aan de Tweede Kamer weten.
Er zijn inmiddels allerlei verzekeringsmaatschappen die "cyberverzekeringen" aanbieden en het losgeld vergoeden dat slachtoffers van ransomware betalen om hun bestanden terug te krijgen. Volgens sommige experts zijn aanvallers hierdoor veel hogere losgeldbedragen gaan vragen. "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware", stelt Grapperhaus.
De minister ziet liever dat verzekeringsmaatschappijen extra nadruk gaan leggen op het nemen van adequate beveiligingsmaatregelen door hun verzekeringsnemers. Zo zouden ze specifieke eisen kunnen stellen, zoals het regelmatig maken van een back-up. "Tot slot heeft het mijn voorkeur dat de verzekeraar niet het losgeld vergoedt dat in handen van criminelen terecht komt, maar juist de geleden schade door het niet betalen van dit losgeld", voegt Grapperhaus toe. De minister heeft zijn opvattingen aan het Verbond van Verzekeraars kenbaar gemaakt, die dit met de aangesloten leden zal bespreken.
Reacties (22)
Minister Grapperhaus snapt niet dat het betalen van losgeld vrijwel altijd goedkoper is dan het bruteforce decrypten van versleutelde bestanden door ransomware.
22-04-2020, 12:19 door
souplost
De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Hoe stel je de geleden schade vast van verloren data? Wat is de waarde in geld van verloren trouwfoto's e.d.?
Door souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Vandaar het woord "oproepen". En wat verbieden van Windows betreft: de minister van Justitie heeft de politieke leiding over het ministerie dat over de UITVOERING van de wet gaat. Het CREEREN of WIJZIGEN van wetten is voorbehouden aan de Staten-Generaal.
Dus, nog los van de discussie omtrent de intrinsieke veiligheid van een specifiek OS lijkt het me raadzaam om je in ieder geval eens te verdiepen in staatkunde in zijn algemeenheid en de Nederlandse invulling van de Trias Politica vóórdat je jezelf nog eens een keertje zo voor paal zet.
Door souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Wat een onzin. Verzekeringsmaatschappijen die in NL opereren, hebben zich gewoon te houden aan de Nederlandse wet- en regelgeving. Als in die wet- en regelgeving opgenomen wordt dat dit losgeld niet verzekerd mag worden, dan mag het niet verzekerd worden.Door Anoniem: Hoe stel je de geleden schade vast van verloren data? Wat is de waarde in geld van verloren trouwfoto's e.d.?
Sowieso een waardevermindering van 20 procent per jaar, zodat de uitgekeerde schade altijd vrijwel nul is. Precies zoals dat nu ook gaat.
22-04-2020, 13:28 door
karma4
Door souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Grootste probleem alle data op servers … overal gelekt en gehackt. De overheid zou linux moeten verbieden. Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
22-04-2020, 13:45 door
souplost
Door karma4:
Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Uit bijna alle incidenten blijkt dat het begint met een driveby download infectie op een windows desktop/laptop Door souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Grootste probleem alle data op servers … overal gelekt en gehackt. De overheid zou linux moeten verbieden. Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Daarnaast is afgerond 100% van de malware walware.
Je serveropmerking is offtopic en slaat kant nog wal.
Door Anoniem: Minister Grapperhaus snapt niet dat het betalen van losgeld vrijwel altijd goedkoper is dan het bruteforce decrypten van versleutelde bestanden door ransomware.
Waar haal je dat altijd goedkoper vandaan???
Definieer bijna altijd? Hoe lang duurt dat altijd?? Is dat voor al die gevallen gelijkelijk even lang?
Goede kennis en ervaring in huis hebben is echter wel duurkoop.
Daar kunnen ze in Maastricht inmiddels wel over meepraten.
De rest is even vlug wat in elkaar draaien of denken dat je met een quick fix daadwerkelijk het geheel hebt doorzien.
Of je nou jouw reactie bekijkt of meer fundamenteel over een specifieke zaak die opduikt een oplossing wilt aandragen.
