Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.1.3
III.3.9.1.3 Dekking voor betaald losgeld
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278802:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Niet: Avéro, Centraal Beheer, Interpolis.
S. van Gils, ‘Verzekeraars moeten stoppen met losgeldbetalingen bij afperssoftware, Financieele Dagblad 27 december 2019 en J. Schutte, ‘Gegijzeld door ransomware? Verzekeraar dekt losgeld uiteindelijk altijd’, Nu.nl 17 januari 2020. Aanhangsel Handelingen II 2019/20, nr. 1721. De Universiteit Maastricht heeft op het informatiesymposium op 5 februari 2020 overigens verklaard geen verzekering te hebben.
R. Dudley, ‘The Extortion Economy: How Insurance Companies Are Fueling a Rise in Ransomware Attacks’, 27 augustus 2019, https://www.propublica.org/article/the-extortion-economy-how-insurance-companies-are-fueling-a-rise-in-ransomware-attacks, laatst bezocht op 28 februari 2020. ProPublica is een non-profit newsroom voor onderzoeksjournalistiek.
Brief van de minister van VenJ van 20 maart 2020, 2811825. Zie ook de brief van de minister van VenJ aan de Tweede Kamer, van 22 april 2020, 26 643 en 28 684, nr. 678.
Deze eisen worden vooralsnog echter (lang) niet door elke cyberverzekeraar in dezelfde mate gesteld, zie hoofdstuk IV.
D. Sabbagh, ‘Insurers ‘funding organised crime’ by paying ransomware claims’, The Guardian 24 januari 2021, https://www.theguardian.com/technology/2021/jan/24/insurers-funding-organised-by-paying-ransomware-claims.
Z. Kleinman, ‘Insurers defend covering ransomware payments’, BBC News 27 januari 2021, https://www.bbc.com/news/technology-55811165. Zie voor een beschouwing op beide nieuwsberichten J. Lemnitzer, ‘Ransomware gangs are running riot – paying them off doesn’t help’, The Conversation 17 februari 2021, https://theconversation.com/ransomware-gangs-are-running-riot-paying-them-off-doesnt-help-155254.
PG Boek 3 (Inv.), p. 1141.
Zie bijv. HR 1 juni 2012, ECLI:NL:HR:2012:BU5609 en NJ 2013/172 m.nt. Tjong Tjin Tai (Esmilo/Mediq) en HR 19 december 2014, ECLI:NL:HR:2014:3650. Zie verder diverse voorbeelden in de lagere jurisprudentie: Hof Arnhem-Leeuwarden 19 november 2019, ECLI:NL:GHARL:2019:9872; Hof Amsterdam 11 oktober 2007, ECLI:NL:GHAMS:2007:BC1271; Rb. Rotterdam 25 mei 2011, ECLI:NL:RBROT:2011:BQ8178; Rb. Rotterdam 28 maart 2012, ECLI:NL:RBROT:2012:BW0838; Rb. Den Bosch 18 mei 2011, ECLI:NL:RBSHE:2011:BQ5051; Rb. Rotterdam 6 september 2017, ECLI:NL:RBROT:2017:6670; Rb. Alkmaar 22 augustus 2007, ECLI:NL:RBALK:2005:AS8326.
HR 20 april 1934, NJ 1934, p. 1483.
Rb. Rotterdam 6 september 2017, ECLI:NL:RBROT:2017:6670.
Vgl. HR 19 december 2014, ECLI:NL:HR:2014:3650 en Asser/Sieburgh 6-III 2018/333.
HR 1 juni 2012, ECLI:NL:HR:2012:BU5609 en NJ 2013/172 m.nt. Tjong Tjin Tai (Esmilo/Mediq).
De relatie met dekking voor bedrijfsschade volgt bijvoorbeeld uit de polisvoorwaarden van Zurich, die aan de dekking voor betaald losgeld de extra voorwaarde verbinden dat het betaalde bedrag niet hoger mag zijn dan het door Zurich ingeschatte bedrag aan bedrijfsschade zou zijn geweest, indien het losgeld niet werd betaald. Deze voorwaarde vormt mijns inziens bovendien een extra drempel om het losgeld te betalen en heeft daarop dus een remmende werking.
De daders verzamelen eerst informatie over het doelwit, bijvoorbeeld over diens financiële positie.
