“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

| AE 13370 | Informatiemaatschappij | 13 reacties

Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

| AE 12956 | Security | 18 reacties

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als grootzakelijke partij meer op afstand, en vanuit hen is de keuze om te betalen dan iets eerder afkeurenswaardig. Maar gaat het echt werken?

In antwoord op Kamervragen laat de minister weten dat de “meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware”. Wat natuurlijk nogal een dooddoener is, hoe waar ook. Maar dat zal nog wel even duren, dus hoe moet het dan wel?

Het is inderdaad zo dat ransomware losgeld betalen niet strafbaar is. De reden is dat je dan een slachtoffer dwingt tussen de heftige keuze om zijn data/bedrijf kwijt te raken en de strafbare keuze losgeld te betalen. Dat is moreel onaanvaardbaar, ook al gaat het ‘slechts’ om datagijzeling en niet om mensen of spullen.

Iedereen kijkt dan meteen naar de verzekeraars. Steeds meer cyberverzekeringen dekken schade door ransomware, en wat je kwijt bent aan losgeld dat is schade in juridische zin. Dus het is logisch dat een verzekeraar ook die schade vergoedt.

Het lastige is dat de grens erg vaag is tussen “wat pijnlijk dat u zich gedwongen voelde losgeld te betalen, wij stellen u schadeloos” en “u heeft een ransomware-melding gedaan, gezien de verhouding tussen kosten van herstel en losgeld keren wij nu het losgeld-bedrag aan u uit”. Dat laatste is puur zakelijk, een afweging waarbij de immorele keuze (het steunen van misdaad) gelijkgesteld wordt aan de morele keuze (het helpen van een slachtoffer dat een gedwongen keuze maakte). En dat is unfair.

Ik denk alleen niet dat je er komt met enkel een verbod. Ik zie nu al genoeg juridische trucs, zoals de verzekerde zelf laten betalen en dan vergoeden wat er “aan derden” is betaald. Een consultant inhuren die de vergoeding betaalt en dat declareert als deel van de herstelkosten. En ga zo maar door. Daar kun je vast doorheen prikken met genoeg moeite, maar in individuele zaken is dat de moeite niet waard.

Zelf zou ik meer zien in een voorschrift aan verzekeraars dat ransomware alleen gedekt mag worden als de verzekerde een acceptatie moet ondergaan op cybersecuritygebied. Vergelijkbaar met die korting op je inboedelverzekering als je huis het Politiekeurmerk Veilig Wonen heeft, maar dan dus een stapje verder: je krijgt de verzekering niet als je niet dat PKW hebt, in de analogie. Regel je backups en regel je security, en voor het geval een slimme Rus daar dan toch nog doorheen prikt dan is er de verzekeraar.

Dit is eenvoudig te controleren, al is het maar door een mystery guest een verzekering aan te laten vragen. Dus toezicht is een stuk eenvoudiger. En het draagt ook nog eens bij aan het security-niveau van Nederland. Dus waarom niet?

Arnoud

VS neemt sancties tegen cryptobeurs voor faciliteren ransomwaregroepen

| AE 12925 | Regulering | 20 reacties

Sophieja23 / Pixabay

Het Amerikaanse ministerie van Financiën heeft voor het eerst sancties genomen tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen, las ik bij Security.nl. Volgens het ministerie blijkt uit een analyse van de transacties van cryptobeurs Suex dat zeker acht ransomwaregroepen heeft gefaciliteerd en dat meer dan veertig procent van de transacties in verband met criminele partijen wordt gebracht. Het bekende probleem is natuurlijk dat het bedrijf zelf niet in de VS zit, dus hoe doe je ze dan pijn? Nou, zo.

Suex zou meer dan 160 miljoen dollar van ransomwaregroepen en andere cybercriminelen hebben ontvangen. Anders gezegd: 40% van hun transactievolume is van bekende ransomware. Bij zulke getallen snap ik wel dat je als staat daartegen op wil treden. Zeker omdat er weinig andere concrete strategieën zijn om ransomware-bendes te bestrijden.

Cryptobeurzen bestaan natuurlijk overal ter wereld, en naast de legitieme heb je ook de meer schimmige. Zoals dus kennelijk Suex, dat geregistreerd is in Tsjechië, maar zou opereren vanuit Rusland en het Midden-Oosten. Daar direct tegen optreden vanuit de VS is wat lastig.

Dat heeft echter nog nooit Amerikaanse sancties tegengehouden, en ook nu niet. Door de opgelegde sancties mogen Amerikanen namelijk geen zaken meer met Suex doen en zijn alle tegoeden van het bedrijf die onder Amerikaanse jurisdictie vallen bevroren. Want daar kun je wél bij, Amerikaanse burgers (en hun rekeningen) en banken die banden met de VS hebben.

Het haakt in op de recente discussies alhier over jurisdictie en hoe ver je mag gaan als land. Dit lijkt een ‘nette’ oplossing: je hebt last van een buitenlandse partij, dus je verbiedt de eigen burgers daar zaken mee te doen maar je laat die partij zelf met rust want die zit in het buitenland. Alleen, vergis je niet: dit raakt banken wereldwijd, want er zijn maar bar weinig banken die geen enkele band met Amerikaanse jurisdictie hebben. Effectief is dit dus het einde van Suex als legitiem cryptohandelskantoor.

Arnoud

Waarom is ransomware losgeld betalen eigenlijk niet strafbaar?

| AE 12560 | Regulering | 19 reacties

Een lezer vroeg me: Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de… Lees verder

Ransomware is inderdaad ook een datalek als je niet uitkijkt

| AE 12436 | Security | 1 reactie

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt…. Lees verder

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt… Lees verder

Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

| AE 12031 | Ondernemingsvrijheid | Er zijn nog geen reacties

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar… Lees verder

Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

| AE 11695 | Ondernemingsvrijheid, Security | 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant… Lees verder

Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde? Het… Lees verder