Meldplicht voor betaling van losgeld na ransomware-aanval?
Peter van Schelven, Legal Counsel | BIJ PETER – Wet & Recht
Kent u Conti, LockBit, Hive of de Lapsus$ Group? Het zijn zomaar wat namen van criminele bendes die als ‘marktleiders’ bakken met geld verdienen met het uitvoeren en faciliteren van ransomware aanvallen. De praktijken van dit soort cybercriminelen zijn uitgegroeid tot een geraffineerd georganiseerde industrie waarin veel geld, veelal in de vorm van cryptovaluta, omgaat. Betrouwbare totaalcijfers ontbreken, maar het staat wel vast dat slachtoffers van aanvallen dikwijls bereid zijn tot betaling van forse bedragen aan losgeld (‘ransoms’). Staat het water je aan de lippen omdat cybercriminelen de IT-systemen van jouw organisatie hebben platgelegd, dan is die bereidheid niet onbegrijpelijk.
Zo betaalde het bedrijf Colonial Pipeline, het grootste bedrijf in de VS dat oliepijpleidingen exploiteert, vorig jaar nog zo’n 4,4 miljoen dollars in bitcoins om versleutelde systemen te kunnen ‘de-crypten’. Het bedrijf kon dagenlang geen brandstof transporteren en leveren. Dat zijn uiteraard ontwrichtende zaken. Het verbaast dan ook niet dat de Amerikaanse overheid onlangs nog een beloning van maar liefst 10 miljoen dollar (!) heeft uitgeloofd voor informatie over de criminelen achter de Conti-ransomwaregroep. En dichter bij eigen huis: Colosseum Dental Benelux, die ongeveer 130 tandartspraktijken in Nederland en België exploiteert, werd recentelijk in augustus getroffen door een stevige ransomware aanval en naar verluid is daarvoor een forse som geld betaald. Het precieze bedrag is door het bedrijf niet bekend gemaakt, maar media spreken over enkele tonnen euro’s.
RaaS: Ransomware-as-a-Service
De businessmodellen van de ransomware-industrie veranderen continu. Enige jaren terug probeerden cybercriminelen hun slag vooral te slaan door hun malware als hagel op talloze potentiële slachtoffers af te vuren, in de hoop dat enkelen losgeld zouden dokken. Tegenwoordig richten zij hun acties meer en meer op zorgvuldig geselecteerde specifieke organisaties, waarvan de kwetsbaarheden vooraf gedegen in kaart worden gebracht en waarbij het gevraagde losgeld gebaseerd is op een financiële analyse van het beoogde slachtoffer.
Daarnaast zien we dat de cybercriminelen ook naar andere vormen van financieel gewin zoeken. Niet zelden worden de door een aanval getroffen data niet alleen versleuteld of voor de gebruiker ‘gelockt’, maar steeds vaker ook worden data gestolen, waarna de buit publiekelijk aan de hoogste bieder – uw concurrent? – te koop wordt aangeboden.
Een andere ontwikkeling is die van RaaS: Ransomware-as-a-Service. De makers van geavanceerde ransomware ‘verhuren’ hun software vanuit de Cloud dan tijdelijk aan anderen, uiteraard tegen afdracht van een deel van de geïncasseerde losgelden. Het gebruik van ransomware is daarmee een fluitje van een cent geworden; als gebruiker hoef je de malware immers niet eerst zelf te ontwikkelen.
Losgeld: wel of niet betalen?
In juli jongsleden publiceerde ENISA, het Europees Agentschap voor Cyber Security, de resultaten van een dieptenanalyse van 623 ransomware incidenten uit de periode van mei 2021 tot juni 2022. Nederland staat in de Top 40 van de in dat onderzoek betrokken landen op een bedenkelijk hoge 8e plaats. Nederlandse organisaties worden dus relatief vaak getroffen, aldus ENISA.
Het lezenswaardige rapport van ENISA laat zien dat gevalideerd cijfermateriaal over betalingen van losgeld goeddeels ontbreekt. Door ransomware getroffen private organisaties brengen daarover begrijpelijkerwijs niet graag iets naar buiten. Niettemin komen de onderzoekers tot de onderbouwde schatting dat in ruim 62% van de incidenten de getroffen organisaties op de afpersing door de cybercriminelen zijn ingegaan. Het rapport geeft aan dat niet duidelijk is hoe ‘onderhandelingen’ met de cybercriminelen doorgaans verlopen. Uit de praktijk weten we wel dat gedupeerde organisaties zich soms laten bijstaan door professionele gespecialiseerde onderhandelaars.
Dat getal van 62% werpt de vraag op hoe effectief de dringende oproep van de ENISA en de Nederlandse rijksoverheid om bij een ransomware aanval nooit tot betaling over te gaan, nou werkelijk is. Toegegeven: door betaling houd je een kwaadaardige en maatschappij-ontwrichtende industrie in stand en dat is bedenkelijk. En verder is het zo dat je door een betaling niet zekerstelt dat je weer ongestoord en schadevrij de beschikking krijgt over de getroffen databestanden. Ook vervolgaanvallen zijn niet uitgesloten. Ethisch gezien verdienen deze oproepen dus volop onze sympathie, maar de boodschap van de Europese en Nederlandse autoriteiten lijkt niettemin tamelijk naïef.
Amerikaanse en Europese wetgeving
Een insteek die ook in Europa de moeite van het overwegen waard is treffen we aan in de nieuwe Amerikaanse “Cyber Incident Reporting for Critical Infrastructure Act”. Mede aangespoord door de oorlog in Oekraïne heeft President Biden afgelopen voorjaar zijn handtekening onder deze cyberwet gezet. Zodra de kring van bedrijven en organisaties voor wie de wet geldt nader is vastgesteld, voorziet zij in een nieuw rechtsinstrument: de uitdrukkelijke verplichting om betalingen van losgeld aan de Amerikaanse autoriteiten te melden.
Niet alleen moet informatie over de aard van de ransomware aanval en de betrokken data worden gegeven, maar ook de financiële eisen van de daders, hun betaalinstructies, wat het daadwerkelijk betaalde losgeld is en aan wie de betaling is gedaan, moeten worden gemeld. Melding moet binnen 24 uur na betaling worden uitgevoerd. Met die informatie, waar de Amerikaanse overheid overigens vertrouwelijk mee moet omgaan, moet een beter beeld van criminele praktijken kunnen worden opgebouwd.
Ransomware Europa richtlijnen
Hoe zit dat in Europa? Binnen de EU komt naar verwachting op korte termijn de zogeheten NIS-2 Richtlijn in de lucht. Dat is Europese wetgeving over de beveiliging van netwerk- en informatiesystemen die vervolgens nog in de lidstaten in nationale wetgeving moet worden omgezet. Anders dan de Amerikaanse wet spreekt NIS-2 nergens expliciet over losgeld. Wèl is er de verplichting om bij een melding een ‘gedetailleerde beschrijving van het incident, de ernst en de gevolgen ervan’ te geven, maar het is zeer de vraag of dat ook informatie over losgeld omvat.
Het is ook wel erg mager om in NIS-2 te lezen dat lidstaten de vitale sectoren moet ‘aanmoedigen’ om incidenten met een vermoedelijk ernstig crimineel karakter aan de betrokken rechtshandhavingsinstanties te melden. Datzelfde geldt ook voor de passage die zegt dat de nationale autoriteiten voor de meldplicht van cyberincidenten die het gevolg zijn crimineel gedrag nadere ‘richtsnoeren’ mogen maken. Al met al zwijgt Europa op het punt van het losgeld bij ransomware aanvallen in alle toonaarden.
Geld heeft in de wereld een sterk sturende kracht, wellicht meer dan welke juridische regel dan ook. In de wereld van de cybercriminaliteit is dat niet anders. Het stilzwijgen van de Europese wetgever over losgeld is daarom een gemiste kans… Onder dankzegging van de cybercriminelen in de wereld, die wel baat hebben bij een samenleving die niet veel over losgeld weet…
Dit artikel is geschreven door Peter van Schelven, zelfstandig IT-jurist te Oudewater. Peter van Schelven is al 30 jaar werkzaam op het raakvlak van ICT en recht. Ook is Peter verbonden aan verschillende trainingen, opleidingen en congressen van Outvie.
Tijdens de 3-daagse opleiding Cybersecurity voor juristen maakt u kennis met alle facetten van cybersecurity. De opleiding heeft een hoog praktijkgehalte met real-life cases en jurisprudentie uit spraakmakende cyber-zaken.
Dataprotectie & Privacy
Tijdens de 12e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Cybersecurity voor juristen
Tijdens deze 2/3-daagse training maakt u kennis met alle facetten van cybersecurity. De training...
Download de brochure
Share