Mogelijk heeft die verklaring te maken met een geheimhoudingsclausule (zie §3.9.1.2).
Ik trof slechts één krantenbericht over dit onderwerp: G. Reijn, ‘“Verbied verzekeringen tegen ontvoeringen”’, De Volkskrant 25 juli 2008.
Zie bijvoorbeeld J. Simon, ‘The business of kidnapping: inside the secret world of hostage negotiation’, The Guardian, 25 januari 2019; A. Fink & M. Pingle, ‘Kidnap insurance and its impact on kidnapping outcomes’, Public Choice, 2014, vol. 160, no. 3/4, p. 481-499.
Fink & Pingle 2014.
Simon 2019.
Fink & Pingle 2014.
Sinds de aanslagen van 11 september 2011 is een complicerende factor in de K&R-verzekering dat er wetgeving is ontstaan die het betalen van losgeld aan terroristische organisaties verbiedt, bijvoorbeeld in de Verenigde Staten en het Verenigd Koninkrijk. Indien een verzekerde losgeld betaalt aan een terroristische organisatie, kan de verzekeraar dat niet vergoeden. In hoeverre dat ook geldt voor andere dekkingselementen zoals crisismanagement en begeleiding bij onderhandelingen, is onduidelijk. Elders in dit boek signaleer ik dat de grens tussen terrorisme en molest bij cyber vervaagt (hoofdstuk V). Dit geldt ook voor de grens tussen terrorisme en criminaliteit. Voor de vergoeding van losgeld bij ransomware is dat onderscheid relevant. Betalingen aan terroristische organisaties zullen op (nog) meer weerstand in de maatschappij stuiten dan betalingen aan criminelen en zijn in bepaalde gevallen simpelweg niet toegestaan.
Simon 2019 en Fink & Pingle, p. 495.
Bundesaufsichtsamt für das Versicherungswesen, Hinweise des BAV zum Betrieb von Lösegeldversicherungen - Rundschreiben 3/1998 (VA). In 2008 en 2014 is een aantal aanpassingen gedaan in het beleid, bijvoorbeeld dat in bepaalde gevallen meer dan drie personen op de hoogte mogen worden gesteld van het bestaan van deze verzekering, zie BaFinJournal, Ausgabe Juni 2014, p. 5-6, te raadplegen op https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2014/bj_1406.html?nn=9021442.
Opgemerkt zij dat een aantal cyberverzekeraars voorafgaande toestemming vereist. Gelet op het reimbursement argument kan dat problematisch zijn. Harde conclusies zijn daarover echter thans niet te trekken. Nader onderzoek, bijvoorbeeld ook vanuit andere disciplines zoals commerciële (gedrags)psychologie, is daarvoor raadzaam.
BaFin, Lösegeldversicherung: BaFin erlaubt Bündelung mit Versicherung gegen Cyberrisiken, 15 juni 2017, https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2017/meldung_170915_loesegeldversicherung.html.
Brief van de minister van Justitie en Veiligheid aan de Tweede Kamer, 22 april 2020, 26 643 en 28 684, nr. 678. Zie ook de eerdere brief van 20 maart 2020.
N. Bos tijdens het symposium ‘Lessons Learnt’ op 5 februari 2020, terug te zien op YouTube: https://www.youtube.com/watch?v=ik-ZVvZ2-xU, specifiek rondom minuut 45-50.
Zie bijvoorbeeld https://www.infosecuritymagazine.nl/nieuws/sophos-losgeld-betalen-verdubbelt-kosten-van-een-ransomware-aanval; https://www.cybercrimeinfo.nl/cybercrime/ransomware/443198_ransomware-kosten-verdubbelen-bij-betaling-aan-cybercriminelen; https://www.computable.nl/artikel/nieuws/security/6927673/250449/losgeld-betalen-bij-ransomware-verdubbelt-kosten.html.
Sophos, The State of Ransomware 2020, Sophos White Paper 2020, p. 12.
Department of the Treasury, Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments, 1 oktober 2020, te raadplegen op https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf (laatst bezocht 18 november 2020).
