Veel bedrijven kiezen er simpelweg voor om losgeld te betalen dan de gevolgen van een cyberaanval te ondergaan Zephyr_p/Shutterstock
Cybercrime-verzekering maakt het ransomware-probleem erger
Tijdens de COVID-19 pandemie was er een andere uitbraak in cyberspace: een digitale epidemie gedreven door ransomware.
Verschillende organisaties wereldwijd werden het slachtoffer van cyber-extortionisten die gegevens stalen om ze te verkopen aan andere criminelen of ze als losgeld voor winst hielden. Alleen al het aantal aanvallen wijst erop dat cyberbeveiliging en anti-ransomware verdedigingsmiddelen niet of slechts beperkt hebben gewerkt.
Bedrijven wenden zich uit wanhoop tot cyberverzekeraars om zich tegen aanvallen te beschermen. Maar de groei van de cyberverzekeringsmarkt moedigt criminelen alleen maar aan om zich te richten op bedrijven die een afpersingsverzekering hebben.
Uit een studie van de Universiteit van Leeds uit 2021 blijkt dat het aantal grote cyberaanvallen op organisaties tijdens de pandemie enorm is toegenomen. Het document toonde ook een “verschuiving in tactieken van daders die het niveau van angst bij slachtoffers verhogen … dergelijke tactieken omvatten een verschuiving naar het bij naam noemen van slachtoffers, de diefstal van commercieel gevoelige gegevens en aanvallen gericht op organisaties die diensten verlenen aan andere organisaties.”
Uit een rapport van het wereldwijde cyberbeveiligingsbedrijf Sophos blijkt dat 66% van de onderzochte organisaties, uit 31 landen, in 2021 werd getroffen door ransomware, tegenover 37% in 2020. Het gemiddelde betaalde losgeld vervijfvoudigde bijna tot 812.360 dollar (706.854 pond). Verzekeringsmaatschappijen kiezen er vaak voor om het losgeld te betalen dat cybercriminelen eisen – 82% van de Britse bedrijven betaalt.
Waar komen de aanvallen vandaan?
Volgens de Amerikaanse denktank Council on Foreign Relations worden 22 landen ervan verdacht cyberaanvallen te sponsoren, waaronder de Verenigde Staten.
En een nieuwe zwarte markt waarin cybercriminelen producten en diensten leveren aan andere cybercriminelen floreert en stuwt de golf van ransomware-aanvallen. Met zogenaamde ransomware kan iedereen, van tieners tot ervaren amateurs en professionele criminelen, malware, encryptietools en zelfs Bitcoin-portefeuilles huren.
Het is als een crimineel die een pistool huurt van een andere crimineel die het gemaakt heeft.
In juli 2020 hebben drie tieners Twitter gehackt. De aanval resulteerde in het kapen van 130 accounts – waaronder enkele high-profile doelwitten zoals Joe Biden, Barack Obama, Apple, Elon Musk en Bill Gates. De bitcoinaccounts die met hun ransomwarezwendel in verband werden gebracht, ontvingen meer dan 400 overschrijvingen voor een totaalbedrag van meer dan 100.000 US$ (87.000 pond).
Ransomware kan een bedrijf verwoesten.
Andrey Popov/Shutterstock
Wat is het probleem met verzekeringen?
De afgelopen jaren is er een sterke toename geweest van gespecialiseerde cybercrimeverzekeringen. Voorspeld wordt dat de wereldwijde verzekeringsmarkt voor cybercriminaliteit zal groeien van 7 miljard dollar aan bruto geschreven premies (GWP) in 2020 tot 20,6 miljard dollar in 2025.
Verzekeraars moeten meer doen om incompetente beveiligingspraktijken te ontmoedigen. Autobestuurders moeten theorie- en praktijkexamens afleggen. Maar cyberverzekeringen controleren zelden de IT-beveiliging van een organisatie voordat de polis wordt afgesloten.
Een gestandaardiseerde ISO-norm (internationaal door deskundigen overeengekomen normen voor kwaliteitsbeheer) voor software bestond pas in 2015. Dit betekent dat klanten geen manier hebben om de beveiligingsnormen te beoordelen van iets dat vóór 2015 is geproduceerd. Zelfs nu kunnen sommige risicobeoordelingen die een software tijdens zijn levensduur ondergaat minder rigoureus zijn dan voor de waterkoker in ons huis. En ISO testen zijn vrijwillig.
