Moet je als vers ransomware-slachtoffer dat losgeld betalen of niet? Die vraag zorgt al zeker acht jaar voor hevige discussies; eerst onder individuele slachtoffers, maar inmiddels onder zowat iedereen in de maatschappij. De argumenten zijn al die jaren ruwweg hetzelfde. Ja, je ondersteunt een crimineel verdienmodel en ja, dat drijft de prijzen op, maar tegelijkertijd heb je geen keus als je je bedrijf in leven wil houden. Het is een discussie zonder antwoorden, maar nu ransomware steeds belangrijkere en grotere bedrijven treft, richten securityexperts en politici zich vaker op een ander aspect: de verzekering. Ten onrechte, blijkt uit eerste voorzichtige onderzoeken.
Met name beleidsmakers hebben hun pijlen gericht op cyberverzekeringen als een van de aanjagers van ransomware. Aan de oppervlakte lijkt het een logische gedachte; als een bedrijf een verzekering heeft die losgeld dekt, is het management vast sneller geneigd dat te betalen. Die gedachte gaat zelfs zover dat sommige beleidsmakers denken dat cyberverzekeringen tot de voornaamste redenen behoren waarom het fenomeen ransomware zo snel groeit. "Het probleem is dat er geen juridische barrière is voor bedrijven om ransomware aan bendes te betalen en dat later terug te vragen bij hun verzekering", stelt Ciaran Martin, voormalig hoofd van de Britse NCSC in een interview met The Guardian. "Bedrijven betalen bitcoins aan criminelen en vragen daarna cash terug", zegt hij. "Dat is vermijdbaar. Op dit moment hebben bedrijven drijfveren om te betalen en er zo voor te zorgen dat hun probleem verdwijnt." Hij pleit ervoor om de Britse wet te veranderen zodat ransomwarebetalingen volledig worden verboden.
Nederlands perspectief
Ook in Nederland speelt de discussie. Al in april van dit jaar riep minister Grapperhaus van Justitie en Veiligheid verzekeraars op het losgeld bij infecties niet te vergoeden. Het zou toen nog 'zijn voorkeur hebben' als verzekeraars met die vergoedingen stopten. De discussie lag vervolgens een paar maanden stil, maar blijkt nu op het ministerie toch weer te leven. Ambtenaren zouden inmiddels onderzoek doen naar de mogelijkheid om verzekeraars te verbieden losgeld te vergoeden, zo meldden bronnen deze maand aan de NOS. Volgens de politie zou het betalen van ransomware leiden tot meer aanvallen, zei Grapperhaus in april. Hoe de politie daarbij komt, is niet helemaal duidelijk; de uitkomsten van onderzoeken hierover zijn tegenstrijdig. Het idee is in ieder geval logisch. Een bedrijf dat verzekerd is, is wellicht eerder geneigd losgeld te betalen als het slachtoffer wordt van ransomware. Vanuit crimineel oogpunt zijn bedrijven met een cyberverzekering aantrekkelijkere doelwitten. Niet alleen zouden ze sneller geneigd zijn te betalen, ook zouden criminelen een hoger losgeld kunnen vragen. Dat is althans de gedachte; onderzoek wijst dit juist niet uit.
Officiële cijfers over ransomware zijn altijd lastig te vinden. Daarom is ook moeilijk te zeggen hoe vaak er wordt betaald en welk percentage van dat losgeld van verzekeraars afkomstig is. Infecties worden niet centraal geregistreerd en veel bedrijven willen niet dat bekend wordt dat ze hebben betaald. Bovendien zijn cyberverzekeringen - specifiek die met losgeldclausules - nog lang geen gemeengoed. Anekdotisch lijken verzekeringen wel degelijk een rol te spelen. Diverse Amerikaanse steden lieten hun verzekering uitbetalen na een infectie. Anderzijds kwam aan sommige impactvolle aanvallen, zoals die bij de Universiteit Maastricht, geen verzekering te pas.
Markt
Er is een groeiende markt voor cyberverzekeringen met losgeldclausules
De markt voor losgeldverzekeringen bestaat niet alleen, hij groeit hard. Eind 2019 bleek uit polissen die Tweakers had doorgelezen dat de meeste cyberverzekeringen dekking bieden voor ransomware-aanvallen. De polissen dekken onder andere de inzet voor incident-response-experts of nieuwe hardware, maar ook het losgeld dat bedrijven betalen. Daarbij moet een belangrijke kanttekening worden gemaakt, zegt advocaat Nynke Brouwer van Dirkzwager Legal, die onderzoek doet naar cyberverzekeringen: "Het gaat om dekking van betaald losgeld. Het is niet zo dat een organisatie een verzekeraar opbelt en zegt 'ik moet betalen, geef maar een zak geld'. Ze moeten eerst zelf het losgeld opbrengen en kunnen het na afloop deels vergoed krijgen. De verzekeraar ziet het dan als een schadepost." Dat onderscheid is belangrijk. Verzekeraars zeggen op die manier geen invloed uit te oefenen op de vraag of losgeld wel of niet moet worden betaald.
