Geplaatst op Door Jack P. Kruf

Ransomware: An insurance market perspective

en•[nl•]

Source: Geneva Association

  • New Geneva Association report highlights the important role of private re/insurers, alongside governments, in boosting society’s resilience to ransomware and ensuring the full benefits of digitalisation can be realised.
  • The report explores the significant value add of cyber insurance beyond risk transfer, amid ongoing debate on whether to ban ransom payments or associated insurance coverage.
  • Governments should do more to counter ransomware attacks: disrupt cybercriminal business models, fight illicit use of cryptocurrencies and promote cyber hygiene throughout business and society.

ZURICH, 20 July 2022 – The frequency of ransomware attacks, a form of cyber extortion, is increasing, along with the size and nature of ransom demands. Cybercriminals are deploying more sophisticated approaches to target governments, businesses and individuals, with serious and costly effects. The growth of the ransomware-as-a-service (RaaS) business model has also enabled threat actors with limited technical skills to launch highly disruptive attacks.

Cyber insurance provides vital financial protection and operational support in the event of an attack, but ransomware has contributed to the recent deterioration in cyber insurers’ underwriting performance. Ransomware accounted for 75% of all cyber insurance claims in 2020 (AM Best) and is also likely to have been the costliest loss event category in 2021 (WTW).

The Geneva Association’s report analyses the complex policy issues surrounding ransomware and possible solutions to counter this epidemic in cybercrime, including the contribution of insurance to boosting firms’ cyber resilience. The report’s key messages include the following:

  • Cyber insurance does more than provide cover for ransoms: Cyber insurance may also cover a range of first- and third-party losses incurred by victims of ransomware (e.g. business interruption, data and system recovery, forensics and legal assistance), as well as arrange expert support in managing incidents. Insurance also helps organisations identify and address cybersecurity vulnerabilities and adopt better risk prevention in a fast-changing landscape.
  • Banning ransom payments would be a blunt, potentially ineffective policy instrument: An outright ban on the payment of ransoms or their reimbursement by re/insurers could backfire by driving transactions underground and encouraging ransomware attackers to engage in new, more malicious forms of extortion.
  • Governments and regulators must do more to counter ransomware attacks: Public policies should be aimed at deterring ransomware attacks, disrupting cybercriminals’ business models and illicit use of cryptocurrencies, and better preparing organisations for intrusion.

Managing Director of The Geneva Association, Jad Ariss, said: “With ransomware we see an example of the important ‘prevention and mitigation’ role insurers play as risk managers. They control a critical lever with their ability to incentivise customers to maintain strong cybersecurity controls and standards, helping to reduce firms’ vulnerability to attack and boost their cyber resilience. Governments and regulators have their levers, too, and as our report highlights, they need to rein in the illegal use of cryptocurrencies and do more to ensure information exchange about incidents as well as improve international cooperation among law enforcement.”

The Geneva Association’s Director of Cyber and Evolving Liability and author of the report, Darren Pain, said: “The ransomware landscape is now highly evolved and sophisticated, especially with the development of ransomware-as-a-service. Such ransomware attacks are driving significant increases in insurance claims and, as a consequence, premiums. Would banning ransom payments be a viable solution? According to our study, insurance companies do not think so. Prohibiting ransom payments or their reimbursement by insurers would likely drive transactions underground, forfeiting the ability of the authorities to record and analyse incidents and prosecute criminals. Furthermore, the last thing we should do is take steps that might discourage smaller firms from taking out cyber insurance, the benefits of which go well beyond reimbursing ransoms.”

____

nl• De frequentie van ransomware-aanvallen, een vorm van cyberafpersing, neemt toe, samen met de omvang en aard van de losgeldeisen. Cybercriminelen zetten meer gesofisticeerde benaderingen in om overheden, bedrijven en individuen te treffen, met ernstige en kostbare gevolgen. De groei van het ransomware-as-a-service (RaaS)-bedrijfsmodel heeft bedreigers met beperkte technische vaardigheden ook in staat gesteld zeer ontwrichtende aanvallen uit te voeren, zo blijkt een repport van de Geneva Association.

