Nooit losgeld betalen na een hack is een nobel streven, maar veel bedrijven hebben hun zaakjes zo slecht op orde dat het vaak de enige optie is. Dat stelt Erik de Jong van cybersecurity-specialist Tesorion.
De hack van het lab van Clinical Diagnostics gaat in de papieren lopen. Naast de al betaalde ransom, hebben de hackers laten weten dat de moeder van het lab, het Franse Eurofins, een afspraak zou hebben geschonden. Waarschijnlijk omdat iemand van het lab de aanval bij de politie had gemeld. Nu dreigt de groep de gestolen data aan een geïnteresseerde derde partij te verkopen, tenzij uiterlijk op 28 augustus 11 bitcoin wordt betaald, zo’n één miljoen euro.
Het lijkt een moeilijke keuze: moet je na een ransom-aanval, een hack of een lek, nu wel of niet die ransom betalen? Vooral als er mogelijk absurde eisen bij komen kijken, zoals in dit geval de garantie dat niemand binnen de grote organisatie iets erover aan de autoriteiten meldt. Dat kan de slachtoffers voor een onoplosbaar dilemma plaatsen. In Australië is bijvoorbeeld sinds 30 mei een meldingsplicht van zulke betalingen. Daar zou het lab in een onmogelijke spagaat terecht zijn gekomen. ‘Verplicht melden is wel goed om inzicht te krijgen, maar het is niet effectief om het probleem te lossen,’ reageert Erik de Jong, Chief Research Officer bij cybersecurity-specialist Tesorion, tegen Computable.
Betalen bewuste keuze
‘Ik snap dat bedrijven die helemaal stilliggen losgeld betalen,’ zei Stan Duijf, Hoofd Operaties van de Eenheid Landelijke Opsporing en Interventies van de Politie, tegen de NRC. ‘Maar wij als politie zeggen altijd: betaal niet.’ Uiteraard moet een bedrijf de beveiliging op orde hebben en – nog belangrijker – zorgen dat een hack of lek geen schade kan veroorzaken aan data en processen. Maar als er ondanks alle vermeende voorzorgen toch wat fout gaat, is er soms geen keuze.
‘Er zijn nog heel veel bedrijven die hun ict-zaken dermate slecht op orde hebben, dat als ze dit overkomt, de enige optie is om te betalen. Of omdat ze anders al hun data kwijt zijn, of omdat het veruit de goedkoopste optie is om snel weer verder te kunnen gaan,’ stelt De Jong. ‘In principe wil je natuurlijk nooit dat iemand een crimineel betaalt, want elke euro die naar een crimineel gaat, gaat fout besteed worden. De realiteit is alleen dat sommige bedrijven gewoon over de kop gaan, als ze niet zouden mogen betalen.’
Een verbod op het betalen van ransomware losgeld is gekkenwerk. In het VK zijn ze dat nu van plan in te voeren, maar reken maar dat als een groot bedrijf failliet dreigt te gaan omdat ze niet meer bij hun data kunnen dat de overheid gewoon een uitzondering maakt.
Dus in de praktijk betekent dat dat alleen de kleine bedrijven de klos zijn als hun data versleuteld raakt. Dat is onacceptabel en discriminatoir.
Bedrijven moeten gewoon hun zaakjes op orde krijgen. Laat ze beginnen door Windows af te zweren en over te schakelen op Linux. Dat scheelt al een hoop denk ik. Ik heb nog niet gehoord dat een bedrijf welke Linux draait is overgenomen door ransomware groep.