Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant is een team van zo’n 25 IT-experts dag en nacht bezig om de aanval te ontmantelen. Ik kreeg in de kerstvakantie vele mails van met name studenten over waar ze nu staan met bijvoorbeeld hun afstuderen, maar de interessantste vraag kwam van een lezer die zich afvroeg of de verzekeraar van de universiteit gaat betalen. Dat schijnt namelijk normaal te zijn?

Net voor de kerst werd de universiteit getroffen door het Clop virus, dat zich blijkt te richten op grote instellingen en overheden. Het virus versleutelt niet alleen individuele bestanden (zoals de meeste ransomware) maar ook netwerken: alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. Dan heb je best wel een probleem als organisatie, zoals nu ook blijkt uit de enorme inspanning die de universiteit samen met Fox-IT levert om alles weer te herstellen.

Het plan was om begin januari weer gewoon open te gaan, zij het met natuurlijk nogal wat beperkingen qua netwerkverkeer, toegang tot studie-informatie en ga zo maar door. Er is nog niets over regelingen bekend, maar dit lijkt me zo’n evident geval van overmacht dat zaken als deadlines of inleverdata zonder problemen opgeschoven kunnen worden.

Die ene lezer had nog best een punt: het is niet ondenkbaar dat een verzekeraar het losgeld betaalt wanneer ransomware heeft toegeslagen bij een polishouder. Zakelijk is het immers puur een rekensom: wat kost het om het hele systeem terug te zetten, en hoe hoog is het losgeld? Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.

Voor een individueel slachtoffer is het dus niet gek om gewoon te betalen, hoewel maatschappelijk gezien dat natuurlijk buitengewoon onwenselijk is. Voor een verzekeraar voelt het gekker: die heeft meer klanten die mogelijk slachtoffer kunnen worden, en veroorzaakt zo meer claims bij zichzelf (en concullega’s). Maar voor het individuele geval zou het ook bij de verzekeraar een prima oplossing kunnen zijn.

Ik ken geen wet die expliciet verbiedt dat een verzekeraar losgeld betaalt. Als de verzekeraar dit in de polis zet als recht, dan zou dat waarschijnlijk in strijd met de openbare orde of goede zeden zijn (art. 3:40 BW). Maar dat levert volgens mij alleen op dat de klant de verzekeraar niet kan dwingen te betalen (een dergelijke verbintenis is immers nietig) of dat de verzekeraar het geld als onverschuldigd betaald kan terugvorderen bij de ransomware-verspreider (en dat heeft geen betekenis). Ik ken geen artikel uit het wetboek van strafrecht dat je tegen zo’n betalende verzekeraar in kunt zetten. Waarschijnlijk is het nooit verboden omdat niemand er aan gedacht heeft dat dit grootschalig een ding kon worden – bij traditionele gijzelingen is de politie er meestal bij betrokken, en die kan dan bepalen wat wijsheid is.

Arnoud

37 reacties

  1. Gewoon een #Urgenda-like zaak tegen zulke verzekeraars in het algemeen belang starten. Probleem is dat die verzekeraars een hele bak geld hebben en de Postcodeloterij dit vast niet zomaar gaat steunen (die hebben zelf waarschijnlijk – binnenkort – ook zo’n verzekering.

    Ja, dit is een half off-topic reactie. BW 3:305a is een gedrocht.

    Maar op diezelfde basis kun je op dit moment volgens mij het algemeen belang voor laten gaan aan het individueel belang.

  2. Ja hoor, dat betalen ze gewoon. Uit de polis van mijn cyberverzekering:

    Schade Elk(e): (i) geldbedrag, monetaire middelen (met inbegrip van, maar niet beperkt tot digitale valuta) of de reële marktwaarde van alle eigendommen of diensten die de verzekerde heeft betaald om een cyberafpersing conform artikel 3.1.1 te voorkomen of te beëindigen; (ii) redelijke en noodzakelijke honoraria, kosten en uitgaven van de cyber afpersingsadviseur om een onderzoek te verrichten en de oorzaak te vinden van een cyberafpersing conform artikel 3.1.1 en er een einde aan te maken.

