Cyberverzekering: hangmat of vangnet?

Wat doe je als publieke instantie als cyberterroristen je data hebben gegijzeld? Betaal je losgeld of niet? Peter van Schelven betoogt dat een verzekering voor cyberdreigingen zo gek nog niet is. "Laat mij hier stevig benadrukken: een cyberverzekering is niets meer en niets minder dan een vangnet, en is dus zeker geen hangmat."

Afgelopen juni werd het ambtelijk apparaat van de gemeente Lochem slachtoffer van een ernstige en kwaadaardige computerinbraak. Het kwalijke beveiligingsincident leidde tot alert optreden, aangestuurd door een gemeentelijk crisisteam dat ondersteund werd door een forensisch bureau, de Informatiebeveiligingsdienst voor gemeenten IBD, het Nationaal Cyber Security Centrum (NCSC) en de Nationale Politie. Omdat de gemeente niet kon uitsluiten dat de hacker zich beheerdersrechten had toegeëigend en daarmee verdere schadelijke stappen kon zetten, zoals het activeren van ransomware, werd enkele dagen na de inbraak besloten de gemeentelijke systemen van het internet af te koppelen. Burgers en bedrijven konden enige tijd niet online met de gemeente communiceren. Een deel van de interne en externe gemeentelijke dienstverlening van de gemeente, die ruim 13 duizend inwoners telt, lag plat.

JurisPrudent

Door de toenemende verkokering van ons rechtsstelsel sluiten wetten tegenwoordig zelden naadloos op elkaar aan. En daarmee zadelt nieuwe regelgeving de samenleving op met nieuwe, lastige onzekerheden. Peter van Schelven neemt in iBestuur magazine juridische dilemma’s onder de loep. Deze keer: het nut van een cyberverzekering voor gemeente én burger.

Brenno de Winter, de bekende beveiligingsdeskundige die door Lochem werd ingeschakeld om een duidingsrapportage naar aanleiding van het incident te schrijven, zegt in zijn lezenswaardige rapport dat de gemeente door het oog van de naald is gekropen. Hij maakt duidelijk dat er sprake is geweest van een doelgerichte maatwerkaanval die door de aanvaller geraffineerd in stappen werd uitgevoerd. De hack kon onder meer plaatsvinden vanwege een te liberale externe toegang tot de thuiswerkserver via het zogeheten RDP-protocol. Met slechts één stap meer had de hacker de gemeentelijke data door middel van ramsomware kunnen versleutelen, wat het drama alleen maar zou hebben vergroot. Het siert Lochem dat zij het rapport van De Winter openbaar heeft gemaakt. Het bevat nuttige lessen voor andere publieke organisaties en voor IT-leveranciers. Klasse Lochem, klasse Brenno!

Deuk in de begroting

Mij is niet bekend wat de financiële impact van het beveiligingsincident voor Lochem is. Zonder twijfel is er een onvoorziene deuk in de begroting van de gemeente geschopt. Het had nog forser kunnen uitpakken als de gemeente om losgeld gevraagd was voor het opheffen van de – gelukkig tijdig verijdelde – versleuteling. Burgemeester Van ’t Erve heeft de begrijpelijke vraag opgeworpen of er financiële ondersteuning kan komen, net als bij niet-digitale rampen. Ik vrees evenwel dat Nederland hem met lege handen laat staan.

Die vraag brengt mij bij de kern van dit stuk. Het is, zo lijkt mij, de moeite waard als gemeenten eens gaan overwegen hun financiële risico’s rondom cybercriminaliteit bij een verzekeraar onder te brengen. De thans in de verzekeringsmarkt beschikbare cyberverzekeringen bieden een aantrekkelijk vangnet voor dekking van tal van digitale risico’s. Ook voor de publieke sector. Bedrijven en andere particuliere organisaties gaan de laatste één à twee jaar er steeds vaker toe over een dergelijke verzekering te sluiten. Het gaat om een betrekkelijk nieuw verzekeringsproduct dat wereldwijd gezien steeds meer aftrek vindt. Contacten in de verzekeringssector leren mij echter ook dat wat betreft cyber en gemeenten er maar erg weinig actie in ons land is. Slechts een enkele gemeente heeft een cyberdekking afgenomen. Binnen enkele gemeenten staat het onderwerp van de cyberdekking weliswaar op de agenda, maar het besluit om een dekking af te nemen wordt niet genomen.

