Ethisch dilemma: losgeld betalen of kopje onder

Op 22 april 2020 heeft minister Ferd Grapperhaus van Justitie en Veiligheid een oproep gedaan aan verzekeringsmaatschappijen om losgeld, dat wordt geëist door cybercriminelen als gevolg van een succesvolle ransomware-aanval, niet te vergoeden.

Wat is ransomware

Ransomware is al een aantal jaar een enorm probleem in de digitale maatschappij. Niet alleen grote ondernemingen zijn slachtoffer, maar ook het MKB wordt op de korrel genomen en zelfs individuen ontkomen niet aan ransomware. Ransomware is een vorm van malware die wordt verspreid door cybercriminelen. Sommige vormen van ransomware zijn ook in staat om zichzelf te verspreiden, waardoor een sneeuwbaleffect ontstaat. Ransomware valt de computer aan en versleuteld de gehele computer, bepaalde applicaties en/of bestanden. Vervolgens wordt er losgeld geëist om de benadeelde partij te voorzien van de sleutel die de versleutelde objecten weer kan ontsleutelen.

Er is al een langere tijd een discussie over het wel of niet betalen van het geëiste losgeld. In Nederland is het vooralsnog niet verboden om de losgeldeis in te willigen. In andere landen verschilt dit niet veel. In Amerika bijvoorbeeld wordt het betalen van losgeld ook toegestaan  tenzij de cybercriminelen worden aangemerkt als terroristische groepering. In dat laatste geval is het betalen van losgeld namelijk gelijk aan het (financieel) ondersteunen van een terroristische groepering.

Losgeldeis: bedrijf redden of schade lijden?  

Het grote dilemma inzake het betalen van losgeld is de afweging tussen ethische verantwoordelijkheden. Wil je als bedrijf/individu meewerken aan het in stand houden van cybercriminaliteit door te betalen? Maar wat als dit je bestanden en zelfs je bedrijf kan redden? Dat is een afweging die voor minister Grapperhaus goed te maken is: “Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd. Daarnaast is de verwachting van de politie dat het betalen van losgeld leidt tot meer aanvallen van ransomware”, aldus Grapperhaus. “Het heeft mijn voorkeur dat de verzekeraar niet het losgeld vergoedt dat in handen van criminelen terecht komt, maar juist de geleden schade door het niet betalen van dit losgeld.” (via nu.nl).

Toch blijft het een lastige keuze voor zakelijk Nederland. Door het niet betalen van losgeld wordt de mogelijkheid om snel weer bij je bestanden te kunnen verspeeld. Nu wordt wel eens aangedragen dat het maar te bekijken valt of de sleutel daadwerkelijk de versleutelde objecten weer beschikbaar stelt, maar – vaker wel, dan niet – blijkt dat de criminelen woord houden. Ransomware is inmiddels uitgegroeid tot een dusdanig grote inkomstenbron dat er gehele helpdesks beschikbaar zijn gesteld door de cybercriminelen die zich alleen maar bezighouden met het ondersteunen van slachtoffers van ransomware. Daarbij komt nog eens dat het betalen van het losgeld  soms zelfs bijdraagt aan zowel de bedrijfscontinuïteit (in plaats van afwachten en/of proberen zelfstandig de objecten te ontsleutelen) en het in sommige gevallen ook nog eens goedkoper blijkt te zijn.

Voorkom een ransomware besmetting

Het ethische dilemma zal de komende tijd nog voortdraven, maar om dit dilemma compleet weg te spelen is de grootste bijdragende factor beveiliging. Met preventieve en reactieve maatregelen is de kans op een ransomware besmetting zelfs te voorkomen. Mocht uw bedrijf toch slachtoffer worden, dan kunnen de reactieve maatregelen ervoor zorgen dat de schade beperkt blijft en u binnen de kortste keren weer in de lucht bent.

Wil je voorkomen dat jullie organisatie slachtoffer wordt van ransomware? Neem dan contact op met de IT security experts van Crowe Peak. Zij kunnen helpen een ethisch dilemma te voorkomen.