Het is een vraag die telkens weer wordt gesteld wanneer een organisatie het slachtoffer is geworden van een ransomware-aanval. Nog altijd besluiten veel bedrijven die het slachtoffer worden van ransomware om de criminelen te betalen. Volgens een onderzoek van Kaspersky uit 2021 gaf bijna de helft van de ondervraagde Nederlandse organisaties die in 2020 getroffen waren door ransomware aan dat ze het gevraagde losgeld betaald hadden. Ook Mondzorgorganisatie Colosseum Dental Benelux besloot onlangs om te betalen, om zodoende weer toegang te krijgen tot systemen en patiëntendata. Het is niet bekendgemaakt hoe hoog het betaalde bedrag was. Dierentuin Artis, dat in juni van dit jaar werd getroffen door ransomware, maakte een andere keuze: zij betaalden niet. Artis koos ervoor om zelf systemen te herstellen met behulp van backups, een proces dat uiteindelijk slechts enkele dagen duurde.
Politie en justitie: betaal niet!
Die discussie wel of niet betalen is al jarenlang gaande. Politie en justitie raden ten sterkste af om te betalen, omdat criminelen daarmee worden beloond voor hun activiteiten, wat het signaal afgeeft dat deze vorm van internetcriminaliteit loont. Ook kan het binnengehaalde losgeld gebruikt worden om nieuwe, effectievere aanvalstechnieken te ontwikkelen. Daarnaast geeft het betalen van losgeld geen enkele garantie dat systemen en data ook daadwerkelijk weer toegankelijk worden voor de organisatie.
Er zijn verschillende redenen waarom organisaties er toch voor kiezen om te betalen. De kosten voor het zelf herstellen van de versleutelde systemen en informatie kunnen hoger zijn dan het gevraagde losgeldbedrag. Of het verlies dat een organisatie lijdt doordat de bedrijfsactiviteiten voor langere tijd stilliggen, is onacceptabel. Nog zwaarder wegen natuurlijk overwegingen bij bijvoorbeeld zorginstellingen, waar de gezondheid en mogelijk zelfs levens van patiënten in gevaar kunnen komen.
Wettelijk verbod?
Toch is het betalen van losgeld iets dat zo veel mogelijk moet worden voorkomen. In het najaar van 2021 onderzocht de regering de mogelijkheid voor een verbod op het vergoeden door verzekeraars van losgeld dat slachtoffers van ransomware aan cybercriminelen hebben betaald. Maar er is op dit moment nog geen voornemen om losgeldbetalingen wettelijk te verbieden. Een algemeen wettelijk verbod op het betalen van losgeld is ook een zeer moeilijke kwestie, omdat slachtoffers van ransomware-aanvallen dan in feite dubbel kunnen worden ‘gestraft’. Naast de financiële impact van versleutelde en gestolen gegevens, zouden ze dan te maken kunnen krijgen met extra financiële straffen voor hun pogingen om gegevens terug te krijgen en weer toegang te krijgen tot systemen. Een ding is zeker: slechts zeer weinig organisaties die met deze sancties worden geconfronteerd, zullen bereid zijn om toe te geven dat ze het slachtoffer zijn geworden. Dan zou niemand ooit de ware omvang van ransomware-activiteiten weten.
Het nemen van goede maatregelen stimuleren
Het belangrijkste probleem met een aanpak die gebaseerd is op een verbod en boetes, is dat dit veel te sterk gericht is op het straffen van – in feite onschuldige – overtreders. Wat veel beter zou zijn, is het stimuleren van een goede aanpak en maatregelen om ransomware te bestrijden. De belangrijkste reden waarom ransomware zo vaak voorkomt, is dat de meeste bedrijven hun gegevens niet goed beschermen door middel van up-to-date offline backups of backups in de cloud. Prikkels die bedrijven stimuleren om ervoor te zorgen dat ze zo altijd toegang hebben tot een hoogwaardige kopie van hun gegevens, zullen waarschijnlijk een veel positiever effect hebben. Misschien is het tijd voor een nationale bewustmakingscampagne die bedrijven aanzet om daarvoor te zorgen. Daarmee zou het aantal potentiële ransomware-slachtoffers aanzienlijk verminderen.
Zo’n campagne om ransomware te bestrijden zou nog een tweede doel dienen: het brede publiek bewuster maken van de kosten van ransomware. Feit is dat ransomware onze economie schaadt. Sommige bedrijven die het slachtoffer zijn geworden, hebben de deuren moeten sluiten. Geld dat ze aan cybercriminelen hebben betaald, was niet beschikbaar om te investeren en zo banen te creëren. In feite is iedereen, of we het ons realiseren of niet, het slachtoffer van ransomware. Het probleem is dat we de omvang van de ransomware-schade nog steeds niet echt beseffen.