Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

| AE 12956 | Security | 18 reacties

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als grootzakelijke partij meer op afstand, en vanuit hen is de keuze om te betalen dan iets eerder afkeurenswaardig. Maar gaat het echt werken?

In antwoord op Kamervragen laat de minister weten dat de “meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware”. Wat natuurlijk nogal een dooddoener is, hoe waar ook. Maar dat zal nog wel even duren, dus hoe moet het dan wel?

Het is inderdaad zo dat ransomware losgeld betalen niet strafbaar is. De reden is dat je dan een slachtoffer dwingt tussen de heftige keuze om zijn data/bedrijf kwijt te raken en de strafbare keuze losgeld te betalen. Dat is moreel onaanvaardbaar, ook al gaat het ‘slechts’ om datagijzeling en niet om mensen of spullen.

Iedereen kijkt dan meteen naar de verzekeraars. Steeds meer cyberverzekeringen dekken schade door ransomware, en wat je kwijt bent aan losgeld dat is schade in juridische zin. Dus het is logisch dat een verzekeraar ook die schade vergoedt.

Het lastige is dat de grens erg vaag is tussen “wat pijnlijk dat u zich gedwongen voelde losgeld te betalen, wij stellen u schadeloos” en “u heeft een ransomware-melding gedaan, gezien de verhouding tussen kosten van herstel en losgeld keren wij nu het losgeld-bedrag aan u uit”. Dat laatste is puur zakelijk, een afweging waarbij de immorele keuze (het steunen van misdaad) gelijkgesteld wordt aan de morele keuze (het helpen van een slachtoffer dat een gedwongen keuze maakte). En dat is unfair.

Ik denk alleen niet dat je er komt met enkel een verbod. Ik zie nu al genoeg juridische trucs, zoals de verzekerde zelf laten betalen en dan vergoeden wat er “aan derden” is betaald. Een consultant inhuren die de vergoeding betaalt en dat declareert als deel van de herstelkosten. En ga zo maar door. Daar kun je vast doorheen prikken met genoeg moeite, maar in individuele zaken is dat de moeite niet waard.

Zelf zou ik meer zien in een voorschrift aan verzekeraars dat ransomware alleen gedekt mag worden als de verzekerde een acceptatie moet ondergaan op cybersecuritygebied. Vergelijkbaar met die korting op je inboedelverzekering als je huis het Politiekeurmerk Veilig Wonen heeft, maar dan dus een stapje verder: je krijgt de verzekering niet als je niet dat PKW hebt, in de analogie. Regel je backups en regel je security, en voor het geval een slimme Rus daar dan toch nog doorheen prikt dan is er de verzekeraar.

Dit is eenvoudig te controleren, al is het maar door een mystery guest een verzekering aan te laten vragen. Dus toezicht is een stuk eenvoudiger. En het draagt ook nog eens bij aan het security-niveau van Nederland. Dus waarom niet?

Arnoud

Waarom is ransomware losgeld betalen eigenlijk niet strafbaar?

| AE 12560 | Regulering | 19 reacties

Een lezer vroeg me:

Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over “ongebruikelijk” betalingsverkeer en betalen aan verdachte landen?
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.

Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.

Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)

Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.

Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.

In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen “zaken doen”, nog los van dat je niet wéét waar de gijzelnemers zitten.

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud