Cybercriminelen betalen? Nooit?! 

DoorLisa de Wilde

Als ik organisaties vraag of zij een cybercrimineel zouden betalen is in 9 van de 10 gevallen het eerste antwoord “nooit”. Een mooi streven, maar ook tegenstrijdig met wat ik meegemaakt heb bij slachtoffers van ransomware-aanvallen. Het betalen van cybercriminelen werd in alle gevallen als een serieuze optie gezien en in het merendeel van de gevallen werd er ook daadwerkelijk betaald. 

Als een organisatie slachtoffer wordt van een ransomware-aanval zijn de data en/of systemen versleuteld. Er zijn dan grofweg twee manieren om te herstellen. Het terugzetten van de back-ups en het betalen van losgeld aan de cybercriminelen. In uitzonderlijke gevallen is het mogelijk om systemen opnieuw in te richten zonder data of om data recovery uit te voeren.  

Cybercriminelen steken relatief veel energie in het kapotmaken van jouw back-ups. Zonder back-ups is de kans dat jij gaat betalen namelijk een stuk groter. Ik zie dat organisaties in deze situatie snel de keuze maken om te betalen, mits de groepering niet op een sanctielijst staat. In andere situaties wordt er veel aandacht besteed aan het maken van de keuze. Zeker als er ook data uit de omgeving gestolen is. Voor de meeste organisatie is het een rekensom. Een business case.  

Voor deze business case worden verschillende vragen beantwoord, waaronder: 

  • Zijn er werkende back-ups? 
  • Hoelang duurt het herstelproces als er gekozen wordt voor het terugzetten van de back-ups?  
  • Hoeveel kost het aanschaffen van de sleutel bij de cybercriminelen? 
  • Wat zijn de risico’s van betalen aan cybercriminelen? 
  • Hoelang duurt het herstelproces als er gekozen wordt voor aanschaffen van de sleutel? 
  • Zijn er alternatieven om de omgeving te herstellen? 
  • Welke data gestolen is en wat de impact van het publiek beschikbaar komen van deze data? 
  • Welke eisen stelt de (eventuele) cyberverzekeraar? 
  • Welke impact hebben de herstelopties op de betrokken medewerkers? 

De uitkomst van deze en andere vragen tijdens een crisis zorgen ervoor dat sommige organisaties besluiten om wel te betalen en anderen om dit niet te doen. Zo heb ik eens een organisatie meegemaakt waarbij de gezondheid van de IT-medewerkers de doorslag gaf om wél te betalen. Het ontsleutelen zou namelijk minder impact op hen hebben. Naast bovenstaande vragen is er natuurlijk ook nog het ethische vraagstuk: wil je betalen aan criminelen? Eerlijkheidshalve moet ik zeggen dat het ethische aspect als snel van tafel geveegd werd als de business case een duidelijke uitkomst gaf.  

Voor organisaties staat er veel op het spel. Zij kiezen op dat moment dus wat het beste is voor hun situatie. Dat ze het criminele circuit daarmee in stand houden is minder relevant. Als we echt willen dat er minder betaald wordt dan moeten we zorgen dat organisaties de juiste maatregelen nemen en zich voorbereiden op cyberaanvallen. Het verbieden van betalingen aan cybercriminelen gaat niet werken als er geen vangnet is voor organisaties die niet (snel genoeg) kunnen herstellen zonder betaling. De maatschappelijke impact is enorm als herstel niet mogelijk is. En wie zegt dat er niet stiekem betaald wordt in dat geval. 

We doen met z’n allen heel geheimzinnig over betalen aan cybercriminelen en het is heel fout om te zeggen dat je het overweegt of gedaan hebt. Maar betalen is echt een serieuze optie. Simpel zeggen dat je nooit zou betalen is dat niet. Zonder de stress van een crisis de verschillende opties uitlopen dat is wat we zouden moeten doen. Dan besluiten om nooit te betalen is dan een wenselijke uitkomt, maar het komt vaker uit op: wij betalen niet, tenzij… 

Meer artikelen lezen?

Security Innovation Stories, direct in je mailbox

Inschrijven nieuwsbrief

Over Lisa

Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.

Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.

Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.

Vergelijkbare berichten