Minister vraagt verzekeraars losgeld bij ransomware niet te vergoeden

Minister Grapperhaus van Justitie heeft verzekeraars opgeroepen het losgeld bij ransomware-infecties niet te vergoeden. Veel verzekeraars doen dat, maar Grapperhaus is bezorgd dat die aanpak uiteindelijk leidt tot juist meer criminaliteit en incidenten.

Grapperhaus schrijft in een brief aan de Tweede Kamer dat het 'zijn voorkeur' heeft dat verzekeringsmaatschappijen het losgeld niet vergoeden. In plaats daarvan ziet hij liever dat verzekeraars juist de schade die bedrijven lijden bij een ransomware-infectie vergoeden. Grapperhaus schrijft dat hij zijn zorgen tegenover het Verbond van Verzekeraars heeft geuit. De brancheorganisatie heeft de zorgen vervolgens bij de aangesloten leden doorgezet. Ook zal het Verbond erover in gesprek gaan met verzekeraars. Het wordt vooralsnog niet verboden om losgeld te vergoeden. Grapperhaus zei in maart al dat hij geen eisen wilde stellen aan verzekeraars rondom het betalen van ransomwarelosgeld.

Volgens Grapperhaus hebben verzekeraars het uitgangspunt dat 'verzekeringscriminaliteit' niet mag lonen. "Dat laat onverlet dat verzekeraars de schade die wordt veroorzaakt door crimineel handelen van derden, aan hun verzekerden vergoeden", schrijft de minister. Grapperhaus ziet liever dat verzekeringsmaatschappijen meer nadruk zouden leggen op het eisen van goede beveiliging. Door maatregelen af te dwingen, zoals het regelmatig maken van back-ups, hoeft minder snel losgeld te worden betaald na een infectie. Grapperhaus wijst erop dat bij het betalen van losgeld niet alleen criminele activiteiten worden beloond, maar dat het volgens de politie ook leidt tot méér aanvallen.

Grapperhaus reageert in zijn brief op vragen vanuit de Tweede Kamer over de ransomware-infectie op de Universiteit Maastricht. Eind vorig jaar werd een groot deel van het universiteitsnetwerk offline gehaald door de Clop-ransomware. Later vertelde de universiteit dat het 197.000 euro aan losgeld had betaald. De universiteit betaalde dat wel uit eigen zak; de UM had geen cybersecurityverzekering. Steeds meer bedrijven hebben wel zo'n verzekering. Vorig jaar schreef Tweakers een artikel over die verzekeringen. Daarbij bleek dat het overgrote merendeel van de verzekeraars bereid is het losgeld te betalen bij een ransomwareaanval.

Door Tijs Hofmans

Nieuwscoördinator

22-04-2020 • 15:26

84

Reacties (84)

Sorteer op:

Weergave:

Hoewel ik de logica wel kan volgen denk ik niet dat dit iets is waar de overheid zich mee moet bemoeien. Ook denk ik niet dat de NL verzekeraars/incidenten een deuk maken in het wereldwijde ransomware gebeuren, dat houdt natuurlijk niet op bij de grens.

Verzekeraars mogen zelf weten of ze de gevolgschade vergoeden, (en/)of de ransom zelf. Verzekeraars vragen om 1.000.000 aan gevolgschade te vergoeden terwijl 100.000 euro aan bitcoin alles had ontsleuteld is niet realistisch: dit zijn gewoon commerciële bedrijven.

Wat uiteraard wel logisch is is dat de verzekeraar eisen stelt aan de beveiliging, recovery scenario's, etc. Maar daar komen de verzekeraars toch vanzelf achter: als ze dik verlies lijden op ransomware verzekeringen dan gaan ze vanzelf hardere eisen stellen of ze stoppen met de verzekering. Daar hoeft de minister zich niet in te mengen. (Tenzij kritieke sectoren, maar daar zijn al regels voor.)

Daarbij komt nog dat heel veel ransomware uiteindelijk neerkomt op een menselijke fout. En die ga je hoe dan ook nooit uitbannen. Ik denk dat de verzekeraars/bedrijven zelf de balans wel vinden.
De Nederlandse staat betaald ook geen losgeld als iemand ontvoerd word door b.v IS of als er een grote geizeling is. Als ze dat wel zouden dan zou er elke maand een geizeling zijn.

Ik zie het verschil niet waarom je dat ook voor geizelsoftware zou doen. Als in theorie niemand meer betaald dan stopt deze hele geizelindustrie vanzelf.
De Nederlandse staat betaald ook geen losgeld als iemand ontvoerd word door b.v IS
Natuurlijk doen ze dat wel, als alle overige mogelijkheden uitgeput zijn. En dan geven ze er zo min mogelijk ruchtbaarheid aan of ze ontkennen het zelfs om inderdaad dit soort dingen niet in de hand te werken.

