Minister Grapperhaus van Justitie en Veiligheid onderzoekt een verbod op het vergoeden van losgeld door verzekeraars. Die zijn zelf niet enthousiast over een verbod, volgens Bryan omdat losgeld betalen de goedkoopste oplossing is. Schade vergoeden door wekenlange bedrijfsstilstand kost meer. Zelf is ze mordicus tegen een vergoedingsverbod: "Dat zal de ellende niet verminderen, maar juist een fors averechts effect hebben."
Losgeld uiterste stap
Losgeld betalen bij een cybergijzeling is onwenselijk, vindt ook Bryan. "Elk bedrijf dat losgeld betaalt, houdt daarmee immers een crimineel businessmodel in stand. Een businessmodel dat flink groeit bovendien, en dus terecht onder het vergrootglas ligt van het ministerie van J&V." Maar door losgeldbetalingen niet meer te vergoeden, zal het aantal losgeldbetalingen niet of nauwelijks afnemen, voorspelt ze. "Organisaties die getroffen zijn door ransomware zien in veel gevallen geen andere uitweg dan betalen om hun data weer terug te krijgen. Bij zo’n aanval zijn namelijk meestal ook de back-upbestanden niet meer toegankelijk, zodat het bedrijf geen andere optie heeft dan betalen. Losgeldbetaling moet daarom beschouwd worden als een uiterste stap, die alleen genomen wordt als het niet mogelijk is om op een andere manier de gegijzelde data terug te krijgen. Vanuit het perspectief van de verzekeraars is dat natuurlijk ook beter, want zelfs met de losgeldbetaling meegerekend blijft de schade dan te overzien."
Preventie-eisen
Een vergoedingsverbod dwarsboomt de nuttige rol die verzekeraars kunnen spelen bij het tegengaan van cyberaanvallen, aldus Bryan. "In hun polisvoorwaarden kunnen zij immers belangrijke preventieve maatregelen opnemen voor vergoeding voor de geleden schade aan netwerken en systemen, en zeer strenge eisen stellen aan bedrijven om in aanmerking te komen voor vergoeding van losgeld. Te denken valt aan basismaatregelen op het gebied van IT-hygiëne, zoals een uitputtend overzicht van alle in gebruik zijnde IT en het opruimen van IT die niet meer in gebruik is. Daarnaast zijn netwerksegmentatie, goed toegangsbeheer en 'security monitoring'-maatregelen die tot de standaardbeveiliging van elke organisatie zouden moeten behoren."
Wat betreft de Fox-CEO moet de overheid gericht gebruik maken van de toegang die verzekeraars hebben tot de markt en hun mogelijkheid de veiligheidsnormen te verhogen. "Daar zit immers de echte, structurele oplossing om het verfoeide businessmodel van cybercriminelen een slag toe te brengen."