Het is al snel achteraf het lekke schip bergen.
22-04-2020, 14:02 door
souplost
Door Anoniem: Minister Grapperhaus snapt niet dat het betalen van losgeld vrijwel altijd goedkoper is dan het bruteforce decrypten van versleutelde bestanden door ransomware.
Het betalen van losgeld betekent dat je niet met zekerheid weet hoe je IT er voor staat. Dat heet niet meer betrouwbaar. Het kan vol met backdoors zitten die data lekken of opnieuw toslaan.Door Anoniem: Hoe stel je de geleden schade vast van verloren data? Wat is de waarde in geld van verloren trouwfoto's e.d.?
Iemand die z'n trouwfoto's alleen bewaard op een PC die aan het net hangt, verdient straf. Zoiets laat je afdrukken in een fotoboek of iets dergelijks. Maar goed, wellicht ben ik ouderwets en moet dat ook allemaal digitaal tegenwoordig. ;)
22-04-2020, 14:53 door
souplost
Door Rexodus:
Iemand die z'n trouwfoto's alleen bewaard op een PC die aan het net hangt, verdient straf. Zoiets laat je afdrukken in een fotoboek of iets dergelijks. Maar goed, wellicht ben ik ouderwets en moet dat ook allemaal digitaal tegenwoordig. ;)
Of er wordt minder belang aan gehecht, gezien het aantal echtscheidingen. Zo iets als wife for sale.Door Anoniem: Hoe stel je de geleden schade vast van verloren data? Wat is de waarde in geld van verloren trouwfoto's e.d.?
Iemand die z'n trouwfoto's alleen bewaard op een PC die aan het net hangt, verdient straf. Zoiets laat je afdrukken in een fotoboek of iets dergelijks. Maar goed, wellicht ben ik ouderwets en moet dat ook allemaal digitaal tegenwoordig. ;)
Dit gaat de goede kant uit, nu nog doorzetten.
De verzekering gaat nu dingen verplichten ?, zoals een wekelijkste backup. *tip
Geen criminelen betalen heel goed.
De verzekering gaat nu dingen verplichten ?, zoals een wekelijkste backup. *tip
Geen criminelen betalen heel goed.
Tweakers heeft een stukje waar jullie wellicht wat minder van in de war raken:
Grapperhaus schrijft in een brief aan de Tweede Kamer dat het 'zijn voorkeur' heeft dat verzekeringsmaatschappijen het losgeld niet vergoeden. In plaats daarvan ziet hij liever dat verzekeraars juist de schade die bedrijven lijden bij een ransomware-infectie vergoeden. Grapperhaus schrijft dat hij zijn zorgen tegenover het Verbond van Verzekeraars heeft geuit. De brancheorganisatie heeft de zorgen vervolgens bij de aangesloten leden doorgezet. Ook zal het Verbond erover in gesprek gaan met verzekeraars. Het wordt vooralsnog niet verboden om losgeld te vergoeden. Grapperhaus zei in maart al dat hij geen eisen wilde stellen aan verzekeraars rondom het betalen van ransomwarelosgeld.
https://tweakers.net/nieuws/166254/minister-vraagt-verzekeraars-losgeld-bij-ransomware-niet-te-vergoeden.html
Grapperhaus schrijft in een brief aan de Tweede Kamer dat het 'zijn voorkeur' heeft dat verzekeringsmaatschappijen het losgeld niet vergoeden. In plaats daarvan ziet hij liever dat verzekeraars juist de schade die bedrijven lijden bij een ransomware-infectie vergoeden. Grapperhaus schrijft dat hij zijn zorgen tegenover het Verbond van Verzekeraars heeft geuit. De brancheorganisatie heeft de zorgen vervolgens bij de aangesloten leden doorgezet. Ook zal het Verbond erover in gesprek gaan met verzekeraars. Het wordt vooralsnog niet verboden om losgeld te vergoeden. Grapperhaus zei in maart al dat hij geen eisen wilde stellen aan verzekeraars rondom het betalen van ransomwarelosgeld.