Ik vind het echt verbazingwekkend dat mensen een afschrikwekkende werking belangrijker vinden dan een mensenleven. Wat je namelijk eigenlijk zegt: de eerste persoon die wordt ontvoerd door (xx) moet maar gewoon sterven. Dan leren ze het wel af. Zou kunnen, maar leg dat maar uit aan die eerste persoon en zijn/haar nabestaanden :?
Het gaat er niet om dat het een "afschrikwerkende werking" heeft. Het gaat er om dat als je terroristen betaald ze een vaste bron van inkomen hebben waarmee ze wapens kunnen kopen en dus nog meer mensen kunnen doden. Ja het is kut als je oom, nicht of beste vriend gegeizeld is. Maar wil jij echt zeggen dat jij je vriend vrij willen hebben in ruil voor geld (en dus wapens), die zij kunnen gebeuiken tegenover andere onschuldige mensen?

Geizelsoftware is min of meer hetzelfde, alleen gaat het alleen om financiele middelen vs finaciele schaden.

Dit is hetzelfde als de tramproef. 1 iemand ligt vastgebonden op spoor A en 5 mensen liggen vastgebonden op spoor B. En er raast een op hol geslagen tram op spoor B af. Zou jij de hendel van de wissel veranderen zodat die tram de persoon op spoor A doodrijd? Of zou je niks doen en toezien hoe de tram de 5 personen op spoor B doodrijd?

[Reactie gewijzigd door rickboy333 op 23 juli 2024 06:01]

Dat is weer die zwart-wit visie. Als je 100% zekerheid hebt over wat er met jouw ransom geld gebeurt dan is het al een ander verhaal. Maar wat nu als het iemand is die er gewoon een leuk huisje op een of ander eiland van koopt?

Daarbij is nog steeds niet gezegd dat ze niet kunnen worden gepakt. Investeren in opsporing.

Maar over jouw tramproef: achteraf bleek dat de tram op 7 meter achter de wissel tot stilstand kwam. Die 5 personen lagen op 8 meter en die ene op 6. Bummer... Ofwel: het is nooit zo zwart wit.
De Nederlandse staat betaald ook geen losgeld als iemand ontvoerd word door b.v IS of als er een grote geizeling is.
Dat doen ze regelmatig, soms via achterdeurtjes.
https://www.volkskrant.nl...oor-arjan-erkel~b7c8a49d/

Italie roept ook heel hard dat ze geen losgeld betalen:
https://www.theguardian.c...o-pelizzari-debbie-calitz

En zo zijn er nog meer voorbeelden te vinden.
Ja ik zie het. Ik denk dat ze in werkelijkheid een risicoanalyse doen of de groep een gevaar is voor Nederland. Als de terroristishe groep geen gevaar is voor Nederland en ze op die manier hin onderdaan terug kunnen kirijgen betalen ze. Maar een groep als IS zullen ze niet zo snel betalen. Natuurlijk is betalen het aller, aller, allerlaatste wat ze zullen doen.
Een tijd terug heb ik een documentaire gezien dat westerse landen eigenlijk altijd het standpunt nemen dat ze in dit soort situaties nooit zullen betalen of onderhandelen. Echter bleek in de praktijk dat ze vaak wel betaalde als de keuze was of betalen of de dood van een burger. Helaas weet ik niet meer uit hoe die documentaire heet.

Het zelfde geldt hier, het is een standpunt maar ook symboolpolitiek. Want het klinkt allemaal heel leuk, "gewoon niet toegeven" en je wilt dat ook zeker uitstralen. Maar als het er op aan komt en je moet kiezen tussen een schadepost van 10.000 euro of 100.000 euro is het toch wel heel verleidelijk om in te geven.
Hoewel ik de logica wel kan volgen denk ik niet dat dit iets is waar de overheid zich mee moet bemoeien.
De overheid moet zich niet bemoeien met de financiering van criminaliteit? :?
Daarbij komt nog dat heel veel ransomware uiteindelijk neerkomt op een menselijke fout. En die ga je hoe dan ook nooit uitbannen. Ik denk dat de verzekeraars/bedrijven zelf de balans wel vinden.
En criminelen profiteren daarvan, want er wordt toch wel uitbetaald.

Als je als crimineel weet dat je niet uitbetaald krijgt (omdat dat illegaal is met persoonlijke strafrechtelijke gevolgen voor de uitbetaler) dan ga je je ergens anders op richten. Met andere woorden, zo maak je het aanvalsoppervlak kleiner.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 06:01]

De overheid moet zich niet bemoeien met de financiering van criminelen?
De overheid moet zich niet bemoeien met hoe bedrijven overleven. Zelfs de beste backup, uitwijk, redundancy plannen kunnen niet altijd voorkomen dat je ten prooi valt aan ransomware. En jij verwacht dan van een bedrijf dat het zegt: vraag maar ww aan dames en heren, we zijn out of business?
En criminelen profiteren daarvan, want er wordt toch wel uitbetaald.
Als het goed is wordt het door de strengere eisen van de verzekeraars steeds lastiger voor de hackers. En dus minder rendabel. Als dat niet werkt gaan de verzekeraars zelf rap stoppen, gezien ze dan verlies gaan draaien op die verzekeringen.

