Lees het volledige artikel: https://fd.nl/opinie/1414205/verzekeraar-moet-niet-bijdragen-aan-crimineel-business-model-kaj1caBJXxvv
Verzekeraars moeten het vergoeden van losgeld vervangen door het vergoeden van de kosten van de afwikkeling van een ransomware-incident. Dat maakt niet-betalen van losgeld aantrekkelijker voor de verzekerde dan betalen, schrijft Bernold Nieuwesteeg.
Demissionair minister Ferd Grapperhaus van Justitie en Veiligheid onderzoekt of hij verzekeraars wil verbieden om losgeld te vergoeden bij een aanval met ransomware. Inge Bryan (ceo van cybersecurity-dienstverlener Fox-IT) stelde in het FD dat dit een slecht idee is. Slecht voor de cyberveiligheid zelfs.
In een open brief in het FD betoogde ik deze zomer met 13 hoogleraren cybersecurity dat wij naar een samenleving moeten waarin het niet betalen van losgeld de norm is. Meer focus op niet betalen dan op wel betalen dus.
Bryan maakt een verkeerde inschatting als ze stelt dat een losgeldverbod verzekeraars dwarsboomt. Ze veronderstelt daarbij dat bedrijven puur voor de vergoeding van losgeld een cyberverzekering aanschaffen. Dat is natuurlijk niet zo. Zij kunnen ook bij een cyberverzekeraar terecht voor de verzekering van de volledige kosten van de afwikkeling van een cyberincident exclusief de betaling aan de cybercrimineel.
‘We moeten toe naar een samenleving waarin niet-betalen van losgeld de norm is’
Bryan stelt tevens dat het verbieden van het vergoeden van losgeld niet of nauwelijks zal leiden tot minder losgeldbetalingen. Ik vraag me af waarop ze dit baseert. Er is namelijk niet of nauwelijks gedegen onderzoek gedaan naar losgeldbetalingen. Dat komt ook door het gebrek aan publiek beschikbare data.
Wij stelden eerder voor dat verzekeraars het vergoeden van losgeld vervangen door het vergoeden van de kosten van de afwikkeling van een ransomware-incident. Dat maakt niet-betalen van losgeld aantrekkelijker voor de verzekerde dan betalen. De verzekeraar lost nog steeds alles voor je op, maar houdt niet het criminele businessmodel in stand. Dat kan dus leiden tot een afname van losgeldbetalingen.
Ik denk dat verzekeraars en cybersecurity-dienstverleners niet hoeven te vrezen voor de afname van klandizie. Zijn de verschillen tussen onze standpunten onoverbrugbaar? Nee, we staan aan dezelfde kant. Allemaal willen we een goed functionerende cyberverzekeringsmarkt die verzekerde organisaties helpt de juiste beslissing voor zichzelf en de maatschappij te nemen.
Bernold Nieuwesteeg is directeur CLECS bij Erasmus Universiteit Rotterdam.