‘We moeten toe naar een samenleving waarin het niet betalen van losgeld de norm is’

Demissionair minister van Justitie en Veiligheid Ferdinand Grapperhaus onderzoekt de mogelijkheid om verzekeraars te verbieden om losgeld te vergoeden aan verzekerde bedrijven. Doordat bedrijven hier nu voor verzekerd zijn, kan de verzekeraar in samenspraak met de verzekerde kiezen voor het betalen van losgeld. Wanneer alleen nog de afhandelingskosten van een ransomeware-aanval worden vergoed, draagt dit bij aan het creëren van een samenleving waarin losgeld betalen niet langer de norm is. 

Nieuwesteeg pleitte in de zomer van 2021, samen met dertien hoogleraren Cybersecurity, al voor het niet betalen van ransomware als uitgangspunt van nationaal beleid. Verzekeraars zouden, bij aanpassing van de huidige polis, kunnen vrezen voor het verliezen van hun klanten en een vermindering van de cyberveiligheid. Volgens Nieuwesteeg klopt die redenering niet: “Inge Bryan, ceo van cybersecurity-dienstverlener Fox-IT, maakt een verkeerde inschatting als ze stelt dat een losgeldverbod verzekeraars dwarsboomt. Ze veronderstelt daarbij dat bedrijven puur voor de vergoeding van losgeld een cyberverzekering aanschaffen. Dat is natuurlijk niet zo. Zij kunnen ook bij een cyberverzekeraar terecht voor de verzekering van de volledige kosten van de afwikkeling van een cyberincident exclusief de betaling aan de cybercrimineel.”

Ook verwacht Bryan dat het verbod op vergoeding van losgeld niet zal leiden tot een afname in losgeldbetalingen. Nieuwesteeg vraagt zich echter af waar deze bewering op is gebaseerd: “Er is namelijk niet of nauwelijks gedegen onderzoek gedaan naar losgeldbetalingen. Dat komt ook door het gebrek aan publiek beschikbare data.”

Volgens Nieuwesteeg hoeven verzekeringsmaatschappijen niet te vrezen voor een afname in het aantal klanten. Verzekeraars en experts op het gebied van cybersecurity staan volgens hem aan dezelfde kant.