Door Tijs Hofmans

Nieuwscoördinator

Verbod op losgeldbetalingen

Het gevoel zegt ja, het onderzoek zegt nee

25-10-2021 • 09:00

96

titel

Moet je als vers ransomware-slachtoffer dat losgeld betalen of niet? Die vraag zorgt al zeker acht jaar voor hevige discussies; eerst onder individuele slachtoffers, maar inmiddels onder zowat iedereen in de maatschappij. De argumenten zijn al die jaren ruwweg hetzelfde. Ja, je ondersteunt een crimineel verdienmodel en ja, dat drijft de prijzen op, maar tegelijkertijd heb je geen keus als je je bedrijf in leven wil houden. Het is een discussie zonder antwoorden, maar nu ransomware steeds belangrijkere en grotere bedrijven treft, richten securityexperts en politici zich vaker op een ander aspect: de verzekering. Ten onrechte, blijkt uit eerste voorzichtige onderzoeken.

Met name beleidsmakers hebben hun pijlen gericht op cyberverzekeringen als een van de aanjagers van ransomware. Aan de oppervlakte lijkt het een logische gedachte; als een bedrijf een verzekering heeft die losgeld dekt, is het management vast sneller geneigd dat te betalen. Die gedachte gaat zelfs zover dat sommige beleidsmakers denken dat cyberverzekeringen tot de voornaamste redenen behoren waarom het fenomeen ransomware zo snel groeit. "Het probleem is dat er geen juridische barrière is voor bedrijven om ransomware aan bendes te betalen en dat later terug te vragen bij hun verzekering", stelt Ciaran Martin, voormalig hoofd van de Britse NCSC in een interview met The Guardian. "Bedrijven betalen bitcoins aan criminelen en vragen daarna cash terug", zegt hij. "Dat is vermijdbaar. Op dit moment hebben bedrijven drijfveren om te betalen en er zo voor te zorgen dat hun probleem verdwijnt." Hij pleit ervoor om de Britse wet te veranderen zodat ransomwarebetalingen volledig worden verboden.

bitcoin

Nederlands perspectief

Ook in Nederland speelt de discussie. Al in april van dit jaar riep minister Grapperhaus van Justitie en Veiligheid verzekeraars op het losgeld bij infecties niet te vergoeden. Het zou toen nog 'zijn voorkeur hebben' als verzekeraars met die vergoedingen stopten. De discussie lag vervolgens een paar maanden stil, maar blijkt nu op het ministerie toch weer te leven. Ambtenaren zouden inmiddels onderzoek doen naar de mogelijkheid om verzekeraars te verbieden losgeld te vergoeden, zo meldden bronnen deze maand aan de NOS. Volgens de politie zou het betalen van ransomware leiden tot meer aanvallen, zei Grapperhaus in april. Hoe de politie daarbij komt, is niet helemaal duidelijk; de uitkomsten van onderzoeken hierover zijn tegenstrijdig. Het idee is in ieder geval logisch. Een bedrijf dat verzekerd is, is wellicht eerder geneigd losgeld te betalen als het slachtoffer wordt van ransomware. Vanuit crimineel oogpunt zijn bedrijven met een cyberverzekering aantrekkelijkere doelwitten. Niet alleen zouden ze sneller geneigd zijn te betalen, ook zouden criminelen een hoger losgeld kunnen vragen. Dat is althans de gedachte; onderzoek wijst dit juist niet uit.

Officiële cijfers over ransomware zijn altijd lastig te vinden. Daarom is ook moeilijk te zeggen hoe vaak er wordt betaald en welk percentage van dat losgeld van verzekeraars afkomstig is. Infecties worden niet centraal geregistreerd en veel bedrijven willen niet dat bekend wordt dat ze hebben betaald. Bovendien zijn cyberverzekeringen - specifiek die met losgeldclausules - nog lang geen gemeengoed. Anekdotisch lijken verzekeringen wel degelijk een rol te spelen. Diverse Amerikaanse steden lieten hun verzekering uitbetalen na een infectie. Anderzijds kwam aan sommige impactvolle aanvallen, zoals die bij de Universiteit Maastricht, geen verzekering te pas.

Markt

Er is een groeiende markt voor cyberverzekeringen met losgeldclausulesDe markt voor losgeldverzekeringen bestaat niet alleen, hij groeit hard. Eind 2019 bleek uit polissen die Tweakers had doorgelezen dat de meeste cyberverzekeringen dekking bieden voor ransomware-aanvallen. De polissen dekken onder andere de inzet voor incident-response-experts of nieuwe hardware, maar ook het losgeld dat bedrijven betalen. Daarbij moet een belangrijke kanttekening worden gemaakt, zegt advocaat Nynke Brouwer van Dirkzwager Legal, die onderzoek doet naar cyberverzekeringen: "Het gaat om dekking van betaald losgeld. Het is niet zo dat een organisatie een verzekeraar opbelt en zegt 'ik moet betalen, geef maar een zak geld'. Ze moeten eerst zelf het losgeld opbrengen en kunnen het na afloop deels vergoed krijgen. De verzekeraar ziet het dan als een schadepost." Dat onderscheid is belangrijk. Verzekeraars zeggen op die manier geen invloed uit te oefenen op de vraag of losgeld wel of niet moet worden betaald.

Cyberverzekeringen

Kritiek van industrie en politiek

Zowel de security- als de verzekeringsindustrie is sceptisch over Grapperhaus' plannen. Het verbod "zal niet of nauwelijks leiden tot minder losgeldbetalingen", stelt Inge Bryan van Fox-IT in een opinieartikel in het FD. Een vergoedingsverbod zou juist "de nuttige rol die verzekeraars kunnen vervullen in het tegengaan van ransomwareaanvallen dwarsbomen", betoogt ze.

Dat vindt het Verbond van Verzekeraars ook. "Het Verbond wijst erop dat dit in de praktijk heel weinig oplevert en zelfs averechts kan werken. Verzekeraars zorgen er juist voor dat bedrijven niet ingaan op losgeldeisen en er eerst alles aan doen om het probleem op andere manieren op te lossen", schrijft de branchevereniging in een verklaring. De organisatie zegt tegen Tweakers "nog steeds in gesprek te zijn met alle stakeholders en dat ook te zullen blijven", maar op dit moment geen nieuwe informatie te hebben. Het Verbond kijkt nog altijd op dezelfde manier naar de kwestie als in april.

Er komt ook kritiek uit Grapperhaus' eigen demissionaire kabinet. Zo stelde Queeny Rajkowski van de VVD in september vragen aan de minister over de plannen. "Bent u zich ervan bewust dat het niet betalen van losgeld kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd, wat vaak langer duurt en meer geld kost dan het betalen van losgeld?", vroeg ze. Ook stelde Rajkowski dat een verbod op losgeldbetalingen mogelijk kan leiden tot het faillissement van een bedrijf.

Het onderzoek

In de discussie wordt opvallend weinig aandacht gegeven aan de uitkomsten van onderzoek. Misschien komt dat omdat er überhaupt nog weinig onderzoek heeft plaatsgevonden. Toch wagen sommige onderzoekers zich aan dit onderwerp. Advocaat Brouwer promoveerde eerder deze maand aan de Radboud Universiteit (RU) met een onderzoek naar cyberverzekeringen. Ze keek onder andere naar polissen en hun effecten op het bedrijfsleven. Een ronkend persbericht van de RU beschreef het als: "Losgeldverbod voor cyberverzekering is zinloos". Dat ligt iets genuanceerder, maar in essentie klopt het wel, denkt Brouwer. Bedrijven die getroffen worden door ransomware betalen doorgaans toch wel, met én zonder dure verzekeringspolis. "De vraag is of een cyberverzekering met een losgeldclausule de achterliggende reden is dat bedrijven het losgeld betalen", legt ze aan Tweakers uit. "Is een bedrijf bijvoorbeeld minder geneigd losgeld te betalen als ze die verzekering niet hebben? Die vraag is moeilijk te beantwoorden." Het tegendeel lijkt juist; het merendeel van de bedrijven betaalt het losgeld toch wel, omdat er geen alternatief is. "Stel dat je kunt vaststellen dat een verzekerd bedrijf wél losgeld betaalt ondanks dat er een alternatief is, tegenover een bedrijf dat juist niet betaalt omdat het géén verzekering heeft. Dan zou er een causaal verband bestaan tussen het hebben van losgelddekking en losgeldbetaling. Dat zou ongewenst zijn, want dan bestaan er blijkbaar alternatieven die worden genegeerd. Maar ik ben dat in mijn onderzoek niet tegengekomen."