    Ze hebben ook nog een hotline waarmee je een onderhandelaar van hen kan (moet) inschakelen.

    1. Heling is ook voor de koper strafbaar gesteld, mede om een toevlucht van diefstal tegen te gaan. Nu is data geen goed, maar e-heling (beschikken over gestolen gegevens) en computervredebreuk (beschikken over decryptiesleutels van malware) is wel strafbaar. Het is de “tragedy of the commons”: als het gangbaar wordt om te betalen aan criminelen (ipv uitbetalen aan gedupeerden) dan kweek je grond voor cybercriminaliteit. Het officiele devies is: Nooit betalen.

      Interessant in ransomware vindt ik zaakwaarneming: gooi je de communicatie server plat dan kan niemand meer decrypten. En nu? Verspreiding gestopt, maar gegevens voor altijd op slot. Moeilijke en gevaarlijke keuze.

  3. Ja hoor, dat betalen ze gewoon. Uit de polisvoorwaarden van mijn cyberverzekering:

    Schade Elk(e): (i) geldbedrag, monetaire middelen (met inbegrip van, maar niet beperkt tot digitale valuta) of de reële marktwaarde van alle eigendommen of diensten die de verzekerde heeft betaald om een cyberafpersing conform artikel 3.1.1 te voorkomen of te beëindigen; (ii) redelijke en noodzakelijke honoraria, kosten en uitgaven van de cyber afpersingsadviseur om een onderzoek te verrichten en de oorzaak te vinden van een cyberafpersing conform artikel 3.1.1 en er een einde aan te maken.
    Ze hebben ook nog een hotline waarmee je een onderhandelaar kan (moet) inschakelen.

  4. Er is toch geen enkele sprake van aanmoedigen?

    Een verzekeraar koopt in het algemeen vaak schade af. Ook een rechtsbijstandverzekeraar in geval van malafide praktijken waar schade ontstaat onder een X bedrag. Daar is toch ook geen sprake dat deze rb.verzkeraar de malafide ondernemers aanmoedigt…

    Sterker nog; de verzekeraar beperkt de schade voor een ieder, en niet alleen voor zichzelf (studenten kunnen weer aan de gang, de school kan weer draaien). Natuurlijk heeft deze aanpak zijn bedenkingen, maar in strijd met de goede orde lijkt me een buitencategorie waar dit niet onder valt.

  5. Zelfs als het nu is toegestaan om losgeld te betalen, denk ik dat we dat moeten verbieden, en ook moeten verbieden dat er verzekeringen voor kunnen worden afgesloten. Van mij mogen we, net als bij ontvoeringen in Italie, zover gaan dat er preventief beslag wordt gelegd op geld, als er een serieuze kans is dat er losgeld betaald gaat worden. We moeten losgeld betalen gewoon gaan zien als medeplichtig zijn aan het misdrijf, hoe sneu dat misschien ook is voor de slachtoffers.

    Natuurlijk loop je daarmee het gevaar dat personen of instellingen dit soort situaties niet meer gaan melden, maar in gevallen als nu bij de Universiteit Maastricht lijkt me dat iets wat je niet echt meer onder de pannen kunt houden. Bovendien lijkt het me niet meer dan redelijk dat we naast het verbod slachtoffers steunen die helpen bij het oplossen van dit soort problemen. Het is beter om 100 miljoen te betalen aan oplossingen dan 1 miljoen aan criminelen of terroristen.

    1. Hearhear! Zo zie ik het ook. Omdat het vanuit de getroffene bezien vaak sneller/makkelijker/goedkoper is wél te betalen, blijft men dat begrijpelijkerwijs doen totdat daar zware consequenties aan hangen. Maatschappelijke afkeer, reputatieschade zie ik niet snel toenemen. Een actief gehandhaafd verbod met hoge sancties is dan een alternatief.

    2. Hoezo is het beter om 100 miljoen te betalen aan oplossingen dan 1 miljoen aan criminelen? In het algemeen belang lijkt het mij altijd beter om 1 miljoen aan criminelen te betalen en 99 miljoen in de zorg/onderwijs/vulmaarin te steken. Dan zijn je kosten gelijk maar is iedereen beter af.

