De Britse regering heeft wetgeving voorgesteld die overheidsinstanties en beheerders van kritieke nationale infrastructuur, waaronder de NHS, lokale besturen en scholen, verbiedt om losgeld te betalen aan cybercriminelen.Volgens de plannen zouden bedrijven die niet onder het verbod vallen, de overheid op de hoogte moeten stellen als ze van plan zijn losgeld te betalen.
Hoewel het betalen van losgeld momenteel niet verboden is volgens de Engelse wetgeving – behalve wanneer het verband houdt met terroristische eisen onder de Terrorism Act 2000 – betekenen de voorstellen een beleidswijziging die gevolgen kan hebben voor Kidnap & Ransom (K&R)-verzekeringen, ook op de Londense markt.
Er blijven juridische complexiteiten bestaan met betrekking tot betalingen aan gesanctioneerde entiteiten of jurisdicties, zoals opgemerkt door het National Cyber Security Centre (NCSC). Het Information Commissioner’s Office heeft ook verklaard dat dergelijke betalingen niet worden beschouwd als risicobeperking en dat ze geen vermindering van de wettelijke sancties tot gevolg hebben.
De voorstellen volgen op een raadpleging van de regering, waarbij ongeveer driekwart van de respondenten voorstander was van een algeheel verbod op ransomwarebetalingen door organisaties in de publieke sector en exploitanten van kritieke nationale infrastructuur. Voorstanders wezen op het potentieel om aanvallers ervan te weerhouden zich op deze entiteiten te richten, hoewel sommige reacties bezorgdheid uitten over de operationele gevolgen in scenario’s met hoge risico’s.
Uit de raadpleging bleek ook dat er uiteenlopende meningen bestaan over de vraag of de maatregelen moeten worden uitgebreid tot buiten de publieke sector, waarbij ongeveer een kwart van de respondenten pleitte voor een bredere, economiebrede reikwijdte.Voorstanders van uitbreiding voerden aan dat het buiten het verbod laten van bepaalde sectoren aanvallers zou kunnen aanmoedigen om hun focus te verleggen, terwijl anderen de noodzaak benadrukten van duidelijke implementatierichtlijnen en aandacht voor de gevolgen voor toeleveringsketens.
Herschikking van de aanpak van cyberrisico’s
Matthew Geyman, algemeen directeur van Intersys, zegt dat deze stap een strengere aanpak van ransomware inluidt en de manier waarop de verzekeringssector met cyberrisico’s omgaat, zou kunnen veranderen. “Nu aanvallers – vaak ernstige georganiseerde misdaad – hun aandacht verleggen naar de particuliere sector, moeten verzekeraars hun acceptatiestrategieën herzien om ervoor te zorgen dat organisaties aantonen dat ze over een robuuste cyberhygiëne beschikken voordat dekking wordt verleend.”
Dit houdt volgens hem onder meer in dat organisaties moeten aantonen dat ze over een sterke cyberhygiëne beschikken voordat dekking wordt verleend, en dat polisvoorwaarden die het betalen van losgeld vergemakkelijken, moeten worden vermeden.“Het is van cruciaal belang dat er geen garantie is dat het betalen van losgeld zal leiden tot het succesvol ontsleutelen van gegevens. De ontsleutelingsprogramma’s werken mogelijk niet zoals bedoeld, en zodra het losgeld is betaald, hebben de aanvallers geen echte prikkel om hulp te bieden”, aldus Geyman.
Juridische en verzekeringsspecialisten hebben gewaarschuwd dat het onvermogen om in sommige gevallen losgeld te betalen kan leiden tot een hogere schaderisico voor verzekeraars. Zonder de mogelijkheid om te betalen om een incident snel te beëindigen, kunnen bepaalde aanvallen leiden tot langdurige operationele verstoringen, hogere herstelkosten en mogelijk grotere financiële schade, factoren die van invloed kunnen zijn op acceptatiebeslissingen en premietarieven.
Verzekeraars zullen naar verwachting ook hun risicomodellen herzien in het licht van de voorgestelde beperkingen. Dit kan onder meer betekenen dat de polisvoorwaarden worden herzien, de veerkrachtvereisten voor klanten worden verhoogd en ervoor wordt gezorgd dat claimprocessen niet in strijd zijn met nieuwe wettelijke vereisten.De voorstellen kunnen ook een precedent scheppen voor andere verzekeringssectoren waar losgeldbetalingen voorheen werden geaccepteerd. Soortgelijke discussies ontstonden over losgeld voor piraterij in de scheepvaart, met name tijdens incidenten voor de kust van Somalië in 2010.
De uitkomst van de raadpleging door de regering en de reikwijdte van de definitieve wetgeving kunnen bepalen of verzekeraars hun cyberpolissen moeten herzien, de op veerkracht gebaseerde acceptatie moeten aanscherpen en duidelijkere grenzen moeten stellen aan de dekking voor afpersingsincidenten.
