Grapperhaus wil dat verzekeraars losgeld aan hackers niet vergoeden

Cybersecurity Verzekeraars moeten zich in plaats daarvan richten op het vergoeden van schade bij bedrijven of instellingen die geweigerd hebben losgeld te betalen, aldus de justitieminister.
Computers van de Universiteit Maastricht, die eind vorig jaar 197.000 euro losgeld betaalde aan cybercriminelen.
Computers van de Universiteit Maastricht, die eind vorig jaar 197.000 euro losgeld betaalde aan cybercriminelen. Foto Marcel van Hoorn/ANP

Als hackers systemen van bedrijven of instellingen kapen, zouden verzekeraars het door hen geëiste losgeld niet moeten vergoeden. Dat adviseert minister Ferd Grapperhaus van Justitie & Veiligheid woensdag in een brief aan de Tweede Kamer. Verzekeraars moeten zich in plaats daarvan richten op het vergoeden van schade bij bedrijven of instellingen die geweigerd hebben losgeld te betalen, schrijft de CDA-minister.

Hackers leggen soms hele digitale systemen plat, waardoor herstelwerkzaamheden nodig zijn en instellingen langdurig niet normaal kunnen functioneren. Maar als dan losgeld wordt betaald, „beloont en stimuleert” dit cybercriminaliteit, aldus Grapperhaus. Dat zou leiden tot meer hackaanvallen. Ondanks deze „grote maatschappelijke gevolgen van het betalen van losgeld”, vergoeden veel verzekeraars het betalen van dit soort afkoopsommen wel.

Lees ook: Zo gijzel je een netwerk, in twaalf stappen

‘Maak regelmatig back-ups’

Tegelijkertijd geldt voor verzekeraars „al jaren het uitgangspunt dat verzekeringscriminaliteit niet mag lonen”, schrijft de justitieminister. Dit zou wat hem betreft op het gebied van deze zogeheten ‘ransomware’ niet anders moeten zijn. Verzekeringsmaatschappijen moeten extra nadruk leggen op cybersecurity. Dit kunnen ze bijvoorbeeld doen door specifieke eisen te stellen, „zoals het regelmatig maken van back-ups”. Grapperhaus schrijft dat hij zijn zorgen heeft gedeeld met het Verbond van Verzekeraars.

Eind vorig jaar betaalde de Universiteit Maastricht 197.000 euro in bitcoins om gegijzelde bestanden vrij te kopen van cybercriminelen. Het universiteitsbestuur oordeelde toen dat de continuïteit van onderwijs zwaarder woog dan het maatschappelijk belang om criminelen niet te betalen. De universiteit had geen cybersecurity-verzekering afgesloten.