Is het verantwoord om losgeld te betalen in geval van ransomware? Deze vraag legden wij voor aan drie experts op het gebied van privacy, cybersecurity en informatiebeveiliging. Hoe staan hoogleraar en advocaat Lokke Moerel, cybersecurity researcher Jornt van der Wiel en legal counsel Imke Eikendal tegenover het betalen van losgeld in geval van ransomware?
Steeds vaker kiezen organisaties ervoor losgeld te betalen wanneer het bedrijf is geraakt door een cyberaanval. Zo besloot de Universiteit van Maastricht recent een paar ton losgeld te betalen nadat alle systemen en bestanden waren gegijzeld. Waarom kiezen organisaties er steeds vaker voor de losprijs te betalen, en is dit wel zo wenselijk?
In de Verenigde Staten werden afgelopen jaar 764 zorgaanbieders, 113 overheden en agentschappen en 89 universiteiten en schooldistricten (met in totaal 1.233 individuele scholen) getroffen door gijzelsoftware, schreef antivirusbedrijf Emsisoft onlangs in een blog.(1)
Welke partijen achter de uiteenlopende aanvallen zitten is vrijwel altijd onduidelijk. Vaak gaat het om kwaadaardige software die criminelen als een dienst kunnen huren. Een deel van die criminele groeperingen wordt getolereerd (en in bepaalde gevallen zelfs gesteund) door regimes in onder meer Rusland, Iran, en Noord-Korea.
Het is een voorbode van wat ons in Nederland de komende tijd te wachten staat. Incidenten zoals die bij de Universiteit van Maastricht zijn pas het begin.(2) Ook onze publieke instellingen zijn eenvoudige doelwitten. Hun beveiliging is op dit moment onvoldoende en de maatschappelijke impact is groot als hun systemen en gegevens niet beschikbaar zijn. Omdat de kosten van herstel het te betalen losgeld in veel gevallen ver overtreft, zullen dergelijke partijen snel de beslissing nemen om de losprijs te betalen. Doordat wordt betaald, zien we dat de criminelen steeds agressiever worden en de geëiste losgeldbedragen steeds hoger. Dit is geen houdbaar systeem, we financieren zo zelf deze criminaliteit.
Omdat de problemen groot zijn, dekken veel verzekeringsmaatschappijen nu ook de losgeldbetalingen. Er is een hele industrie ontstaan waarbij bedrijven losgeldbetalingen faciliteren die meestal in Bitcoins of andere cryptovaluta worden gedaan, omdat deze niet traceerbaar zijn. Om de cirkel te doorbreken zal de overheid op zijn minst een ‘niet betalen’-beleid moeten hanteren. Zo’n beleid is echter alleen houdbaar als er centrale ondersteuning komt voor publieke instellingen. We hebben het over wereldwijde, hardcore criminele organisaties. Dan kun je niet tegen een lokale school of gemeente zeggen dat ze dit zelf maar op moeten lossen. Kleine publieke organisaties moeten ondersteuning krijgen om hun beveiliging en incident response plan naar een hoger plan te tillen en ook assistentie te krijgen bij mitigatie en herstel. Voor private bedrijven zou moeten gelden dat voordat losgeld mag worden betaald (laat staan verzekerbaar is) eerst onze opsporingsdiensten moeten worden geïnformeerd en geraadpleegd. Hiervoor moet worden opgeschaald. Als we ons beleid in Nederland beter op orde krijgen, dan zul je zien dat dit soort criminelen hun activiteiten naar een makkelijker land verplaatsen. Je moet zorgen dat je niet het afvoerputje bent.
Wanneer je in de Van Dale het woord ‘verantwoord’ opzoekt, vind je de volgende definitie: “zonder overdreven risico's te doen”. Is het betalen van losgeld nadat je besmet bent geraakt met ransomware zonder overdreven risico? In de praktijk vaak wel. Als je betaalt worden je bestanden vaker wel dan niet ontsleuteld. Criminelen houden daarmee hun eigen business model in stand. Als bestanden immers nooit ontsleuteld zouden worden na betaling, dan betaalt op den duur niemand meer.
Er zijn natuurlijk ook gevallen bekend waar het misgaat. Zo worden bestanden na betaling niet ontsleuteld, of de ontsleuteling gaat mis. Dit komt wel eens voor bij ransomware die slecht van kwaliteit is. Bestanden worden bijvoorbeeld per ongeluk meerdere keren versleuteld; dit is iets waar de decryptie-applicatie van de criminelen geen raad mee weet. In weer andere gevallen wordt er helemaal geen ontsleuteling aangeboden na betaling.
Een andere definitie van verantwoordelijkheid is volgens de Van Dale: “rekenschap geven van, rechtvaardigen”. Wanneer naar deze definitie gekeken wordt, komt het betalen van losgeld in een ander daglicht te staan. Op het moment dat de crimineel achter de ransomware losgeld ontvangt, wordt het geld vaak weer gebruikt om verdere investeringen te doen. Concreet betekent dit dat er nog meer computers besmet raken met ransomware. Hierdoor ben je, als je besluit te betalen, er mede verantwoordelijk voor dat andere computers ook besmet raken.
De vraag of je moet betalen of niet, is niet een vraag die wij kunnen beantwoorden. Dit hangt per geval af. Het gaat namelijk behoorlijk ver om tegen iemand te zeggen dat hij of zij niet moet betalen als op de computer de allerlaatste foto’s van een dierbare staan. Er zijn ook gevallen bekend waarbij, indien er niet betaald werd, het desbetreffende bedrijf niet op tijd bij haar data kon, waardoor er een grote kans was dat het bedrijf failliet zou gaan. Mensen zouden daardoor hun baan verliezen.
Ons standpunt is daarom dat je niet moet betalen, tenzij je gegronde redenen hebt om het wel te doen. Er zijn immers ook andere mogelijkheden om nog bij (een groot gedeelte van) je bestanden te komen. Zo zijn er forensische tools zoals ‘PhotoRec’ die nog een hoop bestanden terug kunnen vinden. Ook is er het samenwerkingsinitiatief ‘NoMoreRansom’: hier werken politie en de private sector samen tegen bestrijding van ransomware. Op de website www.nomoreransom.org staan de resultaten: een lange lijst met decryptie-applicaties waarmee je zonder te betalen je bestanden kan ontsleutelen. Kortom, er zijn nog een hoop andere mogelijkheden dan betalen!
In handen vallen van cybercriminelen is een kostbare aangelegenheid. Apart van het wel of niet betalen van losgeld zal je als bedrijf of instelling aan het werk moeten om een dergelijke aanval in de toekomst te voorkomen. Wat was de oorzaak van de aanval, waar zaten de zwakke plekken? Oude systemen, niet goed beveiligde servers, onoplettende medewerkers? Gevaar zit in de kleinste hoekjes.
Een aanval met ransomware of een andere cyberaanval kan je altijd overkomen. Ook jouw organisatie. Voorkomen lukt niet altijd, maar voorbereid zijn heb je zelf in de hand. Start met nadenken over wat de kritieke data van jouw organisatie is en wat je op welke manier wil beschermen. Leg dat vast in beleid. In een informatiebeveiligingsbeleid wordt onder andere vastgelegd hoe met incidenten wordt omgegaan. In een incident response plan kan je dus ook opnemen hoe om te gaan met een ransomware situatie. Het management zal dan van tevoren al moeten nadenken over dergelijke situaties en kan eventueel besluiten een cybersecurityverzekering af te sluiten. De belangrijkste oefening voor de directie en het management is dat zij van tevoren al eens hebben nagedacht over hun reactie in geval van een cyberaanval.
Data beperkt zich niet tot één organisatie. Denk daarom ook vooral goed na bij het aangaan van een nieuwe samenwerking. Wees op de hoogte van de data die hierbij (mogelijk) gedeeld gaat worden. Verzeker je er van dat er bij het aangaan van een nieuwe samenwerking niet alleen gekeken wordt naar de contractafspraken, maar ook dat de daadwerkelijke processen aansluiten op het informatiebeveiligingsbeleid van jouw organisatie. Je infrastructuur kan nog zo goed beschermd zijn, als niet alle afdelingen en/of externe partijen volgens dezelfde standaarden werken kan daar een zwakke plek ontstaan. En zo geldt ten aanzien van informatiebeveiliging: je bent zo sterk als je zwakste schakel. Denk bij het opstellen van je informatiebeveiligingsbeleid niet alleen aan de afdeling IT. Stel een informatiebeveiligingsbeleid op met een team van verschillende disciplines. Zijn de processen inzichtelijk gemaakt, zorg er dan voor dat de gehele organisatie deze naleeft. Dus ook afdelingen waar veel met data wordt gewerkt, zoals Customer Care en de marketingafdeling. Bewustwording is zeker niet het makkelijkste gedeelte, wel minstens zo belangrijk. Tenslotte zul je ook naar buiten toe goed over je verhaal na moeten denken. Vergeet in het beleid en je incident response plan daarom de woordvoerders niet: contact met journalisten om jouw verhaal helder in de pers te kunnen vertellen is van groot belang bij schadebeperking van jouw merknaam. Ook dat kun je vooraf trainen. En trainen helpt direct bij de bewustwording!
Cybercriminelen zijn er op getraind zwakke plekken te vinden. Laten we ze niet slimmer (en rijker) maken door het betalen van losgeld. Probeer ze voor te zijn door middel van een goed beveiligde infrastructuur, goed beleid dat in de praktijk wordt nageleefd en een goede en geoefende voorbereiding op een rampscenario.
(1) https://blog.emsisoft.com/en/34822/the-state-of-ransomware-in-the-us-report-and-statistics-2019/
(2) https://www.privacy-web.nl/nieuws/universiteit-maastricht-betaalde-paar-ton-losgeld
Dit artikel is ook te vinden in de dossiers Informatiebeveiliging en Datalek
