Betaling av løsepenger bidrar til å finansiere mer kriminalitet, advarer Kripos og Næringslivets sikkerhetsråd.
Det norske forsikringsselskapet Frende markedsfører på sine nettsider en cyberforsikring som «dekker kostnader til løsepenger og forhandlingskostnader» til bedrifter som utsettes for digital utpressing. Gjennom Frende tilbys forsikringen av blant annet 24 norske sparebanker.
Kripos og Næringslivets sikkerhetsråd (NSR) uttaler til NRK at de prinsipielt fraråder å utbetale løsepenger.
– Kripos anbefaler ikke å utbetale løsepenger dersom man blir utsatt for et alvorlig dataangrep, sier seksjonsleder Øystein Andreassen i Kripos.
– Vi er prinsipielt kritiske til å utbetale løsepenger, fordi det finansierer terror og annen kriminell virksomhet, sier Odin Johannesen som leder NSR.
Johannesen har samtidig forståelse for dem som velger å betale ettersom det kan være nødvendig for å berge arbeidsplasser og redusere risikoen for at sensitiv informasjon kommer på avveie.
– Løsepenger må derfor være en siste utvei. En løsning som kun velges i mangel av andre bedre løsninger, sier Johannesen.
NRK har tidligere omtalt at løsepengevirus koster norske virksomheter dyrt. Bare de tre siste årene har mer enn 35 norske organisasjoner blitt rammet av løsepengevirus.
I slike angrep låser cyberkriminelle organisasjonens datamaskiner. Ofte trues det også med at sensitive dokumenter vil publiseres om man ikke betaler.
Risikoingeniør Arnstein Heimset i Frende forsvarer praksisen.
«Om alternativet til å betale er at kunden går konkurs, så er man fort i en situasjon hvor hensynet til kunden må veie tyngst. Ellers ville en forsikring være lite verdt», skriver Heimset.
Ekspert: Betaling bidrar til nye angrep
Internasjonalt pågår det en større debatt om cyberforsikringer og utbetaling av løsepenger forverrer problemet med digital utpressing. I tillegg til å finansiere kriminalitet er det en frykt for at forsikringen blir en hvilepute. Hvorfor investere i IT-sikkerhet når du har forsikring?
«Forsikringsselskaper bidrar til en økning i løsepengeangrep», skrev ProPublica i 2019. Da dokumenterte den amerikanske publikasjonen at enkelte forsikringsselskaper foretrakk å betale løsepenger fordi det kunne minske forsikringsoppgjøret.
Påstanden om at det er billigere å betale er kontroversiell. Flere NRK har snakket med mener at betaling kan skape en falsk trygghet og at det ikke er noen garanti for å faktisk få tilbake datafilene.
– Man har ingen garantier for at systemet blir låst opp, eller at det ikke blir låst igjen, advarer Øystein Andreassen i Kripos.
Til nyhetsbyrået AP forteller IT-sikkerhetsekspert Josephine Wolff ved Tufts University at betaling av løsepenger av mange selskaper sees på «som en kostnad av å drive forretning».
– Det er svært bekymringsverdig, fordi det bidrar til nye angrep med løsepengevirus, sier Wolff til AP.
Det samme påpeker Andreassen i Kripos:
– Økonomisk vinning er i all hovedsak driveren bak denne type kriminalitet. Politiet erfarer gjennom etterforskinger at utbytte etter løsepengevirus-saker finansierer ytterlige kriminalitet.
Frende peker seg ut blant norske forsikringsselskap
De fire største forsikringsselskapene i Norge – Fremtind, Gjensidige, If, og Tryg – oppgir til NRK at de ikke dekker utbetaling av løsepenger.
– Hvis de som driver med denne kriminaliteten vet at løsepenger dekkes, så vil det kunne inspirere til cyberangrep fordi de nettopp kan tro at det er større mulighet til å få løsepenger, sier Gjensidiges kommunikasjonsdirektør Øystein Thoresen.
Markedet for cyberforsikring i Norge er komplisert og til dels uoversiktlig. Større selskaper benytter gjerne meklere som inngår avtaler med internasjonale forsikringsselskaper.
Internasjonalt er det vanligere at forsikringsselskaper dekker utbetaling av løsepenger.
Jan Søgaard, som er sjef for IT-sikkerhetsfirmaet Netsecurity, oppgir til NRK at han kjenner til flere forsikringsselskaper som dekker utbetaling av løsepenger og at dette ikke alltid fremgår klokkeklart i selskapenes offentlige kommunikasjon.
En av dem Søgaard kjenner til er QBE Insurance Group. Selskapet har 11.000 ansatte i 27 land.
– Ingen kommentar, sier kommunikasjonsansvarlig Sandra Villanueva i QBE, på NRKs spørsmål om utbetaling av løsepenger.
TIPS OSS: Har du noe å fortelle om cyberforsikringer eller datainnbrudd? Nå journalistene på telefon / Signal (+47 47756515) og epost (martin.gundersen@nrk.no).
Betaling er siste utvei
Frende Forsikring forteller at utbetaling av løsepenger skal sitte langt inne. De opplyser overfor NRK at de så langt ikke har dekket en utbetaling av løsepenger.
– Forsikringsselskapene må kunne sies å ha et samfunnsansvar i den forstand at man ikke utbetaler et pengebeløp til kriminelle, med mindre man er tvunget til det. Så må man balansere dette opp mot hensynet til kunden, skriver Arnstein Heimset i Frende.
Forsikringen dekker i tillegg utgifter til å leie inn eksterne IT-eksperter, driftstans, og å erstatte datamaskiner.
– Det er aldri noen garanti for at det å betale løsepenger vil løse problemene for bedriften, og det er noe vi fraråder. Samtidig er det ennå ikke forbud i Norge mot å betale løsepenger, slik det er i enkelte andre land. Bedrifter som står alene, uten støtte fra forsikringsselskapet sitt i en slik prosess, vil nok ha langt større betalingsvilje enn en bedrift med våre eksperter i ryggen, skriver kommunikasjonssjef Heidi Tofterå Slettemoen i Frende.
Frende trekker frem at de hjelper kundene med å innføre sikkerhetstiltak som bedre passordrutiner, to-trinnsverifisering, og å ha sikkerhetskopier.
– Hva er grunnen til at dere trosser anbefalinger fra politiet og Næringslivets sikkerhetsråd?
– Det gjør vi ikke. Vi er tvert imot helt på linje. Det at Frende har et slikt dekningspunkt innebærer på ingen måte at vi ukritisk utbetaler løsepenger. Det innebærer at vi er der for kunden om dette, etter grundige vurderinger i samråd med ekspertene våre, skulle vise seg å være siste utvei for å redde bedriften, skriver Tofterå Slettemoen.
Oppdatert torsdag kl. 20:29 med en setning om at Frende så langt ikke har dekket utbetaling av løsepenger.
Les også: Norsk bedrift betalte løsepenger: – Vi var presset opp i et hjørne