In onderzoeken is geen correlatie te vinden tussen verzekeringen en betalingenDit betekent niet direct dat het verband er niet is, nuanceert Brouwer, maar in haar onderzoek komt die correlatie in ieder geval niet voor. Dat is een logische conclusie zodra je gaat kijken naar de aard van verzekeringen en de rol die ze spelen bij beveiliging.

Brand versus cyber

Verzekeringen doen in essentie natuurlijk weinig meer dan het afkopen van een risico. Het is in het belang van de verzekeraar om dat risico zo klein mogelijk te houden. Daarom hebben verzekeringen ook de mogelijkheid om goed gedrag te stimuleren bij hun klanten. Brouwer trekt de parallel met brand of diefstal. "Een verzekeraar schrijft daarbij voor welk brandwerend materiaal of welk type sprinklerinstallatie een bedrijf moet gebruiken voor het mag worden verzekerd."

Die gedragsstimulatie ziet Brouwer, net als andere critici van het verbod, ook op het gebied van cyberverzekeringen. Het is het centrale betoog van Bryan van Fox-IT: "In plaats van de rol van de verzekeraars te marginaliseren, zou de minister juist gericht gebruik moeten maken van hun toegang tot de markt en hun mogelijkheid de veiligheidsnormen te verhogen", schrijft ze. Brouwer noemt het een kennisvoorsprong. "Voor alle bedrijven in hun portefeuille overzien verzekeraars vaak beter wat wel en niet werkt. Daarom zouden ze bedrijven beter bij de hand kunnen nemen en ze meer richting geven over wat ze wel en niet moeten doen." Verzekeraars krijgen bijvoorbeeld input van tientallen of honderden verschillende bedrijven die incidenten hebben meegemaakt. Uit al die data kun je patronen ontwaren, trends spotten en beveiligingsmaatregelen voorschrijven rondom die trends.

Verzekeraars houden zich daarom de afgelopen jaren steeds meer bezig met de beveiliging van bedrijven. "Sommigen in het vak denken dat cyberverzekeraars zich steeds meer richting compliance officers begeven", zegt Brouwer. "Ze zijn namelijk steeds actiever betrokken bij de bedrijfsvoering. Dat is bij cyberverzekeringen ook veel meer het geval dan bij traditionele polissen."

Kijken naar toekomst

Dat komt omdat brand- of diefstalverzekeringen al zo oud zijn. De eerdergenoemde kennisvoorsprong is gebaseerd op jaren aan ervaring met schadedekkingen. Die ervaring is er bij cyberincidenten en zeker bij ransomware relatief weinig. "Verzekeraars kijken van oudsher naar het verleden om premies te berekenen. Maar bij cyberverzekeringen is dat moeilijk. De systematiek en de aard van de risico's dwingt verzekeraars eerder om naar de toekomst te kijken en te anticiperen op technologische ontwikkelingen." Dat maakt het lastig om goede polissen op te stellen, heldere premies te berekenen en te bepalen wanneer iets wel of niet kan worden uitbetaald.

huis

Cyberverzekeringen zijn daardoor vaak vaag. Het is vaak onduidelijk wanneer en onder welke voorwaarden schadeposten worden uitgekeerd. Verzekeraars stellen wel eisen aan potentiële klanten, maar die zijn ambigu. Brouwer: "Er is bijvoorbeeld opgenomen dat een bedrijf back-ups moet hebben, maar veel meer staat er niet." Wat 'back-ups hebben' inhoudt, is niet eenduidig. Je kunt eens in de zoveel tijd al je documenten op een usb-stick zetten en dat een back-up noemen, maar ook een uitgebreid plan hebben met off-site-opslag, automatiseringen en regelmatige controles. Daar zit een wereld van verschil tussen.

Bij brand- en diefstalverzekeringen zijn de eisen vaak duidelijk. Een sprinklerinstallatie moet van merk X zijn, hang- en sluitwerk moet keurmerk Y hebben en een brandblusser moet volgens ISO-norm Z zijn gekeurd. Bij cyberverzekeringen bestaan zulke duidelijke definities niet. "Meestal staat er alleen: 'u moet redelijke voorzorgsmaatregelen nemen'. Dat is een dusdanig open norm dat bedrijven niet weten wat ze moeten doen."

Verzekeringen kunnen nog veel slagen maken in het helpen van bedrijvenVerzekeraars zeggen zelf dat ze door het voorschrijven van beveiligingsmaatregelen bedrijven juist helpen, maar in werkelijkheid hebben ze daarin nog een flinke slag te slaan. "In grote lijnen zijn de polissen gelijk, maar in de details verschillen ze, terwijl voor verzekeraars juist die details belangrijk zijn. Ook voor tussenpersonen is het lastiger uit te leggen. Dat zorgt voor onduidelijkheid bij bedrijven, die vervolgens weer huiverig zijn om een cyberpolis af te nemen, en daar leert de verzekeraar weer minder van. Dat zorgt voor een cyclus van onduidelijkheid." Brouwer nuanceert het wel; de laatste jaren zijn er veel slagen gemaakt. "Op de huidige markt zijn de eisen al veel strenger. Het is veel moeilijker een cyberverzekering af te sluiten, omdat verzekeraars gedetailleerder vragen naar bijvoorbeeld de inrichtingen van technologieafdelingen en -infrastructuren. Maar ze zouden bedrijven beter kunnen begeleiden."

Hogere kostenpost

Dat verzekeraars tegen een verbod op dekking voor losgeld zijn, heeft een goede reden. Als een bedrijf het losgeld niet betaalt, is de schadepost enorm. Een mogelijk gevolg van een losgeldverbod is dat verzekeraars in dat geval dekking voor bedrijfsstilstand juist beperken. Zo'n stilstand duurt vaak veel langer en kost meer geld. Bedrijven moeten dan expertise inhuren, apparatuur aanschaffen en missen langere tijd inkomsten. Brouwer: "De kosten stijgen dan, en als de verzekeraar dát moet dekken, gaat de premie mogelijk omhoog en de dekking omlaag. Dat heeft effect op de hele verzekeringsmarkt."

Daar komt ook nog bij dat bedrijven bij een verbod mogelijk uitwijken naar het buitenland. Daarmee wordt het probleem alleen maar verplaatst.

Contractvrijheid

Brouwer ziet naast de beperkte effectiviteit ook een belangrijk juridisch obstakel voor een verbod. Het zou namelijk diep ingrijpen op de contractvrijheid. "In principe mag je alles met iedereen afspreken, tenzij het in strijd is met de wet of met de openbare orde of de goede zeden. Je kunt beargumenteren dat ransomware een bedreiging is voor de openbare orde, vanwege de aanvallen op ziekenhuizen of infrastructuur. Maar je moet dan óók kunnen constateren dat verzekerde bedrijven losgeld betalen ondanks de alternatieven, en daar is dus op dit moment geen duidelijk antwoord op te geven."

Ransomwarebendes hebben hele business intelligence-afdelingen die kijken naar verzekeringenKortom, het is niet bewezen dat een verbod op het vergoeden van ransomware-losgeld ervoor zorgt dat bedrijven geen losgeld meer betalen, en verzekeraars kunnen hun positie nu gebruiken om goed securitybeleid af te dwingen. Tel de juridische obstakels en de stijgende premies die bij een losgeldverbod komen erbij op, en het begint te lijken op symptoombestrijding. Toch is het niet zo dat verzekeringen helemaal geen rol spelen in de ransomwarediscussie. Er zijn veel signalen dat ransomwarebendes graag achter bedrijven aan gaan waarvan ze weten dat ze verzekerd zijn. Experts zien bijvoorbeeld dat bendes hele business intelligence-afdelingen hebben die eerst grondig onderzoek doen naar de bedrijfsvoering. De losgeldeis wordt dan berekend op basis van de jaaromzet, maar ook op het feit dat er een verzekering is afgesloten.

Onderzoek door ProPublica wees in 2019 uit dat veel verzekeraars zelf regelmatig aanraden om te betalen. Dat gebeurt vaak niet zo direct. Verzekeraars hebben geen directe rol bij het troubleshooten, maar kunnen bijvoorbeeld wel een extern bedrijf inschakelen om aan incident response te doen. "Daarbij heeft een verzekeraar zeker wel invloed", zegt Brouwer. Onderhandelaars van incident-responseteams weten meestal wel dat bedrijven beter af zijn als ze het losgeld gewoon betalen, en dat weten de bendes ook. Een verzekerd bedrijf dat een professionele onderhandelaar inschakelt, betekent nu eenmaal snel cashen zonder veel gedoe, dus worden zulke bedrijven wel degelijk interessante doelwitten. Betalen doen de slachtoffers toch wel, maar verzekerde bedrijven doen het misschien sneller.

Groter plaatje

Dat specifieke dilemma komt niet voor in Brouwers onderzoek, maar ze ziet het punt wel. Verzekeringen zijn volgens haar echter maar een klein onderdeel binnen het complexe systeem van bendes, bitcoin en besluitvorming. "Ik ben zeker niet voor het doen van losgeldbetalingen. Maar verzekeringsdekking - en dat is echt iets anders dan losgeldbetalingen - moet je zien binnen een groter plaatje. Bij betalingsgedrag komen zo veel factoren kijken dat ik simpelweg niet kan vaststellen dat de verzekering daar een bepalende rol in heeft gehad."

Bij de aanpak van het grotere probleem van ransomware zijn veel andere aspecten van belang, zoals geopolitieke belangen, de uitlevering van bendes die in hun Oost-Europese of Russische thuisland vaak vogelvrij blijven. Of cryptovaluta, dat binnen ransomware een belangrijke rol speelt. "En ook wat de overheid doet aan preventie. Stel bijvoorbeeld eerst eens een goed normenkader op voor beveiligingsaspecten waaraan men kan refereren. Ik zeg: kijk daar eerst naar en schuif niet meteen de zwarte piet naar de verzekeraars."

Reacties (96)

96
94
48
1
0
37
Wijzig sortering
Ik zou liever een algeheel verbod voor bedrijven zien om losgeld te betalen. Maar, volgens mij is dat niet makkelijk haalbaar, helaas.
Dat houdt in dat dan menig bedrijf failliet zou gaan. En je zou er maar werken.
De keuze is als ondernemer vaak heel eenvoudig: betalen of failliet.
De keuze is als ondernemer vaak heel eenvoudig: betalen of failliet.
En daarom moet je die keuze niet bij de ondernemer leggen.

Als een bedrijf zegt; we kunnen ons werk alleen doen door de hele omgeving te vergiftigen (denk aan Tata-steel) dan moeten we zeggen: doe dan je werk maar niet.

Als een bedrijf zijn werk alleen maar kan doen door zijn werknemers in ernstig gevaar te brengen dan doen we dat niet (daarom hebben we in de Westerse wereld bijna geen ondergrondse mijnbouw meer, dat we dat uitbesteden aan andere landen is een andere ethische discussie).

Als een bedrijf zegt: ik kan mijn werk alleen doen als ik af en toe een zak geld aan criminelen geef, wat zeg jij dan?
Je gaat er hier gemakshalve vanuit dat het door slecht beheer komt. En dat is soms zeker waar, maar lang niet altijd.
Daarnaast wordt de ICT bij veel bedrijven (klein tot groot) extern beheerd. Dus dan kun je er als ondernemer ook niets aan doen.
Je gaat er hier gemakshalve vanuit dat het door slecht beheer komt. En dat is soms zeker waar, maar lang niet altijd.
Daar ga ik niet vanuit, maar ik snap wel dat je dat in mijn post leest.
Daarnaast wordt de ICT bij veel bedrijven (klein tot groot) extern beheerd. Dus dan kun je er als ondernemer ook niets aan doen.
Hier lijkt jouw uitgangspunt: als je iets uitbesteed heb je er geen verantwoordelijkheid voor. Sta je daar achter?
Maar toch is het zo. Geen enkel bedrijf is immuun tegen dit soort aanvallen. Dat is net hetgene waar je aan voorbijgaat. Zelfs grote bedrijvne in de IT beveiliging zijn al slachtoffer geworden van hacks. Dus het komt sowieso niet altijd door slecht beheer. Maar ga je die bedrijven dan echt afstraffen door ze mogelijks failliet te laten gaan?

En als je iets uitbesteed omdat je er zelf de kennis niet voor hebt, hoe ga je dan nagaan of het werk goed gebeurt of niet? Of ga je dat weer aan een ander uitbesteden? Of ga je misschien puur naar keurmerken kijken?
Je maakt, zoals meestal, een paar valide punten. Als IT cruciaal is voor je bedrijf en je hebt er zelf geen verstand van, hetgeen helaas een reeel aanname is, dan kun je ook je toeleverancier alleen maar vertrouwen. Vergelijk het met de firpronilcrisis in 2017: je kan de individuele pluimveehouders nauwelijks kwalijk nemen dat zijn Chickfriend geloofden, dus werd Chickfriend verantwoordelijk gehouden. Maar een ICT-bedrijfje verantwoordelijk houden voor het stilstaan van de productie bij een van hun klanten is waarschijnlijk ook niet haalbaar.
Maar ga je die bedrijven dan echt afstraffen door ze mogelijks failliet te laten gaan?
Liever niet natuurlijk. Maar opnieuw, wat is het alternatief? Accepteren dat we een exponentieel groeiend bedrag aan losgeld betalen aan een exponentieel groeiend aantal ransomwarebedrijven? Dat lijkt me van alle mogelijke scenario's, inclusief die waar vele bedrijven over de kop gaan en ICT-bedrijven er mee ophouden omdat ze de verantwoordelijkheid niet aan kunnen, de slechtst denkbare.

Misschien ben ik te negatief, en verzadigd de markt vanzelf, zijn er niet zoveel mensen die rijk willen worden over de ruggen van anderen en gaan criminelen met vervroegd pensioen als ze genoeg verdiend hebben.
Hoe kom je er bij dat het om exponentieel groeiende bedragen en aanvallen gaat? Ondanks dat afpersing van alle tijden is zie je dat je op een gegeven moment gewoon op een plateau zit. Criminelen passen zich aan, en ook hier gaat dat gebeuren. Hoe groter het probleem, hoe meer oplossingen er zullen komen om het tegen te gaan en dan moeten ze hun markt weer gaan verplaatsen.

Denk je bijvoorbeeld dat de overvallen op geldtransporten zijn gestopt omdat we geen geld meer transporteren? Neen, die overvallen zijn verdwenen omdat we het geld beter zijn gaan beveiligen. Hoe vaak zie je nog kidnappingen gebeuren in de westerse wereld? Ook dat is een zeldzaamheid geworden. Zijn er dan geen doelen meer om te ontvoeren? Tuurlijk wel.

Ook ransomware zal zo een beweging meemaken. Op een gegeven moment pieken om dan weer vervangen te worden door iets anders.
https://www.vrt.be/vrtnws...al-op-waardetransport-in/

Tuurlijk zijn ze "verdwenen" uit onze maatschappij die overvallen op geldtransporten. 🙈

Wil je nog eens een
ontvoering in Nederland zien?

https://www.dumpert.nl/item/8106289_a1d7ed8f

Er gebeurt hier ook heel veel, zoveel dat het hier gewoon niet eens nieuwswaarde heeft.

Kijk maar naar wat voor lelijke zaken ze hebben gevonden door die recente hacks van beveiligde netwerken die criminelen volop gebruikten en hoeveel er daardoor niet is kunnen doorgaan. Ik denk dat de meerderheid ook vrij lokaal was met folterkamers en liquidaties alsook ontvoeringen op afspraak alsof je een sandwich bij de bakker bestelde.
Denk je bijvoorbeeld dat de overvallen op geldtransporten zijn gestopt omdat we geen geld meer transporteren? Neen, die overvallen zijn verdwenen omdat we het geld beter zijn gaan beveiligen.
Precies. Het antwoord is niet criminelen belonen, maar beveiliging verbeteren.
Als je dat accepteert, moet je ook de gevolgen accepteren. Dus bij een grootschalig security incident dat een bedrijf weken niet operationeel is en wellicht ook failliet gaat en al het personeel van de een op andere dag op straat staat. Ik denk dat je dat niet zou willen.
Dat klopt, dit is iets wat we moeten accepteren. Natuurlijk zal dit dan maar een klein deel van de bedrijven zijn, want als randsomware bijna niet meer betaald wordt, dan is het verdienmodel er achter ook meteen weg. Maar ik zal zeker niet ontkennen dat dit vrij hard aan zou kunnen komen. Iemand straffen omdat die slachtoffer is geworden, is natuurlijk niet leuk. Maar goed gemeenten sluiten ook een restaurant als daar een granaat bij de voordeur wordt gevonden.
Dat is iets wat je hoopt, maar niet zeker weet. Ddos is de afgelopen jaren constant doorgegaan. Zonder daadwerkelijk verdienmodel.
Hoewel er zeker geen garanties zijn, is er hier duidelijk een financieel motief. Het lijkt mij zeer onwaarschijnlijk dat er in dezelfde mate op een groep gefocust blijft worden, wanneer deze meestal niet betaald. Ik kan dan ook geen goede voorbeelden van criminaliteit om financieel gewin bedenken, waarbij dit net zo hard door gaat, wanneer er veel minder aan te verdienen valt.
Ik denk dat je dat niet zou willen.
Nee, natuurlijk willen we geen bedrijven die failliet gaan en mensen die op straat komen te staan. Maar hoe voorkomen we dat? Door losgeld te betalen bij iedere cryptoaanval? Of door beter te beveiligen? Dat die beveiliging duur is ben ik met iedereen hier eens, maar wat is het alternatief? Ik verwacht nietdat cryptowarebendes zeggen; mooi, we hebben een miljoen verdiend, we gaan met pensioen. Die miljoen wordt geinvesteerd in meer mankracht en meer aanvallen, er vallen meer slachtoffers die meer losgeld betalen en het probleem groeit exponentieel. En dan gaan er nog meer bedrijven failliet en raken er nog meer mensen werkeloos.

Natuurlijk zegt de bond van verzekeraars dat deze verzekeringen niet verboden moeten worden; als ze wilden dat die verzekering niet bestond zouden ze het niet aanbieden. Maar in tegenstelling tot wat de kop van het artikel suggereert lees ik geen bewijs dat losgeld betalen niet tot groei van de markt leidt.

[Reactie gewijzigd door 84hannes op 22 juli 2024 22:30]

Inderdaad, onhaalbaar. Vaak zijn grote bedrijven het target. Dan zit je al met verschillende vestigingen in verschillende landen. Dus, de payout kan gewoon via een land gaan waar het (nog) wel mag. Zolang er landen zijn die het wel prima vinden dat groepen dit doen vanuit hun grenzen zal dit helaas doorgaan. De wereld moet samen in actie komen. We weten hoe lastig dat is om iedereen mee te krijgen dus dit gaat niet snel gebeuren.
Zelfs al zou dit alleen voor Nederland gelden, dan nog verlaagd dit het aantal bedrijven wat hier voor vatbaar is. Ja een bedrijf wat in meerdere landen zit kan via een ander land betalen, maar dit gaat voor veel bedrijven niet op / werkt in ieder geval drempelverhogend om Nederlandse bedrijven te raken.
Nog een optie die het niet verbiedt maar wel onaantrekkelijk maakt: belasting heffen op losgeldbetaling, bijvoorbeeld 200%. Als een criminineel 1 miljoen eist, moet het bedrijf 3 betalen, 2 gaan dan naar de staat. Ten eerste heeft de gemeenschap er nog wat aan als het bedijf toch wil betalen, ten tweede zal de crimineel zijn prijs moeten verlagen omdat een bedrijf zal afwegen of het loont om te betalen en bij 3 miljoen (als voorbeeld) eventueel weigeren.
Bart ® Moderator Spielerij 25 oktober 2021 09:15
Ik snap eigenlijk nog steeds niet waarom bedrijven dit soort zaken, waardoor ze zelfs failliet kunnen gaan, nog steeds niet op orde hebben. Het is niet dat er geen ruchtbaarheid aan gegeven wordt; bestuurders moeten wel onder een enorme steen liggen om hier nog niet van gehoord te hebben. Dus waarom toch dat struisvogelgedrag? Waarom bewust enorme risico's lopen en geen voorzorgsmaatregelen nemen? Ik ben geen expert, maar volgens mij is het toch niet onmogelijk of onbetaalbaar om maatregelen te nemen tegen ransomware.
AuteurTijsZonderH Nieuwscoördinator @Bart ®25 oktober 2021 09:19
Ik hoorde het ooit uitgedrukt: het gemiddelde bedrijf heeft niet eens een ciso of cto in dienst, security ligt als subonderdeel bij systeembeheer, maar dat moet vervolgens optreden tegen ransomwarebendes die miljoenen euro's aan budget hebben voor vooronderzoek, pentests, business intelligence, die 15 man in loondienst hebben waarvan er één alles weet over .NET en weer een ander over netwerkstructuren... Hoe kun je daar als niet-ict-bedrijf nog tegenop vechten?
Hoe kun je daar als niet-ict-bedrijf nog tegenop vechten?
Door de risico's serieus te nemen, en daar dus ook de middelen voor beschikbaar te stellen. Zoals je zelf ook in het artikel schrijft, er wordt grondig onderzoek gedaan naar bedrijven voordat ze aangevallen worden. Het gaat hier dus niet om de bakker om de hoek, maar om bedrijven met een omzet van tientallen miljoenen of meer. Die zullen middelen beschikbaar moeten stellen voor IT-security, al dan niet ingehuurd. Of bewust het risico lopen ten onder te gaan.

Daarom vind ik het verzekeren ook zo vreemd. Hé, ik ruik een gaslucht in mijn meterkast, maar ik negeer het maar gewoon want ik heb toch een brandverzekering. Dan sla je toch de plank een beetje mis... Een verzekering heb je voor uiterste noodgevallen, niet om maar je kop in het zand te kunnen steken, zeker niet als je verantwoordelijk bent voor het inkomen van tientallen/honderden werknemers (of meer). En ja, die IT-security zal ook een sloot geld kosten, maar het lijkt me onwaarschijnlijk dat het goedkoper is om slachtoffer te zijn van ransomware...

