Waarom is ransomware losgeld betalen eigenlijk niet strafbaar?

Een lezer vroeg me:

Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over “ongebruikelijk” betalingsverkeer en betalen aan verdachte landen?
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.

Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.

Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)

Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.

Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.

In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen “zaken doen”, nog los van dat je niet wéét waar de gijzelnemers zitten.

Arnoud

19 reacties

  1. een miljonair wiens man of kind wordt ontvoerd

    Subtiel, mooi!

    Er lijkt weinig tegen het stuk van Arnoud in te brengen. Misschien dan een brain fart vanuit een andere hoek, met risico op een standje van Arnoud wegens ’topic-kaping’.

    Ik heb het idee dat de wetgeving zoals die door de eeuwen heen is geëvolueerd vooral gericht is op geschillen tussen bedrijven en personen onderling, maar nauwelijks aanknopingspunten biedt voor misdaden tegen de maatschappij als geheel waarbij veel meer mensen schade lijden dan bij een ‘normale’ onrechtmatige daad. Nu de de jaarlijkse cybercrime schade wereldwijd tegen de 5 biljoen euro loopt (ja, 5000 miljard…) en daarmee alleen de US en China voor zich hoeft te dulden qua economische omvang zou ik het een goed idee vinden om bepaalde elementen van cybercrime in aparte hoofdstukken van het wetboek op te nemen vanwege de grote maatschappelijk schade. Ransomware op minstens regionale ICT-structuren, scholen, ziekenhuizen, nuts-bedrijven etc? Levenslang zonder vervroegde vrijlating. Aanvallen met de bedoeling om schade aan te richten, of op ICT-systemen waar mogelijk zeer grote schade zou kunnen ontstaan (kerncentrale, stuwmeerdam, etc): idem dito.

    Voor een fractie van de huidige schade kan je wereldwijd grote zeer kundige teams opzetten om dit soort criminelen te achterhalen en ze desnoods met commando-achtige acties uit welk land dan ook vandaan te trekken om ze vervolgens ergens in een diepe donkere kerker te donderen, ’totally vanished from the face of the earth’. Als we niet die kant opgaan ben ik bang dat we binnen een decennium als maatschappij totaal gegijzeld worden door cybercrime criminelen die dreigen het complete maatschappelijke verkeer lam te leggen, terwijl de rechterlijke macht hoogstens met een wetboek zo dun als een Donald Duckje probeert terug te meppen.

    1. Het probleem zit hem voor mij niet zozeer in de strafmaat (die is al heel hoog voor het soort schade dat je noemt, zie artikel 161sexies Sr) maar de pakkans. Die cybercriminelen zwaaien vrolijk terug vanuit een ver land waar wij geen uitleveringsverdrag mee hebben en waar men vanuit de regering misschien wel glimlacht over de extra inkomsten en de economische sprong vooruit die men zo genereert. Sta je dan met je levenslang. Investeren in opsporing (en preventie) lijkt me het beste, net zoals Nederland ooit het concept van het Korps Mariniers uitvond (1665) om haar zeehandel te beschermen.

      Geen willekeurig voorbeeld; wij waren ook het eerste met het zeerecht (1609) – omdat het ons wel goed uitkwam dat juridisch gezien de zee van niemand was. Ik denk dat wij wat dat betreft wel innovatief waren om handel, personen en bedrijven voorop te zetten, in tegenstelling tot legacy wetgeving die vooral ging om de macht van de Koning versus zijn onderdanen. Logisch ook gezien onze afscheiding van Spanje (1581).

      Ik zou het zeer toejuichen als Nederland een Korps Cybermariniers opricht dat wereldwijd Nederlandse of Europese cyberbelangen verdedigt, met geweld waar nodig. Ik neig wel sterk naar Europees verband, omdat wij als transport en informatieknooppunt van Europa opereren en je bondgenoten val je niet aan.

