In november van dit jaar maakte de Australische regering bekend dat ze overweegt om het betalen van losgeld bij ransomware-aanvallen strafbaar te stellen. Het zou cybercriminelen alleen maar aanmoedigen tot nieuwe aanvallen. Maar wat dan? Ga je failliet of riskeer je een boete? In deze blog zoomen we in op dit duivelse dilemma.
Hervormingen
De Australische cyberbeveiligingsminister Clare O’Neil vindt dat haar land uit zijn cyberslaap moet ontwaken, schrijft ABC mid november. Ze stelt een reeks hervormingen voor om persoonlijke gegevens te beschermen, waaronder het verbieden op het betalen van losgeld na een ransomware-aanval. Volgens haar gedachtegang werkt het betalen van losgeld als een aanmoediging richting de aanvallers en kun je het zien als het financieren van illegale activiteiten. In plaats van losgeld te betalen, moeten bedrijven hun cyberbeveiliging verbeteren om zo aanvallen te voorkomen. Volgens O’Neil is het betalen van losgeld voeding voor het businessmodel van cybercriminelen.
Kiezen tussen losgeld of boete
In Nederland is er ook even sprake van geweest om een dergelijke maatregel in te voeren, maar dat leidde tot het nodige protest. Feitelijk zeg je als overheid dat de enige manier om als bedrijf weer op de rit te komen na een cyberaanval, strafbaar is. Het verplicht je tot een keuze tussen het betalen van losgeld of het betalen van een boete. Natuurlijk hou je met het betalen van losgeld het financiële systeem van cybercriminelen in stand. Als niemand meer betaalt, loont het niet. Maar waarschijnlijk kiest het leeuwendeel van de ondernemers dan toch voor de boete, en de vraag is maar wat een rechter daarvan vindt.
Boete voor datalekken
Organisaties met een goed back-up- en recoveryplan denken nu wellicht: ha, dat vraagstuk, daar krijgen wij niet mee te maken! Maar vergis je niet, met een back-up- en recoveryplan garandeer je weliswaar je bedrijfscontinuïteit, dat neemt niet weg dat je een boete kunt krijgen. Al had Marriott International bij de hack in 2018 nog zo’n prachtige back-up gehad, dan hadden ze alsnog de boete gekregen voor het niet voldoen aan de gegevensbeschermingsvereisten zoals vastgelegd in de AVG. Een goede back-up helpt je om snel weer in de lucht te zijn, maar het voorkomt geen potentieel datalek.
Wakker schudden
Toch zien wij wel ergens in wat het nut kan zijn van zo’n verbod op het betalen van losgeld. Het zou een wake-up-call kunnen zijn voor de aansprakelijke bestuurders. Een dreigende boete, geeft misschien net dat zetje om wél te investeren in securitymaatregelen. En hopelijk belandt er dan minder vaak een kalf in de spreekwoordelijke put.
Meer weten?
Door je cybersecurity uit te besteden aan echte experts, voorkom je dat je voor dit duivelse dilemma komt te staan. Nieuwsgierig hoe je de beveiliging van jouw bedrijf het best naar het volgende niveau kunt tillen? Neem gerust vrijblijvend contact met ons op. We leren je graag kennen.