‘Losgeldverbod voor cyberverzekering is zinloos’

Ransomware, phishingpogingen en andere cyberrisico’s zijn een steeds groter gevaar voor bedrijven. Met ‘cyberverzekeringen’ kunnen bedrijven die risico’s ondervangen. Verzekeraars kiezen er vaak voor om losgeld te betalen, maar volgens critici is dat contraproductief. De overheid overweegt daarom het vergoeden van losgeld te gaan verbieden. Volgens jurist Nynke Brouwer is dat echter geen oplossing. Brouwer onderzocht uitgebreid het functioneren van de cyberverzekeringen. Ze promoveert op 7 oktober aan de Radboud Universiteit.

Nadat een bedrijf wordt platgelegd door ransomware eisen cybercriminelen vaak losgeld voordat de data van het bedrijf weer vrijgegeven worden., Bedrijven kiezen er nu vaak voor om dat losgeld te betalen, zodat zij hun werk weer kunnen oppakken. De meeste cyberverzekeraars vergoeden het losgeld dat hun verzekerde heeft betaald. Volgens critici moedigen verzekeraars hiermee deze vorm van criminaliteit echter aan. Mede daarom zou het ministerie van Justitie en Veiligheid overwegen het vergoeden van losgeld door cyberverzekeringen te verbieden.

‘Maar dat is een druppel op een gloeiende plaat. In mijn onderzoek heb ik geen duidelijke verbanden gevonden tussen het hebben van verzekeringsdekking voor betaald losgeld en de beslissing van het bedrijf om te betalen. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen.’ Een algemeen verbod op de betaling van losgeld ziet Brouwer ook niet direct als een oplossing. ‘Een verbod zal de betalingen alleen maar de illegaliteit in drukken. Bedrijven vinden dan wel weer een andere manier om te betalen’.  Een verzekering is bovendien een overeenkomst. Voor overeenkomsten geldt contractvrijheid. Een verbod op het bieden van verzekeringsdekking vormt een vergaand ingrijpen daarop.’

Incident Response-diensten

Cyberverzekeringen zijn de laatste jaren sterk in opkomst. Zij bieden een ruime dekking bij cyberincidenten, zoals herstelkosten na een aanval, boetes en aansprakelijkheid bij privacy-overtredingen en netwerkincidenten, schade door bedrijfsstilstand en kosten van verweer in een juridische procedure. ‘Daarnaast zijn er zogenaamde incident response-diensten, redelijk uniek voor verzekeraars. Als een bedrijf bijvoorbeeld getroffen wordt door ransomware, stuurt de verzekeraar een team van experts op het gebied van IT, juridische diensten en communicatie op ze af. Zo kan de impact van de ransomware aan alle kanten zoveel mogelijk beperkt worden. Deze waaier van diensten biedt bedrijven een belangrijk stukje zekerheid, zeker met betrekking tot de continuïteit van de bedrijfsvoering.’

‘Wel is het opvallend dat vrijwel elke verzekeraar nog eigen definities van kernbegrippen in de polisvoorwaarden hanteert, zoals het begrip ‘cyberincident’. Dat maakt het voor bedrijven soms moeilijk om te achterhalen waarvoor ze nou wel en niet gedekt zijn. Maar het is wel begrijpelijk: met andere vormen van verzekeringen hebben we honderden jaren aan schadehistorie om tot een duidelijk begrip te komen. We weten wat brand is, en verzekeraars hebben alleen in de marge verschillen wat zo’n brandverzekering wel en niet dekt. Maar die zekerheid en schadehistorie hebben we bij cyberincidenten nog niet, en daar worstelt iedereen mee.’

Betere beveiliging

Desalniettemin moet de overheid cyberverzekeraars niet zien als hinder, maar als handig hulpmiddel voor betere cyberbeveiliging, betoogt Brouwer. In de praktijk kunnen verzekeringen namelijk helpen het beveiligingsniveau van bedrijven te verbeteren. ‘Bij het afsluiten van een cyberverzekering moet een bedrijf aan bepaalde voorwaarden voldoen. Over deze eisen zou weliswaar meer consensus kunnen worden bereikt, maar daartoe zijn al ontwikkelingen gaande in de markt. Door in het kader van (het afsluiten van) een verzekering na te denken over de risico’s, maatregelen te treffen en die regelmatig te evalueren en te versterken, kunnen veel incidenten worden voorkomen.’

Meer informatie? Neem contact op met:

  • Nynke Brouwer, brouwer [at] dirkzwager.nlclass="externLink" 
  • Persvoorlichting en wetenschapscommunicatie Radboud Universiteit, media [at] ru.nl, 024 361 6000

Aan deze website wordt nog gewerkt. Meer informatie: 'een nieuwe website'.