Het is een beetje alsof je in een gijzelingssituatie zegt: NIET INGAAN OP LOSGELD EISEN! Tuurlijk zeg je dat, maar achter de schermen doe je het wel. Tenzij je een alternatief hebt (interventie o.i.d.). Je laat mensen normaliter niet sterven omdat je geen criminelen wilt sponsoren. En verkijk je er niet op dat er met ransomware ook gewoon mensenlevens gemoeid kunnen zijn: denk aan een ziekenhuis, maar ook wat abstracter: een bedrijf dat failliet gaat en 100 werknemers naar huis stuurt, hun leven totaal ontwricht.

Nee, je moet criminaliteit niet sponsoren. Maar een zwart-wit visie als de jouwe is volgens mij niet de oplossing. Misschien moeten ze bij elke uitkering van verzekeringsgeld een minimum van 10% ofzo eisen wat wordt geschonken aan de hightech crime unit van de politie ten behoeve van de opsporing....
En daarom stoppen die Keniaanse prinsen ook met mailen, toch? Als de investering laag is en de pakkans laag dan is het al snel het proberen waard.
Als je als crimineel weet dat je niet uitbetaald krijgt (omdat dat illegaal is met persoonlijke strafrechtelijke gevolgen voor de uitbetaler) dan ga je je ergens anders op richten. Met andere woorden, zo maak je het aanvalsoppervlak kleiner.
Ik durf te beweren dat je de criminaliteit groter maakt. Om de doodsimpele reden dat mensen/bedrijven dan niet meer gaan melden dat ze ten prooi zijn gevallen aan ransomware. Of ze gaan via stroman/middleman of andere constructies alsnog betalen op een andere manier als ze wanhopig genoeg zijn. Met als gevolg meer criminaliteit.

Als jij als topman van een bedrijf een half jaar de cel in gaat omdat je de ransomware hebt afgekocht en daarmee faillissement en honderden ontslagen hebt voorkomen word je door je personeel als held onthaald. Maar wel weer een crimineel er bij, met weer wat minder vertrouwen in de sterke arm der wet.

We vergeten hier geloof ik dat een overheid ook gewoon een handhavingstaak heeft en zou moeten proberen om criminele activiteiten te stoppen. Dit ligt niet voor de volle 100% bij de mensen/bedrijven zelf. Laat ze maar wat miljarden pompen in de hightech crime unit om daar de beste én de grootste ter wereld van te maken. Dan slaat die ransomware het NL subnetje in het vervolg wel over.
Hoewel ik de logica wel kan volgen denk ik niet dat dit iets is waar de overheid zich mee moet bemoeien.
Dat lijkt me nou bij uitstek iets dat je wel op overheids nivo moet regelen want anders kun je dat doel nooit bereiken.
dit zijn gewoon commerciële bedrijven
Dat je een commercieel bedrijf bent betekent niet dat je willens en wetens criminelen mag steunen.

Vergelijk het met heling. Dat is absoluut niet toegestaan. Ook niet als dat voor jou als commercieel bedrijf gunstig is.
Dat lijkt me nou bij uitstek iets dat je wel op overheids nivo moet regelen want anders kun je dat doel nooit bereiken.
Welk doel is dat dan precies? Het niet meer bestaan van criminaliteit? Succes... En nogmaals: vanuit de markt zouden er vanzelf veel betere security controls moeten komen om het de hackers lastig te maken. Anders is het geen rendabel model, niet voor de verzekeraars en ook niet voor de bedrijven.
Dat je een commercieel bedrijf bent betekent niet dat je willens en wetens criminelen mag steunen. Vergelijk het met heling. Dat is absoluut niet toegestaan. Ook niet als dat voor jou als commercieel bedrijf gunstig i
Bij heling is er iets wederrechtelijk ontnomen _van een ander_ en koop jij dat voor eigen gewin. Dat is toch een ander scenario dan je eigen fiets terugkopen van een dief omdat je weet dat hem anders nooit terugziet.

Als een bedrijf failliet gaat door ransomware dan heeft dat economische schade. Maar niet voor het bedrijf: de werknemers verliezen mogelijk hun huis en haard, toeleveranciers lopen een deuk op, etc. Maar dat is prima, omdat je daarmee een dikke vinger doet naar de crimineel?

Misschien moeten ze wat geld steken in opsporing en handhaving in plaats van "eigen schuld!" te roepen. Sorry, ik vind het echt kortzichtig.
Welk doel is dat dan precies? Het niet meer bestaan van criminaliteit?
Het doel is dat ransomware niet meer loont omdat toch niemand betaalt. Dan stopt het vanzelf.

En jongere mensen denken wellicht dat dat onmogelijk is, maar de geschiedenis laat zien dat het wel degelijk kan.
Er was een tijd dat er ontzettend veel vliegtuigkapingen gedaan werden. Maar vrijwel geen enkel land ging daar op in en meestal volgde er een bestorming waarbij de kapers werden gedood zonder dat ze hun doel hadden bereikt.
Het gevolg was dat de kapers in de gaten kregen dat die methode niet werkte en ze er mee stopten.

