Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

OpenClipart-Vectors / Pixabay

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als grootzakelijke partij meer op afstand, en vanuit hen is de keuze om te betalen dan iets eerder afkeurenswaardig. Maar gaat het echt werken?

In antwoord op Kamervragen laat de minister weten dat de “meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware”. Wat natuurlijk nogal een dooddoener is, hoe waar ook. Maar dat zal nog wel even duren, dus hoe moet het dan wel?

Het is inderdaad zo dat ransomware losgeld betalen niet strafbaar is. De reden is dat je dan een slachtoffer dwingt tussen de heftige keuze om zijn data/bedrijf kwijt te raken en de strafbare keuze losgeld te betalen. Dat is moreel onaanvaardbaar, ook al gaat het ‘slechts’ om datagijzeling en niet om mensen of spullen.

Iedereen kijkt dan meteen naar de verzekeraars. Steeds meer cyberverzekeringen dekken schade door ransomware, en wat je kwijt bent aan losgeld dat is schade in juridische zin. Dus het is logisch dat een verzekeraar ook die schade vergoedt.

Het lastige is dat de grens erg vaag is tussen “wat pijnlijk dat u zich gedwongen voelde losgeld te betalen, wij stellen u schadeloos” en “u heeft een ransomware-melding gedaan, gezien de verhouding tussen kosten van herstel en losgeld keren wij nu het losgeld-bedrag aan u uit”. Dat laatste is puur zakelijk, een afweging waarbij de immorele keuze (het steunen van misdaad) gelijkgesteld wordt aan de morele keuze (het helpen van een slachtoffer dat een gedwongen keuze maakte). En dat is unfair.

Ik denk alleen niet dat je er komt met enkel een verbod. Ik zie nu al genoeg juridische trucs, zoals de verzekerde zelf laten betalen en dan vergoeden wat er “aan derden” is betaald. Een consultant inhuren die de vergoeding betaalt en dat declareert als deel van de herstelkosten. En ga zo maar door. Daar kun je vast doorheen prikken met genoeg moeite, maar in individuele zaken is dat de moeite niet waard.

Zelf zou ik meer zien in een voorschrift aan verzekeraars dat ransomware alleen gedekt mag worden als de verzekerde een acceptatie moet ondergaan op cybersecuritygebied. Vergelijkbaar met die korting op je inboedelverzekering als je huis het Politiekeurmerk Veilig Wonen heeft, maar dan dus een stapje verder: je krijgt de verzekering niet als je niet dat PKW hebt, in de analogie. Regel je backups en regel je security, en voor het geval een slimme Rus daar dan toch nog doorheen prikt dan is er de verzekeraar.

Dit is eenvoudig te controleren, al is het maar door een mystery guest een verzekering aan te laten vragen. Dus toezicht is een stuk eenvoudiger. En het draagt ook nog eens bij aan het security-niveau van Nederland. Dus waarom niet?

Arnoud

18 reacties

  1. Ik denk wel dat je onderschat hoe plichtsgetrouw (de grote) verzekeraars zijn, zeker in relatie tot regelgeving die door AFM en DNB worden gesteld en gehandhaafd. Mijn gedachte hierbij is dat voornamelijk het de facto ontbreken van een bestuursrechtelijke route om tegen DNB in te gaan, gekoppeld met de (her-)keuring door DNB voor individuele bestuurders leidt tot een cultuur waarin de wensen van AFM en DNB redelijk strikt worden opgevolgd.

    Als de wetgever een verbod op het betalen van losgeld in geval van ransomware koppelt aan een wet met voldoende ‘punch’ (bijv. WWFT en dat lijkt me niet eens een stretch gezien de vermoedelijke ontvangende partijen) dan acht ik het volledig onwaarschijnlijk dat verzekeraars met een Nederlandse vergunning nog betalingen zullen doen of overwegen dat via een schijnconstructie te doen. Te veel lager in de organisatie die daar heel onrustig van zouden worden.

    Ding is wel dat een aanzienlijk deel van de markt voor wat exotischere dekkingen niet alleen via Nederlandse vergunningshouders verlopen. Deze gaan via de beurs, via in het buitenland gevestigde verzekeraars, etc. Op zich wel op te lossen door ook het laten betalen van losgeld, dus aan de kant van de verzekerde organisatie, strafbaar te stellen. De handhaving daarvan ligt dan wel buiten de reguliere toezichthouders voor de verzekeraars.

