Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

| AE 12956 | Security | 18 reacties

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als grootzakelijke partij meer op afstand, en vanuit hen is de keuze om te betalen dan iets eerder afkeurenswaardig. Maar gaat het echt werken?

In antwoord op Kamervragen laat de minister weten dat de “meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware”. Wat natuurlijk nogal een dooddoener is, hoe waar ook. Maar dat zal nog wel even duren, dus hoe moet het dan wel?

Het is inderdaad zo dat ransomware losgeld betalen niet strafbaar is. De reden is dat je dan een slachtoffer dwingt tussen de heftige keuze om zijn data/bedrijf kwijt te raken en de strafbare keuze losgeld te betalen. Dat is moreel onaanvaardbaar, ook al gaat het ‘slechts’ om datagijzeling en niet om mensen of spullen.

Iedereen kijkt dan meteen naar de verzekeraars. Steeds meer cyberverzekeringen dekken schade door ransomware, en wat je kwijt bent aan losgeld dat is schade in juridische zin. Dus het is logisch dat een verzekeraar ook die schade vergoedt.

Het lastige is dat de grens erg vaag is tussen “wat pijnlijk dat u zich gedwongen voelde losgeld te betalen, wij stellen u schadeloos” en “u heeft een ransomware-melding gedaan, gezien de verhouding tussen kosten van herstel en losgeld keren wij nu het losgeld-bedrag aan u uit”. Dat laatste is puur zakelijk, een afweging waarbij de immorele keuze (het steunen van misdaad) gelijkgesteld wordt aan de morele keuze (het helpen van een slachtoffer dat een gedwongen keuze maakte). En dat is unfair.

Ik denk alleen niet dat je er komt met enkel een verbod. Ik zie nu al genoeg juridische trucs, zoals de verzekerde zelf laten betalen en dan vergoeden wat er “aan derden” is betaald. Een consultant inhuren die de vergoeding betaalt en dat declareert als deel van de herstelkosten. En ga zo maar door. Daar kun je vast doorheen prikken met genoeg moeite, maar in individuele zaken is dat de moeite niet waard.

Zelf zou ik meer zien in een voorschrift aan verzekeraars dat ransomware alleen gedekt mag worden als de verzekerde een acceptatie moet ondergaan op cybersecuritygebied. Vergelijkbaar met die korting op je inboedelverzekering als je huis het Politiekeurmerk Veilig Wonen heeft, maar dan dus een stapje verder: je krijgt de verzekering niet als je niet dat PKW hebt, in de analogie. Regel je backups en regel je security, en voor het geval een slimme Rus daar dan toch nog doorheen prikt dan is er de verzekeraar.

Dit is eenvoudig te controleren, al is het maar door een mystery guest een verzekering aan te laten vragen. Dus toezicht is een stuk eenvoudiger. En het draagt ook nog eens bij aan het security-niveau van Nederland. Dus waarom niet?

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Aon neemt cybercrime voortaan standaard in inboedelverzekering op

| AE 12184 | Innovatie | 26 reacties

Verzekeraar Aon neemt vanaf 1 september cybercrime standaard op in de inboedelverzekering. Dat las ik bij Tweakers onlangs. In de polis staat te lezen dat voornamelijk onkosten worden betaald voor situaties zoals phishing, ransomware of identiteitsfraude. De daadwerkelijke schade wordt zelden vergoed, wat niet zo gek is want juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

De polisvoorwaarden zijn nog best leesbaar en to the point, wat natuurlijk mede komt omdat het wettelijk verplicht is om in eenvoudige taal te communiceren. En oh wat zou het fijn zijn als privacyverklaringen eens net zo goed leesbaar zouden zijn.

Even lezen geeft dan toch wat aardige dingen. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

Oh, jailbreak je je systeem dan ben je niet gedekt. Die term is breder gedefinieerd dan alleen iOS overigens, hoewel het mij raar aandoet om deze toch Apple-specifieke term te gebruiken. Het gaat om iedere vorm van het uitschakelen of omzeilen van de beveiliging van de fabrikant tegen het zomaar installeren van apps. Daar zit natuurlijk achter dat je zo malafide apps binnen kunt krijgen, zodat je het risico op schadebrengende gebeurtenissen vergroot.

Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

Ik lees in de comments nog diverse mensen die zelf prima weten hoe ze de beveiliging van hun computer regelen, maar daarbij desondanks de regels van de verzekeraar zouden overtreden. Bijvoorbeeld door hun telefoon te rooten maar wél keurig de malware buiten de deur houden. Moeten die dan wel of niet onder de dekking vallen? Altijd een lastige.

Ik ben uiteindelijk toch geneigd te zeggen van wel, máár met een hoge bewijslast dat je systeem echt veilig was ondanks al je eigen knutselwerk. Want de verzekeraar kan het verschil niet zien tussen een hacker (een echte) die beter dan Linus weet hoe zijn kernel dicht te timmeren, en een gedachteloze amateur die zomaar overtypt wat mensen op vage forums vertellen dat je moet doen om gratis Bejeweld te spelen. En gezien de eerste categorie veel zeldzamer is dan de tweede, vind ik dat je als echte hacker moet bewijzen dat je dat bent om alsnog aanspraak op de verzekering te maken.

Arnoud

Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

| AE 11695 | Ondernemingsvrijheid, Security | 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant… Lees verder

Univé verzekert gehackte pc consument

| AE 9764 | Security | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel… Lees verder

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

| AE 6358 | Ondernemingsvrijheid, Privacy | 41 reacties

Voor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in… Lees verder

Mogen verzekeraars claims verifiëren middels Facebook?

| AE 2779 | Privacy | 17 reacties

Verzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp… Lees verder

Nieuwe regels over elektronische documenten en voorwaarden

| AE 2146 | Informatiemaatschappij | 26 reacties

Excuses voor de vertraging, maar ik moest het even nazoeken. Zoals donderdag beloofd: wat is er per 1 juli gewijzigd over algemene voorwaarden en de rechtsgeldigheid van elektronische documenten? De regels over algemene voorwaarden (art. 6:234 BW) zijn veranderd. Het wetsartikel is herschreven, met name om de leesbaarheid te vergroten (voor zover haalbaar, het is… Lees verder