image

Verzekeraar AXA stopt met vergoeden van losgeld bij ransomware

vrijdag 7 mei 2021, 14:23 door Redactie, 18 reacties

Verzekeringsmaatschappij AXA stopt in Frankrijk met het vergoeden van het losgeld dat slachtoffers van ransomware-aanvallen betalen om hun bestanden terug te krijgen of het openbaar maken van gestolen data te voorkomen. Dat laat het bedrijf weten in een reactie op zorgen van de Franse overheid.

Tijdens een hoorzitting voor de Franse senaat over ransomware-aanvallen haalden het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) en het openbaar ministerie uit naar verzekeringsmaatschappijen die het losgeld bij ransomware-aanvallen dekken. Volgens de overheidsinstanties is Frankrijk een slachtoffer van ransomware-aanvallen omdat getroffen organisaties het losgeld te gemakkelijk betalen. Dat moedigt aanvallers aan om Franse organisaties te blijven aanvallen.

In een reactie hierop liet AXA weten dat het in Frankrijk stopt met het vergoeden van het losgeld, zo meldt Le Monde la Sécurité. Verzekeringsdeskundige Arnaud Gressel laat tegenover het medium weten dat de meeste bedrijven die losgeld betalen niet zijn verzekerd. Daarnaast moet de optie om losgeld te betalen altijd worden opengehouden, aldus Gressel.

In het verleden hebben verschillende partijen gesteld dat verzekeringsmaatschappen die het losgeld van ransomware-slachtoffers dekken voor een toename van ransomware-aanvallen en een hoger geëist losgeldbedrag zorgen.

Reacties (18)
07-05-2021, 15:37 door Anoniem
Goed idee,

Losgeld dekken en als bedrijf fouten maken is natuurlijk te zot voor woorden, daarnaast is iedere betaling een prikkel voor de aanvaller om het weer te doen, zo werk je mee aan het in stand houden van een crimineel business model

je kunt je cybersecurity laksheid / achtelloosheid niet blijven verzekeren, ga de juiste dingen doen en investeer daar in.

Wanneer gaan we nou eens boetes uitdelen voor cyberlaksheid? (het woord van 2021 voorspel ik nu al)
07-05-2021, 17:43 door Anoniem
Moeten verzekeraars ook stoppen met fietsverzekeringen omdat dit de diefstal van fietsen aanmoedigt?
Immers door "het is toch verzekerd" wordt de drempel voor diefstal verlaagd en de achteloosheid bij de eigenaar verhoogd.
07-05-2021, 18:30 door Anoniem
"Daarnaast moet de optie om losgeld te betalen altijd worden opengehouden, aldus Gressel."

Nee, je wilt die optie zelfs strafbaar stellen. Het is heling. Je koopt je eigen gestolen spullen terug. Zonder enige garantie dat je het terugkrijgt, of dat het de enige kopie was.

Als het strafbaar is gebeurd het veel minder en heeft het dus weinig nut meer deze vorm van criminaliteit uit te oefenen.

Je wilt dit niet in stand houden!

Je gaat toch ook geen geld betalen om je auto terug te krijgen als die gestolen is?!
07-05-2021, 20:30 door Anoniem
Door Anoniem: "Daarnaast moet de optie om losgeld te betalen altijd worden opengehouden, aldus Gressel."

Nee, je wilt die optie zelfs strafbaar stellen. Het is heling. Je koopt je eigen gestolen spullen terug. Zonder enige garantie dat je het terugkrijgt, of dat het de enige kopie was.

Als het strafbaar is gebeurd het veel minder en heeft het dus weinig nut meer deze vorm van criminaliteit uit te oefenen.

Je wilt dit niet in stand houden!

Je gaat toch ook geen geld betalen om je auto terug te krijgen als die gestolen is?!
ja, dat lijkt me ook, maar wat nu als de data onvervangbaar is en niet valt te herstellen, wat dan? Ik ben het helemaal eens dat er niet betaald moet worden maar wat doe je in zo'n situatie waarbij je met je rug tegen de muur staat? Data niet terug kunnen halen zou zomaar een faillissement kunnen betekenen. Ik zou niet graag in de schoenen staan van degene die in zo'n situatie terecht is gekomen. Ik ben ervoor dat cybercrime keihard aangepakt gaat worden.
07-05-2021, 21:08 door Anoniem
Door Anoniem: Goed idee,

Losgeld dekken en als bedrijf fouten maken is natuurlijk te zot voor woorden, daarnaast is iedere betaling een prikkel voor de aanvaller om het weer te doen, zo werk je mee aan het in stand houden van een crimineel business model

je kunt je cybersecurity laksheid / achtelloosheid niet blijven verzekeren, ga de juiste dingen doen en investeer daar in.