De markt heeft geen inzicht in grootschalige, geavanceerde cyberaanvallen. De verzekeringssector werkt door de waarschijnlijkheid van een incident en de impact ervan te bepalen. De cyberverzekeringsmarkt heeft moeite om de waarschijnlijkheid van cyberaanvallen te voorspellen omdat veranderingen in digitale technologie zo onvoorspelbaar kunnen zijn. De mogelijkheden en bedoelingen van aanvallers veranderen snel.
De meeste verzekeraars hebben momenteel geen langetermijngegevens voor cyberincidenten of ransomware. Dit heeft geleid tot ondergefinancierde cyberverzekeringsprogramma’s, die sterk leunen op optimistische financiële modellen.
Als gevolg daarvan wordt het steeds moeilijker om een cyberverzekering af te sluiten, omdat het groeiende aantal claims taxateurs dwingt om kritischer te zijn in de klanten die zij accepteren. Lloyds of London bracht in december 2021 nieuwe regels uit waarin staat dat verzekeraars niet langer schade zullen dekken die is veroorzaakt door “oorlog of een cyberoperatie die in de loop van de oorlog wordt uitgevoerd”.
De verzekeringspremies stegen in 2020 met 22% en in 2021 met nog eens 32% in 38 landen. De kosten die het bedrijf maakt, worden doorberekend aan de klanten. De vraag naar ransomware zal bijdragen aan de algemene stijging van de kosten voor levensonderhoud, omdat de kosten van ransomware worden doorberekend aan de klanten.
Als onderdeel van mijn werk met het Northern Cloud Crime Centre, heb ik gekeken naar de
effectiviteit van wetten in het VK om criminele activiteiten in de Cloud te reguleren. Ik heb vastgesteld dat de wetgeving inzake cybercriminaliteit in het VK geen gelijke tred heeft gehouden met de technologische en marktontwikkelingen van de afgelopen 30 jaar. De Computer Misuse Act 1990 moet worden bijgewerkt om cybercriminaliteit effectiever te kunnen aanpakken. Als we de situatie niet kunnen oplossen, zal dit een bedreiging vormen voor banen en investeringen in het VK.
Wat is de oplossing?
Ransomware-aanvallen zijn zo effectief omdat ze gebruik maken van menselijke zwakheden en het gebrek aan technologische verdedigingsmiddelen van organisaties.
Wetshandhavers adviseren slachtoffers van ransomware het losgeld niet te betalen omdat dit verdere aanvallen aanmoedigt en een vicieuze cirkel voedt.
Maar preventie is de beste oplossing. Organisaties moeten meer moeite doen om beveiligingsmaatregelen te ontwikkelen, zoals een multifactor-authenticatiesysteem. Managers moeten ook penetratietesten uitvoeren, waarbij een cyberbeveiligingsexpert op zoek gaat naar kwetsbaarheden in een computersysteem.
Bedrijven zijn wettelijk verplicht om over een brandplan te beschikken. De tijd is rijp voor
verplichte ransomware en phishing weerbaarheidstesten. De verzekeringssector moet minimale beveiligingseisen stellen als onderdeel van de risicobeoordeling. Organisaties moeten transparanter zijn over de beveiliging die zij wel en niet hebben.
Onder onderzoekers groeit de consensus dat solide cybersecurity niet alleen met technologie kan worden bereikt, omdat een enorm aantal incidenten te wijten is aan menselijke fouten. De Britse regering stelt nieuwe wetten voor om de normen voor cyberbeveiliging te reguleren. Maar deze wetten zullen niet werken als niet wordt geïnvesteerd in publieke voorlichting over phishing-bedreigingen.
Een verzekering tegen cybercriminaliteit kan de verstoring van het bedrijf tot een minimum helpen beperken, financiële bescherming bieden en zelfs helpen bij juridische en regelgevende acties na een cyberincident. Maar het lost niet de problemen op die de kwetsbaarheid voor een aanval in de eerste plaats hebben veroorzaakt.
Een deel van het onderzoek voor dit artikel is uitgevoerd als Co-I van het door EPSRC gefinancierde CRITiCaL – Combatting cRiminals In The Cloud (EPSRC) juni 2015 – mei 2022.
https://northerncloudcrimecentre.org/
https://essl.leeds.ac.uk/education-social-sciences-law/dir-record/research-projects/350/critical-combatting-criminals-in-the-cloud