Kritiek van industrie en politiek
Zowel de security- als de verzekeringsindustrie is sceptisch over Grapperhaus' plannen. Het verbod "zal niet of nauwelijks leiden tot minder losgeldbetalingen", stelt Inge Bryan van Fox-IT in een opinieartikel in het FD. Een vergoedingsverbod zou juist "de nuttige rol die verzekeraars kunnen vervullen in het tegengaan van ransomwareaanvallen dwarsbomen", betoogt ze.
Dat vindt het Verbond van Verzekeraars ook. "Het Verbond wijst erop dat dit in de praktijk heel weinig oplevert en zelfs averechts kan werken. Verzekeraars zorgen er juist voor dat bedrijven niet ingaan op losgeldeisen en er eerst alles aan doen om het probleem op andere manieren op te lossen", schrijft de branchevereniging in een verklaring. De organisatie zegt tegen Tweakers "nog steeds in gesprek te zijn met alle stakeholders en dat ook te zullen blijven", maar op dit moment geen nieuwe informatie te hebben. Het Verbond kijkt nog altijd op dezelfde manier naar de kwestie als in april.
Er komt ook kritiek uit Grapperhaus' eigen demissionaire kabinet. Zo stelde Queeny Rajkowski van de VVD in september vragen aan de minister over de plannen. "Bent u zich ervan bewust dat het niet betalen van losgeld kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd, wat vaak langer duurt en meer geld kost dan het betalen van losgeld?", vroeg ze. Ook stelde Rajkowski dat een verbod op losgeldbetalingen mogelijk kan leiden tot het faillissement van een bedrijf.
Het onderzoek
In de discussie wordt opvallend weinig aandacht gegeven aan de uitkomsten van onderzoek. Misschien komt dat omdat er überhaupt nog weinig onderzoek heeft plaatsgevonden. Toch wagen sommige onderzoekers zich aan dit onderwerp. Advocaat Brouwer promoveerde eerder deze maand aan de Radboud Universiteit (RU) met een onderzoek naar cyberverzekeringen. Ze keek onder andere naar polissen en hun effecten op het bedrijfsleven. Een ronkend persbericht van de RU beschreef het als: "Losgeldverbod voor cyberverzekering is zinloos". Dat ligt iets genuanceerder, maar in essentie klopt het wel, denkt Brouwer. Bedrijven die getroffen worden door ransomware betalen doorgaans toch wel, met én zonder dure verzekeringspolis. "De vraag is of een cyberverzekering met een losgeldclausule de achterliggende reden is dat bedrijven het losgeld betalen", legt ze aan Tweakers uit. "Is een bedrijf bijvoorbeeld minder geneigd losgeld te betalen als ze die verzekering niet hebben? Die vraag is moeilijk te beantwoorden." Het tegendeel lijkt juist; het merendeel van de bedrijven betaalt het losgeld toch wel, omdat er geen alternatief is. "Stel dat je kunt vaststellen dat een verzekerd bedrijf wél losgeld betaalt ondanks dat er een alternatief is, tegenover een bedrijf dat juist niet betaalt omdat het géén verzekering heeft. Dan zou er een causaal verband bestaan tussen het hebben van losgelddekking en losgeldbetaling. Dat zou ongewenst zijn, want dan bestaan er blijkbaar alternatieven die worden genegeerd. Maar ik ben dat in mijn onderzoek niet tegengekomen."
In onderzoeken is geen correlatie te vinden tussen verzekeringen en betalingen
Dit betekent niet direct dat het verband er niet is, nuanceert Brouwer, maar in haar onderzoek komt die correlatie in ieder geval niet voor. Dat is een logische conclusie zodra je gaat kijken naar de aard van verzekeringen en de rol die ze spelen bij beveiliging.
Brand versus cyber
Verzekeringen doen in essentie natuurlijk weinig meer dan het afkopen van een risico. Het is in het belang van de verzekeraar om dat risico zo klein mogelijk te houden. Daarom hebben verzekeringen ook de mogelijkheid om goed gedrag te stimuleren bij hun klanten. Brouwer trekt de parallel met brand of diefstal. "Een verzekeraar schrijft daarbij voor welk brandwerend materiaal of welk type sprinklerinstallatie een bedrijf moet gebruiken voor het mag worden verzekerd."
Die gedragsstimulatie ziet Brouwer, net als andere critici van het verbod, ook op het gebied van cyberverzekeringen. Het is het centrale betoog van Bryan van Fox-IT: "In plaats van de rol van de verzekeraars te marginaliseren, zou de minister juist gericht gebruik moeten maken van hun toegang tot de markt en hun mogelijkheid de veiligheidsnormen te verhogen", schrijft ze. Brouwer noemt het een kennisvoorsprong. "Voor alle bedrijven in hun portefeuille overzien verzekeraars vaak beter wat wel en niet werkt. Daarom zouden ze bedrijven beter bij de hand kunnen nemen en ze meer richting geven over wat ze wel en niet moeten doen." Verzekeraars krijgen bijvoorbeeld input van tientallen of honderden verschillende bedrijven die incidenten hebben meegemaakt. Uit al die data kun je patronen ontwaren, trends spotten en beveiligingsmaatregelen voorschrijven rondom die trends.
Verzekeraars houden zich daarom de afgelopen jaren steeds meer bezig met de beveiliging van bedrijven. "Sommigen in het vak denken dat cyberverzekeraars zich steeds meer richting compliance officers begeven", zegt Brouwer. "Ze zijn namelijk steeds actiever betrokken bij de bedrijfsvoering. Dat is bij cyberverzekeringen ook veel meer het geval dan bij traditionele polissen."
Kijken naar toekomst
Dat komt omdat brand- of diefstalverzekeringen al zo oud zijn. De eerdergenoemde kennisvoorsprong is gebaseerd op jaren aan ervaring met schadedekkingen. Die ervaring is er bij cyberincidenten en zeker bij ransomware relatief weinig. "Verzekeraars kijken van oudsher naar het verleden om premies te berekenen. Maar bij cyberverzekeringen is dat moeilijk. De systematiek en de aard van de risico's dwingt verzekeraars eerder om naar de toekomst te kijken en te anticiperen op technologische ontwikkelingen." Dat maakt het lastig om goede polissen op te stellen, heldere premies te berekenen en te bepalen wanneer iets wel of niet kan worden uitbetaald.
Cyberverzekeringen zijn daardoor vaak vaag. Het is vaak onduidelijk wanneer en onder welke voorwaarden schadeposten worden uitgekeerd. Verzekeraars stellen wel eisen aan potentiële klanten, maar die zijn ambigu. Brouwer: "Er is bijvoorbeeld opgenomen dat een bedrijf back-ups moet hebben, maar veel meer staat er niet." Wat 'back-ups hebben' inhoudt, is niet eenduidig. Je kunt eens in de zoveel tijd al je documenten op een usb-stick zetten en dat een back-up noemen, maar ook een uitgebreid plan hebben met off-site-opslag, automatiseringen en regelmatige controles. Daar zit een wereld van verschil tussen.
Bij brand- en diefstalverzekeringen zijn de eisen vaak duidelijk. Een sprinklerinstallatie moet van merk X zijn, hang- en sluitwerk moet keurmerk Y hebben en een brandblusser moet volgens ISO-norm Z zijn gekeurd. Bij cyberverzekeringen bestaan zulke duidelijke definities niet. "Meestal staat er alleen: 'u moet redelijke voorzorgsmaatregelen nemen'. Dat is een dusdanig open norm dat bedrijven niet weten wat ze moeten doen."
Verzekeringen kunnen nog veel slagen maken in het helpen van bedrijven
Verzekeraars zeggen zelf dat ze door het voorschrijven van beveiligingsmaatregelen bedrijven juist helpen, maar in werkelijkheid hebben ze daarin nog een flinke slag te slaan. "In grote lijnen zijn de polissen gelijk, maar in de details verschillen ze, terwijl voor verzekeraars juist die details belangrijk zijn. Ook voor tussenpersonen is het lastiger uit te leggen. Dat zorgt voor onduidelijkheid bij bedrijven, die vervolgens weer huiverig zijn om een cyberpolis af te nemen, en daar leert de verzekeraar weer minder van. Dat zorgt voor een cyclus van onduidelijkheid." Brouwer nuanceert het wel; de laatste jaren zijn er veel slagen gemaakt. "Op de huidige markt zijn de eisen al veel strenger. Het is veel moeilijker een cyberverzekering af te sluiten, omdat verzekeraars gedetailleerder vragen naar bijvoorbeeld de inrichtingen van technologieafdelingen en -infrastructuren. Maar ze zouden bedrijven beter kunnen begeleiden."
