Minister van Justitie en Veiligheid Ferd Grapperhaus vraagt verzekeraars om het losgeld dat cybercriminelen eisen bij ransomware niet langer te vergoeden. De minister is van mening dat de geleden schade als gevolg van het niet-betalen van het losgeld het uitgangspunt moet zijn van verzekeraars. Door het gevraagde losgeld te vergoeden, werken ze cybercriminaliteit in de hand.
Ransomware Universiteit Maastricht
Wellicht herinner je je nog dat de Universiteit Maastricht eind vorig jaar het slachtoffer was van een cyberaanval. Cybercriminelen slaagden erin om alle computersystemen van de universiteit te vergrendelen via een zogeheten ransomware-aanval. Hierdoor was het voor studenten en academici onmogelijk om onderzoeksmateriaal te raadplegen: offline back-ups waren er immers niet. Na twee maanden besloot de Universiteit Maastricht om eieren voor haar geld te kiezen en het losgeld aan de hackers te betalen. Al met al betaalde de onderwijsinstelling bijna 200.000 euro aan losgeld.
Het feit dat de universiteit het losgeld op tafel legde, veroorzaakte behoorlijk wat commotie. Het geld dat de Universiteit Maastricht hiervoor gebruikte was immers belastinggeld. En was zeker geen wisselgeld, het ging om een aanzienlijk bedrag. Een andere veelgehoorde klacht was dat de universiteit voor de gemakkelijke weg koos: ze was immers niet verzekerd tegen schade door een cyberaanval.
Aangifte
Nadat het losgeld was betaald vroeg de Tweede Kamer verantwoordelijk minister Ferd Grapperhaus van Justitie en Veiligheid om een reactie over deze kwestie. Via een brief informeert de minister de Kamerleden hierover. Hij begint met de overtuiging dat het altijd belangrijk is om aangifte te doen, zodat de politie en justitie passende maatregelen kunnen treffen. “Aangifte draagt daarnaast bij aan het brede inzicht in de aard en de omvang van deze vorm van criminaliteit, waardoor ook op langere termijn een betere aanpak kan worden ontwikkeld en passende preventieve maatregelen kunnen worden genomen”, aldus de minister.
Digitale veiligheid
Minister Grapperhaus erkent dat het bedrijfsleven en onderwijsinstanties zelf verantwoordelijk zijn voor digitale veiligheid. Het is dan ook belangrijk dat cybersecurity voldoende aandacht krijgt op de werkvloer zodat organisaties de noodzakelijke maatregelen treffen. Alleen op deze manier kunnen zij voorkomen dat ze slachtoffer worden van een ransomware- of cyberaanval. Opsporing, advies en bewustwording behoren tot het takenpakket van de overheid.
Criminele activiteiten beloond
De minister schrijft dat losgeld betalen nooit de oplossing kan zijn tegen cybercriminelen. “Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware.”
In de brief aan de Tweede Kamer gaat minister Grapperhaus ook in op de rol van de verzekeringsmaatschappij bij cyberaanvallen. De minister meent dat verzekeraars de druk zouden kunnen opvoeren door specifieke en adequate beveiligingsmaatregelen van organisaties te eisen, zoals het regelmatig maken van een back-up.
Verzekeringscriminaliteit mag niet lonen
Verder schrijft de minister dat het niet zijn voorkeur heeft dat verzekeraars het losgeld van hackers vergoeden. Een beter uitgangspunt volgens de minister is dat de schade wordt vergoed die voortvloeit uit het niet-betalen van het losgeld. “Voor verzekeraars geldt al jaren als beleid het uitgangspunt dat verzekeringscriminaliteit niet mag lonen. Dat laat onverlet dat verzekeraars de schade die wordt veroorzaakt door crimineel handelen van derden aan hun verzekerden vergoeden”, zo schrijft Grapperhaus in zijn brief. “Verzekeraars zijn zich bewust van de grote maatschappelijke gevolgen van het betalen van losgeld, net als andere gevolgen van cybercriminaliteit waarvoor gedupeerde verzekerden schadeloos kunnen worden gesteld door hun verzekeraar. Bedrijven die zich verzekeren tegen cyberrisico’s zijn in de regel zich bewuster van de risico’s en beter beschermd, maar kunnen desondanks slachtoffer zijn van cybercriminelen.”
Bescherming tegen hackers
Het maken van (fysieke) back-ups is een maatregel en het plaatsen van een digitaal alarm binnen het netwerk behoort ook tot de preventie maatregelen tegen ransomware.
Bron: Tweede kamer, vpngids
Schrijver: Anton Mous