    1. Dat is wel een terecht punt, Nederlandse verzekeraars zijn zeker geen cowboys. Ik zie wel hoe een expliciet verbod voor hen om te betalen aan gijzelnemers zou werken. Ik worstel iets meer met de obvious truc dat de gegijzelde zelf betaalt en de kosten claimt als schade. Zoals gezegd is dat volgens mij legaal en juridisch kloppend. Als ik mijn portemonnee moet afgeven aan een berover, dan is de inhoud daarvan ook schade (bewijs van omvang even daargelaten). Het zou raar zijn als een verzekeraar dan zegt, die schade vergoeden wij niet. Met name dus omdat een gegijzelde soort van gedwongen is om te betalen en/of emotionele overmacht ervaart. Hoe zie jij dat?

      1. Maakt het voor deze analyse en voor een mogelijk verbod uit of het gaat om een gijzeling (bedrijfssysteem ligt plat totdat er betaald wordt) of dat het gaat om afpersing (betalen of bedrijfsgeheimen worden openbaar gemaakt)? Ik heb begrepen dat dit tegenwoordig vaak gecombineerd wordt. Als een virus in een bedrijfssysteem gekomen is, dan steelt het eerst allerlei informatie voordat het begint met het encrypten van het hele systeem.

        Stel je hebt een bedrijf en je bent verzekerd tegen brand. Vervolgens wordt je afgeperst / bedreigd. “Betaal geld of we steken je pand in brand.” Kan je dit geld dan declareren bij je brandverzekering? Dit betalen is immers minder dan het bedrag dat de verzekeraar moet uitbetalen als je bedrijf daadwerkelijk afbrand. Als je ook verzekerd was tegen de gemiste omzet na brand, dan is de afperser betalen al helemaal goedkoper. Ik geloof echt niet dat als je aangifte doet hiervan dat de politie je bedrijf (en je huis, en de huizen van je werknemers, etc) 24/7 gaat beveiligen totdat de criminelen zijn opgepakt, als ze dat überhaupt ooit worden.

        Zie bijvoorbeeld de afgeperste fruithandel. Het bedrijf krijgt te maken met brandbommen, beschietingen en granaten ondanks politiebescherming omdat ze niet de “schade” van criminelen wilt vergoeden. De criminelen hadden drugs verstopt in de containers van dit bedrijf. Het bedrijf ontdekte dit en had dit gemeld bij de politie. Het zal me niks verbazen als op gegeven moment alle misgelopen omzet hierdoor meer wordt dan het bedrag dat de criminelen willen. Link naar nieuws artikel

        Een alternatieve manier van bedrijven platleggen is “met de hulp van de burgemeester”. Eis geld van een horeca bedrijf in de binnenstad, bedrijf weigert, leg een granaat voor de deur, de burgemeester ziet een gevaar voor de openbare orde en sluit de horeca tent voor een lange tijd.

      2. Zelf zie ik hem niet snel lastig worden (ik denk even in de categorie WWFT qua strengheid). Verzekeraars eisen bonnetjes. Bonnetjes met onderbouwing. Als de onderbouwing rammelt, vragen verzekeraars door. Het niet eerlijk zijn tegen de verzekeraar leidt voor particulieren tot uitsluiting en opname in een register. Dan ben je best wel de pineut. Ik ben niet bekend met een dergelijk register voor zakelijke klanten, maar ook hier geldt weer: grotere klanten spelen net als verzekeraars veelal volgens de regels. Als in de voorwaarden staat dat kosten rond betalen van losgeld uitgesloten is en via-via dien je facturen in die een losgeld betaling mogelijk hebben gemaakt, dan gaat het heel snel richting afd. bijzondere zaken. De vergunning van je wederpartij wederrechtelijk in het geding brengen, dat is een bestuurszaak. Plus in de grotere B2B verzekeringen is er ook een makelaar of tussenpersoon betrokken. Alweer een partij die niet zo snel moedwillig dingen ruim buiten de lijntjes gaat doen.

        Nog een gedachte (enigszins naief, maar op hetzelfde niveau van noem het instituties) – ook de accountant van een bedrijf zal niet prettig verrast zijn als het probeert een (verboden) losgeldbetaling weg te moffelen. Al met al heb je een heel stelsel samenwerkende partijen in de controle die goedbedoelende bedrijven bij een verbod het echt praktisch ondoenlijk maken te betalen.

  2. Ik zou zelf eerder er voor kiezen een losgeldbelasting in te voeren, zeg iets van 1000%, zodat het meteen ruim tien keer zo duur wordt om te betalen. Maakt het ook een stuk makkelijker om te handhaven, moet de accountant gewoon meenemen bij de boekencontrole, en valt onder omgekeerde bewijslast.

