Ransomware is al een aantal jaren het grootste cyberrisico. Waarom hebben cybercriminelen hiermee zoveel succes?

“Een jaar of vijf, zes geleden is het omslagpunt gekomen. Voor die tijd had je als crimineel echt nog technische kennis nodig om ransomware uit te zetten; dan moest je het zelf ontwikkelen. Tegenwoordig kun je de software gratis krijgen. Dat betekent dat de crimineel die de ransomware uitzet 80 procent van de inkomsten krijgt en de ontwikkelaar 20 procent. Dat businessmodel is echt gaan vliegen. De georganiseerde misdaad houdt zich ermee bezig, waardoor je ziet dat steeds meer en geavanceerdere methodes worden ontwikkeld; het verdienmodel wordt steeds beter voor ze.”

Wordt daadwerkelijk losgeld betaald wanneer bedrijven getroffen worden?

“Gelukkig valt dat bij ons mee. De perceptie is soms dat het betalen van losgeld een soort magic bullet is. Wat wij zien in de claims bij ransomware is dat zelfs als losgeld wordt betaald dat dit maar 23, 24 procent van de totale schade is. De rest van de schade betreft bedrijfsstilstand en extra kosten die je moet maken als gevolg van het incident. Het is ook niet zo dat na het betalen van losgeld je systeem meteen helemaal vrij is en dat je weer kunt doen wat je daarvoor deed. De integriteit van het systeem is vaak steeds in het geding. We zien daar heel hoge kosten aan voorbij komen. En dan heb je nog het forensisch onderzoek dat je wilt doen en wellicht dat je nog juridische expertise wilt inschakelen.”

Hoe vaak wordt geclaimd op de cyberverzekering?

“Bij ons gaat het om een handjevol per jaar; onze portefeuille is relatief schoon. Wij hopen dat dat ligt aan ons risicomanagement. Wij hebben riskconsultants die bedrijven helpen om verzekerbaar te blijven of te worden. Maar als ik kijk naar de reden waarom de premies omhoog gaan dan komt dat wel door de claims. We zien namelijk wel heel veel claims; we vernemen ook van de verzekeraars dat die er echt veel zijn, ook in Nederland.”

Je geeft aan dat niet vaak losgeld wordt betaald. Hoe verklaar je dat?

“Dat er relatief niet vaak losgeld wordt betaald op een cyberverzekering heeft ermee te maken dat op de verzekering een panel zit dat je bijstaat voor de first response, het crisismanagement. Dat je niet meteen met de rug tegen de muur staat, zoals bij bedrijven die geen cyberverzekering hebben. De organisaties die wij verzekeren moeten bepaalde zaken al in place hebben, maar als het dan toch fout gaat, kunnen ze terugvallen op de incident response in combinatie met hun eigen business continuity plan en disaster recovery plan.”

Wat houdt dat in?

“Heel simpel gezegd: iedereen die een verzekering afsluit heeft 24/7 een noodnummer ter beschikking, soms ook een app. Die sla je op in je telefoon, maar ook hard copy in de portemonnee. Als het hele systeem platligt, kun je dat nummer bellen. Een panel bepaalt vervolgens wat voor team samengesteld moet worden. Meestal is die first response zonder eigen risico, omdat verzekeraars niet willen dat je eerst zelf gaat pionieren. Pas als het probleem niet binnen de eerste 48 of 72 uur is opgelost, wordt gekeken welke andere expertise erbij gehaald moet worden. Dan gaan je eigen risico en limiet wel gelden, maar heb je al wel de eerste stappen kunnen zetten.”

Lees het volledige interview op AMweb