      Lastig is natuurlijk dat je wel goed voorbereid moet zijn op de tegenreactie. In de 17e eeuw konden we dat, onze schepen waren minstens zo goed als de Spaanse, Portugese en later Engelse. Bovendien was de impact beperkt, een gezonken vloot is te overzien. Nu zou een eenvoudige tegenaanval onze hele stedelijke infrastructuur platleggen (kuch Welkom2020 kuch).

      1. We hoeven niet fysiek de landen aan te vallen. Veel effectiever is landen die niet optreden tegen dit soort acties uit te sluiten van het internationaal betalingsverkeer, danwel de kosten die we maken voor losgeld en preventiemaatregelen te innen via een heffing op betalingen van en naar die landen, waarmee we een fonds vullen dat slachtoffers vergoed. Dat dit kan en heel effectief is laat de VS zien met zijn FATCA wetgeving. Kijken hoe snel die landen gaan optreden.

        Dan blijf je zitten met bitcoin. Gezien het criminele gebruik, en de totale waanzin rondom bitcoin denk ik dat we het omzetten van bitcoin naar echt geld gewoon moeten verbieden, en contracten in ‘cyber currencies’ gewoon als niet moeten erkennen: ze moeten dus niet te handhaven zijn via de civiele rechter. Het leveren van een paar random bits is geen fatsoenlijke of redelijke tegenprestatie.

        1. Niet de landen nee, maar de hosters of knooppunten dacht ik aan. Betalingsverkeer is een goeie, zij het dat dit vanwege bitcoin en consorten zeer gedecentraliseerd is en dus lastiger plat te leggen. Maken cybercriminelen echt zo vaak gebruik van gecentraliseerd elektronisch betalingsverkeer?

          1. Het kost wat werk, maar bitcoin transacties zijn prima te traceren; gewoon teruglaten zoeken of er in de chain een losgeldtransactie zit, en dan de transactie verplicht laten weigeren als iemand bitcoins wil verzilveren of gebruiken als betaalmiddel is ook mogelijk — iets minder streng dan een totaalverbod (wat ik liever zie)

      2. ‘wereldwijd Nederlandse of Europese cyberbelangen verdedigt, met geweld waar nodig’

        Dan wordt je al snel een rogue state. Als de Russen wereldwijd met geweld en bedrog hun vermeende belangen handhaven, dan zijn we daar ook niet mee akkoord, of als Iran in NL tegenstanders vermoordt.

          1. Nee hoor, dat zeg ik zeker niet.

            Maar het principe is nu eenmaal: de soevereiniteit van naties. Als zij geen eigenrichting door buitenlandse commando’s willen toelaten op hun grondgebied (en dat zal meestal zo zijn), dan is dat volgens internationaal recht volledig correct.

            Wat als iemand het toch doet? … tja, dan wordt het een realpolitik spelletje, en gaat het er maar helemaal om wie de sterkste is en wie de meeste medestanders heeft, dan is het geen juridisch verhaal meer.

            Ik zeg ook niet dat ik het er niet mee eens zou zijn als er zo’n eenheid zou komen, alleen dat je dan wel de ‘moral high ground’ verlaat en dat daar toch wel grote geopolitieke risico’s aanzitten.

            De laatste 100 jaar of zo zijn nu juist gericht geweest op het voorkomen van Wild-West toestanden tussen landen en op de regulering van hun onderlinge relaties. Ik denk dat Nederland daar meer baat bij heeft, dus ik zou dat pad niet graag verlaten.

            Overigens ben ik er ook tegen als America het doet uit ‘erkende landsbelangen’, maar kan ik er uit het oogpunt van internationale wereldorde al wat meer vrede mee hebben. Maar internationale wereldorde, het woord zegt het al, maak je niet alleen….

  2. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)

    Omdat dat heel slecht is voor hun businessmodel.

    1. Rond de 2o% van de criminelen geeft je nu al niet de sleutel. Daar komt bij dat steeds vaker er een achterdeurtje wordt geïnstalleerd tijdens de infectie, en dat het achteraf nog een keer geld vragen voor het niet publiceren van de data (want natúurlijk maken ze een kopie) zeer lucratief blijkt.

      Het is een bekende truc, als jij eenmaal betaald hebt dan hang je, want je kunt niet meer naar de politie. Dus dan wil ik graag nog een keer geld, en nog een keer en nog een keer. Want ik weet dat jij gaat betalen én je mond houden, want een datalek kun jij er niet bij gebruiken. En geld voor een upgrade van je netwerk heb je niet, dus je bent ook nog een keer kwetsbaar voor een nieuwe aanval. En ik weet waar je IP adres woont.

      1. Dit is echt enorm afhankelijk van de partij waarmee je te maken hebt. Er zijn een aantal grote jongens in het spel die er werkelijk baat bij hebben dat hun businessmodel niet geschaad wordt, wat wel gebeurt zodra zei de sleutel niet geven. Zelfs verwijderen ze alle gestolen gegevens, en bedrijven betalen omdat die criminelen de goede reputatie hebben en hun beloftes nakomen.

      2. want een datalek kun jij er niet bij gebruiken.

        Maar dat datalek is er toch al? Dat het de publiciteit (nog) niet heeft gehaald, maakt niet dat er geen meldplicht richting AP (en eventueel betrokkenen) is, toch?

  3. Ik ben het niet met je eens dat losgeld betalen geen “zaken doen” is. “Zaken doen” is een prestatie leveren tegen een vergoeding, en teruggeven/ontsleutelen van data tegen een vergoeding lijkt mij daarom onder de definitie vallen. Onderdeel van de Sanctiewet is toch ook ‘know your customer’, dus je bent sowieso in overtreding als je niet weet waar de gijzelnemer zit?

  4. “In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea” Ik begrijp dat de betalingen normaal gesproken in Bitcoin plaatsvinden. Ga maar eens aantonen dat de ontvanger eigenlijk in Noord Korea zit..

  5. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen.

    “Als ik niet betaal gaat mijn bedrijf kapot en staan er honderden gezinnen in de kou?” Of in het geval van APM, wereldwijd ligt alle shipping plat dat heeft ook een enorme impact (als je de systemen niet zou kunnen herstellen) Dan sta je als bestuurder ook onder enorme druk.

  6. Ik vind het, net als Franc, ook niet zo evident dat ransomware (altijd) veel zakelijker is. Het lekken van persoonsgegevens is lang niet altijd zo onschuldig. Je zal maar cliënt zijn (geweest) van een GGZ-instelling die getroffen is door een aanval. Publicatie van je medisch dossier op internet kan een enorme impact hebben op je leven. In dat geval kan een weigering om te betalen dezelfde consequenties hebben als niet betalen bij een ontvoering: de dood van het slachtoffer. Dat dat geen direct effect is van de gijzeling van de gegevens, maakt voor de uitkomst (en de nabestaanden) weinig uit. De instelling moet kiezen tussen zeker weten dat de gegevens worden gepubliceerd, of de kans accepteren dat de aanvallers na betaling mogelijk alsnog publiceren. Overigens verschillen de twee soorten gijzeling ook op dat punt weinig; ook bij een gijzeling is het geen vanzelfsprekendheid dat het slachtoffer na betaling weer gezond en wel terug kan naar zijn familie. Zou ik FG of jurist zijn van de GGZ-instelling in mijn voorbeeld, dan kan ik mij best omstandigheden voorstellen waarbij ik uiteindelijk zou adviseren om toch te betalen en dan zou ik dat ook moreel goed verdedigbaar vinden..

    Dat meer of andere backups de oplossing zou zijn, is van dezelfde orde als zeggen:”Meer persoonsbeveilging had de ontvoering kunnen voorkomen.” Dat kan best zo zijn – al hoeft dat helemaal niet – maar het doet niets af aan het feit dat dat niet helpt als er al een gijzeling aan de gang is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.