    Daarnaast worden dit soort betalingen vaak in cryptocurrencies gedaan. In veel gevallen is dan via de blockchain heel goed te zien dat die transactie heeft plaatsgevonden. Ik zou het dan strafbaar maken (als een vorm van heling) om mee te werken aan transacties die naar de betrokken transactie of bitcoin refereren. Daarmee haal een stuk van de waarde van de betrokken bitcoin weg. Dat betekent effectief dat er dus gewoon een lijst van verboden bitcoins moet komen.

    Tenslotte moeten we, als een soort variant op FACTA, alle transacties van en naar buitenlanden die niet effectief meewerken aan de bestrijding van dit euvel, met 30% anti-witwas heffing belasten.

    1. Klinkt leuk. Maar je wil BitCoin of soortgelijke cryptocurrency laten blokkeren, wanneer daarmee losgeld is betaald. Het probleem zal alleen zijn, om de juiste code van de currency te krijgen en te blokkeren, voor de ontvanger van het losgeld met die code aan het witwassen gaat. Want hij krijgt de betaling binnen en begint die meteen in andere currency om te zetten, die zet hij ook weer om, enz., enz. tot hij 20 conversies gedaan heeft. Die moet je dan allemaal traceren en blokkeren, maar zijn inmiddels al weer doorgegeven. Gevolg is, dat een totaal onschuldig iemand met geblokkeerde cryptocurrency eindigt. Nu kun je stellen dat het hebben en handelen in cryptocurrency bijdraagt aan crimineel handelen en het dus jammer is. Maar dan heb je een probleem, want alle geld en geldwaarde vertegenwoordigende middelen zijn daarvoor te gebruiken. Dus je moet ook de handel in edelmetalen, edelstenen, aandelen, obligaties, opties, enz. gaan verbieden?

        1. Dat is toch echt precies het idee. In tegenstelling tot bankbiljetten (al zou het daar ook mogelijk zijn), kun je zo’n database met “geheelde” bitcoins publiek toegankelijk maken, en dan wordt het net als bij geheelde goederen waarvan je het had kunnen weten, dat je door het aannemen ervan medeplichtig wordt (zie: https://hetccv.nl/onderwerpen/heling/stop-heling/). Laat daarnaast een verplichting om alsnog een goede bitcoin te leveren (of de oude terug te nemen en te vergoeden) bestaan voor partijen die, voordat zo’n nummer bekend wordt, zo’n gestolen of afgeperste bitcoin hebben verhandeld. Ook dat lijkt mij helemaal in lijn met de garantie op producten die we normaal gesproken eisen van leveranciers. Daarmee wordt zo’n mix-dienst zoals de afpersers gebruiken gelijk een veel te riskante operatie.

  3. Het probleem met malware is dat er zo enorm veel methodes waardoor je ermee geïnfecteerd kan raken. Zo heb ik thuis een test-systeem staan met Windows 10 met een minimum aan software en functies maar wel net genoeg om IIS te draaien voor web development. Wel zit er McAfee antivirus op om de boel te beschermen en zit alles nog achter een router zodat erg veel wordt afgeschermd, maar kennelijk is het systeem toch nog kwetsbaar. Zelfs met automatische updates. Want wat blijkt? Microsoft OneDrive wil graag synchroniseren met iedere Windows PC die je gebruikt en dit zit ook op mijn test-computer. En zo kwamen dus icoontjes van applicaties van mijn desktop ook terecht op deze server. Andersom gaat natuurlijk ook, want als dat systeem ooit besmet raakt met malware dan gaat OneDrive deze malware rustig verder delen met mijn andere systemen… Komisch, toch?

    Maar goed, ook dat kun je voorkomen door gewoon OneDrive uit te schakelen. Wel weer jammer dat Microsoft graag wil dat gebruikers inloggen met hun Microsoft account en daarbij ook meteen OneDrive daaraan koppelen. En Outlook, voor zover mogelijk…

    Het probleem met malware is dat veel software erg gebruikersvriendelijk is en het daardoor ook makkelijker maken voor malware. Apple en Android hebben vergelijkbare problemen en vooral het gemak van data synchroniseren tussen meerdere computers is wat systemen kwetsbaar kan maken…

    Malware synchroniseren?…

    1. Misschien is het verstandig, om op een systeem dat zo duidelijk voor development wordt gebruikt ook de Dev-Cert-Prod methodiek te gebruiken? Dus geen productie-account (je normale Microsoft account) gebruiken voor deze ontwikkelomgeving, maar een apart account?