Jij hebt het over economische schade waardoor het niet zou kunnen. Maar hier ging het over mensenlevens. Nog wel even een graadje belangrijker dan economische schade.
En toch hebben overheden dat gedaan en daarmee op de lange termijn ontzettend veel mensenlevens bespaart.
Er was een tijd dat er ontzettend veel vliegtuigkapingen gedaan werden. Maar vrijwel geen enkel land ging daar op in en meestal volgde er een bestorming waarbij de kapers werden gedood zonder dat ze hun doel hadden bereikt.
Het gevolg was dat de kapers in de gaten kregen dat die methode niet werkte en ze er mee stopten.
Het aantal kapingen daalde nadat er massaal metaal-detectoren geplaatst werden op vliegvelden. En terwijl er een afname werd geregistreerd in het aantal kapingen, werd er bij andere terroristische activiteiten een stijging geregistreerd.
Simpel weg een verplaatsing naar minder beveiligde doelen....
Maar vrijwel geen enkel land ging daar op in en meestal volgde er een bestorming waarbij de kapers werden gedood zonder dat ze hun doel hadden bereikt.
Ofwel: ze gingen de misdaad te lijf en pakten het bij de bron aan. Maar toen zeiden ze ook niet "we doen niets en losgeld betalen maken we strafbaar".

En ook daar zijn er weer inschattingen gemaakt per situatie of het plausibel was om een interventie te doen. Als de inschatting was dat er veel slachtoffers zouden vallen is er weldegelijk losgeld betaald of zijn er gevangenen vrijgelaten.
In eerste instantie is dat wel gedaan, en dat veroorzaakte juist de extreme toename van kapingen omdat kapers zagen dat het werkte. Landen hebben dat gelukkig ingezien en hebben het toen niet meer gedaan.
Ook omdat de bevolking in de gaten kreeg dat toegeven aan de kapers het alleen maar erger maakte.

Het moeilijke is nu dat je niet met een beperkt aantal verstandige landen te maken hebt, maar met miljoenen bedrijven en particulieren waardoor het heel snel rendabel is voor criminelen.
Ik zie het nut hier niet direct van in. De verzekeraars hebben al een tal van regels omtrent het back-uppen van gegevens. De ''hackers'' die de ransomware verspreiden zijn óók niet dom. Zij wachten net zo lang tot er een aantal back-ups zijn versleuteld, waardoor de meest recente back-up in de meeste gevallen te oud is en er alsnog teveel data verloren gaat. Ik kan me niet voorstellen dat de Uni van Maastricht geen back-up systeem heeft.
Zo lang wachten ze niet, de backups corrupt maken of gelijk mee versleutelen is meer aannemelijk, goede backup software heeft malware detectie ingebouwd en zal heel snel merken dat een incremental backup opeens net zo groot wordt als een full backup...

Maar het klopt wel dat de malware makers steeds gewiekster worden door de start van de encryptie opportuun te timen en pas te beginnen als ze een goed idee hebben van de infrastructuur en backup praktijken van het slachtoffer.
Zo lang wachten ze niet, de backups corrupt maken of gelijk mee versleutelen is meer aannemelijk, goede backup software heeft malware detectie ingebouwd en zal heel snel merken dat een incremental backup opeens net zo groot wordt als een full backup...
Daarom gebeurt de versleuteling ook veelal niet meer in 1x, de meeste varianten versleutelen simpelweg eerst de oudste bestanden en gaan dan rustig aan naar de nieuwste...

Want dat dat word-documentje van 3 jaar versleuteld is dat ziet niemand totdat het nodig is, terwijl het word-documentje van gisteren waarschijnlijk vandaag weer geopend gaat worden.
Die worden juist gezien door de backup software, een analyse van verschillen maken en de likelihood dat zo een bestand veranderd (en dan niet 1 maar duizenden) zou een alarm laten afgaan.

Dit zou alleen werken als men onder de radar weet te blijven met het volume van de changes maar dan duurt het weer erg lang en is de kans dat de gebruiker er achter komt ook weer steeds groter.
En ook hier bestaan scripts en software voor. En de belangrijkste dingen als databases, die test je tweewekelijks met de hand, toch?
Ik denk dat het realiteitscheck goed voor je is, ik denk dat de meeste bedrijven nooit de integriteit en kwaliteit van hun back-ups controleren, laat staan 2x wekelijks, laat staan met de hand (wat trouwens compleet onwerkbaar is bij een mkb+ bedrijf).
Tweewekelijks is niet 2x per week, maar ééns in de twee weken. Dat de meeste bedrijven dat niet doen betekent niet dat dat best practice is. Integendeel.
Fair enough, maar zelfs dan zie ik dat echt niet gebeuren en heb toch echt een hoop bedrijven van binnen gezien.
Dagelijks overnight eerlijk gezegd, met alerts als dat faalt. Automated, dat wel
Eh, bij drie bedrijven ben ik dit al tegengekomen en een grote moeite was het écht niet. Als je die moeite niet neemt om je backups te borgen, dan moet je ook niet klagen als ze niet blijken te werken, door wat voor aanleiding dan ook.
En ook hier bestaan scripts en software voor. En de belangrijkste dingen als databases, die test je tweewekelijks met de hand, toch?
Dat ligt heel erg aan de organisatie, voor velen is dat teveel (hebben het budget er niet voor), maar voor anderen is dat te weinig. Een 'One-size-fits-all' mentaliteit werkt nu eenmaal niet voor IT. Not all data is created equal.
Alles valt uiteindelijk te scripten, zelf heb ik het voor Microsoft documenten, AD en PDF's gedaan.

