Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

26 reacties

  1. Zelf denk ik dat we het betalen van ransom moeten gaan behandelen als medeplichtig (net zoals ze dat in Italie doen bij ontvoeringen); een andere benadering zou zijn om er 1000% “ransomware belasting” over te gaan heffen, (als het echt niet anders kan), zodat er fondsen komen om onderzoek te doen naar betere beveiliging; mensen meer aandacht geven aan backups; of dat ransomware makers minder gaan ontvangen. Tenslotte moeten transacties van/naar bitcoin en andere cryptocurrencies maar eens verboden worden: zonder in- en uitgangen naar de reele economie heeft bitcoin geen waarde: het is een puur piramide spel, en nog slecht voor het milieu ook.

    1. “Tenslotte moeten transacties van/naar bitcoin en andere cryptocurrencies maar eens verboden worden: zonder in- en uitgangen naar de reele economie heeft bitcoin geen waarde: het is een puur piramide spel, en nog slecht voor het milieu ook.” Bitcoins verbieden? Laten we eerlijk zijn, slecht voor het milieu zijn ze, maar dan kunnen we nog veel meer verbieden. Geen in- en uitgangen naar de reële economie? Hoezo niet? Bitcoins kunnen heel goed gebruikt worden voor de handel tussen 2 landen, wanneer snelheid een noodzaak is. Bovendien is het speculeren in Bitcoins ook een economische handeling. Geld dat daarmee verdiend wordt is gewoon winst en zowel het bezit van, als de winst op Bitcoins vallen gewoon binnen het belastingstelsel. De belasting spreekt altijd over vermogen en beperkt zich daarbij niet alleen tot Euros.

      1. Snel betalen gaat ook prima via het reguliere system, en is nog goedkoper ook (wat kost een bitcointransactie tegenwoordig, en hou er rekening mee dat je er tenminste drie nodig hebt (1. aankoop bitcoin in locale valuta, 2. overschrijven bitcoin, 3. verkoop bitcoin naar locale valuta), dan is zelfs Western Union al snel goedkoper, inclusief alle wettelijk verplichte witwas en anti-terrorisme checks die een bitcoin-bemiddelaar eigenlijk ook zou moeten doen.

        Bovendien is de “waarde” van bitcoin op geen enkele manier gedekt. Je kan zeggen dat dat voor de huidige “fiat” munteenheden van landen ook geldt, maar die hebben een stevige basis, omdat er een overheid met reele macht achter staat, en zij vaak een wettig betaalmiddel zijn, en je er je belastingen mee kunt betalen.

        Ik heb werkelijk nog geen een economisch voordeel van bitcoin kunnen vinden (Niet dat ik principieel tegen gebruik van cryptografie en block-chain in de monetaire wereld ben, maar cryptocurrency is zwaar overhyped.)

        1. Dat dacht ik ook tot voor kort, maar kort geleden ben ik er eens wat dieper ingedoken, en volgens mij zit het zo (maar correct me if I am wrong!): Bitcoins zijn een betaling voor het vinden van ‘oplossingen’, waarbij die oplossingen nodig zijn om blockchains te kunnen laten werken.

          Als je gelooft dat blockchains een objectief economisch voordeel hebben is het logisch dat essentiele input om die blockchains te laten werken een reeele waarde heeft, dus vertegenwoordigen bitcoins wel degelijk een positieve bijdrage aan de mensheid en hebben dus een economische waarde.

          1. De oplossingen van problemen waar jij het over hebt zijn partial hash-collisions, en buiten aantonen dat jij een bepaalde hoeveelheid energie hebt versplit aan rekenkracht, hebben die geen enkele waarde. (Hooguit zou je het kunnen gebruiken als een rate-limiter om spam te voorkomen, of password brute-forcen moeilijker te maken).

        2. Betalingen binnen de EU gaan best wel soepel met IBAN, maar wanneer je gaat kijken naar (girale) betalingen naar de VS loopt het al een stuk minder soepel. Reken op minimaal €14 aan kosten en twee dagen verwerkingstijd. En er zijn landen met een zwakker banksysteem dan de VS.

          1. Tja, VS is verschrikkelijk, en je bent buiten de EU meestal goedkoper uit als je een gespecialiseerd bedrijf gebruikt in plaats van je eigen bank. Betalingen met credit-card gaan meestal wel soepel. Ik maak regelmatig geld over naar de Filipijnen. Dat kost 7 of 8 euro en staat dan de volgende dag op een lokale rekening. Moet het echt snel dan zijn er wat duurdere oplossingen waarmee het vrijwel direct kan, vanaf ca 19 euro.

    1. Als het een legitiem bedrijf is, dan is decrypten (bv door kraken of brute forcen) een prima oplossing, en mijn voorgestelde belasting niet van toepassing. Doet die derde partij wel een betaling aan de afperser, dan moet die dokken (en om het handhaafbaar te houden: bij vage bedrijven die niet effectief te controleren zijn voor de belastingdienst gaan we er gewoon van uit dat ze dat doen, bij belastingen is dat veel makkelijker dan bij strafbaarheidstelling.)

      Uiteindelijk denk ik dat we gewoon een international verdrag tegen cybercrime moeten hebben, waarbij landen die niet effectief meewerken aan de vervolging van ransomware gewoon worden losgekoppeld van het internet.

