“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

13 reacties

  1. Juist een consequent overheidsbeleid “We betalen nooit” is denk ik redelijk. Als je dit consequent doet en het bekend genoeg wordt (en ja, Nederland is waarschijnlijk te klein om dit overal bekend te laten zijn), weten criminelen dat ze de Nederlandse overheid links moeten laten liggen, want er valt niets te halen. Nu ja, als ze de gegevens kunnen doorverkopen natuurlijk wel, maar dat is een beperktere use-case die bovendien niet weg is als de overheid wel betaald. Ik denk dus dat de overheid mijn privacy meer in gevaar brengt door (af en toe) wel te betalen.

    En verder ben ik het helemaal met Arnoud eens dat ze vooral hun best moeten doen om de beveiliging op orde te krijgen. En, omdat het de overheid is, opsporingscapaciteit maken om de daders aan te pakken.

      1. De oplossing daarvoor zou dan zijn het niet strafbaar te stellen, maar het bijvoorbeeld met 1000% te belasten. Daarmee maak je het afpersbaar vermogen een stuk kleiner, geeft een nooduitgang als het echt niet anders kan (maar daar betaal je dan super dik voor), en kun je de opsporing financieren (en je valt onder de belastingregels, met o.a. omgekeerde bewijslast).

        Waar we volgens mij naar toe moeten is een systeem waarbij (afhankelijk van de hoeveelheid persoonlijke data) bedrijven jaarlijks een soort van accountsverklaring moeten overleggen dat de toegangscontrole en beveiliging op orde zijn, de praktijk overeenkomt met de privacy verklaringen en de wet, en dat er een goed werkend mechanisme is om data die niet langer noodzakelijk is te wissen. Bij afwezigheid van een dergelijke verklaring zouden bestuurders op persoonlijke titel aansprakelijk moeten zijn voor de schade.

      2. Heel menselijk om vervolgens geen hulp te zoeken, maar is het niet tegen de wet om een grove misdaad niet te melden?

        Geen verplichting dus, maar wel een bevoegdheid. En een verplichting bij misdaden tegen de staat. Ga je de afpersing betalen bij een Russische cybercrime bende, kun je dan niet verplicht worden zoiets te melden? Oorlogsvoering kan ook digitale oorlogsvoering zijn.

        Hij die met een buitenlandse mogendheid in verbinding treedt, met het oogmerk om haar tot het plegen van vijandelijkheden of het voeren van oorlog tegen de staat te bewegen, haar in het daartoe opgevatte voornemen te versterken, haar daarbij hulp toe te zeggen of bij de voorbereiding hulp te verlenen, wordt gestraft met levenslange gevangenisstraf of tijdelijke van ten hoogste dertig jaren of geldboete van de vijfde categorie.

        Hij die een inlichting waarvan de geheimhouding door het belang van de staat of van zijn bondgenoten wordt geboden, een voorwerp waaraan een zodanige inlichting kan worden ontleend, of zodanige gegevens opzettelijk verstrekt aan of ter beschikking stelt van een tot kennisneming daarvan niet gerechtigd persoon of lichaam, wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een zodanige inlichting, een zodanig voorwerp of zodanige gegevens betreft, gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

        Hij die een hem van regeringswege opgedragen onderhandeling met een buitenlandse mogendheid opzettelijk ten nadele van de staat voert, wordt gestraft met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie.

        Met levenslange gevangenisstraf of tijdelijke van ten hoogste dertig jaren of geldboete van de vijfde categorie wordt gestraft hij die opzettelijk [of middels samenzwering], in tijd van oorlog, de vijand hulp verleent of de staat tegenover de vijand benadeelt.

        Met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie wordt gestraft hij die, in tijd van oorlog, zonder oogmerk om de vijand hulp te verlenen of de staat tegenover de vijand te benadelen, opzettelijk:1°. een verspieder van de vijand opneemt, verbergt of voorthelpt;

  2. het probleem is natuurlijk dat de overheid nog wel aardig in staat is om eisen op te stellen waaraan bedrijven en instellingen zich moeten houden maar hoe krijg je de overheid zo ver zich aan haar eigen regels te houden. Klinkt cynisch maar wel gevoed door jarenlange ervaring binnen diverse overheidsorganisaties. Ze bedoelen het allemaal goed maar diep van binnen vinden ze dat al die regeltjes niet echt over henzelf gaan.

  3. Het is heel eenvoudig. Criminelen zijn niet te vertrouwen, dus waarom betalen voor een geheimhouding? Soms is het niets eens de bedoeling dat enkel het geld betalen de vrijwaring zou zijn. Hoe kan er in in dat soort gevallen achade van de burgers zijn? Ja, advocatuur en adviesbureaus hebben een prima verdienmodel met de bemiddeling.

  4. Op korte termijn kan dit beleid wel tot enige privacy-shade voor de burger leiden, maar op lange termijn is het de betere beslissing. Als duidelijk is dat de Nederlandse overheid niet betaalt (en wel graag opspoort) dan is zij geen geschikt doelwit voor de ransomware criminelen.

    Ik zie graag dat de overheid de potentiële privacyschade minimaliseert door minder gegevens op te slaan. Mijn indruk is dat de Nederlandse overheid daar kritischer in is dan de Europese.

  5. Dit is een tragedie van de meent (tragedy of the commons), een duivels probleem, maar ook met veel onderzoek voor goede strategieen.

    Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing

    Dit staat buiten kijf. Maar het stop daar natuurlijk ook niet, immers je mag dan ook zeggen:

    Burgers schaden de economie van onze samenleving met laffe ‘ja’ op digitale afpersing.

    Er is voor mij een grens daar, en wanneer die wordt overtreden is mij niet geheel duidelijk. Ik ben van mening dat de rechten van het individu zwaar wegen, relatief gezien tegen de “rechten” van de maatschappij om haar zwakkeren te beschermen, en voor welvaart te zorgen. Je kan altijd lief vragen, een beroep doen op het grotere belang voor deelnemers van deze samenleving. Maar er komt een punt dat de beschermde belangen van enkelen, niet opwegen tegen de belangen van ons allemaal. Ransomware kan daar, volgens mij, dichtbij komen: Je hebt echt de overheid nodig die zegt, en nu is het afgelopen met dit spel, nieuwe spelregel dat je nooit meer de bank mag betalen, maar direct naar start/gevangenis gaat. Dat ontstaat niet bij nature, maar heeft een vorm van dwang nodig. Ikzelf zou “handelen met criminele bende” als facilitatie kunnen zien. Heel cru: als je je eigen gestolen fiets terugkoopt, dan ben je nog steeds bezig met heling.

    Net als met het prisoner’s dilemma, mijn strategie als overheid zou zijn: tit-for-tat, of klap-voor-klap. Als men (op eigen initiatief) betaald, en de criminelen geven netjes de gegevens terug, nu: klap-voor-klap, prima. Geeft een criminele bende de gegevens niet terug, dan ga je dus keihard terugslaan: je gaan terughacken, je gaat hun tooling (met ingebakken eigen sleutel) vrijgeven op alle hackersforums, je zet honeypots op, forensisch experts langssturen, je zet de AIVD cryptologen in, etc. Iemand die met moord dreigt als je niet betaald, dien je te behandelen als een moordenaar, of in ieder geval het idee te geven, dat Nederland zich zal beschermen alsof was de moorddreiging realistisch. Angst inboezemen. Is geen wet voor, is niet een officiële straf, maar werkt wel. En bedrijven duidelijk maken dat het een tragedie van de meent is. Lijkt mij effectiever op korte en lange termijn, dan een harde regel (moet je dan gaan beboeten als iemand toch betaald?!) waar niet echt duidelijk is waarvoor deze dient. Ik denk dat de meeste bedrijven op natuurlijke wijze “het goede” willen doen, zelfs al prikt dat even.

  6. Misschien mag je wel betalen, en gaat de crimineel verder met de concurrent, maar verlies je dan bescherming van de meent, ofwel, je moet dan gaan bijdragen aan deze bescherming, jaarlijks een paar ton in een fonds. Kleinere bedrijven kunnen daar aanspraak op maken, en krijgen professionele hulp, en soms zelfs betaald dat fonds (of de afpersing, of de geleden schade/herinrichting IT), zoals de overheid ook professionele onderhandelaars inzet bij kidnap in het buitenland, die per geval weten of betalen zin heeft of niet.

  7. De overheid zou nooit moeten betalen. Waar mogelijk zou de overheid de impact van verspreiden van de gegevens moeten beperken. Dit kan op verschillende manieren, maar het begint met het inlichten van de personen waar data van gelekt is. Daarnaast als het iets is dat verstrekt is door de overheid kan het ook door die overheid vervangen worden (op kosten van de overheid en op verzoek van de persoon waarvan de data gelekt is). Hiermee maak je de gelekte gegevens minder waardevol/bruikbaar en wordt de schade beperkt. Wel zal dit het nodige werk en de nodige kosten opleveren en moeten mogelijk procedures aangepast worden. Een rijbewijs, paspoort, etc vervangen is daarbij nog relatief simpel, maar ook een BSN kan vervangen worden (en dan is het aan de overheid om te zorgen dat het bij alle overheidsinstanties en bij alle overige instanties die informatie via de overheid krijgen bij te werken).

  8. “Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid.”

    De overheid schaadt niet, de criminelen schaden.

  9. Ik denk dat een belangrijk onderdeel is dat op het moment dat systemen besmet zijn met ransomware het datalek al plaats gevonden heeft. De gegevens liggen al op straat/zijn in handen van derden.

    Het is niet dat je betaald om gegevens niet openbaar te maken. Eigenlijk betaal je zodat jij weer toegang hebt en de telegraaf niet een makkelijk vindbaar linkje krijgt waar zij de gegevens ook kunnen vinden. De beveiligingsplicht die je hebt los je dan ook niet op met betalen. Het enige wat je misschien doet is de schade beperken

  10. @Arnoud Volledig met je eens dat de betere aanpak ligt bij de steun van de overheid aan het MKB en de burger. Kennis van hoe ‘hacks’te voorkomen, hoe ‘backups’ eenvoudig te regelen en het beschikbaar stellen van goede verdedigingssoftware is ook m.i. de weg. De burger en het MKB hebben niet de middelen om zich goed te verdedigen, dus laten wij eerst het lek daar stoppen op basis van de overheidszorgplicht. Dat is een zinnige en resultaatgerichte besteding van de belastingen, dat nivelleert de veel te hoge belastingdruk op de gewone burger en het MKB.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.