Ransomware

Het Nederlandse bedrijfsleven verzekert zich tegen gijzelaanvallen, maar is dat wel een goed idee?

Van de Amerikaanse staten Florida tot Virginia zaten tankstations dit voorjaar even zonder brandstof als gevolg van een cyberaanval op Colonial Pipeline, een oliepijpleidingbedrijf.  Beeld Reuters
Van de Amerikaanse staten Florida tot Virginia zaten tankstations dit voorjaar even zonder brandstof als gevolg van een cyberaanval op Colonial Pipeline, een oliepijpleidingbedrijf.Beeld Reuters

Nederlandse bedrijven die zich verzekeren tegen gijzelsoftware doen dat voor hoge bedragen. Niet iedereen vindt dat verstandig.

Wordt het niet eens tijd voor zo’n verzekering tegen digitale afpersing? Veel managers en directeuren zullen zich dat afvragen bij het zoveelste journaal-item waarin een verslagen ondernemer vertelt over zijn ervaring met zogeheten gijzelsoftware, waarbij criminelen computerbestanden versleutelen en die alleen tegen losgeld vrijgeven.

In Nederland heeft iets minder dan de helft (47 procent) van de bedrijven zich verzekerd tegen de schade van zo’n aanval. Gemiddeld zijn zij voor 5,77 miljoen euro verzekerd. Dat blijkt uit een omvangrijke steekproef van het Amerikaanse beveiligingsbedrijf CrowdStrike. Dat ondervroeg ruim 2500 kleine en middelgrote bedrijven in tien landen, waaronder 250 in Nederland.

In geen van de tien onderzochte landen is dat gemiddelde bedrag hoger. Japan staat op de tweede plaats (5,53 miljoen euro per bedrijf), daarna komen de Verenigde Staten (5,49 miljoen euro). Andere landen scoren juist weer hoger op het aandeel van de bedrijven met zo’n verzekering; in India is dat bijvoorbeeld 63 procent.

Cyberschade

Of het aantal verkochte cyberverzekeringen hard toeneemt de laatste tijd? Dat wijst het momentopname-onderzoek niet uit, en ook het Verbond van Verzekeraars heeft daar geen cijfers over. Wel weet de woordvoerder dat het marktaandeel nog altijd behoorlijk klein is. “Alle verzekeraars samen krijgen jaarlijks zo’n 25 miljoen euro aan premies binnen voor verzekeringen tegen cyberschade. Dat is relatief weinig in de verzekeringswereld.”

De indruk van Ronald Pool, cyberexpert van CrowdStrike, is duidelijk: het aantal verzekerden groeit. Door alle media-aandacht is het een gespreksonderwerp geworden onder ondernemers. Nog geen maand geleden perste hackcollectief REvil wereldwijd duizenden firma’s af, waaronder ook Nederlandse. Twee maanden daarvoor zat een deel van de Verenigde Staten zonder brandstof na een aanval op Colonial Pipeline. Iets daarvoor en dichter bij huis was de gemeente Hof van Twente doelwit.

Pool vindt het geen goede ontwikkeling dat ondernemers zich hiertegen verzekeren. Verzekeraars helpen criminelen zo onbedoeld aan meer losgeld, stelt hij. “Na een hack volgen soms onderhandelingen tussen het getroffen bedrijf en de criminelen. Ik heb meegemaakt dat hackers zeggen: ‘We hebben in jullie systemen gezien dat jullie verzekerd zijn’.” Om vervolgens bedragen te kunnen vragen die het bedrijf anders niet had kunnen opbrengen, zegt Pool.

Afpersen zou niet mogen lonen

Mede om die reden stopte verzekeraar Axa dit voorjaar in Frankrijk met het uitkeren van overgemaakt losgeld (een maand later werd het zelf slachtoffer van een grote aanval). Pool zou verzekeren tegen losgeldbetalingen het liefst helemaal laten verbieden. Als niemand meer betaalt, zou het afpersen niet meer lonen, zeggen ook andere experts.

Cyberexpert Brenno de Winter adviseert bedrijven juist wél om zich te verzekeren. “Het verdienmodel van de criminelen kapotmaken lukt alleen als de hele wereld samen besluit om niet meer te betalen.” En dat ziet hij niet snel gebeuren. In het buitenland gaan zelfs (lokale) overheden nog altijd overstag.

Tegelijkertijd kan een bedrijf failliet gaan als het zich uit principe niet verzekert, zegt hij. De Winter zag eens met eigen ogen hoe de productie van een hele fabriek door zo’n aanval was stilgelegd. Dat was enorm duur.

Principes

Ook Pool snapt dat je niet dat ene bedrijf wilt zijn dat aan zijn principes ten onder gaat. Ook kan hij wel uitzonderingen bedenken waarbij betalen wél logisch en noodzakelijk is, zoals een ziekenhuis waarbij de operaties niet mogen stilvallen. Maar voor dat soort schrijnende gevallen zou je een speciaal fonds kunnen opzetten, stelt hij, waaruit uitgekeerd kan worden.

Zowel Pool als De Winter zegt dat criminelen überhaupt weinig kans op succes zouden hebben als het bedrijfsleven zichzelf goed zou beveiligen. Door het personeel extra veiligheidscodes te laten gebruiken bij het inloggen, of door computersystemen op verschillende bedrijfslocaties beter van elkaar te scheiden.

Daar is nog wel een wereld te winnen, denkt De Winter. Twee jaar geleden onderzocht hij hoe hackers wisten in te breken in de systemen van de gemeente Lochem. Daarover verscheen een openbaar onderzoeksrapport met lessen. En toch: anderhalf jaar later ging de Universiteit van Maastricht alsnog nat door een soortgelijke aanval.

Lees ook:

Nederlandse vrijwilligers hadden de wereldwijde ransomware-aanval bijna voorkomen

Nederlandse onderzoekers hadden de kwetsbaarheid in de getroffen software van Kaseya al eerder ontdekt.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden