Return to site

Betaal geen losgeld bij Ransomware-aanval

Betaal geen losgeld bij een ransomware-aanval

Organisaties met een publieke rol moeten zich gezamenlijk en hardop uitspreken tegen betaling aan criminelen bij een aanval met gijzelsoftware, bepleit een groep hoogleraren en medewerkers van verschillende Nederlandse universiteiten in een opiniebijdrage.

 

Ransomware, het gijzelen van systemen en data van organisaties, is een groeiend probleem. Recent stelde het Nationaal Cyber Security Center dat dit fenomeen onze nationale veiligheid bedreigt. Wanneer organisaties een aanval te verduren krijgen, kunnen zij hun producten en diensten niet meer leveren. Het kost organisaties veel geld en tijd om weer up and running te zijn. Men betaalt vaak losgeld om dit voor elkaar te krijgen. Verzekeraars spelen daarop in met verzekeringspakketten waarin het losgeld (deels) wordt vergoed.

Het is begrijpelijk dat organisaties losgeld betalen. Dit is vaak goedkoper dan het opschonen of vervangen van de hele IT-infrastructuur. Bovendien kost dat laatste tijd: tijd waarin geen producten of diensten kunnen worden geleverd. Als de verzekering de kosten dekt en ondersteuning biedt, is de keuze nog eenvoudiger.

Toch zijn er zwaarwegende redenen om af te stappen van losgeldbetalingen. Er is namelijk een spanning tussen het handelen van individuele organisaties en het belang van alle andere organisaties, en zelfs de samenleving als geheel. Vergelijk het met het vaccinatiedebat: De risico’s voor allen gaan omhoog door de keuzes van het individu.

Crimineel businessmodel

Elke losgeldbetaling draagt bij aan het versterken van een crimineel businessmodel. Cybercriminelen investeren in activiteiten die een hoge economische verwachtingswaarde hebben. Wanneer het betalen bij ransomware tot norm verwordt, gaat het aantal aanvallen en de hoogte van het losgeld omhoog.

Losgeld betalen uit een verzekering lijkt de zaken te verergeren. Anekdotisch bewijsmateriaal uit de Verenigde Staten laat zien dat bedrijven met een dergelijke cyberverzekering meer ransomware aanvallen te verduren krijgen dan organisaties zonder verzekering. Logisch, want criminelen weten dat hun inspanningen beloond zullen worden. Als gevolg daarvan stijgt de verzekeringspremie flink, met hogere kosten voor organisaties tot gevolg. Zo belanden we in een economische spiraal die alleen voor de criminelen wenselijk is.

‘Vergelijk het met het vaccinatiedebat: de risico’s voor allen gaan omhoog door de keuzes van het individu.’

Bovendien is een losgeldbetaling niet altijd een goedkopere en snellere oplossing voor organisaties. Cybercriminelen gedragen zich steeds vaker als slechte businesspartners: ze ontsleutelen systemen weliswaar na betaling, maar buitgemaakte data wordt veelal alsnog verhandeld op de zwarte markt. Het is ook niet altijd helder of aanvallers daadwerkelijk uit alle systemen verdwenen zijn, of dat zij zich opmaken voor een volgende aanval.

Steviger reguleren?

Wat is er nodig om organisaties ertoe te bewegen om bij een ransomware-aanval geen losgeld meer te betalen? Dit vereist veranderingen op systeemniveau: alleen wanneer verschillende maatregelen tegelijk genomen worden, kunnen we redelijkerwijs van organisaties verwachten dat zij hun gedrag zullen veranderen.

Er geldt op dit moment geen verbod op het betalen van losgeld. We kunnen onderzoeken of steviger reguleren een positief effect heeft. Er is wel een beweging zichtbaar waarbij (publieke) organisaties er vrijwillig voor kiezen geen losgeld meer te betalen. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek deed dit bij een aanval in februari bijvoorbeeld niet.

Organisaties met een publieke rol moeten zich gezamenlijk en hardop uitspreken tegen betaling aan criminelen bij ransomware-aanvallen, en wanneer aangevallen een voorbeeld tonen door niet te betalen. Samenwerking en informatiedeling met organisaties in dezelfde sector en met politie en justitie zijn hierbij essentieel.

‘Organisaties met een publieke rol moeten bij een aanval een voorbeeld tonen door niet te betalen.’

Laat verzekeraars in hun pakket het betalen van losgeld vervangen door het verzekeren van (een deel van) de kosten van de afwikkeling van een ransomware-incident. Dat kan gaan om kosten voor het vervangen van (een deel van) de IT-omgeving, maar ook om andere kosten als gevolg van het weglekken van data. Door die zaken te vergoeden worden organisaties gesteund zonder dat het criminele businessmodel wordt versterkt.

Uiteraard is een vereiste dat organisaties de cybersecuritybasis op orde hebben. Dat is gemakkelijker gezegd dan gedaan en vergt forse investeringen. Ook moet geïnvesteerd worden in een stevige infrastructuur op organisatie- en sectorniveau, om in geval van incidenten snel en effectief te kunnen reageren. De verschillen tussen organisaties en tussen sectoren zijn op dit moment te groot.

‘Het verzekeren van losgeldbetalingen moet worden vervangen door het verzekeren van de kosten van de afwikkeling.’

Tot slot moeten we als samenleving cyberaanvallen accepteren als een fact of life. We moeten ons bovendien realiseren dat organisaties, als we van ze vragen geen losgeld te betalen, veel tijd en geld moeten investeren in het te boven komen van dit type aanvallen. Dat kan ernstige consequenties hebben voor bedrijven, burgers en consumenten die dan moeten accepteren dat producten en diensten soms tijdelijk niet leverbaar zijn.

Bij lege schappen is dat nog één ding, maar als het gaat over een tekort aan stroom of zorg liggen de zaken wellicht anders. Het is dus tijd voor meer maatschappelijk debat, ook over de lange termijn. De keuzes zijn niet gemakkelijk en moeten doordacht worden gemaakt.

Bernold Nieuwesteeg is directeur CLECS bij Erasmus Universiteit Rotterdam, Bibi van den Berg is hoogleraar Cybersecurity Governance aan Universiteit Leiden, Aiko Pras is hoogleraar internet security aan Universiteit Twente, Arno Lodder is hoogleraar Internetrecht aan de Vrije Universiteit, Cees de Laat is hoogleraar System and Network Engineering aan Universiteit van Amsterdam, Bart Custers is hoogleraar Law & Data Science aan Universiteit Leiden, Bert-Jaap Koops is hoogleraar regulering van technologie aan Tilburg University, Joan Daemen is hoogleraar digital security aan Radboud Universiteit Nijmegen, Marko van Eekelen is hoogleraar digital security aan Open Universiteit Heerlen, Marten van Dijk is groepsleider Computer Security bij CWI, Nele Mentens is hoogleraar Toegepaste Cryptografie en Databeveiliging aan Universiteit Leiden, Roland van Rijswijk-Deij is adjunct hoogleraar network security aan Universiteit Twente, Stijn Ruiter is hoogleraar social & behavioural sciences aan Universiteit Utrecht) en senior onderzoeker bij NSCR en Michael Faure is hoogleraar law & economics aan Erasmus Universiteit Rotterdam.

De auteurs zijn verbonden aan de Academic Cyber Security Society.

Lees het volledige artikel: https://fd.nl/opinie/1390205/betaal-geen-losgeld-bij-een-ransomware-aanval-kqj2caGEVo8q