Lake City

Het Amerikaanse Lake City, een relatief kleine plaats in de staat Florida met zo’n 12.000 inwoners, werd in juni van dit jaar getroffen door een aanval van versleuteling van haar e-mail- en telefoonsysteem, wat eveneens resulteerde in verstoring van de publieke dienstverlening. De gemeente deed met behulp van haar verzekeraar een betaling van het door de aanvaller verlangde losgeld van bijna een half miljoen dollar. Slechts tienduizend dollar bleef als eigen risico ten laste van Lake City zelf. Dit voorbeeld is er één uit een reeks van vele waarin Amerikaanse steden met succes terugvallen op hun assuradeur.

Ik kan niet inzien waarom dit in Nederland ook niet zou kunnen. Uiteraard besef ik dat de gedachte dat cybercriminelen losgeld betaald krijgen velen tegen de borst stuit. Maar de al sinds jaar en dag bestaande klassieke kidnapverzekering, die gaat over de gijzeling en afpersing van personen, faciliteert in zekere zin ook crimineel gedrag. Opmerkelijk is dat het NCSC erg terughoudend is, daar waar het op zijn site slachtoffers afraadt om na een aanval met ransomware losgeld te betalen, onder meer omdat er geen enkele garantie zou zijn dat versleutelde bestanden na betaling weer worden hersteld. Het NCSC is wat mij betreft op dit punt iets te voorzichtig. Is er, zoals bij Lake City, een verzekeraar betrokken, dan zou die aanbeveling anders kunnen zijn.

Ten onrechte hebben de meeste publieke instanties in ons land de cyberverzekering nauwelijks op het vizier. En daar waar dat al anders is, is het nog een ‘low-interest’ product. Er zijn inmiddels cyberverzekeringen in vele soorten en maten. Naast bescherming tegen de financiële risico’s rondom ransomware bieden verzekeraars ook dekking bij bepaalde netwerkonderbrekingen, het falen van IT-systemen, boetes van toezichthouders, verlies of verminking van digitale data en datareconstructie. Hoewel zeker niet onbegrensd levert dat een aardig ruime kring van dekkingsfaciliteiten op. De betere verzekeraars geven bovendien niet alleen dekking voor incidenten in de eigen systemen van de verzekerde, maar ook die welke plaats hebben bij externe ICT-dienstverleners zoals ingeschakelde hostingproviders en in eigen systemen van medewerkers (‘Bring Your Own Device’). De forse verschillen die de polisvoorwaarden van de diverse verzekeraars echter laten zien nopen wel tot inschakeling van een verzekeringsadviseur met IT-kennis.

Zeker geen hangmat

Laat mij hier stevig benadrukken: een cyberverzekering is niets meer en niets minder dan een vangnet, en is dus zeker geen hangmat. Het beheersen van risico’s begint uiteraard bij het vrijmaken van mensen en middelen, het treffen van beveiligingsmaatregelen en het verhogen van securitybewustzijn. Zo laat de kwestie Lochem zien dat de gemeente zelf niet een compleet en gedetailleerd beeld had van haar eigen ICT-configuratie, wat mede een bron van de problemen was. Een verzekering lost zoiets vanzelfsprekend niet op. Wel voorkomt een goede verzekering dat de overheid de financiële gevolgen van haar benedenmaatse security op de belastingbetaler afwentelt.

Deze column staat ook in iBestuur magazine 32

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren