Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cyber Security aan Erasmus School of Law, heeft zich in het Financieele Dagblad uitgesproken over de toenemende problematiek rondom het betalen van losgeld bij een ransomware-aanval. Dit deed hij samen met onder andere Bibi van den Berg, hoogleraar Cybersecurity Governance aan Universiteit Leiden.
“Bedrijven gijzelen door hun computersystemen af te grendelen, een zogenoemde ransomware-aanval, is het meest succesvolle businessmodel dat cybercriminelen op dit moment kennen”, zo stelt Nieuwesteeg in Trouw.
Het domino-effect
Tijdens een ransomware-aanval worden systemen en data van organisaties gegijzeld tot losgeld wordt betaald. Dit is een groeiend probleem dat veel bedrijven treft. Zo ook bij de grootschalige ransomware aanval die plaatsvond in het weekend van 3 juli 2021. “Bij de aanval werd een softwareleverancier gehackt. Deze leverancier levert software aan andere ICT-bedrijven, zodat zij op hun beurt op afstand toegang krijgen tot de computers van hun klanten. Dit heeft gezorgd voor een enorm domino-effect, waardoor wereldwijd honderden bedrijven zijn getroffen”, zo stelt Nieuwesteeg bij Radio 1.
Betalen of niet betalen?
“Het betalen van losgeld om de data en systemen te ontgrendelen is geen maatschappelijke oplossing voor dit probleem”, aldus Nieuwesteeg. Hoewel het een bedrijf veel kan kosten om hun producten en/of diensten tijdelijk niet te kunnen leveren en de IT-infrastructuur opnieuw op te bouwen, wordt in het Financieele Dagblad benadrukt dat het betalen van het losgeld niet kan worden gezien als maatschappelijke oplossing maar dat dit juist bijdraagt aan het versterken van het criminele businessmodel.
Het criminele businessmodel onderuit halen
“Het criminele businessmodel wordt pas onderuit gehaald wanneer bedrijven niet meer betalen. Bedrijven moeten daarvoor echter door de samenleving in staat worden gesteld om niet te betalen, door kosten van het ‘niet betalen van het losgeld’ lager te maken dan de kosten van het ‘wel betalen van het losgeld”, aldus Nieuwesteeg. Dit kan op verschillende manieren worden gefaciliteerd. Bijvoorbeeld door verzekering van de schade van een cyberaanval. In tegenstelling tot de veelvoorkomende verzekering voor een deel van de losgeldsom, beschermt verzekering van schade van de cyberaanval de ondernemer voor dreiging van faillissement gaan zonder het criminele businessmodel te stimuleren.
Nieuwesteeg concludeert in het Financieele Dagblad: “Het is belangrijk dat organisaties met een publieke rol zich gezamenlijk en hardop uitspreken tegen betaling aan criminelen bij ransomware-aanvallen, en bij een toekomstige aanvallen een voorbeeld tonen door niet te betalen. Samenwerking en informatiedeling met organisaties in dezelfde sector en met politie en justitie zijn hierbij essentieel.”
- Onderzoeker
- Meer informatie
Klik hier voor het artikel van het Financieele Dagblad.
Klik hier voor het bericht van Trouw.
Klik hier voor het fragment van NPO Radio 1