https://tweakers.net/nieuws/166254/minister-vraagt-verzekeraars-losgeld-bij-ransomware-niet-te-vergoeden.html
22-04-2020, 16:01 door
Ron625
Door karma4:
Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Even ter info: https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterpriseDoor souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Grootste probleem alle data op servers … overal gelekt en gehackt. De overheid zou linux moeten verbieden. Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Dat zal je wel pijn doen :-)
22-04-2020, 17:08 door
Legionnaire
Door Ron625:
Dat zal je wel pijn doen :-)
Door karma4:
Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Even ter info: https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterpriseDoor souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Grootste probleem alle data op servers … overal gelekt en gehackt. De overheid zou linux moeten verbieden. Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Dat zal je wel pijn doen :-)
Als Microsoft Developer even mijn advies voor de overheid en de burgers.
Wil je het goed voor elkaar hebben, dan moet je eens wat meer uitgeven voor kwaliteit.
Het probleem ligt niet aan windows, maar aan de beheerders. Gebrek aan kennis. Maak het dagelijks mee.
Daarnaast heeft Microsoft een eigen versie van Linux, die op al hun servers draaien.
Wat de overheid en andere grote instanties moeten doen, is Microsoft alles laten inrichten, configureren en onderhouden, dan maar even flink betalen.
Want wie heeft de beste IT specialisten ter wereld in dienst? Microsoft.
Nee, van die afgestudeerde Netwerkbeheerders lekker laten aan kloten en dan hun gebrek aan kennis en ervaring Microsoft in de schoenen schuiven.
Ik zit al 25 jaar in het vak en dagelijks kom ik van de hoge school of UT informatica afgestudeerde IT-ers tegen...met de mond kunnen ze alles, totdat je ze de serverruimte mee in neemt...einde oefening.
Als losgeld niet vergoed wordt, dan kiezen bedrijven er natuurlijk voor om de schade te nemen - en te laten vergoeden. Dat is dan goedkoper dan losgeld betalen, wat ze niet vergoed zouden krijgen. Puntje bij paaltje wordt een verzekering daarmee een stuk duurder en draaien de anderen verzekerden op voor het probleem. Theoretisch gezien zou ransomware dan uiteindelijk moeten uitsterven, maar praktisch gezien is dat natuurlijk naïef.
Dat is een beetje als een minister die er de voorkeur aan geeft dat verzekeringmaatschappijen bij een schade niet het
repareren vergoeden maar alleen een nieuwe auto. Weet ik veel waarom.
Dat zal de premie behoorlijk opdrijven maar dat is dan niet zijn probleem.
repareren vergoeden maar alleen een nieuwe auto. Weet ik veel waarom.
Dat zal de premie behoorlijk opdrijven maar dat is dan niet zijn probleem.
Door karma4:
Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Door souplost: De minister gaat niet over verzekeringsmaatschappijen. Laat ze lekker hun eigen gang gaan. De minister zou windows moeten verbieden voor overheidsinstanties.
Grootste probleem alle data op servers … overal gelekt en gehackt. De overheid zou linux moeten verbieden. Terug naar de terminal en het mainframe. Uiteindelijk is dat wel de richting als is het niet exact hetzelfde.
Mailframe werkt met UNIX. Linux is hierop gebaseerd.....
Door Anoniem: Als losgeld niet vergoed wordt, dan kiezen bedrijven er natuurlijk voor om de schade te nemen - en te laten vergoeden. Dat is dan goedkoper dan losgeld betalen, wat ze niet vergoed zouden krijgen. Puntje bij paaltje wordt een verzekering daarmee een stuk duurder en draaien de anderen verzekerden op voor het probleem. Theoretisch gezien zou ransomware dan uiteindelijk moeten uitsterven, maar praktisch gezien is dat natuurlijk naïef.
En is volgens mij niet en/of maar en/en. Met schade wil men zeggen de kosten voor het repareren van de omgeving (niet perse de verloren data). Ook al zou je losgeld betalen dan zou ik daarna alsnog verwachten dat je alles opnieuw gaat installeren, etc. Kosten zijn dus veel meer dan alleen de ransome. (dat is vaak maar peanuts). Ik kom bij bedrijven waar een paar uur overleg wel/niet betalen al meer kost dan maar gewoon betalen. (Wat ik natuurlijk niet goed wil praten...andere discussie)
Verder gaat het natuurlijk een stuk verder dan welk OS je hebt. Het gaat om het totale security beleid (wat er wel/niet is). En iedereen weer dat 100% veiligheid niet bestaat. Voor dat laatste stukje zou een verzekering handig kunnen zijn. Als dan niet uitbetalen van de ransome is meer voor de bhune en idee om criminelen niet te financieren. In de totaal kosten is het peanuts.
Door Legionnaire: Want wie heeft de beste IT specialisten ter wereld in dienst? Microsoft.
Ik denk dat IT-specialisten van IBM, Google, Oracle en vele andere bedrijven niet voor ze onderdoen, hoor. En de nodige IT-specialisten die helemaal niet voor de IT-reuzen werken trouwens ook. Ik ben in bedrijven in Nederland die geen IT-bedrijven waren maar wel hun eigen automatisering deden indrukwekkende mensen tegengekomen.En Microsoft heeft echt niet alleen maar van die toppers in dienst, ik heb er (in het verleden, maar toen klopte Microsoft zich ook al op de borst dat ze de beste mensen in dienst hadden) een aantal meegemaakt die aanzienlijk beter waren in pochen over Microsoft dan in daadwerkelijk presteren.
Een oud-collega van me, een van die mensen waarvan ik serieus onder de indruk was geraakt, is op een gegeven moment gaan werken voor Microsoft en ging daar als probleemoplosser de hele wereld over. Dat zal dan wel een van die "beste IT-specialisten ter wereld" zijn. Die vertelde me dat je ongeveer een grote multinational of een nationale overheid moet zijn om dat soort mensen over de vloer te krijgen, gewone bedrijven en organisaties zijn veel te onbelangrijk voor Microsoft om daar hun toptalent op los te laten, die krijgen dus alleen gewone IT'ers van Microsoft over de vloer. Wat in mijn ervaring dus wel vergezeld ging van voortdurende marketingpraat over hoe geweldig alles en iedereen van Microsoft wel niet was. Ik werd er doodmoe van, ze gaven me het idee dat ik met sekteleden te maken had.
Dat wordt dan faillissementen vergoeden. Wat de politiek niet lijkt te (willen) begrijpen, is dat de data gewoon niet terug te halen is. Universiteit Maastricht had opnieuw kunnen beginnen als ze geen losgeld hadden betaald.
Schade vergoeden zou wel helpen bij de nieuwe strategie van malware-makers om te dreigen met openbaarmaking. Maar als de verzekeraar dan de boetes van Autoriteit Persoonsgegevens gaat vergoeden, kunnen we wel stoppen met het heffen van boetes. Waarom zouden bedrijven dan nog investeren in deugdelijke informatiebeveiliging? De rekening kan immers door naar de verzekeraar.
Kortom, de minister zou er goed aan doen zich eerst te laten informeren door gespecialiseerde ambtenaren. Op het ministerie zitten enkele ambtenaren met écht veel kennis op dit gebied.
Schade vergoeden zou wel helpen bij de nieuwe strategie van malware-makers om te dreigen met openbaarmaking. Maar als de verzekeraar dan de boetes van Autoriteit Persoonsgegevens gaat vergoeden, kunnen we wel stoppen met het heffen van boetes. Waarom zouden bedrijven dan nog investeren in deugdelijke informatiebeveiliging? De rekening kan immers door naar de verzekeraar.
Kortom, de minister zou er goed aan doen zich eerst te laten informeren door gespecialiseerde ambtenaren. Op het ministerie zitten enkele ambtenaren met écht veel kennis op dit gebied.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