      1. Omdat die 100 miljoen eenmalig is, en die 1 miljoen elk jaar blijft terugkomen. Omdat die jaarlijkse 1 miljoen steeds meer gaat worden als blijkt dat het zomaar betaald wordt en dus meer criminelen mee gaan doen. Daarom.

        1. Als dat zo is, dan moet je dat mee nemen in je risico calculatie en dan nogsteeds gewoon afwegen wat voordeliger is.

          Dat zal in het geval van Maastricht ook gebeurd zijn. Wat is het losgeld? Wat kost het als de universteit nog 1 a 2 maanden plat liggen? Wat is het toekomstig risico als we het losgeld betalen? Is het betalen van het losgeld + het risico op toekomstige schade goedkoper dan nog een poosje plat liggen + de kosten van alle verloren data, dan moet je gewoon betalen. Het is heel leuk om principieel te zijn maar er zijn wel duizenden studenten die willen afstuderen en werknemers die willen werken.

          1. Een instelling (of particulier) kan deze risicoberekening niet maken, want voor hen zijn de maatschappelijke kosten van wel betalen externaliteiten, die zij niet zien maar dan wel op de schouders van de maatschappij leggen. De maatschappij zal dus moeten helpen dit probleem op te lossen met goed advies, weerbare cybercrime teams, wetgeving op het gebied van ICT beveiliging, verplichte audits (denk aan accountants, maar dan voor ICT), en er voor te zorgen dat de uitkomst van die berekening door een particulier of instelling klopt met die van de maatschappij als geheel. Wat mij betreft met daarnaast als stok achter de deur waar nodig tijdelijke beslagleggingen, draconische boetes voor instellingen (twee maal de geschatte schade) en gevangenisstraffen voor bestuurders als het moet (met daarnaast stevige bonussen voor verklikkers).

      2. Die 100 miljoen komt dan toch ook bij eerlijke hardwerkende mensen terecht, wat is er zo bijzonder aan zorg/onderwijs/vulmaarin dat zij wel 99 miljoen van je mogen krijgen, maar hardwerkende medewerkers van ICT bedrijven niet?

      3. In dat geval legt zo’n criminele organisatie eerst 100 netwerken plat, wetende dat ze niets krijgen en verwachten de eerste winst bij de 101e aanval, als de betreffende overheid 10 miljard per jaar reserveren hiervoor een beetje veel begint te vinden. Betalen en er geen mededelingen over doen is het beste.

    3. Dat wordt een hele fundamentele discussie:

      • ransomware: losgeld betalen omdat wordt gedreigd je data om zeep te helpen
      • straatroof: je geld afgeven omdat wordt gedreigd je om zeep te helpen

      Wordt in dat laatste geval het slachtoffer dan ook strafbaar?

        1. En een slachtoffer dat gedwongen wordt en de schade claimt bij de verzekeraar dan? We zeggen toch ook tegen elkaar: als je beroofd wordt, gewoon afgeven, je leven is meer waard dan je telefoon / bankpasje, en de verzekeraar vergoedt je telefoon toch?

          1. Klopt, maar die acute dreiging voor het leven is met ransomware niet aanwezig, dus is het beroep op overmacht een stuk minder sterk. Bedenk ook dat bij de Italiaanse anti-losgeld wetgeving er wel levensgevaar is, maar is uiteindelijk de afweging dat het uiteindelijk minder levens kost als de hele praktijk van ontvoeringen de kop in gedrukt wordt door er voor te zorgen dat het nooit iets opleverd.

        2. Er is nog een heel belangrijk verschil tussen Straatroof en Ransomware. Het is niet realistisch dat mensen zonder enige zaken van waarde over straat gaan. Een horloge, mobiele telefoon, bankpasjes of (beperkte hoeveelheid) contant geld heb je gewoon nodig in de huidige maatschappij. Het is dus een utopie dat je Straatroof kan bestrijden door de inkomsten weg te reguleren.

