Op donderdag 14 augustus verscheen een artikel in de Trouw waaraan directeur Cyberveilig Nederland, Liesbeth Holterman, ook een bijdrage aan heeft geleverd.
Is losgeld betalen voor gestolen data een goed idee?
Het laboratorium Clinical Diagnostics in Rijswijk, waar cybercriminelen vorige maand wisten binnen te dringen, zou losgeld betaald hebben aan de hackers. ‘Je moet snel handelen.’
“Nooit losgeld betalen, want dan houd je een crimineel verdienmodel in stand”, zegt Liesbeth Holterman, directeur Cyberveilig Nederland. Maar, voegt ze meteen toe, dat is gemakkelijk gezegd. In sommige gevallen begrijpt ze wel dat het alsnog gebeurt.
Zoals in het geval van het lab in Rijswijk, waar cybercriminelen vorige maand onder meer gegevens stalen van zo’n half miljoen vrouwen die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker. De criminelen bevestigden woensdag tegenover RTL Nieuws dat ze losgeld hebben ontvangen van het lab. Niet alleen namen en adressen, maar bij een onbekend aantal vrouwen eveneens de uitslag van het uitstrijkje. Ook andere medische data zijn gestolen. Een deel daarvan verscheen op het zogenoemde darkweb, een moeilijk toegankelijk deel van internet.
“Nu er medische informatie is gestolen van zoveel mensen snap ik die overweging te betalen”, zegt Holterman. “Je moet dan snel handelen.” Want er zijn veel ‘secundaire slachtoffers’, zoals ze de getroffen vrouwen en de anderen wier data op het darkweb verschenen noemt. Medische informatie is veel geld waard op het darkweb. Dat weten criminelen. Er zitten vaak BSN-nummers bij, adressen. Het betalen van losgeld is meestal het resultaat van onderhandelingen, vertelt Holterman. “Dat is iets wat je altijd moet doen, want daarmee win je tijd.”
Die onderhandelaars maken de afwegingen: wie zijn de criminelen, hoeveel vragen ze, hoe belangrijk zijn de data, hebben ze bewijs? Het losgeld is vaak zo’n 1 à 2 procent van de jaaromzet van het bedrijf.
Zo’n onderhandelaar is Erwin Maas, directeur onderzoek bij Northwave, een digitaal beveiligingsbedrijf. Hij ziet jaarlijks 200 cases voorbijkomen, maar van deze schrok hij. “Zoveel data en ook de aard van de data. De gegevens waren niet versleuteld en ze stonden niet op een externe server. ”
Bedrijven moeten weten welke data zij hebben en hoe ze die beveiligen, weet hij. “In de huidige wereld zijn daar Europese richtlijnen voor. De bestuurders hadden moeten voorkomen dat deze data gestolen konden worden, die kunnen daarvoor wel aansprakelijk gesteld worden.”
In het geval van dit lab is voor hem duidelijk dat er lang onderhandeld is. “Op het moment dat er betaald werd, hadden velen de geopenbaarde data al gezien en mogelijk gedownload. Dat is alsof je de brand komt blussen terwijl het huis al is afgefikt.”
Bedrijven moeten open over hacks en de gevolgen zijn, vinden Maas en Holterman. Ze zijn slachtoffer van criminelen. Maas vindt het een slechte zaak dat het Rijswijkse bedrijf dat niet is. “Het gaat om gegevens en zorgen van mensen en dan moet je transparant communiceren over wat er precies is gebeurd.”
Lees het artikel op: https://www.trouw.nl/binnenland/is-losgeld-betalen-voor-gestolen-data-een-goed-idee~b96b9831/
