Innovatie & Strategie

Juridische zaken
contract

Verzekeraars deinzen terug voor ransomware

Vergoeding voor ransomwarebetaling verliest dekking bij (nieuwe) cyberverzekering.

© CC 2.0 Generic,  delphinmedia
25 mei 2021

Vergoeding voor ransomwarebetaling verliest dekking bij (nieuwe) cyberverzekering.

Het begint nu in Frankrijk: de internationale verzekeraar AXA weigert in dat Europese land om nieuwe polissen uit te schrijven die ransomware dekken. AXA gaat niet langer Franse slachtoffers van ransomware vergoeden voor hun betaling van losgeld aan cybercriminelen. Andere verzekeraars zouden hun beleid heroverwegen, en ondertussen is AXA zelf geraakt door een ransomware-aanval.

De aanval op AXA is uitgevoerd op Aziatische vestigingen van het bedrijf. De IT-activiteiten in Thailand, Maleisië, Hong Kong en de Filipijnen zijn getroffen door gijzelingssoftware, hebben diverse media al gemeld. De daders claimen ook 3TB aan zeer gevoelige gegevens te hebben gestolen, en ze dreigen met DDoS-aanvallen op het netwerk van de verzekeraar.

Losgeldbetaling

Achter dit nieuwste geval van gegevensgijzeling en datadiefstal zit de bredere trend van cyberverzekering en losgeldbetaling. Het besluit van AXA om zijn beleid te wijzigen zodat klanten niet langer dekking genieten voor eventuele betaling aan digitale afpersers kan een omslagpunt zijn. AXA behoort tot de top vijf verzekeraars in Europa en reageert in wezen op kritische geluiden vanuit het Franse ministerie van Justitie.

Op een hoorzitting van de Franse senaat vorige maand zijn zorgen geuit over de wereldwijde epidemie van ransomware. Justitie heeft daarbij gesteld dat de uitgedragen boodschap moet zijn dat losgeld niet wordt betaald, en ook niet wordt vergoed. Frankrijk staat volgens securitybedrijf Emsisoft op de tweede plaats na de Verenigde Staten wat betreft de schade die ransomware vorig jaar heeft aangericht.

Kosten voor verdediging en herstel

AXA's herziening van verzekeringspolissen geldt alleen voor nieuwe polissen. Bestaande klanten met een cyberverzekering, of een verzekering met een dekkingscomponent voor digitale zaken, worden dus niet geraakt door deze verandering. Ook geldt er geen wijziging wat betreft dekking voor de kosten voor reageren op en herstellen van een ransomware-aanval. Andere verzekeraars zouden wel naar dit soort wijzigingen kijken, stelt Dark Reading.

Feit is dat verzekeraars al geruime tijd afkerig - of: huiverig - zijn wat betreft het vergoeden van schade en kosten bij security-incidenten. In tegenstelling tot wat veel ondernemers aannemen, worden cyberrisico's niet per definitie gedekt door verzekeringen. Niet door traditionele bedrijfsverzekeringen maar ook niet altijd door speciale cyberverzekeringen. Voor laatstgenoemde gelden - net als bij bijvoorbeeld brandverzekeringen - ook bepaalde vereisten; te nemen maatregelen om de risico's in te perken. De wereldwijd uitgebroken NotPetya-malware heeft op dit vlak voor veel ophef in de verzekeringsbranche gezorgd.

Lees meer over Innovatie & Strategie OP AG Intelligence
2
Reacties
Bop 02 juni 2021 16:47

Tja, begrijpelijk.

Is toch ongeveer als mensen die bij hun bank gaan klagen als ze hun bankkaart hebben laten kapen.
(Hoewel die idioot genoeg zijn om te vergoeden! Waar ik niet aan mee wil betalen.)
Eigen schuld, dikke bult.

P.J. Westerhof LL.M MIM 26 mei 2021 12:48

"deinzen terug voor ransomware". Nogal wiedes. Zelfs verzekeraars komen er - jaren te laat - achter dat dit equivalent is aan een inboedelverzekering bij het laten open staan van de achterdeur van je huis.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.