          Ransomware bestaat louter en alleen doordat mensen het afpersbedrag betalen. Op het moment dat ransomware net zo strafbaar blijft als nu, maar niemand meer betaalt/kan betalen omdat dat strafbaargesteld is en gehandhaaft wordt, droogt de inkomsten bron op en is er geen reden meer om het risico te nemen. Verbieden van het betalen van ransom is een haalbare zaak bij legitieme organisaties. Het probleem wat ik nog wel zie is dat diverse overheden zelf ook grof betaald hebben om hun data terug te krijgen. Dus daar moet ook een mentaliteit verandering plaatsvinden.

          1. Dat is echt een kromme redenering.

            Ik zou evengoed kunnen betogen dat straafroof louter en alleen bestaat doordat mensen daadwerkelijk hun spullen afgeven in plaats van zich overhoop te laten schieten / steken / slaan.

            1. Jij vergelijkt data kwijtraken met moord/mishandeling, maar ik maak een kromme redenering?

              Maar je negeert de kern van het argument: Ransomware kan je misdaad die niet loont maken, zonder dat mensen daar in hun dagelijksleven hinder van ondervinden. Straatroof kan je geen misdaad die niet loont maken zonder mensen dagelijks met onhandige en vaak onmogelijke beperkingen op te zadelen.

              Een fundamenteel verschil dat een compleet andere aanpak van het misdrijf mogelijk maakt.

  6. Misschien is een Wet meldplicht ransomwarebetalingen een aardig idee. Met hierin een verplichting aan ondernemingen om elke ransomwarebetaling aan het NCSC te melden (inclusief moeten melden van de hoogte van de betaalde ransom en het (cryptowallet)adres waaraan betaald werd en het verstrekken van afschriften van alle communicatie met de gijzelnemers) en een verbod aan verzekeraars om uit te keren zo lang de gedupeerde nog niet aan de meldplicht voldaan heeft.

        1. En die strandt in Rusland die geen enkele boehoefte heeft om mee te werken, want het komt hun wel goed uit.

          Die Clop ransomware checkt of je taal/toetsenbord op Russisch of aan rusland verbonden gebieden ingestelt staat en installeert zich dan niet. Nu kan het zijn dat Klaas uit Klazinaveen zich rot lacht dat we russen verdenken, maar dat vind ik persoonlijk verder gezocht dan Russen verdenken 🙂

          1. Lijkt me dat we dan aansluiting op het internationaal betalingsverkeer conditioneel moeten maken op het meewerken aan dit soort zaken. De Amerikanen doen dat heel succesvol om minder (belastingontduiking) met hun Facta wetgeving. (Helaas zijn we net iets te afhankelijk van Russisch gas om dat werkbaar te maken, dus dan maar heffing op Russisch gas om schade te vergoeden, oid., je moet wat.)

            1. Je lijkt Trump wel 😉 Mexico betaald voor de muur door import heffingen … heffingen worden betaald door het invoerende land, niet door het exporterende land.

              De grootste fout van na de koude oorlog is dat we afhankelijk zijn geworden van het corrupte dictatorschap in Moskou. Zo snel mogelijk onafhankelijk worden van gas is niet alleen milieu technisch een must, maar ook als we de Russen eindelijk een keer de middelvinger willen laten zien.

              In dat kader ook erg slecht dat we een zo groot deel van onze export naar de russen doen. Als ik afhankelijk was met mijn bedrijf van Rusland, zou ik zo snel mogelijk op zoek gaan naar alternatieve markten. Vroeg of laat klapt de boel met dat boeven paradijs.

              1. Heffingen worden net zo goed door het exporterende land betaald. Als je heffingen op import doet, moeten de verkopers met de prijs zakken om concurrerend te blijven, en daarnaast wordt er minder verkocht, dus minder verdiend, wat nog eens extra op het exporterende land drukt. Misschien eens wat beter nadenken voor je neerbuigend gaat doen…

                1. Sorry, maar dat is echt onzin. Dat is er één uit de doos: Ik heb veel geld bespaard, ik heb een Gucci tas met 50% korting gekocht, terwijl je normaal handtassen van de Albert Cuyp koopt. Of nog zo’n foute, iets in de aanbieding kopen en roepen dat je veel geld hebt verdiend.

