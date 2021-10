Houden verzekeraars een crimineel verdienmodel in stand? Nu vergoeden zij het losgeld waarmee bedrijven hun gehackte bestanden vrijkopen. Maar om dat te verbieden – een mogelijkheid die de overheid onderzoekt – heeft geen zin, denkt jurist Nynke Brouwer. „Niemand wil criminelen betalen die je bedrijf bezetten. Alleen is er vaak geen acceptabel alternatief.” Donderdag promoveert zij bij de Radboud Universiteit in Nijmegen op haar onderzoek naar cyberverzekeringen.

Naast een inboedel- en brandverzekering nemen steeds meer bedrijven ook een cyberverzekering, geleverd door verzekeraars als AIG, Hiscox of Nationale Nederlanden. Als een organisatie slachtoffer wordt van bijvoorbeeld een aanval met gijzelsoftware, vergoedt de verzekeraar het inhuren van specialisten en schadevergoedingen. Ook het betaalde losgeld valt onder de dekking.

Volgens critici spelen de verzekeraars daarmee een belangrijke rol bij het in stand houden van het lucratieve criminele verdienmodel rond de gijzelsoftware. Als iemand verzekerd is, wordt de stap naar betalen wellicht sneller gezet. Daarom onderzoekt het ministerie van Justitie en Veiligheid of het vergoeden van losgeld verboden kan worden. Brouwer vindt dat geen goed plan.

Waarom bent u tegen het verbieden van de dekking voor losgeldbetalingen?

„De redenering dat door verzekeringsdekking meer aanvallen met gijzelsoftware plaatsvinden, vind ik te snel. Er is nog niet echt onderzoek gedaan naar betalingsgedrag en ook niet naar de invloed van verzekeringen daarop. Waar wordt zo’n verbod dan op gebaseerd? Op het moment dat je de betaling in het algemeen gaat verbieden, duw je haar eigenlijk de schaduw in en heb je er geen zicht meer op. Er wordt dan toch betaald, maar op andere manieren.

„Voor mijn onderzoek naar de dekking bij gijzelsoftware was de relevante vraag: betaalt een verzekerd bedrijf vaker losgeld dan een onverzekerd bedrijf? Ik heb het verband niet kunnen aantonen tussen verzekeringsdekking en het betalen van losgeld. Bedrijven besluiten om losgeld te betalen omdat er geen acceptabel alternatief bestaat. Dat probleem geldt voor zowel verzekerde als onverzekerde bedrijven.”

Hoewel er ook successen zijn, is het voor bedrijven bijna onmogelijk om gehackte bestanden zelf te ontsleutelen. Vaak duurt dat te lang. Iedere dag dat een bedrijf stilligt, kost handen vol geld. Zeker als back-ups ook getroffen zijn wordt losgeld betalen snel aantrekkelijk.

Lees ook: Met wachtwoord ‘Welkom2020’ waren de hackers van gemeente Hof van Twente binnen

U zegt: bedrijven hebben geen keus.

„Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen. Momenteel heeft een minderheid van de bedrijven een cyberverzekering. Tegelijkertijd weten we dat veel bedrijven die getroffen worden door ransomware uiteindelijk gaan betalen, omdat er soms geen alternatief is.

„Je hoort ook vaker dat verzekeraars alleen maar de bedrijfsschade mogen vergoeden. Dat lost het probleem niet op. We weten van overheidsinstellingen – die meestal uit principe niet betalen, wat natuurlijk heel nobel is – dat die schade gigantisch kan zijn, soms veel groter dan het geëiste losgeld. Dekking voor alleen bedrijfsschade is voor zowel de verzekeraar als de verzekerde niet zonder meer aantrekkelijk omdat het kan leiden tot stijgende premies en dekkingslimieten. Het moet voor een verzekeraar wel verantwoord te verzekeren blijven.”

Een verbod op het vergoeden van losgeld noemt u ‘een druppel op de hete plaat’.

„Gijzelsoftware is het grote probleem. De verzekeringsdekking van losgeld is daar maar een klein onderdeel van. We moeten gijzelsoftware breder aanpakken door bijvoorbeeld detectie en preventie te verbeteren. Het businessmodel van de criminelen verstoren kan ook op andere manieren, bijvoorbeeld rond het betalen van het losgeld. Dat gebeurt vaak in cryptovaluta. Dat soort transacties zou je moeilijker kunnen maken.

„Ik zeg niet dat we de boel moeten laten zoals het is. Er valt echt wel wat te verbeteren aan de verzekeringen, zoals meer duidelijkheid over de definities van belangrijke begrippen. Nu wordt soms nog in de rechtbank gediscussieerd over banale begrippen: wat is brand, storm of hagel? Kan je nagaan wat voor discussies dat op zal leveren over de begrippen ‘cyberincident’, ‘malware’ of ‘phishing’.

„Niemand wil dat bedrijven geld betalen aan criminelen. Geen enkel bedrijf denkt: kan mij het schelen, ik betaal het wel. Aan het probleem rond gijzelsoftware moet absoluut iets gebeuren, maar de focus op verzekeringsdekking in dat grotere geheel vind ik niet terecht.

„Vooral voor kleinere bedrijven kan zo’n cyberverzekering ongelofelijk waardevol zijn. Je krijgt een noodnummer waar je 24/7 assistentie kan krijgen. Snelheid is bij cyberincidenten belangrijk. Een cyberverzekering zie ik als een laatste vangnet voor bedrijven, dat net het verschil kan maken tussen wel of niet kopje onder gaan.”

Lees ook: Onderhandelen over gijzelsoftware: ‘We hadden toch 10 miljoen afgesproken?’