Bedrijven hebben er zelden geen geld voor, ze willen alleen het budget er niet voor vrij maken.
jazeker! die test ik twee weken lang en daarna nooit meer!
Zie het zo een verzekeraar zal niet zo maar schade gaan dekken c.q verzekering aanbieden. Daar staan ook voorwaarden in.
Op zich hoeft het dan niet verkeerd te zijn een verzekering te nemen. Bij grote bedrijven zal er een audit komen en alleen daarvan kun je als bedrijf veel leren. Sterker nog een verzekeraar zal je protocollen aangeven, hoe je het moet doen om ook hun risico te beperken.

Ik zie dus alleen maar voordelen aan het aanbieden van een verzekering. Mocht je dank toch een hack hebben ben je idd verzekerd en heeft alle niet gewerkt. d.w.z verzekerd als je alles volgens de voorwaarden gedaan hebt. Zo niet wijzen ze de claim af.
Uiteraard word malware gewiekster, dat is een kat en muis spelletje, hoe moeilijker men het maakt voor hun om hun ding te doen hoe meer ze gaan zoeken naar manieren om het toch te doen.

Je zou kunnen gaan monitoren wat er normaal aan schrijfacties gedaan word, als plots iemand mega veel data begint op te vragen, dan slaagt de muis zijn systeem in alarm.
Reactie van de kat, verspreid in stilte, versleutel gedeetelijk en niet alles in 1 keer.

Dat is hetzelfde verhaal met overheden die nogal graag telefoons uitlezen, op een gegeven moment waren die telefoons standaard allemaal voorzien van encryptie en staat die overheid te janken dat ze het niet meer kunnen uitlezen. Actie = reactie.

Hoewel er vanalles gedaan kan worden, op vlak van security is en blijft het verhaal dat zeker middelgrote bedrijven totaal geen idee hebben welke risico's ze nemen. Een verzekering kan daarbij zoals reeds aangegeven bij helpen want die gaan audits doen waarbij de verzekering gaat zeggen, met dit systeem wensen wij u niet in te dekken, als een verzekering een bedrijf niet wilt verzekeren, dat helpt gigantisch om zowel bij management het duidelijk te maken als bij een IT afdeling die paraplu aan het spelen is, het is niet altijd management die fout zit.

Kritiek word vaak niet gewaardeerd en als je iets zegt is het nogal vaak, jamaar wij zijn geen bank, dit is goed hoor terwijl ik daar sta, euh, nee, je hebt geen idee.

[Reactie gewijzigd door sprankel op 23 juli 2024 06:01]

Ik ben niet meer goed wakker.

Maar backups offline bewaren, regelmatig op ander totaal gescheiden systeem testen of ze in orde zijn zou toch daar het data betreft op moeten vallen of iets versleuteld is wel of niet.

Daar controle op onafhankelijk van eigen life productie netwerk ( niet geïnfecteerd) is gaat een verscholen laten zijn op tijd of wat dan ook ver /ontsleuteling hier niet werken , zou dus daar dan op moeten vallen.

Plus dat je nog data ( een secret check file) weg kan schrijven die je nooit wijzigd en geen toegang toe laat , die in restore checken en vergelijken , zo ook deze in de gaten houden indien toegang is geweest op produktie systeem. En zo zijn er nog wat truukjes.

Normaliter zou dan een versleuteling als de hack in ransome aanvraag xtijd later komt eerder op moeten vallen dan de ransomware zelf dus actief gaat worden. ( hoe dan het beste te reageren ? dus indien reeds vroeg versleutelde data ( door ransomware) in backup gevonden en nog geen ransomware als zodanig actief geworden met de vraag om ransom enz. )

Even snel getypt.

Never betalen ook geen verzekering zo simpel is het weer wel, indien geen verdien model meer heeft veel tijd en geld stoppen in Ransomware zelf ook geen zin meer.

[Reactie gewijzigd door jahoorisieweer op 23 juli 2024 06:01]

Het is een wapenwedloop. Als je niks doet verlies je het zeker. Als je wel iets doet ben je een tijdje veilig maar nooit voor altijd.
Vergelijk het maar met schapen en wolven. Als er een wolf komt moeten de schapen wegrennen. Dat is geen garantie dat er niemand wordt opgegeten, het schaap dat het langzaamste rent wordt gepakt.
Maar een schaap dat helemaal niet wegrent wordt zeker opgegeten.
@CAPSLOCK2000
Maar een schaap dat helemaal niet wegrent wordt zeker opgegeten.
Ik als Wolf zou dan denken goh laten staan is misschien oud en taai of ziek. |:(
De verzekeraars en de ransomware makers hebben een gemeenschappelijk belang:

1. Hoe groter het gevaar van ransomware, hoe eerder bedrijven & instellingen zich willen verzekeren.
2. Hoe meer geld de ransomware makers krijgen via de verzekeraar, des te meer loont het voor hun om aanvallen uit te voeren op bedrijven & instellingen waardoor die zich weer willen verzekeren, zie 1.
3. De verzekeraars berekenen de kosten samen met een mooie winstopslag vervolgens door in de verzekeringspremie waardoor hun winst stijgt. En vanwege de toename van de aanvallen durven de bedrijven & instellingen de verzekering niet op te zeggen.

