Bedrijven die slachtoffer zijn van gijzelsoftware en zich genoodzaakt zien om losgeld te betalen, kunnen in veel gevallen aankloppen bij hun verzekeraar. Als het echt niet anders kan, wordt de betaling van losgeld altijd vergoed door aanbieders van cyberverzekeringen, blijkt vrijdag uit een rondgang van NU.nl langs zeven grote bedrijfsverzekeraars.

Bij gijzelsoftware, ook wel ransomware genoemd, worden bestanden en systemen versleuteld. Vervolgens wordt losgeld geëist om deze weer toegankelijk te maken. Eind december werd de Universiteit van Maastricht nog getroffen door zo'n virus.

Bedrijven kunnen zich hiervoor verzekeren via een cyberverzekering, een verzekering voor cyberincidenten. Naast gijzelsoftware worden ook andere incidenten gedekt, zoals een hack waardoor telefoonsystemen niet meer werken of een hack waarbij bedrijfsgegevens worden gestolen.

Betalen van losgeld is omstreden, omdat dit meer crimineel gedrag in de hand zou werken. In het geval van fysieke gijzelingen geldt bijvoorbeeld dat landen geen losgeld betalen om gijzelaars vrij te krijgen - of dat in ieder geval nooit publiekelijk toegeven.

Losgeld als laatste redmiddel

Alle grote Nederlandse verzekeraars die cyberverzekeringen aanbieden (Centraal Beheer, Avéro Achmea, Interpolis, Allianz, Hiscox, AIG en Nationale-Nederlanden) laten weten dat bij een aanval met gijzelsoftware losgeld vergoed wordt. Bij Allianz, Hiscox, AIG en Nationale Nederlanden gebeurt dat echter alleen wanneer dit de laatste optie is en een andere hersteloptie niet mogelijk is.

“Het betalen van losgeld is een laatste redmiddel. Dit wordt pas ingezet als het echt niet meer anders kan.”
Nynke Brouwer, advocaat

Centraal Beheer, Avéro Achmea en Interpolis, alle drie onderdeel van moederbedrijf Achmea, doen geen uitspraak over de voorwaarden voor het vergoeden van losgeld.

Nynke Brouwer, advocaat en expert op het gebied van (cyber)verzekeringsrecht, zegt tegen NU.nl dat het voorkomt dat een bedrijf echt geen andere optie heeft dan het betalen van losgeld. "Naar mijn idee is dat een laatste redmiddel dat pas ingezet wordt als het echt niet meer anders kan." Al helemaal als de continuïteit van het bedrijf op het spel staat is de verzekeringsdekking voor losgeld een "zeer waardevol vangnet".

Herstelmogelijkheden boven losgeld

Bij het maken van de keuze tussen het betalen van losgeld of het uitvoeren van duurdere herstelwerkzaamheden, wordt niet per definitie voor de goedkoopste optie gekozen.

Zo laat verzekeraar AIG aan NU.nl weten koste wat het kost de voorkeur te geven aan het vinden van een herstelmogelijkheid, zelfs als dit duurder is dan losgeld betalen. Denk hierbij bijvoorbeeld aan het terugzetten van oude back-ups.

Volgens Stefan Zwager, Cyber Lead Nederland bij AIG, kiest de verzekeraar hiervoor om het verdienmodel van hackers onderuit te halen.

Daarnaast stelt Zwager dat de herstelopties voor de bedrijven op de lange termijn waardevoller zijn dan het betalen van losgeld. Zo geeft een hersteloptie meer zekerheid over het terugkrijgen van de data en zorgt het ervoor dat de kans kleiner is dat een bedrijf nog een keer wordt aangevallen. Ook de andere zes verzekeraars laten weten dat duurdere herstelwerkzaamheden in de meeste gevallen de voorkeur hebben.

Voorwaarden voor het afsluiten van een verzekering

Een bedrijf kan niet zomaar een cyberverzekering afsluiten. Verzekeraars stellen namelijk veel voorwaarden waar een bedrijf aan moet voldoen om een verzekering te mogen afsluiten. Dat doen de verzekeraars om het risico dat ze moeten uitkeren zo klein mogelijk te maken.

Volgens Brouwer hanteren verzekeraars vaak open normen zonder concrete eisen te stellen, wat zorgt voor "onduidelijkheid over de dekking". Ook maakt dit het volgens Brouwer voor verzekeraars mogelijk lastig om dekking te weigeren wegens het treffen van onvoldoende voorzorgsmaatregelen.