Bedrijven verhinderen zich te verzekeren tegen de schade van gijzelsoftware is geen goede maatregel.
Dat vindt Nynke Brouwer. Zij is jurist bij het Amsterdamse advocatenkantoor Dirkzwager en onlangs gepromoveerd op onderzoek naar cyberverzekeringen. Dit onderwerp kwam recentelijk in het nieuws door geluiden uit Den Haag als zouden dergelijke verzekeringen verboden moeten worden omdat ze helpen het verdienmodel van cybercriminelen in stand te houden.
Tonnen of miljoenen losgeld
Alleen door betaling van tonnen of zelfs miljoenen losgeld kan een met succes aangevallen bedrijf weer bij vitale bestanden. De schade van dergelijke aanvallen bij bedrijven en overheden loopt inmiddels in de miljarden. Wereldwijd gaan er elke dag tal van bedrijven op slot door ransomware en in Nederland noemde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) gijzelsoftware zelfs ‘een bedreiging voor de nationale veiligheid’.
Verzekeraars eisen preventieve maatregelen
Tegen dergelijke losgeldbetalingen kan men zich verzekeren. Bedrijven die het zich niet kunnen permitteren om dagen of zelfs weken stil te liggen – zo lang kan het duren om op eigen kracht de boel recht te trekken – hebben geen andere keuze.
De voorwaarden waar bedrijven voor zo’n verzekering aan moeten voldoen, houden in ieder geval in dat er meer en beter aan preventie wordt gedaan. De achterdeurtjes waar cybercriminelen toegang krijgen tot de computersystemen van bedrijven, blijken nog altijd tamelijk onnozel te kunnen zijn. Er hoeft maar één medewerker te zijn die op een verkeerd mailtje klikt, of die een te simpel wachtwoord heeft, en je bent gehackt.
Ook kleine bedrijven de pineut
De werking van de gijzelsoftware is bovendien zo dat er niet per se gericht gezocht wordt naar bedrijven waar veel losgeld te halen is. Ook als er bij kleine bedrijven een deurtje open staat, dan vindt de zoeksoftware van de cybercriminelen het wel. En naar gelang de betaalkracht van het bedrijf zal er een fiks, maar niet volkomen onbetaalbar prijskaartje aan ontsleuteling van de bedrijfsgegevens worden gehangen.
‘Verzekerden betalen niet eerder losgeld’
Volgens Brouwer kan zo’n verbod op verzekeringen sowieso slechts een zeer beperkte bijrol spelen bij het terugdringen van aanvallen met gijzelsoftware. Ze heeft onder meer onderzocht of bedrijven eerder losgeld betalen als ze daarvoor zijn verzekerd. “Dat verband is niet helder. Op dit moment betalen bedrijven, verzekerd of niet, omdat ze geen alternatief hebben. Een verbod op het bieden van verzekeringsdekking gaat averechts werken. Bovendien grijpt zo’n verbod diep in op de contractvrijheid.”