Mede naar aanleiding van de ransomware-aanval op de Universiteit Maastricht zijn Kamervragen gesteld over het verzekeren van losgeld bij gijzelsoftware. Minister Grapperhaus heeft deze vragen inmiddels beantwoord. Op de website van Dirkzwager is van de hand van mr. Nynke Brouwer van het Privacy & Cybersecurity Team het volgende artikel verschenen.
De ransomware-aanval op de Universiteit Maastricht heeft uitgebreide aandacht in de media gekregen (zie bijvoorbeeld het NRC, de NOS en het FD). Via een phishingmail had een hackergroep zich toegang verschaft tot de digitale systemen, waarna zij een stukje kwaadaardige software installeerden. Door middel van die kwaadaardige software wisten zij uiteindelijk grote delen van de systemen en back-ups te versleutelen en in die zin de universiteit te ‘gijzelen’. De UM betaalde uiteindelijk € 197.000,- om de toegang tot haar systemen terug te krijgen (lees hier het volledige rapport over de gebeurtenissen).
Een van de vragen en discussiepunten rondom deze kwestie is de rol van verzekeringen. De Universiteit Maastricht gaf tijdens haar symposium op 5 februari 2020 aan dat zij hiervoor niet verzekerd was. Er zijn echter specifieke cyberverzekeringen die dekking bieden voor schade door ransomware-aanvallen en – uiteraard onder bepaalde voorwaarden – ook voor betaald losgeld. Hierover is door verschillende media bericht, bijvoorbeeld door het FD en door nu.nl.
Kamervragen
Over de verzekerbaarheid van losgeld zijn inmiddels ook Kamervragen gesteld. Kamerlid Kees Verhoeven (D66) wil van de minister van Veiligheid en Justitie weten in hoeverre het mogelijk is om een eenduidig beleid te ontwikkelen over het al dan niet vergoeden van losgeld door verzekeraars. Onder verwijzing naar een artikel van ProPublica op de site security.nl vraagt Verhoeven of de minister het eens is met de stelling dat verzekeraars door het verzekeren van losgeld zouden zorgen voor een toename van ransomware-aanvallen en zo ja, of de minister van plan is om daartegen stappen te ondernemen of daaraan eisen te stellen.
Antwoord Grapperhaus
Inmiddels heeft minister Grapperhaus deze vragen beantwoord. Aan de ene kant geeft hij aan dat het in beginsel te verwachten is dat het betalen van losgeld leidt tot meer aanvallen van ransomware: “De politie verwacht dat losgeld dat betaald wordt door slachtoffers deel direct wordt ingezet om nieuwe aanvallen te bekostigen. Het vergoeden van losgeld door verzekeraars kan dit effect verder faciliteren.”
Aan de andere kant benoemt Grapperhaus dat door verzekeringen en de daarin gestelde cybersecurity-eisen het risico op ransomware juist ook kan afnemen.
Verbond van Verzekeraars
Grapperhaus benadrukt dat het de voorkeur heeft dat verzekeraars de schade vergoeden die verzekerden lijden doordat zij het losgeld niet betalen, in plaats van het losgeld zelf, aangezien dat direct in handen van criminelen terecht komt. De onwenselijkheid van het betalen van losgeld en de consequenties daarvan zal Grapperhaus bij het Verbond van Verzekeraars onder de aandacht brengen. Aanvullend beleid over het al dan niet betalen van losgeld zal niet worden ontwikkeld.
Bron Dirkzwager