Lekker joh..... sybersecurity laksheid. Stap zelf in de ICT, weer een van de mensen die langs de zijlijn staan en schreeuwen over laksheid. Je weet niet eens hoe het zit, hou dan gewoon je mond !
08-05-2021, 08:54 door Anoniem
Door Anoniem: Moeten verzekeraars ook stoppen met fietsverzekeringen omdat dit de diefstal van fietsen aanmoedigt?
Het is wezenlijk verschillend: de fietsendief heeft de buit al binnen en merkt helemaal niets van de vraag of de gestolen fiets verzekerd was en of de verzekeraar uitbetaalt; terwijl bij ransomware de winst van de dief afhangt van de vraag of wordt uitbetaald, en draagt de verzekeraar actief bij aan de aantrekkelijkheid van dit soort criminaliteit als die losgeld uitbetaalt of vergoedt.
Immers door "het is toch verzekerd" wordt de drempel voor diefstal verlaagd en de achteloosheid bij de eigenaar verhoogd.
Ik denk dat dat wel meevalt. De meeste mensen vinden het ook als de schade vergoed wordt knap vervelend als hun fiets gestolen is; en zitten niet te wachten op de rompslomp van aangifte doen, een verzekeringsclaim indienen, en een nieuwe fiets uitzoeken en aanschaffen. Je fiets goed op slot zetten is een simpele handeling die heel wat gedoe voorkomt. Verder zullen mensen die opvallend vaak claims indienen hun geloofwaardigheid verliezen voor de verzekeraar. Het effect dat je veronderstelt is ongetwijfeld niet nul, maar ook weer niet dramatisch groot.
08-05-2021, 11:05 door Anoniem
Door Anoniem: Nee, je wilt die optie zelfs strafbaar stellen. Het is heling. Je koopt je eigen gestolen spullen terug.
Het is alleen volstrekt onredelijk om iemand als heler te beschouwen als die zijn eigen spullen of data terugkoopt. Wat wil je daarmee doen, het afnemen van de heler en weer teruggeven aan de rechtmatige eigenaar? Oeps, het was al terug bij de rechtmatige eigenaar. Richt je energie liever op de afperser, dat is de crimineel hier.

https://blog.iusmentis.com/2021/03/18/waarom-is-ransomware-losgeld-betalen-eigenlijk-niet-strafbaar/
08-05-2021, 13:29 door johanw
Door Anoniem: Goed idee,

Losgeld dekken en als bedrijf fouten maken is natuurlijk te zot voor woorden, daarnaast is iedere betaling een prikkel voor de aanvaller om het weer te doen, zo werk je mee aan het in stand houden van een crimineel business model
Kun jij als rederij je schepen geen goede bewakers meegeven dan? Losgeld betalen is natuurlijk moreel slecht dus dat doen we niet, dan nog liever de bemanning laten afslachten of als slaaf laten verkopen nadat het schip gekaapt is.

Vervolgens raar opkijken als er niemand meer op jouw schepen wil aanmonsteren.
08-05-2021, 13:34 door johanw
Door Anoniem:
Nee, je wilt die optie zelfs strafbaar stellen. Het is heling. Je koopt je eigen gestolen spullen terug.
Ook als het om je eigen spullen gaat? Dat wil ik nog zien standhouden voor de rechtbank.

En anders doen we het net zo als de hackers zelf: ga in het buitenland zitten als bedrijf dat uitbetaalt, dan heb je geen last van lokale wetten die zoiets verbieden.

Door Anoniem:Zonder enige garantie dat je het terugkrijgt, of dat het de enige kopie was.
Terugkrijgen gebeurt meestal wel. Of de data niet ook nog gecopieerd is is natuurlijk de vraag, maar dat is voor veel bedrijven niet zo heel belangrijk.

Door Anoniem:
Je gaat toch ook geen geld betalen om je auto terug te krijgen als die gestolen is?!
Niet als het een 13 in een dozijn productiemodel is, maar bij unieke oldtimers zou dat toch wel zomaar eens kunnen gebeuren.
08-05-2021, 21:41 door Anoniem
Door Anoniem:
Het is alleen volstrekt onredelijk om iemand als heler te beschouwen als die zijn eigen spullen of data terugkoopt.