Kortom: de verzekeraars en de ransomware makers profiteren beiden van meer schade door ransomeware en de gemeenschap is hiervan de dupe.

Het is dan ook heel goed dat de minister hier naar kijkt.

[Reactie gewijzigd door Opa73 op 23 juli 2024 06:01]

Waarom vragen? Ontwerp een wet om het illegaal te maken.
Omdat het in Nederland gelukkig erg moeilijk is om iets wat nu geheel legaal is te verbieden. Onthou dat de staat ook vele malen losgeld heeft betaald dus als een van de verzekeringsbedrijven naar de rechter stapt zal het lang niet meevallen die wet geldig te houden.

Daarnaast zullen de kosten van reparatie vaak vele malen hoger zijn dan het losgeld dus dan zal de staat bij een verplichting ook een deel van die kosten moeten dragen voor de bestaande contracten.
Onthou dat de staat ook vele malen losgeld heeft betaald dus als een van de verzekeringsbedrijven naar de rechter stapt zal het lang niet meevallen die wet geldig te houden.
Met een wet is dat zo aangepast. Immers heeft de staat bijvoorbeeld ook het monopolie op geweld.
Vaak is het gebruikelijk om eerst de branch de mogelijkheid te geven het zelf op te lossen. Dit gaat veel sneller dan wetgeving en werkt minder beknellend dan wetten (er zijn dan geen uitzonderingen meer mogelijk).

Als de branchorganisaties het signaal van de politiek niet oppakken kan altijd nog wetgeving overwogen worden.
Een wet kunnen ze idd zo aanpassen (mits er democratisch op gestemd wordt), maar o.a. het bedrijfsleven kan een wet ook weer aanvechten in de rechtszaal.

Bijvoorbeeld: een verzekeraar kan aantonen dat het betalen van het losgeld goedkoper is dan het betalen van het opnieuw installeren. Daarmee hebben ze een redelijk argument om de wet aan te vechten.

Het is bijna alsof je een militaire dictatuur wilt of aanneemt dat dat al zo is.
Daarmee hebben ze absoluut geen enkele grond om de wet aan te vechten. Je hebt alleen grond om een wet aan te vechten als deze in strijd is met een andere hogere wet.
Omdat het in Nederland gelukkig erg moeilijk is om iets wat nu geheel legaal is te verbieden.
Ik denk niet dat dat altijd gelukkig is, maar dat is een andere discussie.

In beide gevallen (lees vergoeden en achteraf fixen) loop je achter de feiten aan, het belangrijkste is: voorkomen. Uiteindelijk goedkoper, minder motivatie voor hackers indien het niet effectief meer is, en je leidt ook nog eens mensen op :)

[Reactie gewijzigd door Devaqto op 23 juli 2024 06:01]

Dat zal snel en simpel gaan: polisvoorwaarden aanpassen. Neem een clausule op: "u dient te beschikken over deugdelijke beveiliging anders keren we niets uit". De verzekeraars zullen dan alles op alles zetten om aan te tonen dat het gemiddelde bedrijfsnetwerk zo lek als een mandje is (en dat hoeven ze dan niet eens aan te tonen, alleen het idee te hebben dat je het niet op orde hebt). Bedrijven die vinden dat ze zich toch moeten verzekeren ipv. dingen goed te regelen komen dan van een koude kermis thuis. Zo werkt het eigenlijk overal met verzekeringen (als jij 18 bent en een Opel Manta met spoiler hebt betaal je ook veel meer).
Die clausules zitten er al lang in, verzekeraars zijn niet gek, en zullen altijd proberen niet uit te hoeven betalen.
Waarom betalen ze dan toch nog zo vaak uit in gevallen waar de beveiliging (en de backup) toch niet op orde is? Ik zal die vraag meteen maar zelf beantwoorden: Er is geen standaard in deugdelijke beveiliging, dat is interpretatie. Een verzekeraar kan veel hardere eisen gaan stellen, maar moeten een kleine onderneming dan aan dezelfde eisen voldoen als een enorme multinational? Of ga je eisen stellen per branch?
Een verzekeraar kan veel hardere eisen gaan stellen,
Ja, alleen kan dan niemand een verzekering afsluiten en verdienen ze niks.
Of ga je eisen stellen per branch?
Verzekeraars zijn flexibel in de eisen die ze stellen, hangt ook samen met de premie die ze van je verlangen. Hoe meer risico je wil afdekken, hoe meer premie je betaald.

