Een verbod dat verzekeraars verbiedt om het bij ransomware betaalde losgeld te vergoeden is zinloos, bedrijven hebben vaak geen andere keus. Dat stelt jurist Nynke Brouwer, die hier onderzoek naar deed en afgelopen donderdag op het onderwerp aan de Radboud Universiteit promoveerde. Vorige week liet demissionair minister Grapperhaus van Justitie en Veiligheid weten dat de overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen.
Allerlei verzekeringsmaatschappen bieden inmiddels "cyberverzekeringen" aan waarbij het losgeld wordt vergoed dat slachtoffers van ransomware betalen om hun bestanden terug te krijgen. Volgens sommige experts zijn aanvallers hierdoor veel hogere losgeldbedragen gaan vragen. "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware", liet Grapperhaus eerder weten.
Volgens Brouwer vergoeden de meeste cyberverzekeraars het losgeld dat hun verzekerde heeft betaald. Een verbod hiervan zou echter weinig uithalen. "Dat is een druppel op een gloeiende plaat. In mijn onderzoek heb ik geen duidelijke verbanden gevonden tussen het hebben van verzekeringsdekking voor betaald losgeld en de beslissing van het bedrijf om te betalen. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen", laat Brouwer weten.
Ze stelt dat een verbod de betalingen alleen maar de illegaliteit in zal drukken. "Bedrijven vinden dan wel weer een andere manier om te betalen. Een verzekering is bovendien een overeenkomst. Voor overeenkomsten geldt contractvrijheid. Een verbod op het bieden van verzekeringsdekking vormt een vergaand ingrijpen daarop."
Brouwer betoogt dat de overheid cyberverzekeraars niet moet zien als hinder, maar als handig hulpmiddel voor betere cyberbeveiliging. In de praktijk kunnen verzekeringen namelijk helpen het beveiligingsniveau van bedrijven te verbeteren. "Bij het afsluiten van een cyberverzekering moet een bedrijf aan bepaalde voorwaarden voldoen. Over deze eisen zou weliswaar meer consensus kunnen worden bereikt, maar daartoe zijn al ontwikkelingen gaande in de markt."
Wanneer bedrijven en organisaties als gevolg van het afsluiten van een verzekering nadenken over de risico's, maatregelen nemen om aanvallen te voorkomen, die regelmatig evalueren en versterken, kunnen volgens Brouwer veel incidenten worden voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.