Je koopt je data niet terug, je koopt een kopie van die data terug (als je al gelukt hebt).

Je betaald als beloning voor een strafbaar feit. Dat moet je niet normaal gaan vinden.
Verzekeringen kunnen imho best het bedrijf of de particulier schadeloos stellen, maar niet de crimineel.

Dus: wel een nieuw kantoor, maar niet een kopie van de sleutel van het kantoor bij de crimineel opkopen. Die laatste wil je hooguit een cel voor kopen.

Bijzonder idee wellicht: maar stel dat we zouden zeggen: "als je het toch betaald moet je het dubbele ook betalen aan de politie", zodat ze een onderzoek kunnen funden naar jouw geld (meer mensen kunnen opleiden om dit te onderzoeken), wat de kans wel verkleind dat een volgende slachtoffer volgt.

En dan heb ik het niet over als je 100 euro als particulier eens betaald voor je foto album waar je geen backup van had, dat is kruimelgeld.
09-05-2021, 00:13 door Anoniem
Dan wordt brandstof nu ook weer veel duurder na de twee dagen dat een Amerikaanse pijplijn moest worden gesloten.
Dit vanwege een ransomware aanval. En als brandstof duurder wordt, wordt alles duurder in de USA.

Er zullen globale oplossing moeten komen, zegt men. Nationale staten en zelfs continenten kunnen dit niet meer aan.
Er zit nog veel meer cyber-narigheid in het vat voor ons allemaal. "Mark my words, read my lips".

#sockpuppet
09-05-2021, 11:01 door Anoniem
Door Anoniem: "Daarnaast moet de optie om losgeld te betalen altijd worden opengehouden, aldus Gressel."

Nee, je wilt die optie zelfs strafbaar stellen. Het is heling. Je koopt je eigen gestolen spullen terug. Zonder enige garantie dat je het terugkrijgt, of dat het de enige kopie was.

Als het strafbaar is gebeurd het veel minder en heeft het dus weinig nut meer deze vorm van criminaliteit uit te oefenen.

Je wilt dit niet in stand houden!

Je gaat toch ook geen geld betalen om je auto terug te krijgen als die gestolen is?!

Bij de ABNAMRO moet je zelfs losgeld betalen om meer dan 10.000 per jaar op te kunnen nemen.
09-05-2021, 15:49 door Anoniem
Door Anoniem:
Door Anoniem:
Het is alleen volstrekt onredelijk om iemand als heler te beschouwen als die zijn eigen spullen of data terugkoopt.
[...]
Bijzonder idee wellicht: maar stel dat we zouden zeggen: "als je het toch betaald moet je het dubbele ook betalen aan de politie", zodat ze een onderzoek kunnen funden naar jouw geld (meer mensen kunnen opleiden om dit te onderzoeken), wat de kans wel verkleind dat een volgende slachtoffer volgt.
Over het algemeen is de tendens dat mensen klagen dat in het strafrecht onvoldoende rekening wordt gehouden met de slachtoffers en vooral naar de daders wordt gekeken. Best boeiend dat als overduidelijk wel rekening wordt gehouden met de slachtoffers[*] er onmiddelijk mensen opstaan die vinden dat de slachtoffers als daders moeten worden behandeld. Want dat doe je nu.

[*] Uit de link die ik eerder gaf:
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.
09-05-2021, 20:53 door Anoniem
Door Anoniem:

Bij de [xyz] moet je zelfs losgeld betalen om meer dan 10.000 per jaar op te kunnen nemen.

Wil je stoppen met dit soort onzin? Dat gaat gewoon om een legitiem bedrijf. Het is allereerst niet waar (gaat alleen om contanten, wat niemand ooit meer doet) en het heeft niets met losgeld te maken (het is gewoon een zakelijke afspraak tussen jouw en dat bedrijf, je gaat er zelf mee akkoord, je hebt gewoon keuze daar niet akkoord mee te gaan en dan krijg je gewoon je geld). Niemand verplicht je daar klant te zijn, stap gewoon over naar een ander die dat niet doet en geef in de enquete vooral aan dat je het om die reden doet.
09-05-2021, 20:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het is alleen volstrekt onredelijk om iemand als heler te beschouwen als die zijn eigen spullen of data terugkoopt.
[...]
Bijzonder idee wellicht: maar stel dat we zouden zeggen: "als je het toch betaald moet je het dubbele ook betalen aan de politie", zodat ze een onderzoek kunnen funden naar jouw geld (meer mensen kunnen opleiden om dit te onderzoeken), wat de kans wel verkleind dat een volgende slachtoffer volgt.
Over het algemeen is de tendens dat mensen klagen dat in het strafrecht onvoldoende rekening wordt gehouden met de slachtoffers en vooral naar de daders wordt gekeken. Best boeiend dat als overduidelijk wel rekening wordt gehouden met de slachtoffers[*] er onmiddelijk mensen opstaan die vinden dat de slachtoffers als daders moeten worden behandeld. Want dat doe je nu.