Nogmaals, verzekeraars zijn niet gek, en verdraaid goed in het opstellen van polissen.
een 18jarige in een Opel Manta, 8)7
sow daar komt ook even de oertijd op bezoek _/-\o_
Je eerste zin lees ik voor het gemak maar even als het aanpassen van wetgeving is lastig. Maar dat wil niet zeggen dat wat nu legaal is straks niet illegaal kan zijn door nieuwe wetgeving. En al helemaal niet dat als een bepaalde organisatie in het verleden bepaalde rechten had een ander dat dus ook moet hebben. Zoals @The Zep Man al aan geeft is het niet ongewoon dat een organisatie als de politie in bepaalde gevallen geweld kan toepassen en anderen dat recht niet hebben.
Ik ben het er ook niet mee eens dat de kosten van reparatie vaak vele malen hoger zijn dan het losgeld. De kosten worden met name hoger door het niet investeren in behoorlijke bases beveiliging zoals netwerkscheiding, scheiding in rollen, backups, software updates, veilig werken enz. Men heeft dan kosten weten te besparen die men eigenlijk had horen te doen om niet in te grote problemen te komen. Als faciliteren dan het alternatief is denk ik dat het prima te verantwoorden is dat een organisatie, medewerkers en klanten daar zelf de gevolgen van dragen.
Lekker makkelijk weer van de overheid. Als de overheid gehacked wordt betalen we dat met zijn allen, als bedrijf of individu mag je op de blaren zitten.
Ik zou inderdaad ook het liefste zien dat ze het illegaal maken om te betalen in dit soort gevallen voor publieke organisaties. Ik begrijp wel dat bijvoorbeeld de Universiteit Maastricht uiteindelijk haar losgeld heeft betaald, op basis van een kosten-baten analyse voor de organisatie zelf. Echter houden ze hiermee natuurlijk wel het verdienmodel van criminelen in stand, ook nog eens grotendeels gefinancierd door de samenleving zelf, en wordt indirect het signaal gegeven dat dit soort misdaad loont.

Voor commerciële bedrijven vind ik het dan net weer wat anders, omdat die het losgeld uit zonder enige vorm van subsidie uit eigen zak moeten betalen. Ben het hier dus zeker met je eens.
Dat is in feite hoe alle georganiseerde criminaliteit en mafia altijd heeft gewerkt: Ze dreigen je huis in brand te steken als je niet betaald, maar als je betaald dan houden ze zich ook aan hun woord. Betaal je niet, dan moet je bij familie intrekken.

Het is natuurlijk een logisch economisch spel: Als ze geld eisen en krijgen, en dan nog steeds je woning in de brand steken, dan stopt iedereen met betalen. Andersom, als ze jouw woning daarna niet afbranden dan gaan mensen hun gok wagen en dan sta je met je bek vol tanden. In beide gevallen verdien je niets als maffiosi.
Ik zie zelf dan ook liefst in het licht van dit nieuwsbericht dat overheidsorganisaties verplicht zijn om bij een publieke of private (nader te bepalen) verzekeringsorganisatie verplicht een verzekering voor schade aan systemen door externe aanvallen moeten afsluiten.

Hierbij zou naar mijn mening dan ook redelijke eisen betreft beveiliging, backup etc. moeten worden gesteld door de verzekeringsmaatschappij. Hierbij zou het naar mijn idee het beste zijn om jaarlijkse of halfjaarlijkse audits door de verzekeringsmaatschappij te laten uitvoeren om te controleren op de veiligheid van de systemen. Dit bied ook meer garantie voor het soepeler laten lopen van ICT projecten vanuit de overheid waar we de nodige, negatieve, ervaringen mee hebben, vooral bij het mergen van oude systemen en het vernieuwen hiervan zouden audits kunnen bijdragen om sneller te kiezen voor vernieuwing (vaak veiliger) dan voor vasthouden aan het oude.

Dit zou inhouden dat het risico wordt verschoven naar de verzekeringsmaatschappij (en bij privaat dus ook weg van 'onze belastingcenten') en worden de risico's verminderd door de inzet van een bepaalde vorm van een checks and balances systeem. De expertise bij een private verzekeringsmaatschappij zal in dit geval zeer waarschijnlijk vrij goed zitten omdat dit anders hun commerciele belang schaad wat dan weer een goede controle op overheidssystemen zou kunnen betekenen.

Verder denk ik dat een wetsvoorstel voor het volledig verbieden van een uitkering van de ransom zelf geen goed idee is. Hierop zouden op zijn minst de uitzonderingen moeten zijn bij mission-critical systems (denk aan BRP) die er niet lang of überhaupt mogen uit liggen en ook bij kritieke data die niet kan gerecovered worden zonder de ransom te betalen.

[Reactie gewijzigd door FrozenPK op 23 juli 2024 06:01]

Omdat je graag wil dat een verzekeraar de afweging kan maken. Als de kosten van het herstellen veel hoger liggen, is het financieel gewoon gunstiger om te betalen voor ontsleuteling. Als het elkaar niet zoveel ontloopt is het ethischer om te betalen voor de schade. Die verzekeringsmaatschappijen keren liever niets uit dus het is echt niet zo dat ze zich gedragen als een zak geld voor verzekerden.
Ik vind wel dat er een verplichting moet komen om bij betaling de adressen enzo met de opsporingsdiensten te delen, zodat het wat minder moeilijk wordt om deze criminelen op te sporen.
Omdat vergoeden van de schade duurder is dan het geld voor de sleutel betalen. Dus je verhoogd defacto de kosten van de verzekering flink. Dan krijg je de discussie dat verzekeren te duur gaat worden en dat zal dan leiden tot minder verzekering en dus meer individuele schade.
Lijkt mij overbodig. Immers wordt het risico al vertaald in een premie hoogte. Er wordt pas onder voorwaarden uitgekeerd boven x eigen risico. Wanneer het incident te vaak voor komt, raak je als klant vanzelf onverzekerbaar.

