De Insurance Council of Australia heeft de regering gewaarschuwd om voorzichtig om te gaan met een verbod op het betalen van losgeld en afpersing bij datalekken. De raad wil ook dat de federale regering de cyberbeveiligingsvereisten voor bedrijven vereenvoudigt en ‘harmoniseert’, terwijl zij overweegt een specifieke Cyber Security Act op te stellen. De raad maakte de opmerkingen in een bijdrage aan de consultatie over de Australische cyberbeveiligingsstrategie 2023-2030, die eind vorige week werd afgesloten.
CEO en managing director Andrew Hall schreef dat de verzekeringssector een belang heeft in cybersecurity, omdat het bedrijven verzekert tegen schade door incidenten. Verzekeraars houden rekening met de veiligheidsmaatregelen en -beschermingen die bedrijven hanteren wanneer ze beslissen of ze al dan niet dekking verlenen. “Als onderdeel van het acceptatieproces onderzoeken verzekeraars vaak de cyberdefensie van een organisatie, stellen zij kwetsbaarheden vast en geven zij begeleiding bij het versterken van de cyberbeveiliging”, schreef Hall.”De Verzekeringsraad zou initiatieven van de overheid verwelkomen die de cyberrisicopositie van bedrijven verbeteren. Deze initiatieven zouden op hun beurt waarschijnlijk de beschikbaarheid van cyberverzekeringen verbeteren.”
Over de kwestie van ransomware-betalingen stelde de raad dat het volledig verbieden ervan een “complexe beleidskwestie” is, en dat de reactie op ransomware genuanceerder en veelzijdiger moet zijn. “De Verzekeringsraad merkt op dat de huidige praktijk voor cyberverzekeringen is dat de beslissing om al dan niet losgeld te betalen door de klant wordt genomen”, aldus de raad.”Bovendien wordt elke betaling van losgeld gedaan door het slachtoffer, niet door de verzekeraar, en kan deze (geheel of gedeeltelijk) worden vergoed, met inachtneming van de grenzen van de polis en de naleving van het sanctiebeleid.”
Hoewel de raad het argument erkent dat het betalen van losgeld “bijdraagt aan een crimineel bedrijfsmodel”, zei de raad dat de beslissing om te betalen “grotendeels een functie is van de kosten van herstel en sanering die hoger zijn dan de losgeldeis.” “De Verzekeringsraad moedigt de regering sterk aan om verder te overleggen met de verzekeringssector alvorens een
[definitief]
standpunt in te nemen om losgeldbetalingen te verbieden”, aldus de raad. “In de tussentijd moet de beslissing om al dan niet losgeld te betalen bij de slachtofferorganisatie blijven liggen. “Het verbieden van losgeldbetalingen door bedrijven en/of vergoedingen door verzekeraars kan andere onbedoelde gevolgen hebben die volgens ons zorgvuldig moeten worden overwogen.”
Elders in zijn verklaring drong de raad er bij de overheid op aan om vertrouwen op te bouwen met het bedrijfsleven om samenwerking bij het reageren op incidenten aan te moedigen.Hij zei ook dat hij weliswaar “niet gekant is” tegen een specifieke cyberbeveiligingswet, maar dat met een niet-wetgevende harmonisatie van de regelgeving veel kan worden bereikt voordat nieuwe wetgeving moet worden overwogen. “De regering moet vermijden een extra laag van verplichtingen te creëren die waarschijnlijk verdere complexiteit en een gebrek aan duidelijkheid in termen van interacties met bestaande wet- en regelgeving zal creëren”, aldus de raad. “In de praktijk zou de verzekeringssector teleurgesteld zijn in de creatie van een nieuwe wet die de huidige regelgeving van de APRA [Australian Prudential Regulation Authority] dupliceert.”