                  Heffingen worden per definitie betaald door mensen in het importerende land. Als het exporterende land marktaandeel inlevert wil dat niet zeggen dat ze dan betalen voor de heffingen. Als het exporterende land de prijs laat zakken om niet duurder te worden dan is dat ook geen betalen. Dat zullen ze overigens alleen doen als ze geen andere afzet markt kunnen vinden voor hun producten.

                  En voor het importerende land? Ja heffingen zijn een legitieme manier om de eigen werkgelegenheid te beschermen als je eigen industrie op prijs niet kan concurreren. En op macro niveau kan je dat wat opleveren door meer werkgelegenheid. Maar op micro niveau wordt dat betaald door de kopers van het product die nu meer betalen voor een nationaal geproduceert product. Het is dus meer en nivellering dan dat het een land wat oplevert.

                  En he is al helemaal een slecht iedee bij een natuurlijke grondstof als Gas waarbij zoals Jeroen aangeeft we er ook nog eens afhankelijk van zijn. Om te beginnen is er geen enkele reden voor Rusland om de prijs te laten zakken, we kopen toch al niet meer dan we nodig hebben en kunnen het niet elders halen. Er komt dus geen enkele werkgelegenheid van en Rusland verdient geen cent minder, het is slechts een verschuiving van geld.

                  Op het moment dat we deels alternatieven ontwikkelen kunnen we minder afnemen, maar dan nog kost het Rusland geen geld. Ze verhogen zolang er nog een afhankelijkheid is simpelweg de prijs om met minder volume hetzelfde te verdienen. En als bonus gaat hun voorraad gas langer mee. Winst voor de Russen!

                  De enige oplossing is volledig onafhankelijk worden van de Russen en dat vergt een hoop extra investeringen. Als je de prijs daarvan bij de gebruikers wil neerleggen, dan zijn heffingen natuurlijk wel een goede oplossing, maar dan wel op al het gas.

              2. Misschien wel, en hoewel ik Trump geheel niet mag en zijn beleid over het algemeen rampzalig is, is een zij-effect van zijn maatregelen dat er belasting verschuift van inkomsten naar consumptie — en al gaat dat op een inconsistente en half-hartige manier, het is toch een vorm van “vergroening” van het belastingsysteem. 🙂

                Historisch gezien zijn heffingen vaak gebruikt om eigen industrie te “beschermen” maar zonder een goed idee waartegen — in de moderne wereld zie ik het als een manier om te compenseren voor oneigenlijk gedrag van concurrende landen, en dat kunnen dingen zijn als onderbetaalde arbeid, het veroorzaken van milieuschade, of, in dit geval, het hebben van gebrekkige rechtsbescherming, waardoor een land een oneerlijk concurrentievoordeel verkrijgt. Dat voordeel moet je wegnemen, omdat anders een race naar de bodem ontstaat, waar je niet in wilt meegaan. We hebben ons wat dat betreft veel te lang laten leidden door het vrije-markt fundamentalisme van de neo-liberalen, en onze ogen gesloten voor wantoestanden in landen waar wij veel goedkope hulpbronnen vandaan halen (gas uit Rusland, olie uit het Midden-Oosten, en productie uit China)

                Heffingen zijn wat mij betreft pertinent niet bedoeld om ons te beschermen tegen slimme innovaties, want dat is een strijd die uiteindelijk toch gaat verliezen.

  7. Als je niet betaalt en uit je back-up je gegevens weet te herstellen, pakken ze je toch nog door de gestolen data te publiceren, net zo lang tot je wel betaalt. Niet betalen is geen optie meer! Zie: https://www.nu.nl/tech/6023309/hackers-publiceren-data-van-bedrijf-dat-niet-betaalde-na-ransomware-aanval.html#coraltalkwrapper Tactiek van slachtoffers wordt daarmee: zo snel mogelijk losgeld betalen en je bent snel weer in business met de minste schade.

    1. Als je wilt voorkomen dat data wordt geplublceerd, lijkt betalen me een bodemloze put: waarom zou de afpersing na de betaling stoppen? De afpersers leren dan dat je koste wat kost iets geheim wilt houden en krijgen je daardoor alleen maar meer in hun macht.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.