Nagenoeg iedere verzekering werkt langs bovenstaande methodiek. Er is in de markt dus incentive genoeg om risico's te reduceren.
Hier valt toch ook enorm mee te sjoemelen? Wat nou als je je eigen onderneming hackt?
Ja, maar dan kun je sowieso beter stoppen met verzekeren, want vrijwel overal is mee te sjoemelen.
Het is relatief eenvoudiger om te achterhalen wie brand heeft gesticht in jouw pand, dan wie jouw bestanden heeft versleuteld of zelfs verwijderd.
Dat ligt maar net aan wie het doet. Een foutje is sneller gemaakt dan je denkt.
Daarom schreef ik ook ‘relatief eenvoudiger’ om hiermee de meest voorkomende situaties te dekken.
AuteurTijsZonderH Nieuwscoördinator @bones22 april 2020 15:45
De meeste verzekeraars stellen als voorwaarde voordat ze het losgeld betalen dat ze zelf een expert aanleveren. Die prikt er denk ik snel genoeg doorheen als je dit zou doen.
Ik snap de redenatie wel, als je losgeld gaat betalen dan beloon je misdaad. Ondanks dat het misschien goedkoper is dan de schade te herstellen. Het probleem is dat deze ransomware meestal volledig geautomatiseerd te werk gaat. Daarom denk ik ook niet dat de criminele organisaties hier in gaan minderen. Wat ik denk dat er gebeurt is dat er bedrijven geen cyber verzekering gaan afsluiten omdat ze toch niet gaan uitkeren. Ik geloof niet dat het probleem weg gaat.
AuteurTijsZonderH Nieuwscoördinator @it022 april 2020 15:52
In die polissen zijn ook waarborgen opgenomen dat het bijna niet kan dat je geïnfecteerd wordt door ransomware én dan vervolgens aanspraak op losgeld kan maken. Als je jezelf slecht beveiligt zeggen verzekeraars al snel 'eigen schuld dikke bult'.
Losgeld is vaak veel goedkoper. Dan inderdaad hoge eisen stellen maar als je deze verzekering neemt mag ik hopen dat je die toch al had.

De premie zal wel omhoog gaan als dit verplicht gesteld zou worden.

Verplicht stellen zou dan het makkelijkste kunnen door Het strafbaar te maken om losgeld te betalen.

[Reactie gewijzigd door mjl op 23 juli 2024 06:01]

Ransomware is een verdienmodel... Net zoals inbreken een verdienmodel is. Zolang de daders niet worden gesnapt, en de pakkans laag is (hoeveel mensen zijn er opgepakt?) is het goedkoper om te betalen dan flink in de buidel te moeten tasten... Als verzekeraars met Grapperhaus akkoord gaan, gaan de prijzen gigantisch omhoog. Zelfde geldt ook voor bijvoorbeeld Tesla's, die relatief gezien een zeer dure verzekering moeten afsluiten.
Prima dat de minister het vraagt en waarschijnlijk zullen al die verzekeraars zeggen dat zij ook vinden dat verzekeraars niet moeten betalen.... maar zelf blijven ze het wel doen want dat is de goedkoopste oplossing.
Ik maak me geen illusies dat die verzekeraars iets aan de samenleving willen verbeteren, die kiezen gewoon de optie die op korte termijn voor hun zelf voordelig is.
Een verbod op losgeld (bij) ransomware zou ik wel interessant vinden omdat de verzekeraars dan meer nadruk op preventie zullen moeten leggen en voorkomen is beter dan genezen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 06:01]

Ik snap de redenering. Maar ik denk wel dat er ergens een grens moet zijn tussen wel of niet betalen. Als de schade zoveel maal groter is dan de losgeld dat het toch slimmer is om wel te betalen.

Ook is de vraag wat is schade? Als voorbeeld de universiteit Maastricht. Krijgen de studenten dan ook schade vergoeding? Aangezien hun het meeste schade hebben. De universiteit zelf zal er niet zo heel veel schade aan gehad hebben op reputatie na dan. En hoeveel moet iedereen vergoed krijgen dan. Is moeilijk te bepalen hoeveel werk er iemand ingestopt heeft aangezien de bewijs daarvan weg is.

En hoe zit het dan bij uitgelekte data als de losgeld niet betaald wordt? Lijkt mij wel tegen de AVG gaan om er zoveel mogelijk aan te doen dat gegevens niet uitlekken. En als mijn NAW gegevens verkocht worden op internet omdat de losgeld niet betaald wordt,krijg ik dan ook vergoeding? Of is dat dan gewoon dikke pech want je heb verder geen schade? Of moet ik dan eerst bewijzen dat mijn gegevens op internet staan door juist deze situatie? Dat zal wel lekker makkelijk te bewijzen zijn.

Ik denk dat dus de schade te moeilijk te bepalen is en dat dit dus ook niet goed gaat werken.
Het moet strafbaar worden als je losgeld betaald.

Op dit item kan niet meer gereageerd worden.