    2. Als bedrijven geld betalen, dan is er een kasstroom. Mag men uitleggen waar het geld heenging, waarom geen factuur is uitgereikt en vervolgens de naheffing van 300% betalen. Is er geen kasstroom en geen reserve maar zijn er wel veel tevreden klanten die met facturen bewijzen te hebben betaald, dan volgt een naheffing van 300% voor het zwart uitkeren van loon aan de directeur gelijk aan de som van de facturen. Belastingrecht is soms heerlijk simpel.

      “Oh ja wij doen alles in bitcoin” en geen factuur is een recept voor boetes, bestuurdersaansprakelijkheid en andere ongein. Zeker als je in het politiek vizier bent komen te liggen, of klanten (of hun verzekeraars) menen dat ze betaalden voor decryptie en nu blijkt dat jij betaalt aan Noord-Koreaanse staatsdatagijzelnemers.

  2. Ja, je krijgt gewoon een factuur voor ‘IT diensten ivm herstellen van uw bestanden’. Weet jij veel hoe zij dat gedaan hebben, je bent gewoon ondernemer, geen decryptie-expert. Je betaalt zo vaak voor diensten ivm dingen die je zelf niet kunt.

    1. Nee de andere kant op. Ze krijgen echt geen factuur van de datagijzelnemers, maar er is wel geld die kant op gegaan. Geld je bedrijf uit zonder factuur is net zo’n probleem als geld er in.

      Of je het nu overmaakt of dat je bitcoins kocht en niet kon of wilde zeggen waar die gebleven zijn, maakt daarbij niet uit. Je hebt geld aan een ander gegeven, verklaar dit en overleg een factuur of je krijgt een hele forse boete.

      1. Sorry, misschien onder de verkeerde reactie geplaatst, maar dit was een reply op je bericht van 11.23.

        Ik bedoel: Als je betaalt aan zo’n partij die belooft je data te decrypten (maar misschien gewoon stiekem de gijzelnemers betaalt, weet jij veel) krijg je een factuur.

        1. Snapte ik. Ik doelde echter op de facturatie van dat bedrijf richting de gijzelnemers. Dat is waar Jeroen dan weer op doelde, dat je die geldstroom niet kon controleren zodat vage bedrijfjes het verdienmodel in stand konden houden. Uiteindelijk zeggen wij hetzelfde volgens mij.

          1. Ja, maar dat is een issue tussen dat bedrijf en de overheid van het land waar zij gevestigd zijn. Daar heb jij verder niets mee te maken en ook geen invloed op.

            Ik weet wel dat dit flauw is, en dat er hierdoor het potentieel is dat criminaliteit in stand gehouden wordt, maar dat is gewoon een gevolg van het systeem van internationale handel dat is zoals het is.

            1. Dat huidige systeem houdt nog wel meer ellende in stand. Ik zou heel graag zien dat we eisen op milieu en sociaal gebied op producten stellen bij import. Importeurs moeten maar aantonen dat de producten die zie willen inporteren niet alleen voldoen aan technische conformiteitseisen, maar ook dat de productie voldoet aan milieueisen en eisen op het gebied van sociale wetgeving en mensenrechten. Zo zouden we moeten eisen dat arbeiders het recht op het vormen van vrije vakbonden moeten hebben, en tenminsten een fatsoenlijk minimumloon (zeg maar ILO standaarden) moet ontvangen. Dan komt er bijvoorbeeld geen product uit China (PRC) meer in.

              Onrealistisch? Denk het niet. Doorgaan op de huidige voet is onrealistisch.

  3. Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn.

    Zelfs al zijn er wel goede (niet-gegijzelde) backups heb je daar nog niet zo veel aan. Natuurlijk is het leuk voor de continuiteit van de onderneming, maar tegenwoordig gaan ransomware-gijzelnemers nog een stap verder: Ze publiceren je data ook nog eens als je weigert te betalen.

    Dan heb je dus een mega-datalek en kunnen je concurrenten ook even de interne administratie meelezen. Wat dat betreft is het betalen van een dergelijk bedrag dus niet alleen maar je eigen hachje reden, maar evenzeer het voorkomen van meer schade bij derden (je klanten).

    Dat lijkt me een overweging die de balans misschien toch net de andere kant op doet tippen?

    1. Ik denk dat concurrenten die dergelijke informatie inzien zelf ook heel erg fout zijn, en als je dat kunt aantonen, zeker aan te pakken zijn. (Ik geef toe dat dat aantonen soms lastig kan zijn, maar een paar “kanaries” in je data verstoppen kan dan slim zijn.)

      Als het persoonsgegevens betreft die zijn buitgemaakt: je hebt dan al een meldingsplicht naar de AP en je klanten toe, dus die weten al wat er gebeurd is.

  4. Stel de losgeldeis is €10.000,- het zelfstandig repareren levert je een schade op van €50.000,- En je verzekering stelt dat ze maar €10.ooo,- uit zullen keren want voor dat bedrag is je schade te verhelpen. Is je verzekering aansprakelijk voor jouw wens tot ethisch correct handelen?

    1. Vandaar mijn voorstel voor een losgeldbelasting van 1000%, zodat het plaatje wordt: €110.000 voor losgeld, €50.000 voor herstel zonder losgeld — natuurlijk kunnen de eisers hun losgeldeis verlagen tot €4545.45, en dan zijn ze zelfs na belasting nog 5 cent goedkoper dan de schade, maar dat is dubbel winst: minder geld voor de boeven, en extra geld voor het potje onderzoek om dit te bestrijden.

      Als je bikkelhard bent kun je zo ook onderhandelen: mijn schade zonder losgeld is 5000 euro, en jullie willen 10,000. Ga toch heen!

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.