Vorig jaar kreeg Nederland te maken met twee ransomware aanvallen die de cybersecurity-industrie opschudden. Dit veroorzaakte een groot debat over de vraag of het goed is om losgeld te betalen. Mr. dr. ir. Bernold Nieuwesteeg, directeur van het Centre for Law and Economics of Cyber Security bij Erasmus School of Law, stelt dat het tijd wordt dat de Nederlandse overheid nieuw beleidsadvies introduceert over hoe organisaties het meest effectief kunnen omgaan met ransomware aanvallen.
In juni 2020 verscheen het tijdschrift Data Cybersecurity and Privacy, waarin mr. Nieuwesteeg het dilemma bespreekt waarmee bedrijven te maken hebben op het gebied van cybersecurity. Cybersecurity-experts kunnen vaak de ‘betrouwbare’ aanvallers onderscheiden van de onbetrouwbare wolven. Bij professionele ransomware-aanvallers kan het een optie zijn om losgeld te betalen, omdat de aanvallers ophouden met aanvallen nadat het losgeld is betaald. Dit gebeurde gelukkig bij de aanval op de Universiteit Maastricht, waar enorme hoeveelheden onderzoeksdata op het spel stonden.
De Nederlandse politie adviseerde echter om nooit losgeld te betalen, omdat er geen garantie is dat het slachtoffer weer toegang krijgt tot zijn gegevens. Sommige individuen krijgen zelfs nooit een decoderingssleutels nadat ze losgeld hebben betaald. Bovendien versterkt het betalen van losgeld het bedrijfsmodel van de cybercrimineel. Het ministerie van Buitenlandse Zaken besloot daarom geen losgeld te betalen bij een ‘offline gijzeling’. “Losgeld betalen zou een signaal zijn naar de wereld dat je elke Nederlander zou kunnen gijzelen, aangezien het losgeld toch betaald wordt”, aldus mr. Nieuwesteeg.
Daarom pleit mr. Nieuwesteeg voor een nieuw beleid over hoe organisaties effectief kunnen omgaan met ransomware aanvallen. Bij de ontwikkeling van dit beleid dienen stakeholders zoals de Universiteit Maastricht en andere stakeholders vanuit de overheid, de wetenschap en het bedrijfsleven een prominente rol te spelen.
- Meer informatie