[*] Uit de link die ik eerder gaf:
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.

Ik onderstreep even twee enorme verschillen:
1) Bij mensen speelt emotie. Bij bedrijven speelt geen emotie
2) een verzekeraar die iets gaat vergoeden is geen slachtoffer. Of althans, zo noemen we dat niet.

Wellicht ten overvloede: dus geen straf voor het slachtoffer (mens)! Maar alleen voor de verzekeraar als die toch het losgeld gaat vergoeden. Over bedrijven (muv eenmanszaken/vof/varianten, want dan speelt weer de mens) kun je dan nog discussiëren.
10-05-2021, 07:33 door Anoniem
Door Anoniem: ja, dat lijkt me ook, maar wat nu als de data onvervangbaar is en niet valt te herstellen, wat dan? Ik ben het helemaal eens dat er niet betaald moet worden maar wat doe je in zo'n situatie waarbij je met je rug tegen de muur staat? Data niet terug kunnen halen zou zomaar een faillissement kunnen betekenen. Ik zou niet graag in de schoenen staan van degene die in zo'n situatie terecht is gekomen. Ik ben ervoor dat cybercrime keihard aangepakt gaat worden.

In welke situatie is data onvervangbaar?
Hoort een organisatie die (voor haar) belangrijke gegevens heeft, niet offline backups te hebben? (met redundantie)
Als dat proces faalt, is het dan niet terecht dat het bedrijf een fixe knauw krijgt bij een ransomeware aanval.
Het is een stimulans om betere maatregelen te nemen.
En is een aspect van een kapitalistisch systeem niet, dan bedrijven om kunnen vallen. Datadiefstal is daar een onderdeel van.
10-05-2021, 12:45 door Anoniem
Door Anoniem:
Door Anoniem: Goed idee,

Losgeld dekken en als bedrijf fouten maken is natuurlijk te zot voor woorden, daarnaast is iedere betaling een prikkel voor de aanvaller om het weer te doen, zo werk je mee aan het in stand houden van een crimineel business model

je kunt je cybersecurity laksheid / achtelloosheid niet blijven verzekeren, ga de juiste dingen doen en investeer daar in.

Lekker joh..... sybersecurity laksheid. Stap zelf in de ICT, weer een van de mensen die langs de zijlijn staan en schreeuwen over laksheid. Je weet niet eens hoe het zit, hou dan gewoon je mond !

Jij wilt niet weten waar ik werk vriend, doet er ook niet toe.

Managers en bedrijfs bestuurders zijn laks, onderschatten risico’s, als ze die al goed kennen, en willen zich ook nog verzekeren tegen risico , terwijl doorgaans risico management en basis cyber hygiene zwak zijn. Misschien moet je de artikelen door de jaren heen hier eens goed gaan lezen. Cybersecurity wordt gezien als lastig, kostenpost, overbodig, ongrijpbaar etc

Maar als jij wel weet hoe het zit, leg dat dan even uit in plaats van te roeptoeteren, voeg wat toe hier in plaats van een ongenuanceerde opmerking over kwalificaties waar je geen weet van hebt!
10-05-2021, 14:14 door Anoniem
In plaats van losgeld te betalen, zou men een trainingsprogramma voor medewerkers kunnen organiseren.
Dat scheelt flink wat aanvragen en ook flink wat geslaagde ransomware-aanvallen voor AXA.

Leer medewerkers noodzakelijke cyberhygiene opvolgen.
Leer beleidsmakers de waarde van passieve en pro-actieve cybersecurity.

Zodat het kalf bij de te dempen put vandaan blijft, eer die dreigt te verdrinken.
De enigen, die hier niet blij mee is, is de ransomware cybercrimineel en de criminal cryto-wallet houder.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.