Minister Grapperhaus gaat de onwenselijkheid om te betalen bij ransomware en de consequenties van betaling bij het Verbond van Verzekeraars onder de aandacht brengen. Dat schrijft hij in antwoord op Kamervragen, meldt VVP
De minister: “In beginsel is te verwachten dat het betalen van losgeld leidt tot meer aanvallen van ransomware. De politie verwacht dat losgeld dat betaald wordt door slachtoffers deels direct wordt ingezet om nieuwe aanvallen te bekostigen. Het vergoeden van losgeld door verzekeraars kan dit effect verder faciliteren. Inzake het effect van de rol van verzekeraars op ransomware moet ook in acht worden genomen dat door middel van het stellen van cybersecurity eisen door verzekeraars het risico op ransomware kan afnemen. Bijvoorbeeld doordat verzekeraars eisen dat afnemers van een verzekering hun software up to date houden en dat back-ups worden gemaakt. Uiteraard heeft het daarbij de voorkeur dat de verzekeraar de geleden schade door het niet betalen van losgeld vergoedt, en niet het losgeld dat in handen van criminelen terecht komt.”
Er wordt geen aanvullend beleid ontwikkeld met betrekking tot besluitvorming over het al dan niet betalen van losgeld.
Kabinet: cyberpool niet nodig nu
Het kabinet vindt een cyberpool nu niet nodig. Verzekeringen kunnen volgens de regering schade door cyberincidenten goed opvangen. Minister Grapperhaus stelt in de kabinetsreactie op het WRR-rapport ‘Voorbereiden op digitale ontwrichting’: “De WRR beschrijft compensatie van slachtoffers als een belangrijk onderdeel van herstel na een ontwrichtend incident en doet daarom de aanbeveling om onderzoek te stimuleren naar de haalbaarheid van een cyberpool om financiële dekking mogelijk te maken voor schade als gevolg van digitale ontwrichting.”
Hij vervolgt: Het kabinet herkent deels de problemen die de WRR schetst. Het is belangrijk dat partijen met schade zo snel mogelijk in staat worden gesteld om de draad weer op te pakken. Verzekeringen kunnen hierbij een belangrijke rol spelen. Compensatieregelingen voor schade naar aanleiding van een cyberincident zijn vaak complex, omdat de oorzaak en eventuele dader van een incident lastig te achterhalen zijn. Wel ziet het kabinet dat op het gebied van verzekeringen schade na cyberincidenten steeds vaker onder normale bedrijfspolissen vallen en dat er ook steeds meer cyberpolissen worden aangeboden. Op dit moment ziet het kabinet daarom geen aanleiding voor aanvullende maatregelen, maar blijft het de situatie monitoren. Als er in de toekomst problemen ontstaan zal worden bezien of ingrijpen alsnog nodig is.”
Bron VVP
