Zelfs rasoptimisten kunnen niet altijd hun ogen sluiten voor de gedachte dat de wereld om ons heen soms in- en inslecht is. Er lopen op onze aardbol zieke zielen rond die mensen gijzelen of ontvoeren louter met het doel de familie of de werkgever van de gegijzelde flink af te persen.
Aan chantage door middel van een gijzeling of ontvoering kan in voorkomend geval wellicht probleemloos een einde worden gemaakt als het verlangde losgeld snel op tafel komt. Dat geld moet er uiteraard dan wel zijn. Er bestaan op het terrein van de verzekeringen daarom specifieke dekkingen voor dit soort financiële risico’s: kidnap & ransom-verzekeringen. In zeer welgestelde kringen van de samenleving, of door bedrijven die personeel uitzenden naar dubieuze landen, wordt dit soort verzekeringen geregeld afgesloten. De verzekeraar draagt onder zo’n verzekering de lasten van het losgeld. Volstrekte geheimhouding van het bestaan van zo’n dekking is daarbij uiteraard een absolute must, want bekendmaking trekt snel fout volk aan.
Cryptolocker
Geïnspireerd door deze verzekeringsvorm wordt er sinds kort ook in de sfeer van cyberrisico’s door enkele verzekeraars – weliswaar nog met enige terughoudendheid – dekking geboden voor de risico’s die ransomware oplevert. Zoals bekend: ransomware is malafide software die door criminelen op computers geplaatst wordt met de bedoeling het gehele systeem of bestanden te vergrendelen, zodat de gebruiker niet meer bij zijn bestanden kan. Cryptolocker is daarvan een van de bekende voorbeelden.
Het verspreiden van ransomware behoort tot de snelst stijgende en zeer bedreigende vormen van cybercriminaliteit. In ons land zijn inmiddels bijvoorbeeld enkele gemeenten, bedrijven, een universiteit en ook vele particulieren door middel van ransomware tijdelijk en soms slechts gedeeltelijk platgelegd.
Cyberverzekering
Criminelen die ransomware verspreiden, bieden aan dat door betaling van een som geld – niet zelden in de vorm van bitcoins – het slachtoffer zijn systeem of bestanden weer kan ‘bevrijden’. Er zijn verzekeraars die voorzien in de mogelijkheid van een dekking voor het financiële risico van ransomware, bijvoorbeeld als onderdeel van een cyberverzekering. Wie dus een cybercrimepolis wenst in te kopen, doet er verstandig aan na te vragen of dit specifieke risico meeverzekerd is. Daarbij moet voor ogen worden gehouden dat dit risico niet altijd een standaard onderdeel van de dekking van een cyberverzekering is. Voor ICT-bedrijven bestaat bovendien soms de mogelijkheid de dekking van hun beroepsaansprakelijkheidsverzekering desgevraagd met een dekking voor dit specifieke risico uit te breiden. Met name voor hostingbedrijven en cloudproviders lijkt zo’n dekking de moeite van het overwegen waard.
De verzekerde bedragen zijn in de regel vanzelfsprekend beperkt tot een bepaald maximum losgeld per jaar, maar daar komt soms ook een dekking bovenop voor de kosten van de beloning die tot veroordeling van de dader leidt. Bovendien bestaan er dekkingen voor de noodzakelijke kosten die gemaakt moeten worden als er met de betrokken criminelen onderhandeld moet worden.
Dekking voor de financiële risico’s van ransomware is momenteel een nog tamelijk jong verschijnsel, maar nu deze vorm van cybercriminaliteit steeds meer voeten aan de grond krijgt, kan het geen kwaad om toch eens met uw verzekeraar of uw tussenpersoon rond de tafel te gaan zitten.
Deze bijdrage is geschreven door IT-jurist Mr. Peter van Schelven van BIJ PETER – Wet & Rechten verscheen ook op Security Vandaag.