Betaal geen losgeld bij een ransomware-aanval (open brief)

Ransomware, het gijzelen van systemen en data van organisaties, is een groeiend probleem. Recent stelde het Nationaal Cyber Security Center dat dit fenomeen onze nationale veiligheid bedreigt. Wanneer organisaties een aanval te verduren krijgen, kunnen zij hun producten en diensten niet meer leveren. Het kost organisaties veel geld en tijd om weer up and running te zijn. Men betaalt vaak losgeld om dit voor elkaar te krijgen. Verzekeraars spelen daarop in met verzekeringspakketten waarin het losgeld (deels) wordt vergoed.

Het is begrijpelijk dat organisaties losgeld betalen. Dit is vaak goedkoper dan het opschonen of vervangen van de hele IT-infrastructuur. Bovendien kost dat laatste tijd: tijd waarin geen producten of diensten kunnen worden geleverd. Als de verzekering de kosten dekt en ondersteuning biedt, is de keuze nog eenvoudiger.

Crimineel businessmodel
Toch zijn er zwaarwegende redenen om af te stappen van losgeldbetalingen. Er is namelijk een spanning tussen het handelen van individuele organisaties en het belang van alle andere organisaties, en zelfs de samenleving als geheel. Elke losgeldbetaling draagt bij aan het versterken van een crimineel businessmodel. Cybercriminelen investeren in activiteiten die een hoge economische verwachtingswaarde hebben. Wanneer het betalen van ransomware tot norm verwordt, gaan het aantal aanvallen en de hoogte van het losgeld omhoog.

Losgeld betalen uit een verzekering lijkt de zaken te verergeren. Anekdotisch bewijsmateriaal uit de Verenigde Staten laat zien dat bedrijven met een dergelijke cyberverzekering meer ransomware aanvallen te verduren krijgen dan organisaties zonder verzekering. Logisch, want criminelen weten dat hun inspanningen beloond zullen worden. Als gevolg daarvan stijgt de verzekeringspremie flink, met hogere kosten voor organisaties tot gevolg. Zo belanden we in een economische spiraal die alleen voor de criminelen wenselijk is.

Bovendien is een losgeldbetaling niet altijd een goedkopere en snellere oplossing voor organisaties. Cybercriminelen gedragen zich steeds vaker als slechte business partners: ze ontsleutelen systemen weliswaar na betaling, maar buitgemaakte data wordt veelal alsnog verhandeld op de zwarte markt. Het is ook niet altijd helder of aanvallers daadwerkelijk uit alle systemen verdwenen zijn, of dat zij zich opmaken voor een volgende aanval.
 
Steviger reguleren en anders verzekeren?
Wat is er nodig om organisaties ertoe te bewegen om bij een ransomware-aanval geen losgeld meer te betalen? Dit vereist veranderingen op systeemniveau: alleen wanneer verschillende maatregelen tegelijk genomen worden, kunnen we redelijkerwijs van organisaties verwachten dat zij hun gedrag zullen veranderen.

Er geldt op dit moment geen verbod op het betalen van losgeld. We kunnen onderzoeken of steviger reguleren een positief effect heeft. Er is wel een beweging zichtbaar waarbij (publieke) organisaties er vrijwillig voor kiezen geen losgeld meer te betalen. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek deed dit bij een aanval in februari bijvoorbeeld niet.

Zichtbare organisaties moeten zich gezamenlijk en publiekelijk uitspreken tegen betaling aan criminelen bij ransomware-aanvallen, en wanneer aangevallen een voorbeeldrol spelen door niet te betalen. Samenwerking en informatiedeling met organisaties in dezelfde sector en met politie en justitie zijn hierbij essentieel.

Laat verzekeraars in hun pakket het betalen van losgeld vervangen door het verzekeren van (een deel van) de kosten van de afwikkeling van een ransomware-incident. Dat kan gaan om kosten voor het vervangen van (een deel van) de IT-omgeving, maar ook om andere kosten als gevolg van het weglekken van data. Door die zaken te vergoeden worden organisaties gesteund zonder dat het criminele businessmodel wordt versterkt.

Uiteraard is een vereiste dat organisaties de cybersecuritybasis op orde hebben. Dat is gemakkelijker gezegd dan gedaan en vergt forse investeringen. Ook moet geïnvesteerd worden in een stevige infrastructuur op organisatie- en sectorniveau om in geval van incidenten snel en effectief te kunnen reageren. De verschillen tussen organisaties en sectoren zijn op dit moment te groot.

Tot slot moeten we als samenleving cyberaanvallen accepteren als een fact of life. We moeten ons bovendien realiseren dat organisaties als we van ze vragen geen losgeld te betalen, veel tijd en geld moeten investeren in het te boven komen van dit type aanvallen. Dat kan ernstige consequenties hebben voor bedrijven, burgers en consumenten die dan moeten accepteren dat producten en diensten soms tijdelijk niet leverbaar zijn. Bij lege schappen is dat nog één ding, maar als het gaat over een tekort aan stroom of zorg liggen de zaken wellicht anders. Het is dus tijd voor meer maatschappelijk debat, ook over de lange termijn. De keuzes zijn niet gemakkelijk en moeten doordacht worden gemaakt.


Getekend door de volgende betrokkenen bij ACCSS, de Academic Cyber Security Society:

Mr. dr. ir. Bernold Nieuwesteeg - directeur CLECS (Erasmus Universiteit Rotterdam)
Prof. dr. Bibi van den Berg - hoogleraar Cybersecurity Governance (Universiteit leiden)
Prof. dr. ir. Aiko Pras - hoogleraar internet security (Universiteit Twente)
Prof. mr. Arno Lodder - hoogleraar Internetrecht (Vrije Universiteit)
Prof. dr. ir. Cees de Laat - hoogleraar System and Network Engineering (Universiteit van Amsterdam)
prof. mr. dr. ir. Bart Custers - hoogleraar Law & Data Science (Universiteit Leiden)
Prof. dr. Bert-Jaap Koops - hoogleraar regulering van technologie (Tilburg University)
Prof. dr. ir. Joan Daemen - hoogleraar digital security (Radboud Universiteit Nijmegen)
Prof. dr. Marko van Eekelen - hoogleraar digital security (Open Universiteit Heerlen)
Prof. dr. Marten van Dijk - groepsleider Computer Security (CWI)
Prof. dr. ir. Nele Mentens - hoogleraar Toegepaste Cryptografie en Databeveiliging (Universiteit Leiden)
Prof. dr. ir. Roland M. van Rijswijk-Deij - adjunct hoogleraar network security (Universiteit Twente)
Prof. dr. Stijn Ruiter - hoogleraar social & behavioural sciences (Universiteit Utrecht), senior onderzoeker (NSCR)
Prof. dr. Michael Faure – hoogleraar law & economics (Erasmus Universiteit Rotterdam)


Deze open brief verscheen als opiniestuk op zaterdag 3 juli in Het Financieele Dagblad

Bekijk de Nationale Cybersecurity Research Agenda III
Bekijk de Nationale Cybersecurity Educatie Agenda