‘An act to amend the general municipal law, in relation to prohibiting the paying of ransom in the event of a cyber-attack’, Bill number S7289, 16 januari 2020. In Duitsland is geen sprake van een voorstel tot een verbod, maar worden lagere overheden (steden) wel opgeroepen om niet te betalen, zie Bundesamt für Sicherheit in der Informationstechnik, Umgang mit Lösegeldforderungen bei Angriffen met Verschlüsselungstrojanern auf Kommunalverwaltungen, Berlijn, maart 2020,zie https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Presse/Ransomware-Kommunen-Empfehlung.pdf (laatst bezocht 6 maart 2020).
Zie ook de aanbevelingen van Fox-IT als ‘lessons learnt’ na de aanval op de Universiteit Maastricht: Reactie Universiteit Maastricht op rapport Fox-IT, 5 februari 2020, te raadplegen op https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastrichtpdf.
Vgl. A. Lubin, ‘The Insurability of Cyber Risk’, Job Talk Paper (Draft), 12 september 2019, p. 55, te raadplegen op SSRN: https://ssrn.com/abstract=3452833.
De betrokkenheid van een verzekeraar bij kidnapping en gijzelingen leidt vaak tot problemen met de autoriteiten. Het opnemen van criteria die samenhangen met samenwerking met autoriteiten is derhalve complexer dan het lijkt. Zie ook Lubin 2019, p. 55 en voor illustrerende voorbeelden van deze problematiek Simon 2019.
Lubin 2019 p. 56.
Zoals hiervoor reeds benoemd, dekt vrijwel iedere cyberverzekering naast kosten voor incident response ook het eventueel aan losgeld betaalde bedrag.1 Mede naar aanleiding van de ransomware-aanval op de Universiteit Maastricht in december 2019, heeft dit dekkingselement aandacht gekregen in de media en zijn daarover Kamervragen gesteld.2
Kamerlid Kees Verhoeven (D66) heeft de Minister van Justitie en Veiligheid gevraagd in hoeverre het mogelijk is om een eenduidig beleid te ontwikkelen over het al dan niet betalen van losgeld. Onder verwijzing naar een artikel van newsroom ProPublica vraagt Verhoeven of de minister het eens is met de in dat artikel ingenomen stelling dat verzekeraars door het verzekeren van losgeld zouden zorgen voor een toename van ransomware-aanvallen en zo ja, of de minister van plan is om daartegen stappen te ondernemen of eisen aan te stellen.3
In antwoord op deze vragen geeft de Minister van Justitie en Veiligheid enerzijds aan dat het in beginsel is te verwachten dat het betalen van losgeld leidt tot meer aanvallen met ransomware: “De politie verwacht dat losgeld dat betaald wordt door slachtoffers deels direct wordt ingezet om nieuwe aanvallen te bekostigen. Het vergoeden van losgeld door verzekeraars kan dit effect verder faciliteren.”4
Anderzijds benoemt de minister dat door verzekeringen en de daarin gestelde eisen aan cybersecurity het risico op ransomware juist kan verkleinen.5 Hij benadrukt dat het de voorkeur heeft als verzekeraars de schade vergoeden die verzekerde bedrijven en organisaties lijden doordat zij geen losgeld betalen, in plaats van het losgeld zelf. Dat losgeld valt immers in de handen van de criminelen. De onwenselijkheid van het betalen van losgeld en de consequenties daarvan zal de minister onder de aandacht brengen van het Verbond van Verzekeraars.
Ook in het buitenland krijgt het verzekeren van betaald losgeld bij ransomware-aanvallen aandacht. Zo stelde de voormalig CEO van het National Cyber Security Centre van Groot-Brittannië in The Guardian dat verzekeraars die losgeld verzekeren meewerken aan het financieren van georganiseerde misdaad. Hij pleit dan ook voor een wetswijziging om dit soort betalingen in de toekomst te verhinderen, overigens zonder algeheel verbod op de mogelijkheid van verzekeringsdekking.6 De Association of British Insurers heeft in een reactie daarop het vergoeden van betaald losgeld juist verdedigd.7
Juridisch beschouwd is ten aanzien van het verzekeren van losgeld dezelfde discussie denkbaar als het verzekeren van de boete die op grond van de AVG kan worden opgelegd (zie ook §3.7). Een verschil is echter gelegen in het feit dat bij een boete sprake is van een eigen gedraging van de verzekerde, terwijl het bij losgeld niet de verzekerde is die de laakbare gedraging verricht, maar een (criminele) derde.