Cyberverzekeringen bieden essentiële financiële bescherming en operationele ondersteuning in het geval van een aanval, maar ransomware heeft bijgedragen tot de recente verslechtering van de acceptatieprestaties van cyberverzekeraars. Ransomware was in 2020 goed voor 75% van alle cyberverzekeringsclaims (AM Best) en zal in 2021 waarschijnlijk ook de duurste verliescategorie zijn geweest (WTW). Overheden moeten meer doen om ransomware-aanvallen tegen te gaan: verstoor bedrijfsmodellen van cybercriminelen, bestrijd illegaal gebruik van cryptocurrencies en bevorder cyberhygiëne in het hele bedrijfsleven en de hele samenleving.

Het rapport van de Geneva Association analyseert de complexe beleidskwesties rond ransomware en mogelijke oplossingen om deze epidemie van cybercriminaliteit tegen te gaan, waaronder de bijdrage van verzekeringen aan het vergroten van de cyberweerbaarheid van bedrijven. Het rapport benadrukt de belangrijke rol van private herverzekeraars, naast overheden, om de samenleving weerbaarder te maken tegen ransomware en ervoor te zorgen dat de voordelen van digitalisering ten volle kunnen worden benut. De belangrijkste boodschappen van het rapport zijn onder meer de volgende:

  • Cyberverzekeringen bieden meer dan alleen dekking voor losgeld: Cyberverzekeringen kunnen ook een reeks eerste- en derde-verliezen dekken die slachtoffers van ransomware oplopen (bijv. bedrijfsonderbreking, herstel van gegevens en systemen, forensisch onderzoek en juridische bijstand), evenals deskundige ondersteuning regelen bij het beheer van incidenten. Verzekeringen helpen organisaties ook kwetsbaarheden op het gebied van cyberbeveiliging te identificeren en aan te pakken en betere risicopreventie toe te passen in een snel veranderend landschap.
  • Het verbieden van losgeldbetalingen zou een bot en mogelijk ondoeltreffend beleidsinstrument zijn: Een algeheel verbod op de betaling van losgeld of de vergoeding ervan door herverzekeraars/verzekeraars kan averechts werken doordat transacties ondergronds worden gedreven en aanvallers van ransomware worden aangemoedigd om nieuwe, meer kwaadaardige vormen van afpersing toe te passen.
  • Regeringen en regelgevers moeten meer doen om ransomware-aanvallen tegen te gaan: Overheidsbeleid moet gericht zijn op het afschrikken van ransomware-aanvallen, het verstoren van de bedrijfsmodellen van cybercriminelen en het illegale gebruik van cryptocurrencies, en het beter voorbereiden van organisaties op inbraak.

Managing Director van The Geneva Association, Jad Ariss, zei: “Met ransomware zien we een voorbeeld van de belangrijke ‘preventie en mitigatie’-rol die verzekeraars spelen als risicomanagers. Zij hebben een cruciale hefboom in handen door hun vermogen om klanten te stimuleren sterke cyberbeveiligingscontroles en -normen te handhaven, waardoor zij bedrijven minder kwetsbaar maken voor aanvallen en hun cyberweerbaarheid vergroten. Overheden en regelgevende instanties hebben ook hun hefbomen, en zoals ons rapport benadrukt, moeten zij het illegale gebruik van cryptocurrencies beteugelen en meer doen om de uitwisseling van informatie over incidenten te waarborgen, evenals de internationale samenwerking tussen rechtshandhavingsinstanties verbeteren.”

Darren Pain, directeur Cyber and Evolving Liability van de Geneefse Vereniging en auteur van het rapport, zegt: “Het ransomware-landschap is nu sterk geëvolueerd en gesofisticeerd, vooral met de ontwikkeling van ransomware-as-a-service. Dergelijke ransomware-aanvallen zorgen voor een aanzienlijke stijging van het aantal verzekeringsclaims en, als gevolg daarvan, van de premies. Zou een verbod op losgeldbetalingen een levensvatbare oplossing zijn? Volgens onze studie denken verzekeringsmaatschappijen van niet. Het verbieden van losgeldbetalingen of de vergoeding ervan door verzekeraars zou de transacties waarschijnlijk ondergronds drijven, waardoor de autoriteiten de incidenten niet meer zouden kunnen registreren en analyseren en criminelen niet meer zouden kunnen vervolgen. Bovendien is het laatste wat we moeten doen het nemen van maatregelen die kleinere bedrijven kunnen ontmoedigen om cyberverzekeringen af te sluiten, waarvan de voordelen veel verder gaan dan het vergoeden van losgeld.”