Hogere kostenpost
Dat verzekeraars tegen een verbod op dekking voor losgeld zijn, heeft een goede reden. Als een bedrijf het losgeld niet betaalt, is de schadepost enorm. Een mogelijk gevolg van een losgeldverbod is dat verzekeraars in dat geval dekking voor bedrijfsstilstand juist beperken. Zo'n stilstand duurt vaak veel langer en kost meer geld. Bedrijven moeten dan expertise inhuren, apparatuur aanschaffen en missen langere tijd inkomsten. Brouwer: "De kosten stijgen dan, en als de verzekeraar dát moet dekken, gaat de premie mogelijk omhoog en de dekking omlaag. Dat heeft effect op de hele verzekeringsmarkt."
Daar komt ook nog bij dat bedrijven bij een verbod mogelijk uitwijken naar het buitenland. Daarmee wordt het probleem alleen maar verplaatst.
Contractvrijheid
Brouwer ziet naast de beperkte effectiviteit ook een belangrijk juridisch obstakel voor een verbod. Het zou namelijk diep ingrijpen op de contractvrijheid. "In principe mag je alles met iedereen afspreken, tenzij het in strijd is met de wet of met de openbare orde of de goede zeden. Je kunt beargumenteren dat ransomware een bedreiging is voor de openbare orde, vanwege de aanvallen op ziekenhuizen of infrastructuur. Maar je moet dan óók kunnen constateren dat verzekerde bedrijven losgeld betalen ondanks de alternatieven, en daar is dus op dit moment geen duidelijk antwoord op te geven."
Ransomwarebendes hebben hele business intelligence-afdelingen die kijken naar verzekeringen
Kortom, het is niet bewezen dat een verbod op het vergoeden van ransomware-losgeld ervoor zorgt dat bedrijven geen losgeld meer betalen, en verzekeraars kunnen hun positie nu gebruiken om goed securitybeleid af te dwingen. Tel de juridische obstakels en de stijgende premies die bij een losgeldverbod komen erbij op, en het begint te lijken op symptoombestrijding. Toch is het niet zo dat verzekeringen helemaal geen rol spelen in de ransomwarediscussie. Er zijn veel signalen dat ransomwarebendes graag achter bedrijven aan gaan waarvan ze weten dat ze verzekerd zijn. Experts zien bijvoorbeeld dat bendes hele business intelligence-afdelingen hebben die eerst grondig onderzoek doen naar de bedrijfsvoering. De losgeldeis wordt dan berekend op basis van de jaaromzet, maar ook op het feit dat er een verzekering is afgesloten.
Onderzoek door ProPublica wees in 2019 uit dat veel verzekeraars zelf regelmatig aanraden om te betalen. Dat gebeurt vaak niet zo direct. Verzekeraars hebben geen directe rol bij het troubleshooten, maar kunnen bijvoorbeeld wel een extern bedrijf inschakelen om aan incident response te doen. "Daarbij heeft een verzekeraar zeker wel invloed", zegt Brouwer. Onderhandelaars van incident-responseteams weten meestal wel dat bedrijven beter af zijn als ze het losgeld gewoon betalen, en dat weten de bendes ook. Een verzekerd bedrijf dat een professionele onderhandelaar inschakelt, betekent nu eenmaal snel cashen zonder veel gedoe, dus worden zulke bedrijven wel degelijk interessante doelwitten. Betalen doen de slachtoffers toch wel, maar verzekerde bedrijven doen het misschien sneller.
Groter plaatje
Dat specifieke dilemma komt niet voor in Brouwers onderzoek, maar ze ziet het punt wel. Verzekeringen zijn volgens haar echter maar een klein onderdeel binnen het complexe systeem van bendes, bitcoin en besluitvorming. "Ik ben zeker niet voor het doen van losgeldbetalingen. Maar verzekeringsdekking - en dat is echt iets anders dan losgeldbetalingen - moet je zien binnen een groter plaatje. Bij betalingsgedrag komen zo veel factoren kijken dat ik simpelweg niet kan vaststellen dat de verzekering daar een bepalende rol in heeft gehad."
Bij de aanpak van het grotere probleem van ransomware zijn veel andere aspecten van belang, zoals geopolitieke belangen, de uitlevering van bendes die in hun Oost-Europese of Russische thuisland vaak vogelvrij blijven. Of cryptovaluta, dat binnen ransomware een belangrijke rol speelt. "En ook wat de overheid doet aan preventie. Stel bijvoorbeeld eerst eens een goed normenkader op voor beveiligingsaspecten waaraan men kan refereren. Ik zeg: kijk daar eerst naar en schuif niet meteen de zwarte piet naar de verzekeraars."