Het toetsingskader voor de vraag of deze schadesoorten rechtsgeldig te verzekeren zijn, is evenwel zowel bij de boete als bij losgeld hetzelfde. In beide gevallen moet worden uitgegaan van het beginsel van contractsvrijheid en is het bieden van dekking in beginsel toegestaan.
Zoals ook in §3.7 benoemd, wordt het beginsel van contractsvrijheid onder andere begrensd door de (dwingende) wet, de goede zeden en de openbare orde (artikel 3:40 BW). Een overeenkomst die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, is nietig. Beoordeeld moet worden of “de rechtshandeling wegens haar inhoud of de bedongen prestatie of hetgeen partijen met die rechtshandeling beogen, een inbreuk oplevert op zo fundamentele beginselen van de rechtsorde of van maatschappelijk behoren dat strijd met de openbare orde of goede zeden moet worden aangenomen.”8 De begrippen ‘goede zeden’ en ‘openbare orde’ hebben geen vastomlijnde betekenis. Bij de goede zeden gaat het er kort gezegd om wat het maatschappelijk oordeel is van wat ‘hoort’.9 Bij de openbare orde gaat het om “de fundamentele beginselen die wezenlijke belangen van de samenleving betreffen en die vorm geven aan grondslagen waarop de ethische, juridische en economische orde van de samenleving steunt.”10
Uit de rechtspraak blijkt dat artikel 3:40 BW terughoudend wordt toegepast.11 Waar strijd met de goede zeden of de openbare orde wordt aangenomen, is bijvoorbeeld sprake van een onzedelijke prestatie zoals het verraden van geheimen,12 of heeft de overeenkomst tot gevolg dat een ander ernstig in zijn vrijheden wordt beperkt. Een voorbeeld van dat laatste is een zogeheten ‘ne-me-quitte-pas-beding’, waarin een vergoedingsplicht wordt overeengekomen voor het geval de ene partner de ander zou verlaten.13 Tevens kunnen (kenbaar) ongeoorloofde motieven die (één van de) partijen ertoe hebben bewogen om de overeenkomst aan te gaan, ertoe leiden dat de strekking van de overeenkomst in strijd is met de goede zeden, bijvoorbeeld indien een overeenkomst louter wordt aangegaan om derden te misleiden.14 Indien de uitvoering van de overeenkomst leidt tot het verrichten van een verboden handeling, kan de overeenkomst tevens naar haar strekking strijdig zijn met de goede zeden.15
De hiervoor genoemde voorbeelden zijn bij de verzekeringsovereenkomst tot vergoeden van betaald losgeld niet direct aan de orde. De inhoud van de verzekeringsovereenkomst is op zichzelf niet ongeoorloofd en evenmin hebben partijen dubieuze motieven bij deze overeenkomst. Ook leidt de overeenkomst niet tot een verboden handeling: betaling van losgeld is weliswaar onwenselijk, maar niet verboden. Hoewel het morele dilemma over de betaling van losgeld – en daarmee indirect over de verzekering daarvan – voelbaar is, zeker bij overheidsgefinancieerde instellingen, is bij de verzekeringsovereenkomst tot vergoeden van losgeld geen sprake van een onzedelijke inhoud of strekking. Het financiële risico wordt afgewenteld op het collectief en dat is juist hoe een verzekering is bedoeld.
Dat zou anders kunnen zijn indien het bieden van deze dekking de fundamentele beginselen die van wezenlijk belang zijn voor onze samenleving ondermijnt, dat – zoals hiervoor uiteengezet – een kenmerk is van strijd met de openbare orde. Uit de discussie in de politiek en de media volgt de veronderstelling dat het verzekeren van losgeld een toename van het aantal ransomware-aanvallen tot gevolg heeft. De vraag is of die veronderstelling correct is. Uiteraard is betaling van losgeld aan criminelen ongewenst. De vraag is echter of een bedrijf dat verzekerd is, wel betaalt, terwijl een bedrijf dat niet verzekerd is, niet betaalt. Wat mijns inziens dient te worden voorkómen, is dat de verzekerde vanwege de verzekeringsdekking een losgeldbetaling doet, terwijl er een andere oplossing mogelijk was.
