Nederlandse regering overweegt verbod op dekking voor ransomware

Nederlandse risk- en insurancemanagers houden nauwlettend een debat op overheidsniveau in de gaten over de vraag of verzekeringsdekking voor ransomware moet worden verboden, om cybercriminelen ervan te weerhouden bedrijven aan te vallen waarvan zij weten dat die dekking hebben.

Adri Van der Waart, voorzitter van de Nederlandse Associatie van Risk & Insurance Managers NARIM, vertelde Commercial Risk dat zijn leden zich nu al zorgen maken over de recente intrekking van limieten voor cyberdekking en de toevoeging van uitsluitingen voor de gebruikelijke dekkingen, zoals onroerend goed en beroepsaansprakelijkheid.

Aangezien vrijwel alle bedrijfsactiviteiten nu op de een of andere manier op technologie zijn gebaseerd, is de uiteindelijke conclusie dat zelfs basisdekkingen zoals een gebouwenverzekering ongeldig of onbetaalbaar kunnen worden als de oorzaak in verband wordt gebracht met een cybergebeurtenis, aldus Van der Waart.

Dit is duidelijk een grote zorg voor NARIM-leden en alle andere risico- en verzekeringsmanagers in heel Europa, nu zij aan het eind van het jaar renewals ingaan en proberen hun organisaties beter bestand te maken tegen toekomstige schokken zoals de Covid-19-pandemie.

Het recente nieuws dat de Nederlandse overheid mogelijk een verbod op verzekeringsuitkeringen voor cyberafpersing overweegt, maakt de cyberhoofdpijn voor NARIM-leden nog groter, aangezien zij proberen hun organisaties adequaat te beschermen in een tijd van beperkte budgetten waarin directies juist meer en niet minder bescherming vragen.

De Nederlandse omroeporganisatie NOS meldde onlangs dat het Ministerie van Justitie en Veiligheid onderzoekt of het mogelijk is verzekeraars te verbieden losgeld te betalen op basis van cyberaanvallen. Het onderzoek staat onder leiding van minister van Justitie en Veiligheid Ferd Grapperhaus, die al enige tijd pleit voor een verbod op uitkeringen van verzekeringen aan cybercriminelen.

Afgelopen april stuurde Grapperhaus een brief aan het Nederlandse parlement waarin hij voorstelde losgeldbetalingen niet te vergoeden. Volgens zijn voorstel zouden verzekeraars in plaats daarvan de kosten van de schade moeten vergoeden die organisaties hebben geleden door het niet-betalen van het losgeld. Zijn argument is dat het betalen van losgeld de cybercriminelen alleen maar aanmoedigt.

‘Het betalen van losgeld zal criminele activiteiten belonen en stimuleren,’ schreef de minister, eraan toevoegend dat de Nederlandse politie verwacht dat het betalen van losgeld ‘zal leiden tot meer ransomware-aanvallen’. ‘Het heeft mijn voorkeur dat de verzekeraar niet het losgeld vergoedt dat in handen van criminelen terechtkomt, maar wel de schade die wordt geleden door het niet-betalen van dit losgeld,’ voegde Grapperhaus eraan toe.

De brief van de minister werd verzonden kort nadat bekend was geworden dat de Universiteit Maastricht bijna  € 200.000 aan losgeld had betaald om na een cyberaanval weer toegang te krijgen tot haar systemen.

Details over het meest recente plan van Grapperhaus zijn momenteel niet beschikbaar. De NOS meldde dat een ambtenaar van het ministerie bevestigde dat het initiatief in de maak is. ‘We onderzoeken hoe we de losgeldbetalingen kunnen verminderen… We hebben daar nog geen beslissing over genomen,’ zou de ambtenaar hebben gezegd. Op basis van eerdere opmerkingen van Grapperhaus is het echter waarschijnlijk dat hij zal willen zien dat verzekeraars zich richten op schadepreventie en het stimuleren van klanten om de cyberbeveiliging te verbeteren, in plaats van zich te richten op losgeldbetalingen.

Van der Waart vertelde Commercial Risk dat volgens hem een van de grootste problemen met ransomware het publieke karakter is van de discussie en de details die worden gemeld over cyberaanvallen en verzekeringen. Dit gebeurt niet op de traditionele K&R-markt (kidnap-and-ransom), zo gaf hij aan. ‘De minister heeft de kwestie van het niet-dekken van afpersingsbetalingen aan cybercriminelen aan de orde gesteld. Bij K&R praten we er niet over en zeggen bedrijven gewoon dat ze niet betalen. Maar cyber is een open en publieke discussie… Je zou kunnen besluiten om geen afpersingsdekking te kopen omdat de hackers dan misschien je bedrijf niet aanvallen. Dit is een reëel probleem en dit risico moet worden beheerst,’ aldus Van der Waart.

Back to top button