    2. Het kost bij iedere release wat meer effort, maar Windows is nog prima te gebruiken zonder Microsoft account en zonder OneDrive (https://www.techadvisor.com/how-to/windows/how-set-up-windows-10-without-microsoft-account-3630929/). Als het echt niet meer werkt, dan hevel ik de laatste paar dingen die ik nu nog niet kan over naar mijn Linux machine en ben ik definitief weg. (Al moet ik zeggen dat we dit bij smartphones al jaren tolereren 🙁 )

      En inderdaad, het gemak van automatische synchronisatie betekend dus ook dat malware automatisch gesychroniseerd gaat worden. En remote installatie is ook zoiets: vanuit een browser op mijn computer kan ik nu eenvoudig een app op mijn telefoon installeren, ook al ligt die telefoon aan de andere kant van de wereld.

      1. Ja, ik weet dat maar er zijn er genoeg die er gewoon niet bij stilstaan in hoeverre de gebruikersvriendelijkheid ook de beveiliging omlegt. Installaties van besturingssystemen krijgen steeds meer extra functionaliteit erbij met steeds meet potentiele aanvals-vectors… En daar moet je dan tegen beveiligen…

  4. Verbied niet dat de verzekeraar aan de afperser betaalt, verbied dat er wordt uitgekeerd als er op enige manier geld aan de afperser is betaald en vereis dat de verzekerde verklaart dat dat niet is gedaan. Al valt natuurlijk ‘elke’ maatregel te omzeilen als men daar moeite voor doet.

    Maar als juridische trucs een reden zijn om wetgeving niet in te voeren dan geldt dat toch voor veel meer regelgeving? Zo ook bij het alternatief van die test voor een verzekering mag worden afgesloten, daar is ook om heen te werken. De audit laten beperken tot de delen die wel ‘in control’ zijn, een niet-scherpe auditor inhuren, papieren proces anders hebben dan de werkelijkheid, werkelijkheid vandaag vs werkelijkheid een week later, etc.

    1. Het gaat me inderdaad niet zozeer om trucs, als wel om de volgens mij redelijke vaststelling dat zo’n verzekerde handelde in een ernstige emotionele toestand. Je data is weg, je bedrijf gaat over twee weken op de fles, tenzij je nú betaalt en de teller doet tik tak tik tak wat ga je doen. Ik vind het nógal heftig om dan te zeggen, je mag niet betalen. Of: als je ook maar een cent betaalt, keert je verzekering niet meer uit. Dus de kosten van Fox-IT moet je ineens ook zelf dragen (want als dat wél uitgekeerd werd, is de truc dat Fox-IT het losgeld betaalt en declareert als consultancy fee.)

      Ik denk dat je bij invoering van wetgeving wel naar de obvious trucs moet kijken. Dat is niet perse reden om het tegen te houden – alles kan omzeild – maar je moet daar wel maatregelen tegen inbouwen. Zoals het verbod op bellen achter het stuur, dat werd “geen telefoon vasthouden” omdat niet vast te stellen is of jij zat te bellen of de navigatie in aan het stellen was.

      1. Helemaal eens: het bedrijf zelf verbieden om te betalen gaat te ver. En is ook niet reëel – inderdaad gaat die emotie het toch wel winnen als het alternatief faillissement is. Enige resultaat zou dan zijn dat er wel wordt betaald maar men dan van ellende maar geen melding doet van dit datalek om te voorkomen dat er een boete overheen komt.

        Maar geen verzekering uitkeren is dan m.i. wel terecht, althans niet de betaling aan de afperser. Bij mijn suggestie zou ook de FoxIT-omweg niet werken – er van uitgaande dat verzekerde en in dit voorbeeld FoxIT niet richting verzekeraar zwart-op-wit gaan liegen dat ze van geen betaling afweten.

        O.a. omdat partijen die vooraf bewust een verzekering hiertegen afsluiten, liever het geld van de premie moeten steken in beveiliging en back-up. Dat is een bewuste keuze vooraf.

        1. Hmm. Nu ik dat zo zeg, is het eigenlijk niet anders dan een gewone bedrijfsongevallenverzekering. Waar ik een dergelijke verzekering niet zie als perverse prikkel om het bedrijfspand fysiek onveilig te houden. Ik denk dat die woorden moet inslikken..

        2. Dat van die verklaring voelt ergens lastig, wederom vanwege die emotie. Maar goed, je moet bij alle verzekeringsclaims verklaren de waarheid te spreken dus het kan wel denk ik.

          Wat zou je vinden van het alternatief dat losgeld wél vergoed wordt maar alleen als de verzekeraar vooraf heeft vastgesteld dat je adequaat beveiligd was, dus met state of the art backups? Dan introduceer je een soort certificering, toetsing aan de poort (met jaarlijkse updates) zodat de kans veel kleiner is. Maar komt er een keer een SuperFancyBear doorheen die je gijzelt, dan heb je dat afgedekt met een verzekering.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.