Een wezenlijke vraag is dus welke invloed de verzekeringsdekking heeft op het betalingsgedrag van verzekerden met betrekking tot losgeld. Het hiervoor genoemde artikel van ProPublica zwengelt die discussie weliswaar aan, maar geheel sluitende conclusies geeft het mijns inziens. niet. ProPublica stipt bijvoorbeeld aan dat verzekeraars louter naar hun eigen financiële positie kijken voor de beslissing of er losgeld moet worden betaald of niet. Het enkele feit dat verzekeraars – mogelijk – een financiële afweging maken (bijvoorbeeld in verband met de tevens onder de cyberverzekering gedekte bedrijfsschade) en op basis daarvan zouden overgaan tot uitkering van het door de verzekerde betaalde losgeld, is echter niet voldoende om een verband tussen verzekeringsdekking en (een toename van) het aantal ransomware-aanvallen te kunnen vaststellen.16
Ook de werkwijze van de cybercriminelen maak het lastig om de mogelijke invloed van verzekeringsdekking op de (beslissing tot) betaling van losgeld te duiden. Ransomware-aanvallen zijn dermate geraffineerd dat de aanvallers precies weten welk bedrag ze aan het getroffen bedrijf moeten vragen, zodat het bedrijf in feite geen andere optie heeft dan te betalen.17 Enig verband met een eventuele achterliggende verzekering is daarbij vooralsnog niet gebleken; getroffen bedrijven staan simpelweg met hun rug tegen de muur. De Universiteit Maastricht had bijvoorbeeld naar eigen zeggen helemaal geen verzekering.18 De potentiële aanwezigheid van verzekeringsdekking wordt door de minister in zijn Kamerbrief ook – mijns inziens terecht – niet aangemerkt als drijfveer van criminelen om ransomware-aanvallen uit te voeren.
Met betrekking tot de vraag naar de juridische toelaatbaarheid van het verzekeren van losgeld is een interessante parallel te trekken met de kidnap- en ransomverzekering (‘K&R-verzekering’). Deze verzekering bestaat al geruime tijd en biedt dekking voor losgeld bij fysieke kidnapping en gijzeling. Uit de juridische literatuur, jurisprudentie en Kamerstukken volgt niet dat de toelaatbaarheid van die verzekering in Nederland onderwerp van discussie is gevoerd.19 Wel is in de buitenlandse media en Amerikaanse studies de vraag gesteld of dergelijke verzekeringen kidnapping en ontvoeringen in de hand werken.20 Hoewel het antwoord op die vraag genuanceerd is, ligt het gevoelsmatig voor de hand om die vraag bevestigend te beantwoorden.21 In het Verenigd Koninkrijk is deze verzekering in de jaren ’80 daarom onderwerp van discussie geweest in het parlement.22 De verzekeringswereld verdedigde deze polis door uit te leggen dat de polis altijd een geheimhoudingsclausule bevatte. De aanwezigheid van een verzekering was dus geen reden voor ontvoeringen; die reden is gelegen in het feit dat de familie of omgeving van de ontvoerde persoon middelen heeft om te voldoen. Bovendien is de K&R-verzekering een reimbursement-polis: het losgeld wordt pas vergoed nadat het is betaald. De verzekerde zal dus eerst zelf middelen bijeen moeten brengen om het losgeld te voldoen. Onmiddellijke betaling van het gevraagde losgeld werkt in de hand dat nogmaals extra losgeld wordt geëist.23 De reimbursement-constructie voorkomt dat. De K&R-verzekering overleefde dit debat in het Britse parlement en bestaat dus nog steeds.24
Er bestaat geen Europese wetgeving die dergelijke verzekeringen aan banden legt. Lidstaten regelen dit dan ook zelf: zo is in Italië niet alleen de K&R-verzekering verboden, ook het betalen van losgeld is niet toegestaan. Tot minder ontvoeringen hebben deze regels overigens niet geleid.25 In Duitsland is de K&R-verzekering sinds 1998 niet langer verboden, maar slechts onder zeer strikte voorwaarden toelaatbaar.26
De argumenten die in de jaren ’80 in het Britse parlement zijn aangedragen, kunnen ook nu voor de cyberverzekering worden aangevoerd. Iedere cyberpolis bevat een geheimhoudingsclausule voor de dekking voor losgeld. Daarnaast kan in de polisvoorwaarden worden gelezen dat de cyberpolis uitgaat van reimbursement: er is dekking voor betaald losgeld.27 De Duitse AFM heeft de dekking voor losgeld bij ransomware dan ook in 2017 goedgekeurd, onder verwijzing naar de eerder strikte voorwaarden voor de K&R-verzekering.28
Het veronderstelde verband tussen verzekeringen en ransomware-aanvallen is naar mijn mening voorbarig. Nader onderzoek is vereist, bijvoorbeeld naar de invloed van de verzekeringsdekking op het beslisgedrag van de verzekerde en de maatregelen die verzekeraars zelf (kunnen) treffen om moreel risico tegen te gaan. Op zichzelf vormt het thans in de media veronderstelde verband dan ook geen overtuigend argument voor de stelling dat de verzekeringsovereenkomst op dit punt nietig zou zijn wegens strijd met de goede zeden of de openbare orde.
