In Olanda si discute sull’opportunità del divieto di pagamenti assicurativi dei ransomware
I risk manager e le assicurazioni olandesi stanno osservando da vicino un dibattito a livello governativo sull’opportunità di vietare i pagamenti assicurativi per il ranswomware, per dissuadere i criminali informatici dal prendere di mira le aziende che sanno di avere una copertura in atto.
Adri Van der Waart, presidente dell’associazione olandese di Dutch risk and insurance management association Narim, ha detto a Commercial Risk che i suoi membri sono già preoccupati per il recente ritiro dei limiti per la copertura assicurativa informatica e l’aggiunta di esclusioni per la copertura tradizionale come la proprietà e l’indennità professionale.
Poiché praticamente tutta l’attività commerciale è ora in qualche modo basata sulla tecnologia, la conclusione finale è che anche le coperture di base come l’assicurazione degli edifici potrebbero diventare non valide o inaccessibili se la causa è legata a un evento informatico, ha detto il signor Van der Waart.
Questa è chiaramente una grande preoccupazione per i membri del Narim e per tutti gli altri risk manager e assicurazioni in tutta Europa, mentre entrano nei rinnovi di fine anno e cercano di aiutare le loro organizzazioni a costruire una maggiore resilienza agli shock futuri.
Il canale di notizie pubblico olandese NOS ha riferito recentemente che il Ministero della giustizia e della sicurezza sta indagando sul potenziale di vietare agli assicuratori di pagare riscatti basati su attacchi informatici.
L’indagine è guidata dal ministro della giustizia e della sicurezza Ferd Grappherhaus, che ha spinto per il divieto di pagamenti assicurativi ai criminali informatici per qualche tempo.
Vietare i pagamenti assicurativi e risarcire i danni subiti non pagando il riscatto
Lo scorso aprile, Grapperhaus ha inviato una lettera al parlamento olandese in cui ha suggerito che i pagamenti di riscatto non dovrebbero essere coperti. Secondo la sua proposta, gli assicuratori dovrebbero invece pagare il costo dei danni che le organizzazioni hanno subito non pagando il riscatto. Il suo argomento è che pagare i riscatti incentiva semplicemente i criminali informatici.
“Pagare un riscatto ricompenserà e stimolerà l’attività criminale”, ha scritto il ministro, aggiungendo che la polizia olandese si aspetta che pagare un riscatto “porti a più attacchi ransomware. È mia preferenza che l’assicuratore non rimborsi il riscatto che finisce nelle mani dei criminali, ma piuttosto il danno che si subisce non pagando questo riscatto”, ha aggiunto Grapperhaus.
La lettera del ministro è stata inviata poco dopo che è stato rivelato che l’Università di Maastricht ha pagato quasi 200.000 euro di riscatto per riottenere l’accesso ai suoi sistemi dopo un attacco informatico.
Van der Waart ha detto a Commercial Risk che, a suo parere, uno dei problemi principali con il ransomware è la natura pubblica della discussione e dei dettagli riportati sui cyberattacchi e sull’assicurazione. Questo non accade nel tradizionale mercato del kidnap-and-ransom (K&R), ha sottolineato.