Print:

Kopzorgen over ransomware: u ook … ?

Peter van Schelven , Adviseur ICT & Recht

LinkedIn profiel

De jaarlijkse schade die wereldwijd wordt geleden door aanvallen op IT-systemen met ransomware wordt door sommigen geschat op vele miljarden dollars. Wat de precieze schade ook is, duidelijk is wel dat de impact van ransomware voor organisaties immens, of zelfs fataal, kan zijn. Niet meer dan begrijpelijk dat bedrijven kopzorgen over ransomware hebben.

In mei van dit jaar was het voorpaginanieuws dat Colonial Pipeline, de exploitant van het grootste pijpleidingsysteem voor geraffineerde olieproducten in de VS, vijf dagen lang plat lag vanwege de versleuteling van systemen met ransomware, vermoedelijk ergens afkomstig uit Oost-Europa. Het leidde direct tot stijgende benzineprijzen in het oosten van de VS. Het bedrijf betaalde de criminele daders initieel een bedrag van 4,4 miljoen dollar in de vorm van bitcoins als losgeld (‘ransom’), in de hoop de getroffen systemen weer snel te kunnen ontsleutelen. Een bedrag dat een schijntje was vergeleken met de werkelijke business-schade.

Dit Amerikaanse geval is slechts een voorbeeld uit vele. De FBI becijferde dat alleen al in 2020 er in de VS sprake was van een toename van meer dan 225% van de totale verliezen door ransomware. Ik heb geen reden om aan te nemen dat het in Europa wezenlijk beter gaat.

Ransomware in Nederland

En dan dichter bij huis: de Universiteit Maastricht betaalde naar aanleiding van een spraakmakende aanval in de winter van 2019 de criminele daders circa 200.000 euro. Met een gerichte actie werden 267 servers uit het Windows-domein getroffen. Grote delen van de universiteit konden door de cyberaanval een aantal dagen niet werken. En meer recent: de kwestie bij het Hof van Twente, die een paar dagen met haar digitale dienstverlening uit de lucht moest. Mag ik de media geloven, dan is het gevraagde losgeld van 750.000 euro’s hier niet betaald. Nog meer recent in eigen land is de aanval op 24 bedrijven van de Mandemakers Group, leverancier van keukens en badkamers. Er is niet publiekelijk bekend gemaakt of in dat geval een losgeld is voldaan.

Deze voorbeelden roepen de wezenlijke vraag op: is het wel of niet raadzaam losgeld te betalen aan criminele daders die ransomware inzetten als wapen tot afpersing? De Nederlandse overheid neemt hier een duidelijk standpunt in: niet doen! Het Nationaal Cybersecurity Centrum van de rijksoverheid raadt betaling af, omdat er geen zekerheid is dat de sleutel die nodig is om te ontsleutelen ook daadwerkelijk wordt verstrekt en omdat denkbaar is dat het slachtoffer nog een tweede keer wordt geraakt. Op zich geen onbegrijpelijk standpunt, temeer als je bedenkt dat dikwijls toch nog forse extra recovery-kosten gemaakt moeten worden. Immers, ontsleuteling garandeert niet dat alle data weer in ongeschonden staat beschikbaar komen. In de bovenwereld zijn er dan ook maar weinigen die staan te juichen bij de gedachte dat ernstig ontwrichtend crimineel gedrag financieel wordt gefaciliteerd. Logisch toch?

Water aan de lippen?

Maar wat doe je wanneer het water je als CEO of burgemeester na een aanval aan de lippen staat, bijvoorbeeld omdat je geen bruikbare back-ups in huis hebt. De tent sluiten? Eindigen in de faillissementskamer van de rechtbank? Je hoofd op het politieke hakblok leggen? Of tegen wil en dank dan toch maar een bedragje voor de daders ophoesten? Niet velen zullen zich graag voor een dergelijk vreselijk dilemma geplaatst willen zien. Feit is dat, ondanks het goedbedoelde advies van de overheid, slachtoffers steeds vaker overgaan tot betaling. Internationaal onderzoek naar de omgang met ransomware bevestigt dat.

Haken en ogen

Voor ogen moet worden gehouden dat aan betaling van losgeld nogal wat juridische haken en ogen zitten, die uiteraard goed moeten worden uitgezocht alvorens je tot betaling besluit. Een voorbeeld in dit verband is dat de betaler zich mogelijk blootstelt aan het risico van gevangenisstraf of mega-boetes als sanctiewetgeving wordt geschonden bij – directe of indirecte – betaling aan daders in bepaalde landen, bijvoorbeeld Noord-Korea. Dat noopt er toe specifieke juridische expertise op het vlak van internationale handelssancties in te schakelen.

De betalingsbereid van slachtoffers hangt samen met de verzekeringswereld. Veel van de in de markt beschikbare cyberverzekeringen voorzien in een dekking van losgeld, maar ook in de inzet van gespecialiseerde internationale onderhandelaars bij cyberincidenten. In het bedrijfsleven neemt de belangstelling voor deze verzekeringsvorm stevig toe, ook al blijken verzekeraars door de explosief toegenomen schadebedragen de laatste tijd steeds meer op hun hoede te zijn bij de vraag welke nieuwe partijen zij een dekking willen geven.

In de VS zie je dat steeds meer gemeenten, een gewild doelwit van cyberaanvallen, hun weg naar de cyberverzekering vinden. Het zou geen slechte zaak zijn als ook overheidsinstanties in Nederland eens serieus nadenken over zo’n dekking. Dat gebeurt nu nog te weinig. Tja, als burgemeester heb je misschien één kopzorg minder wanneer je de financiële en operationele drama’s die een aanval met ransomware veroorzaakt, voor een deel op het bordje van een verzekeraar legt……

 

Alles weten over het adequaat voorkomen, ontdekken, beperken en herstellen van een ransomware-aanval of malware-infectie? Na de driedaagse masterclass Ransomware: detectie, respons, preventie gaat u naar huis met praktische handvatten.

Verder lezen?

Meer leren over ransomware en het tegengaan van cybercrime? Laat uw e-mail achter en ontvang de gehele brochure over de opleiding Ransomware direct in uw mailbox.