Zou een toename van ransomware-aanvallen als gevolg van verzekeringsdekking al worden aangetoond, dan blijft de vraag of sprake is van nietigheid in de zin van artikel 3:40 BW. Een openstaande vraag is dan immers waardoor de maatschappij harder wordt geraakt: afwenteling van dit risico op het collectief, waarbij wel bedrijfscontinuïteit wordt behouden, of bedrijven die bij een digitale gijzeling langdurig stilvallen of zelfs failliet gaan doordat zij niet betalen? Bovendien illustreert de mogelijkheid van ernstige continuïteitsproblemen de aannemelijkheid dat bedrijven ook zonder verzekeringsdekking alsnog betalen, wat betekent dat van causaal verband met de verzekeringsdekking geen sprake is.
De minister heeft op dit punt de wens uitgesproken dat verzekeraars niet het losgeld zelf vergoeden, maar de schade die wordt geleden doordat het losgeld niet wordt betaald.29 Dit is echter niet altijd een realistische optie. Bij een geraffineerde ransomware-aanval, zoals bijvoorbeeld bij de Universiteit Maastricht, kunnen de duur van de stagnatie en de kosten om de stagnatie te verhelpen tot onaanvaardbare schade leiden. Bij de Universiteit Maastricht had het mogelijk maanden geduurd voordat alle systemen en al het onderwijs weer zou zijn opgestart. Van duizenden studenten kwamen dan de tentamens in gevaar, net als de onderzoeken en de salariëring. Vicevoorzitter van het universiteitsbestuur Bos gaf aan dat de universiteit geen andere verantwoorde keuze kon maken, omdat dat tot onaanvaardbare risico’s zou leiden.30 Het verzekeren van de geleden schade lost dat niet op. Bovendien is het aannemelijk dat de schadelast dan (veel) groter is dan dat deze bij betaling van het losgeld zou zijn geweest, wat gevolgen heeft voor de premie.
Op verschillende websites voor security professionals zijn na het aanvullende bericht van minister Grapperhaus berichten verschenen dat uit onderzoek zou zijn gebleken dat de kosten voor bedrijven en organisaties die het losgeld wel betalen, uiteindelijk twee keer zo hoog zijn ten opzichte van de bedrijven die het losgeld niet betalen.31 Deze conclusie wordt getrokken door Sophos, leverancier van beveiligingssoftware en opdrachtgever van het onderzoek The State of Ransomware 2020.32 Op een aantal hoofdpunten vormt dit onderzoek een bruikbare bron van informatie – uiteraard met reeds een stevige kanttekening vanwege de aard van de opdrachtgever. Op het punt van deze deelconclusie valt echter behoorlijk wat af te dingen. Onder de groep van ondervraagde bedrijven bevindt zich kennelijk een gedeelte dat niet gedwongen is geweest om te betalen, omdat het een beter (en goedkoper!) alternatief had. Het gedeelte van de ondervraagde partijen dat zich wel genoodzaakt zag om te betalen, betaalt dus het bedrag aan losgeld bovenop de kosten in de (vergeefse) pogingen tot herstel. Daarbij komt dat het aannemelijk is dat het geëiste bedrag aan losgeld ook nog eens hoger is indien er geen alternatieven voorhanden zijn. Dit onderzoek, althans deze betreffende (deel)conclusie, lijkt dus tot stand gekomen met een selection bias.
Een ander aspect van de losgeldvergoedingen bij ransomware is de sanctiewetgeving. Het Amerikaanse Ministerie van Financiën heeft in een advisory laten weten dat bedrijven die losgeldbetalingen bij ransomware faciliteren, mogelijk in strijd handelen met de sanctiewetgeving.33 Cyberverzekeraars worden daarbij specifiek genoemd. Ook in Nederland kennen we sanctiewetgeving op grond waarvan geen transacties mogen plaatsvinden met bepaalde personen en organisaties.34 Verzekeraars verwijzen daarnaar standaard met een uitsluitingsclausule: verzekeraars keren niet uit indien zij daarmee de sanctiewetgeving zouden schenden. Het voert in de context van dit proefschrift te ver om de sanctiewetgeving helemaal uit te diepen. Er is een discussie denkbaar in hoeverre het vergoeden van (door de verzekerde betaald) losgeld een schending van de Sanctiewet door de verzekeraar inhoudt, waarbij op de eerste plaats de vraag is of de identiteit van de ontvanger van het losgeld wel kan worden vastgesteld. Het is echter niet uit te sluiten dat deze advisory uit de Verenigde Staten toch invloed zal hebben op de bereidheid dan wel mogelijkheden van verzekeraars om het losgeld te (blijven) vergoeden.
De oplossing bij ransomware moet in mijn ogen niet primair worden gezocht in de post-incidentele fase. Niet de (niet-openbaar bekende) aanwezigheid van een verzekeringsoplossing als uiterste vangnet maakt ransomware-aanvallen voor criminelen lucratief. De tekortschietende preventie door bedrijven en het feit dat aanvallers (mede daardoor) precies weten wat en hoeveel ze moeten vragen om de bedrijven tot betaling te bewegen, vormen het probleem. De oplossing is dan ook niet zozeer gelegen in het ter discussie stellen van verzekeringsoplossingen of zelfs een wettelijk verbod op het doen van losgeldbetalingen, een oplossing die in New York als wetsvoorstel is ingediend.35 De oplossing ligt veel meer in pre-incidentele maatregelen en cyberweerbaarheid: investeringen in bewustwording, goede beveiliging en een correcte respons als het dan onverhoopt toch misgaat.36 Gelet op het feit dat incident response een kernelement is in alle cyberverzekeringen, voorziet de cyberverzekering juist op dit punt. De minister van Justitie en Veiligheid benoemt dan ook terecht de potentie van verzekeringen in het vergroten van cybersecurity – en daarmee de verkleining van het risico op ransomware. Met betrekking tot de eisen die verzekeraars aan hun verzekerden stellen, is voor verzekeraars echter nog wel een slag te maken (zie hiervoor uitgebreid hoofdstuk IV).
Toch zou ook verbetering van de polisvoorwaarden zelf kunnen leiden tot het voorkomen van een te snelle betaling van losgeld vanwege de achterliggende verzekering. Zo zouden er in de polisvoorwaarden scherpere waarborgen kunnen worden ingebouwd dat indien reparatie goedkoper is, er geen dekking bestaat voor betaald losgeld. Ook zou een remmende werking kunnen uitgaan van het aanmerken van een percentage van het betaalde losgeld als (extra) eigen risico van de verzekerde. Een andere of bijkomende optie is om marktcriteria te ontwikkelen aan de hand waarvan de goedkeuring van verzekeringsdekking voor betaald losgeld in specifieke situaties wordt getoetst.37 Een criterium zou kunnen zijn of er door de ransomware mensenlevens in het geding zijn, bijvoorbeeld bij een aanval op een ziekenhuis. Een ander mee te wegen aspect kan zijn dat er als gevolg van de gijzeling een reëel risico op faillissement bestaat en er geen alternatieven voor betaling beschikbaar zijn. Daarnaast zou een criterium kunnen zijn dat de betaling wordt geadviseerd door een bevoegde autoriteit zoals de politie.38 In de literatuur is daarnaast de suggestie gedaan dat verzekeringsdekking voor betaling van losgeld moet worden geweigerd indien de kosten bij ransomware voor de verzekeringnemer zeer beperkt zijn, waarbij de vergelijking wordt gemaakt met kleine winkeldiefstallen.39 Er zijn dus verschillende mogelijkheden om te voorkomen dat de verzekering leidt tot een toename van het aantal ransomware-aanvallen.