Europa moet voorbeeld nemen aan Australië
De Australische overheid verplicht sinds eind mei grote organisaties om binnen 72 uur melding te doen van elke betaling als gevolg van cyberafpersing, ook wel cyber extortion genoemd (Cy-X). Een wereldwijde primeur, die volgens Orange Cyberdefense navolging verdient. “Dit is een noodzakelijke stap richting transparantie en volwassen risicobeheer”, zegt Jort Kollerie, Strategic Advisor bij Orange Cyberdefense. “We kunnen deze criminaliteit alleen structureel tegengaan als we het volledige plaatje kennen.”
Hoewel cyberafpersing via bijvoorbeeld ransomware een van de grootste digitale dreigingen is, blijft het werkelijke aantal slachtoffers grotendeels onbekend. Juist daarom is meer transparantie essentieel. “Cy-X thrives in silence”, zegt Kollerie. “Zolang we doen alsof betalen normaal is, blijven we achter de feiten aanlopen. De meldplicht is geen afrekensysteem, maar een manier om collectieve weerbaarheid op te bouwen.”
Strategisch wapen
Het verplicht melden van betalingen als gevolg van cyberafpersing moet niet worden gezien als bureaucratische overlast, maar als een strategisch wapen in de strijd tegen cybercriminaliteit. Hiermee krijgen overheden en securityorganisaties zicht op de omvang, aard en impact van deze aanvallen. We weten simpelweg niet goed wie wordt getroffen, door wie, en welke sectoren kwetsbaar zijn.
Een meldplicht geeft overheden realtime inzicht in de tactieken van cybercriminelen en geeft de volgende voordelen:
1. Snellere identificatie en ontmanteling van criminele netwerken
Door meldingen te analyseren van bijvoorbeeld betaalbedragen, wallet-adressen en communicatiepatronen kunnen opsporingsdiensten zoals Europol of de Nederlandse politie gericht jagen op specifieke groepen. Zo kon het netwerk van LockBit dankzij internationale samenwerking tijdelijk uit de lucht worden gehaald. Dit verstoorde hun operatie, levert cruciale inlichtingen op en geeft bedrijven wereldwijd ademruimte om hun verdediging te versterken.
2. Waarschuwen van andere bedrijven of sectoren
Zodra duidelijk wordt dat een specifieke aanvalsmethode meerdere organisaties treft, kunnen overheidsinstanties via sectorale CERT’s (zoals Z-CERT voor de zorg) of het Nationaal Cyber Security Centrum (NCSC) gerichte waarschuwingen uitgeven.
3. Witwasbestrijding en blokkeren van betalingen aan gesanctioneerde partijen
Met verplichte meldingen krijgen de Financial Intelligence Unit (FIU) en andere toezichthouders beter zicht op de financiële routes die cybercriminelen gebruiken. Zodra duidelijk is welke wallets of transacties gelinkt zijn aan cybercriminelen of gesanctioneerde landen, kunnen deze adressen op waarschuwingslijsten worden geplaatst. Wordt het losgeld vervolgens omgezet naar reguliere valuta via een gereguleerde crypto-exchange, dan kunnen die tegoeden direct worden bevroren en/of in beslag genomen.
4. Internationale druk en sanctiebeleid vormgeven
Meldingen van betalingen als gevolg van cyberafpersing geven Europese autoriteiten inzicht in de omvang en impact van digitale afpersing. Die gegevens zijn cruciaal om internationale samenwerking af te dwingen. Denk aan gezamenlijke sancties of afspraken over opsporing. Binnen mondiale samenwerkingsverbanden, zoals het door de VS geïnitieerde Counter Ransomware Initiative (CRI), kan de EU met harde cijfers onderbouwen hoeveel schade Europese bedrijven lijden. Zo ontstaat internationale druk op landen die cybercriminelen de hand boven het hoofd houden, en kan er worden opgetreden tegen bijvoorbeeld witwasnetwerken of digitale infrastructuur van cybercriminelen.
Geen administratief monster
Een meldplicht voor betalingen als gevolg van cyberafpersing hoeft volgens Kollerie geen administratief monster te worden als deze goed is ingericht. Het begint met een helder doel: meer inzicht in het dreigingslandschap, niet het bestraffen van slachtoffers. Vervolgens moet het meldproces digitaal en gestandaardiseerd verlopen, bijvoorbeeld via een beveiligd online formulier waarin alleen de noodzakelijke gegevens worden ingevuld: datum, type aanval, betaalmethode, bedrag. Geen lange rapportages dus, maar overzichtelijke signalen.
Om te voorkomen dat dit op het bordje van toch al overbelaste IT-teams belandt, kunnen meldingen worden gedaan via bestaande structuren zoals sectorale CERT’s of meldpunten zoals het NCSC. Deze organisaties kunnen de informatie verzamelen, analyseren en doorzetten.
Zo blijft de meldplicht werkbaar, zelfs voor kleinere organisaties, en draagt het bij aan betere bescherming zonder extra bureaucratie.
“De strijd tegen cyberafpersing vraagt om drempels én dialoog,” stelt Kollerie. “Australië laat zien dat streng beleid en constructieve samenwerking hand in hand kunnen gaan. Ook het Verenigd Koninkrijk zet een stap, door sinds april betalingen voor cyberafpersing door publieke instanties te willen verbieden. Maar alleen verbieden is niet genoeg, het kan slachtoffers isoleren en incidenten juist onder de radar houden. Een meldplicht, zoals in Australië, is werkbaarder én effectiever: het creëert inzicht, versnelt opsporing en versterkt de collectieve weerbaarheid.”
Meer lezen
