Overheid wil verbod op betalen losgeld aan hackers

Close-up van een keyboard met blauwgekleurd backlit

De regering wil het verdienmodel van hackers niet in stand houden. Daarom onderzoekt het ministerie van Justitie en Veiligheid hoe het verzekeraars kan verbieden om het losgeld dat slachtoffers aan hackers en cybercriminelen betalen te vergoeden. Het Verbond van Verzekeraars is kritisch op het voornemen van het kabinet.

Dat melden bronnen aan de NOS. Een woordvoerder van het ministerie bevestigt dat het departement een onderzoek heeft ingesteld. Hij benadrukt dat er nog geen definitief besluit is genomen.

Zes op de tien slachtoffers betaalt losgeld aan hackers

Ransomware-aanvallen vormen “een gevaar voor onze nationale veiligheid” en zijn “een plaag voor het MKB”, zo schreef de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg in het in juni verschenen rapport Cybersecuritybeeld Nederland 2021. Dergelijke aanvallen zien we steeds vaker in ons land, onlangs nog bij scholengemeenschap ROC Mondriaan.

Beveiligingsexpert Frank Groenewegen van Deloitte zegt dat ongeveer zes op de tien bedrijven, organisaties en andere instellingen die getroffen worden door een aanval met gijzelsoftware, ervoor kiezen om het gevraagde losgeld te betalen. Onderzoek van verzekeraar Hiscox bevestigt dat beeld.

Is het ideaal dat slachtoffers losgeld aan hun afperser betalen? Uiteraard niet, maar soms zien gedupeerden geen andere uitweg: ze zijn bang voor reputatieschade, vrezen dat niet-betalen meer kosten en ellende met zich meebrengt dan betalen. De afgelopen maanden hebben we diverse voorbeelden gezien van partijen die om deze redenen er toch voor kiezen om losgeld te betalen. Denk aan Colonial Pipeline, de Braziliaanse vleesverwerker JBS of het Staring College. Soms gaat het om miljoenen dollars of euro’s.

Overheid overweegt verbod om losgeld van ransomware-aanval te vergoeden

Het kabinet wil dat bedrijven en organisaties die door hackers of cybercriminelen worden aangevallen geen losgeld betalen. Door te betalen houden we het verdienmodel en het criminele ecosysteem van de aanvallers in stand, zo vertelt hoofdofficier van justitie Michiel Zwinkels aan de NOS. Een deel van de opbrengsten gebruiken aanvallers bovendien om te investeren in de volgende aanval, aldus Matthijs Jaspers van de ransomware-taskforce van de politie.

Als iedereen weigert te betalen, wordt het niet langer aantrekkelijk om ransomware-aanvallen uit te voeren. Bewindslieden als demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) en staatssecretaris Raymond Knops (Binnenlandse Zaken en Koninkrijksrelaties) riepen het afgelopen jaar meer dan eens om geen losgeld te betalen of vergoeden aan slachtoffers van een aanval met gijzelsoftware. Ook het Nationaal Cyber Security Centrum (NCSC) adviseert slachtoffers om niet te zwichten voor de financiële eisen van hackers.

De praktijk is echter een stuk weerbarstiger. Het betalen van het losgeld is vaak goedkoper dan het vergoeden van de kosten voor alle herstelwerkzaamheden. Dat is echter nog geen reden om hackers te belonen voor hun daden, zo vindt het kabinet. Het ministerie van Justitie en Veiligheid onderzoekt daarom welke mogelijkheden er zijn om verzekeraars te verbieden om losgeld te vergoeden. Er is nog geen besluit genomen over het voornemen om zo’n verbod op te leggen.

Verbod kan meer kwaad dan goed doen

Het plan van het kabinet gaat enkel om betalingen door verzekeraars. Ondernemers zonder cybersecurityverzekering die besluiten om te betalen, vallen buiten het mogelijke verbod. Waarom is onduidelijk. Dat kan op weinig begrip bij verzekeraars rekenen. “Verbied losgeldbetalingen dan voor alle bedrijven, want de meeste bedrijven hebben geen verzekering”, betoogt Yasi Chalabi van verzekeraar Hiscox.

Het Verbond van Verzekeraars is eveneens kritisch op het voornemen van de overheid. “We snappen het politieke sentiment, maar men moet niet over één nacht ijs gaan”, vertelt een woordvoerder van het Verbond tegenover de NOS. Hij benadrukt dat het niet mogen betalen van losgeld grote gevolgen kan hebben voor slachtoffers en mogelijk het voortbestaan van bedrijven in gevaar kan brengen.

Groenewegen zegt dat slachtoffers soms geen andere keuze hebben dan losgeld betalen. “Ik heb veel bedrijven bijgestaan waar echt alle data weg was. Die hebben dan de keuze: betalen, of weken tot maanden bezig zijn met herstellen en soms zelfs failliet gaan.” Een verbod om losgeld te betalen doet in dergelijke gevallen meer kwaad dan goed.

AXA vergoedt niet langer losgeldbetalingen bij cyberaanvallen

Er zijn verzekeraars die de plannen van het kabinet steunen. Verzekeringsmaatschappij AXA besloot in mei om in Frankrijk niet langer losgeldbedragen te vergoeden bij cyberaanvallen. Reden om tot dit besluit over te gaan, was de forse kritiek van het Franse cybersecurityagentschap ANSSI (Agence Nationale de la Sécurité des Systèmes d’ Information).

Volgens het agentschap is het feit dat verzekeraars de losgeldbedragen die hackers eisen vergoeden de reden dat er zoveel cyberaanvallen in Frankrijk plaatsvinden. “Als je losgeld betaalt, is iedereen de dupe. Het moedigt hackers aan om onze economische infrastructuur aan te vallen, want de Fransen betalen toch wel”, aldus het agentschap. Dat schoot AXA in het verkeerde keelgat en besloot daarom om niet langer losgeld te vergoeden dat bij een cyberaanval wordt geëist.

In de strijd tegen hackers en cybercriminaliteit besloot de Franse president Emmanuel Macron in februari van dit jaar om één miljard euro extra uit te trekken. De helft daarvan wordt gebruikt om nieuwe technologieën voor de recherche te ontwikkelen en beschikbaar te stellen. De andere helft wordt geïnvesteerd om kennis en expertise op het gebied van informatiebeveiliging te versterken. Macron wil een ‘cybercampus’ oprichten. Het aantal banen in de cybersecurity wil de president tussen nu en 2025 verdubbelen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen