Een ransomware-verzekering. Doen of niet doen?

Nu ransomware een steeds groter risico begint te worden springen ook meer en meer verzekeraars in dit gat. Zo heeft Univé een consumentenverzekering geïntroduceerd onder de noemer 'Zorgeloos online'. Ook bereiken ons regelmatig signalen vanuit onze klantenkring dat men benaderd is door bedrijfsverzekeraars voor het afdekken van de risico's van ransomware. Veel klanten vragen zich af of het verstandig is zich hiervoor te verzekeren.

Onze mening hierin is als volgt. Het aloude adagium 'verzeker je alleen tegen risicos die je niet zelf kunt dragen als het mis gaat' is in principe altijd een goed uitgangspunt. Wij kunnen niet inschatten wat voor jou een acceptabel en betaalbaar risico is, dat zul je uiteindelijk altijd zelf moeten bepalen. Dat gezegd hebbende kun je je afvragen wat de toegevoegde waarde van een dergelijke verzekering is. Vergelijk het met een brand- of diefstalverzekering. In de kleine letters staan allerlei voorwaarden en uitsluitingen waar de verzekeraar zich op kan beroepen indien er geclaimd wordt. Ook een verzekeraar wil natuurlijk geen onnodige risico's lopen. De afdelingen 'risico-analyse' doen niets anders dan het afdekken van risico's voor de verzekeraar zelf. Er is dus altijd sprake van minimum voorwaarden waar jij je als klant aan hebt te houden. Zie het als een ondergrens waar jij als klant sowieso altijd aan zult moeten voldoen. Als blijkt dat jij je auto nooit op slot zet en deze wordt gestolen, dan is dat natuurlijk een ontsnappingsroute voor de verzekeraar om niet uit te hoeven keren.

Als je dit doortrekt naar ICT, dan zullen verzekeraars ook daar hun 'minimum beveiligingseisen' hanteren. Hoe kun je als verzekeraar risico dragen voor dataverlies door ransomware als blijkt dat de klant überhaupt geen backups maakt, nog met Windows XP systemen werkt en een goede antivirusoplossing ook niet nodig acht? Uiteraard is de kans dan levensgroot dat het mis gaat. Geen verzekeraar die dat risico voor zijn rekening wil of kan nemen. Net zo min als dat een verzekeraar het aansprakelijkheidsrisico kan nemen als jij zonder geldig rijbewijs in een niet APK gekeurde auto rondscheurt. Banken vergoeden schade door phishing ook alleen als blijkt dat het slachtoffer tenminste aan het telebankieren was op een goed beveiligd systeem met een recent besturingssysteem.

Er is dus een zeker minimum beveiligingsniveau benodigd om überhaupt gedekt te kunnen zijn. Je moet als organisatie dus sowieso al zorgen dat je in redelijke mate beveiligd bent tegen malware zoals ransomware, anders heb je bij voorbaat al niets aan een dergelijke verzekering.

Daarnaast speelt natuurlijk mee dat de schade van dataverlies vaak moeilijk in bedragen valt uit te drukken. Wat is de financiële schade van het verliezen van je vakantiefoto's? Wat is de waarde van digitale foto's van je kinderen toen ze nog klein waren? Wat is de waarde van de laatste videobeelden van je inmiddels overleden oma? Emotioneel gezien onbetaalbaar maar hoe druk je dat uit in euro's? En als je het zakelijk bekijkt: wat is de waarde van dat klantenbestand of boekhouding die je niet meer kunt benaderen vanwege een ransomwarebesmetting? De kostprijs van het aantal man-uren wat benodigd is om die gegevens weer te herstellen? Of reken je de verloren omzet in die periode ook mee? En de imagoschade voor jouw bedrijf als al je klantgegevens versleuteld blijken en je moet dit met hangende pootjes opbiechten bij je klanten vanwege de wettelijke meldplicht? Hoe bepaal je de schade hiervan? Natuurlijk hanteren verzekeraars hier ongetwijfeld standaard formules voor. Maar dat hoeft niet overeen te komen met de daadwerkelijke directe en indirecte waarde van de verloren data voor jouw organisatie.

Verzekeringspolissen die, zoals bij de genoemde Univé variant, tot een maximum van een paar duizend euro uitkeren zijn derhalve vrij zinloos in onze ogen. Er valt moeilijk een prijskaartje te hangen aan de waarde van data en het verlies van productiviteit na besmetting. Maar uiteindelijk is de verloren data ook niet hetgeen waar je de vergoeding voor krijgt. Met die vergoeding kunnen herstelwerkzaamheden worden betaald waarna bedrijven als Freez.it een poging mogen doen de versleutelde data te redden. In een beperkt aantal gevallen kun je op die manier wellicht je data terugkrijgen. In veel gevallen echter niet. En als dan blijkt dat je geen goede backup hebt, dan rest er nog maar één optie om wellicht je data terug te krijgen: toegeven aan de criminelen en het losgeld betalen. Niet dat we dat adviseren maar soms is het echt het laatste redmiddel en is het alternatief erger, ook al heb je na betaling geen zekerheid dat je je bestanden terugkrijgt. Maar dit losgeld is (uiteraard) niet verzekerd. Dat zul je dan, ondanks je 'ransomware-verzekering' toch zelf moeten betalen.

Het punt is dus dat de dekking van die herstelkosten nou net niet heel belangrijk is. Die kosten zijn, vergeleken met de waarde van de data zelf, vrij beperkt. Een beetje ondernemer zal niet wakker liggen van een paar honderd of duizend euro om een specialist aan de slag te zetten die tracht de data te redden. De waarde zit in de data zelf, de verloren productiviteit, de imagoschade en de alle andere bijkomende gevolgschades.

Ons advies: voorkomen is in dezen altijd beter dan genezen. Stop je geld in preventie aan de voorkant, om te voorkomen dat je überhaupt een ransomware-slachtoffer wordt. Beter de brand voorkomen dan de brand naderhand proberen te blussen. Wil je advies in cybersecurity en/of ransomwarebescherming? Laat het ons weten, we adviseren je graag.

Door Wouter op donderdag 19 oktober 2017