[Reactie gewijzigd door Bart ® op 22 juli 2024 22:30]

Maar zelfs dan is het vaak niet genoeg. Je moet maar 1 gat in je verdediging hebben en ze zitten binnen. Ongeacht hoeveel geld je aan je beveiliging geeft, je loopt altijd risico. Daarnaast zal een verzekering ook al snel eisen dat je aan bepaalde minimale eisen voldoet,anders gaat de premie de hoogte in.
Als ze na dat gat in de beveiliging binnen zitten, moet je zorgen dat ze nog meer gaten nodig hebben voor ze Ransomware uitrollen. Daarnaast zorg je ervoor dat je detectie hebt zodat je kan zien dat ze binnen zijn en ben je voorbereid wat je moet doen als dat een keer gebeurd.

Het adagium 'er is maar 1 gat nodig, dus je kan er niet veel aan doen' is echt te kort door de bocht bij Ransomware. Hof van Twente: server met RDP aan het internet zonder MFA en direct op die server Domain Admin kunnen worden, is niet 1 gat. Dan heb je wel wat meer basis hygiëne gemist en al helemaal geen detectie op brute force pogingen.

Al iedere organisatie nu eens gaat redeneren vanuit het perspectief, binnen komen ze toch wel, maar dan moet ik de boel nog kunnen verdedigen. Dan zouden we veel minder ransomware aanvallen hebben.
Ongeacht hoeveel geld je aan je beveiliging geeft, je loopt altijd risico.
Klopt helemaal, maar er is echt wel een budget te bepalen wat realistisch is dat het risico op ransomware minimaal is. Daarom is het Cyber Security vooral een risico management vakgebied.
Wat ik vooral wil zeggen is dat er geen magische oplossing bestaat zoals zo vaak gesuggereerd wordt. Bart geeft aan dat als je het probleem serieus neemt en er maar voldoende resources tegen aan gooit dat je dan wel veilig zal zitten en je dus geen verzekering nodig zou moeten hebben

Maar zo eenvoudig is het natuurlijk niet.
Hoe kun je daar als niet-ict-bedrijf nog tegenop vechten?
Dat, en interesse.

Er valt best wel betrouwbare kennis in te huren, maar het moet wel belangrijk genoeg zijn. Blijkbaar is dat het nog niet.
Is nog lastig stiekem, goede mensen vinden. Security is een sterk multidisciplinair vakgebied. Van security awareness training tot server hardening en netwerksegmentatie.

Voorbeeld over één specifiek klein stukje security binnen veel bedrijven. De Microsoft Active Directory omgeving. Die wordt vaker gehacked, want een aanvaller scoort uiteindelijk wel Enterprise Admin rechten, neemt zo de hele boel over, encrypt alles. Natuurlijk is opknippen in verschillende forests dan beter, vergeleken met de voormalige trend van alles consolideren in één forest.
Echter, hoeveel AD forests te maken nu. Welke groepen resources/users moet je waarom kiezen als aparte forest eilanden. Die complexe belangen afweging quantificeren voor besluitvorming, ofwel aangeven waar dan de optimale verhouding van security-kosten-gebruiksgemak zit, of tussen welke twee scenario's best te kiezen valt. Bij zulke complexe vraagstukken wordt het opeens stil... en daarna moet je nog eens beginnen zo een landschap op te bouwen, migraties te doen, met weer andere mensen.

Ondertussen zit een ransomware aanvaller elke maand nieuwe exploit kits toe te voegen en uit te proberen, en die hoeft maar één keer te slagen om door de vele verschillende soorten en hopelijk per soort security, wel nog een paar lagen verdediging heen te breken :(
Centraal beheer voorkomt ook een hoop veiligheidsproblemen, het is dus niet gek om alle gebruikers en resources in 1 AD te hebben, maar dan wel met goede rolverdelingen binnen de AD, en een zeer beperkte groep domain admins, die standaard niet met dat account werken, maar alleen als het moet.
Verder dient de backup/virtualisatie los te staan van de AD met gebruikers en data.
Je komt dus op 2 a 3 forests, en daarnaast nog DMZ.

[Reactie gewijzigd door paulhekje op 22 juli 2024 22:30]

Op dezelfde manier als hoe ze met geld omgaan: als het echt zo belangrijk is dan zorg je dat je het op orde hebt en onderken je het risico dat het gruwelijk mis kan gaan met je ict dat je er dagen of weken geen inkomsten door hebt en je klanten weglopen naar de concurrent. En een serieuze directie zal daar in welke vorm dan ook vooraf over nadenken, of dat nu is door staking, ziekte, gebrek aan grondstoflevering, gebrek aan klanten, gebrek aan ict, zelfs gebrek aan een bank, enz. Het lijkt dus meer een kwestie van er te weinig prioriteit aan geven risicos te onderkennen? Wie dan leeft wie dan zorgt? De directie heeft toch al geregeld dat ze vooraf goed betaald zijn en lijkt het zich te kunnen veroorloven dat het bedrijf rampspoed overkomt die ze hadden kunnen voorkomen, zelfs als ze de criminelen niet kunnen betalen?
Een cyberverzekering kan daarbij helpen. Een cyberverzekeraar zal of zou verplicht moeten worden om de ict van verzekerden globaal door te lichten en afhankelijk van de uitkomst een verdiepend onderzoek en verbeterplan bij een gespecialiseerd bedrijf te eisen doen alvorens een cyberverzekering kan worden afgesloten. Dat heeft meer zin dan een verbod op het uitbetalen van losgeld.
Dit is wel wat te simpel. Zelfs grote IT bedrijven zijn gehacked. Onlangs Microsoft nog via Solarwinds. Dus, nee, het is geen struisvogel gedrag. Als een groep uit Rusland je target is de kans groot dat ze binnen komen. Als je omzet groot genoeg is dan steken ze er gewoon genoeg energie in om het te laten lukken. Al dan niet via een supplier, 0-day of andere ingang.

Een bedrijf kan zeker de basics goed op orde hebben en het moeilijker maken maar te voorkomen is het (bijna) niet.
Bart ® Moderator Spielerij @Inspired25 oktober 2021 09:30
Ik bedoel ook niet dat je alles zodanig dicht hoeft te hebben zitten dat je nooit gehackt kan worden. Sprinklers zijn er ook niet om te voorkomen dat er brand uitbreekt :). Je wil er denk ik wel voor zorgen dat je, na een ransomware-aanval, met een paar relatief simpele en kortdurende handelingen een back-up van alle kritieke systemen kunt terugzetten. Waardoor je weer snel je bedrijf up and running hebt, en je kosten minimaal zijn.
Je moet dan nog wel even uitzoeken welke backups betrouwbaar zijn en welke niet, een backup van een geïnfecteerd systeem heb je weinig aan natuurlijk.
En een full restore bij iets of wat onderneming kan ook dagen of zelfs weken duren.
yup,
ik ben zelf geen fan om systemen in zijn geheel te backuppen, liever gewoon de data en configs etc backuppen. in geval van crisis, schone install en data terug, minste kans op "herinfecties" dan. helaas zweert onze sysadmin om alles maar op machinenivo te backuppen.
Ik ben geen expert, maar volgens mij is het toch niet onmogelijk of onbetaalbaar om maatregelen te nemen tegen ransomware.
Het is zeker behapbaar, maar het risico zit 'm in het feit dat de infrastructuur hoogstwaarschijnlijk verbouwd moet worden. Dat zijn projecten die managers liever van zich afschuiven omdat je er functioneel gezien niks mee opschiet. Beveiliging - zowel fysiek als digitaal - zal de komende ~10 jaar altijd ondergeschikt zijn aan overige bedrijfsprocessen.
Ik snap eigenlijk nog steeds niet waarom bedrijven dit soort zaken, waardoor ze zelfs failliet kunnen gaan, nog steeds niet op orde hebben. Het is niet dat er geen ruchtbaarheid aan gegeven wordt; bestuurders moeten wel onder een enorme steen liggen om hier nog niet van gehoord te hebben. Dus waarom toch dat struisvogelgedrag? Waarom bewust enorme risico's lopen en geen voorzorgsmaatregelen nemen? Ik ben geen expert, maar volgens mij is het toch niet onmogelijk of onbetaalbaar om maatregelen te nemen tegen ransomware.
Volgens mij heeft het toch veel met geld en kennis te maken. Er is niet één soort ransomware en er is dus ook niet één oplossing. En ransomware is weer niet het enige beveiligingsprobleem, om het nog maar niet te hebben over al die andere problemen in de IT.
Als je zelf heel veel kennis en kunde in huis hebt kun je misschien verstandige keuzes maken om je IT goed te beveiligen. Maar in praktijk verloopt het als een typisch IT-project: 80% mislukt. En in de IT is alles met elkaar verbonden waardoor een zwak punt op de ene plek ook een gevaar is voor de rest. We hebben het vaak over 'defense in layers', oftewel dat je bescherming moet zijn opgebouwd uit elkaar overlappende lagen die elkaars zwakke punten opvangen. In praktijk is er vaak maar één laag (vol gaten) en dat is al te duur en te lastig om goed te beheren voor de meesten.

Het gaat een beetje te ver om in deze post in te gaan op alle redenen waarom IT zo'n puinhoop is, maar de conclusie is dat de meeste organisaties vrij kansloos zijn. De boel goed beveiligen kost meer dan het bedrijf waard is. Dus dan wordt, bewust of onbewust, de keuze gemaakt om de gok maar te nemen.
Misschien gaat het goed en kun je genoeg geld verdienen met je bedrijf om betere IT te kopen voordat het fout gaat.
Het is alsof je een fiets veilig moet maken in álle verkeerssituaties. Als je bumpers en airbags op je fiets schroeft zodat je op de snelweg een klap van 130km/h kan opvangen dan wordt de fiets zo zwaar dat je er niet meer mee kan rijden.
Ik houd mijn hart vast voor alle kleine bedrijfjes die nu denken dat ze er mee weg zijn gekomen terwijl hun aanvaller rustig afwacht tot ze genoeg geld hebben verdient om het de moeite waard te maken om ze te gijzelen/beroven.
Als ik cybercrimineel zou zijn, dan zou ik als eerste doelwit een bedrijf kiezen dat een cyber verzekering heeft. Het bedrag dat betaald wordt zal hoger zijn, en ze zullen sneller betalen.
2 X een win voor de crimineel.
Dat is nog maar de vraag. Ten eerste, hoe weet je dat een bedrijf een verzekering heeft? Daarbij, een verzekeraar kan ook een vertragende factor zijn. Een bedrijf wil gewoon snel weer up en running zijn. Kijk naar VDL. Die wilen prima 5m betalen als ze binnen een paar uur weer kunnen gaan herstellen. Een verzekeraar wil wellicht meer onderhandel omdat dit het business model is van ze.
AuteurTijsZonderH Nieuwscoördinator @Inspired25 oktober 2021 10:43
Een verzekeraar heeft weinig invloed op het al dan niet betalen - met wat nuances, want ze wijzen vaak wel de IR-teams aan. Uiteindelijk is het aan het slachtofferbedrijf om te bepalen hoe snel ze operationeel willen zijn, en aan de IR-hulp om daarbij te helpen. Daar heeft de verzekeraar niks mee te maken.
Dit is een antwoord dat van twee walletjes eet. Of je verzekeraar heeft grote invoed op wat er wel of niet gaat gebeuren, of ze hebben het niet. Als een verzekeraar wel even voor het bedrijf gaat beslissen wie het ondetzoek doet en hoe dat verloopt dan klinkt dat niet als een nuance maar op sterke invloed. En als een directie kiest om eerst flink geinvesteerd te hebben in een verzekering klinkt het niet redelijk dat ze dat zomaar afschrijven als extra verlies. Dus die invloed is eerder heel groot, tenzij de directie tijdens een aanval van gedachten gaat wijzigen.
Ik zou het mooi vinden als dat soort voorwaarden algemeen zijn vastgesteld en niet door elke verzekeraar individueel en dat de invulling daarvan vooraf bekend is zodat je daar als bedrijf rekening mee kunt houden bij het kiezen van een specifieke verzekering.
In het geval van Garmin speelde er meer. InReach lag plat en dat was niet alleen een financieel een issue maar het gaat om mensenlevens. En dan sta je denk ik tegen de muur.... Dat is natuurlijk buiten de al dan niet beveiligings- issues om.
Een verzekeraar wil wellicht meer onderhandel omdat dit het business model is van ze.
In het artikel staat:
"Het gaat om dekking van betaald losgeld. Het is niet zo dat een organisatie een verzekeraar opbelt en zegt 'ik moet betalen, geef maar een zak geld'. Ze moeten eerst zelf het losgeld opbrengen en kunnen het na afloop deels vergoed krijgen.
Dat klinkt alsof de verzekeraar pas na de betaling een rol speelt.
Is ook logisch toch, je gaat toch pas over tot compensatie als er iets is gebeurd.

Je wordt normaliter toch ook pas begraven/gecremeerd als je overleden bent.
Als ik als verzekeraar zo een polis uitgaf zou ik daar in zetten een verplichting om van te voren op de hoogte gebracht te worden. Sommige ransomware is gekraakt en dan is losgeld niet nodig.
Er is zelfs een interview (wat ik nu even snel niet kan vinden) met een groepering die aangaf eerst de verzekeraar te hacken, dan alle klanten en als laatste de verzekeraar zelf. Niet lang daarna werd bekend dat een Amerikaanse verzekeraar 40 miljoen dollar heeft betaald.

In dat opzicht is het zeer nadelig om een verzekering te hebben.
Ik heb dat interview ook gelezen in de krant.
Ook zijn de aanvallen doelgericht: criminelen breken bijvoorbeeld in bij verzekeraars om klanten te traceren die een cyberpolis afsloten. Bedrijven die zichzelf verzekeren tegen een ransomwareaanval zullen sneller betalen, zo is het idee.
https://www.nrc.nl/nieuws...-tenzij-het-moet-a4040140
Aangezien het om veel geld gaat kan je ook verwachten dat criminelen iemand bij een verzekeraar (of bijvoorbeeld wie inzicht in de gegevens heeft bij verkopers van verzekeringen) omkopen om namen van klanten van die verzekeringen te geven.
Maar, zou je ook altijd weten of ze een dergelijke verzekering hebben? Zou je verder dan een beter beveiligd bedrijf met verzekering of een slechter beveiligd bedrijf zonder aanvallen?
Er is een perfecte bron om te achterhalen welke bedrijven zo'n verzekering hebben: de verzekeraar die het aanbiedt. Die moet echt ongelofelijk goed beveiligd zijn, want als je daar binnen komt en weet wie er verzekerd is, heb je allerlei potentiële slachtoffers gevonden.

En dat je beveiligingen kunt omzeilen is je werk als niet-ethische hacker, dus dat komt wel goed. En zoals hierboven te lezen valt: dat wordt al massaal gedaan.

Ik ben in ieder geval blij dat de discussie hier niet verzandt in "je had je beveiliging op orde moeten hebben". Daar hebben we hier niks aan, dat is alleen de oplossing naar de toekomst om het niet vaker te ondergaan (dus niet onbelangrijk). Het is net als verkeersveiligheid: er moeten eerst een paar mensen om het leven komen, voor de gemeente dat gevaarlijke kruispunt veilig maakt of er een rotonde neer legt. De mens denkt altijd "dat gebeurt mij niet", tot het je wel gebeurt en je denkt "Had ik maar...". Dat zit in onze natuur, helaas.

Maar gegeven het feit dat een bedrijf gehackt is, snap ik volkomen dat je de deuren niet sluit als je kunt voortbestaan door het losgeld te betalen.
Niet mee eens. Allereerst zul een cybercrimineel moet weten welke bedrijven een cyberverzekering hebben. Daarnaast zal een verzekeraar er aan moeten kunnen verdienen, de dekking zal dus gemiddeld gezien lager moeten zijn dan de som van de verzekeringspremies. Dat alleen zorgt ervoor dat een verzekerd bedrijf gemiddeld minder te besteden heeft aan losgeld dan een onverzekerd bedrijf, alle andere zaken gelijk gehouden. Daarnaast zal een cyberverzekeraar beter in staat kunnen zijn om het bedrijf een lager losgeldbedrag eruit te onderhandelen.
Als ik cybercrimineel zou zijn, dan zou ik als eerste doelwit een bedrijf kiezen dat een cyber verzekering heeft. Het bedrag dat betaald wordt zal hoger zijn, en ze zullen sneller betalen.
2 X een win voor de crimineel.
Ok, ik geef je een "what if" vraag...

"Wat als we geld hebben afgeschaft?"

Dat we heel anders moesten gaan leven, zoals in Star Trek seies ;)
Nou, graag wil ik een oplossing horen hoe de criminelen geld moeten verdienen :P aangezien we niets meer verdienen :P
Ik snap je vraag niet.
Het gaat erom dat je jezelf tot een doelwit maakt. En dat lijkt me een slecht idee.
Hoe er betaald wordt, Bitcoin, contant of beren huiden lijkt me niet belangrijk in deze.

Ik lees je discussie met Groningerkoek.
Geld is niet de root of all evil, Ongelimiteerde hebberigheid is dat.wel.
Geld is gewoon nodig. Hoe wil je anders berekenen wat iets kost?
Doelwit??? Oh tegenstanders of die mensen die van geld houden??? :')

Als we geld afschaffen kunnen we meteen bouwen OMDAT de kosten niet meer er zijn }> en dat betekent snelle vooruitgang. Op dit moment hadden we allang op andere planeten gekoloniseerd moeten zijn, maar door huidige systeem kan dat niet meer omdat ze ook op de kosten moeten letten! Dat beperkt vooruitgang. Mensen (personeel of kinderen) worden duurder, eten wordt duurder, materiaal wordt ook duurder, dus minder winst… daarom gaan ze minder risico nemen, enzovoort… geen goede vooruitgang! Onderzoeken vragen steeds om subsidies… helaas weinig geld beschikbaar… volgende keer beter…
Dat krijg je dat door geld! :P
Ik heb één woord voor je: Gold-Pressed Latinum.
Bizarre vraag, want geld is niets meer of minder dan een middel om ruilhandel en waardetransport/opslag te versimpelen, en die dingen zijn niet af te schaffen. Hoe wil jij je loon ontvangen zonder zo'n versimpeling? En ga je de bank dan betalen met berenhuiden voor je hypotheek?

En Star Trek kent vele vormen van valuta, de federatie gebruikt Credits en de Klingons gebruiken Darsek, dus ik begrijp ook niet waarom we dan als Star Trek zouden moeten leven..
Bizarre vraag, want geld is niets meer of minder dan een middel om ruilhandel en waardetransport/opslag te versimpelen, en die dingen zijn niet af te schaffen. Hoe wil jij je loon ontvangen zonder zo'n versimpeling? En ga je de bank dan betalen met berenhuiden voor je hypotheek?
Zie dat... door je reactie zie ik dat je nog steeds aan geld denk.... Je moet dat denkbeeld wegdoen. Door geld ontstaat er hele grote klassenverschillen, geen wonder dat er zo veel arme landen en armen op aarde zijn. OMDAT niet iedereen is bereid om in arme landen investeren, ze willen het voor zichzelf hebben, desnoods meer wapen produceren of meer bezit kopen, enzovoort. Geld is gewoon verrot systeem. Geld is macht. Het draagt niets bij voor utopie.

Voor een betere wereld heb je geld absoluut niet nodig, wel een andere systeem. Zoals privileges, respect, enz.
Nogmaals: "Hoe wil jij je loon ontvangen zonder zo'n versimpeling? En ga je de bank dan betalen met berenhuiden voor je hypotheek?"

Hoi slager, ik wilde graag 1 kilo steak.
- Dat is fijn, wil je wel respect tonen?
Ja hoor, u doet uw werk geweldig en ik heb veel respect voor uw beroep.
- Dank je, hier is je steak..
8)7
100% voorstander op een verbod, tesamen met een verplichting op offline backup. "Vroeger" deed men dat toch ook gewoon op tape? Daarmee zeg ik niet dat het bedrijf dit zelf moet regelen, maar bijvoorbeeld wel de IT provider die er wellicht meer verstand van heeft).

Zo kan een bedrijf geen levensnoodzakelijke data meer verliezen. In het slechtste geval veel moeite om alles terug te herstellen. Maar dat kan dan zonder de hulp van de crimineel.

Volgende stap is dan datalekken op te lossen. Maar als de crimineel er niks meer aan verdient, is er ook minder aanmoediging tot hacken en dreigen alles publiek te maken.

Dan rest er enkel nog het probleem dat de crimineel ook nog altijd de data kan verkopen aan een collega-crimineel.
Hoewel ik het graag met je eens zou zijn, heb ik helaas gezien waarom dit niet in alle gevallen werkt.

1. Tape backup? Die maak je 1x per week. Prima voor sommige bedrijven. Maar andere bedrijven maken duizenden transacties per dag. Zie daar maar eens van te herstellen met een backup van een week oud.

2. Ongeacht of een bedrijf kiest de losgeld te betalen of niet, zal dit het bedrijf enorm veel geld kosten. Het feit dat er ransomware geconstateerd is, betekent sowieso dat geen enkele machine meer te vertrouwen is, en zal alle hardware opgeschoond moeten worden, met alle downtime van dien. Dit kost ook miljoenen. Die paar extra miljoen aan losgeld om het sneller te laten verlopen, klinkt dan een stuk aantrekkelijker.

3. Eigenlijk nog het belangrijkst, waar ik nog niemand over heb gehoord, is reputatieschade: De dreiging dat alle data op internet zal worden vrijgegeven. Privé data van je medewerkers, bedrijfsgeheimen, je boekhouding. Iets waarmee je concurrent de overhand krijgt. En wat als je bedrijf beursgenoteerd is, hoeveel miljoenen zou een bedrijf daar op verliezen?

Allemaal reden genoeg om het losgeld te betalen.

Ik denk dat we met z'n allen het zeker wel eens zijn hier, dat voorkomen beter is dan genezen.
ik ben ook geen expert, maar wil graag de discussie verder trekken.

op punt 1. kan je overwegen om dagelijkse backups te doen. Hoeft mss niet op tape, maar wel dagelijks

op punt 2: ja betalen wil niet zeggen dat je er vanaf bent, je kan toch niets meer vertrouwen op je netwerk! Ze kunnen gerust van alles achterlaten, dus betalen is volgens mijn geen oplossing op lange termijn. Opschonen wel. Neem een verzekering om deze kost op te vangen. Sta klaar om deze kost te onderdrukken. Indien je punt 1 dagelijks doet, dan ben je toch maar 1 a 2 dagen werk "kwijt", mist je het op een dag allemaal terug kan restoren.

Nu backup is niet heilig: wat als ze al voordien binnen waren, en alles hebben voorbereid, en dat zit dus allemaal terug in je backup. Restore je dan, heb je eigenlijk ook alle tools om in te breken ook terug gezet... Terug "from scratch" alles opzetten lijkt me stukken lastiger. Of je moet backups kunnen "vertrouwen" -> wat kan je van scans erop loslaten?
Zo kan een bedrijf geen levensnoodzakelijke data meer verliezen. In het slechtste geval veel moeite om alles terug te herstellen.
Het probeelm is dat die moeite significant kan zijn en dus ook veel tijd kan kosten. Gedurende die tijd ligt het bedrijf stil en dat kost ook geld. Dan is de rekensom (bij wijze van spreke) makkelijk, wat zijn de kosten van wel betalen en wat zijn de kosten van niet betalen?
Als je wel betaald, roep je steeds meer bendes in het leven, en zal uit eindelijk de prijs altijd hoger worden lijkt me.
Dat geloof ik graag en dat heb ik nergens ontkent. Maar voor een individueel bedrijf zijn dat niet de kosten, dat zijn de kosten voor de maatschappij. Daarom moeten we het als maatschappij verbieden, en niet verwachten dat individuele bedrijven doen wat goed is voor het collectief; dat is niet hoe kapitalisme werkt helaas.
Vele bedrijven hebben inderdaad geen of een kleine IT dienst en zou een dagelijkse backup veel moeite kosten.

Maar dat soort bedrijven maken tegenwoordig veel gebruik van cloud diensten, en dat is dan weer een groot bedrijf die wel onder de verplichting zou kunnen vallen.

En een backup legt ook je bedrijf niet stil hoor, zelfs niet één seconde :)

Als zeer kleine zelfstandige kost het me welgeteld 2 minuten tijd om elke week een 4Tb USB drive te wisselen tussen huis <-> tuinhuis en op enkele toetsen te drukken.

Eens je setup op punt staat, is het een kleine moeite.
Voor een kleine zelfstandige is het natuurlijk een stukje makkelijker om een backup te maken. Dat doe je als je zelf niet actief bent. Op het moment dat het maken van een backup 2 uur duurt, en er niemand gedurende die tijd aanpassingen mag maken, dan gebeurt dat natuurlijk niet meer tijdens kantooruren.

De ransomware die ik gezien heb, zet gewoon volgens een vooraf ingesteld patroon een paar bitjes om op je harddisk. Super snel, je bestandssysteem merkt er niets van (totdat je de bestanden gaat openen). Hackers zijn al weken vantevoren actief op je netwerk, om te kijken waar alles zit, je gedrag, wanneer jij backups maakt, en dan kopiëren ze tussendoor wat belangrijke bestanden.
Als ze het op je gemunt hebben, dan is die harddisk in het tuinhuisje allang versleuteld.

Het voordeel dat je als kleine ondernemer hebt is dat je (waarschijnlijk) niet een interessant genoeg doelwit bent. Een enkel persoon kun je niet uitmelken, een middelgroot bedrijf wel.

Daar zit het hem vaak: middelgrote bedrijven hebben hun security vaak niet goed op orde, maar daar valt wel veel geld te behalen. Die vallen dan ook vaak ten prooi.
100% voorstander op een verbod, tesamen met een verplichting op offline backup. "Vroeger" deed men dat toch ook gewoon op tape? Daarmee zeg ik niet dat het bedrijf dit zelf moet regelen, maar bijvoorbeeld wel de IT provider die er wellicht meer verstand van heeft).
In principe mee eens, maar wat vroeger volgens mij gebeurde om die tape-truc te omzeilen, was om de versleuteling al wel klaar te zetten, maar een jaar (ofzo) te laten "slapen" voor het geactiveerd werd. Al je backups hadden die versleuteling dan ook ingebouwd, dus terugzetten van iets van een week of een maand terug (en dat is al genoeg werk wat je weggooit om menig bedrijf om te leggen), had dan geen zin. Dat "virus" zat dan al in je data. En dat een jaar terug gaan in de tijd geen optie is, lijkt me duidelijk. Ik ben overigens geen ICT'er, maar een werktuigbouwer ;)

De truc nu is iets met software die monitort of er grote hoeveelheden data in je backup gewijzigd wordt en dat tegen houdt. Encrypten kan dus niet zomaar gebeuren op de achtergrond, want daarvoor moet je grote hoeveelheden data versleutelen en dus wijzigen.
Zo kan een bedrijf geen levensnoodzakelijke data meer verliezen. In het slechtste geval veel moeite om alles terug te herstellen. Maar dat kan dan zonder de hulp van de crimineel.

Volgende stap is dan datalekken op te lossen. Maar als de crimineel er niks meer aan verdient, is er ook minder aanmoediging tot hacken en dreigen alles publiek te maken.

Dan rest er enkel nog het probleem dat de crimineel ook nog altijd de data kan verkopen aan een collega-crimineel.
Je zou zeggen dat bedrijven nu wel gewaarschuwd zijn. ICT is kwetsbaar, je data is een vermogen waard en mensen kunnen het zomaar gijzelen en losgeld vragen. Moet het ieder individueel bedrijf nu echt een keer overkomen, voor men er aandacht aan besteedt? Want al die tijd blijven deze praktijken lucratief en dus verdwijnt het niet.

[Reactie gewijzigd door Grrrrrene op 22 juli 2024 22:30]

wat vroeger volgens mij gebeurde om die tape-truc te omzeilen, was om de versleuteling al wel klaar te zetten, maar een jaar (ofzo) te laten "slapen" voor het geactiveerd werd. Al je backups hadden die versleuteling dan ook ingebouwd
Gelukkig is dit bij een goede backup technisch onmogelijk..... data kan wel een virus bevatten, maar dat moet nog altijd uitgevoerd kunnen worden. Een restore voert geen code uit die in de data zit.

Je kan ook viruscode in een .txt bestand zetten, maar dat openen met notepad zal het virus niet activeren.
Nee, maar als je het terug plaatst, is het toch weer aanwezig? Je zet geen schone backup terug, dat bedoel ik.
Ik sta op zich achter het idee dat verzekeraars hun klanten kunnen helpen hun IT goed te beveiligen. Dat een verzekering een goede manier is om een prijs te geven aan security. Zolang alles goed gaat zie je namelijk alleen maar de nadelen van beveiliging: dat het onhandig en duur is. Een verzekering die goedkoper wordt als je omgeving goed is beveiligd voorkomt dat veiligheid alleen maar als kostenpost wordt gezien.

Maar daar staat tegenover dat die verzekeraars dan wel moeten weten waar ze mee bezig zijn. Op termijn regelt de markt dat natuurlijk (doordat de slechte failliet gaan) maar dat duurt te me te lang want de reuzen hebben diepe zakken.

Waar ik op doel is dat het meeste toezicht op IT en beveiliging bestaat uit een papieren controle. Er wordt gekeken naar beleid en voorschriften zonder te controleren hoe het met de uitvoering daarvan zit. Dan staat er op papier dat "alle communicatie op passende wijze is beveiligd" maar blijken ze in praktijk nog SSL3 te gebruiken of zo iets. Dat was misschien ooit passend maar nu niet meer.

Wat ik al helemaal niet zie is een overkoepelende visie op hoe verschillende elementen met elkaar samen werken. Dan wordt er bijvoorbeeld veel geld uitgegeven aan een state-of-the-art firewall maar is er vervolgens geen geld/tijd/kennis om het ding goed in te stellen waardoor de voordeur open blijft staan. De meeste controleurs zijn echter tevreden want die kijken niet naar de daadwerkelijke inrichting.

Ik denk dat we in de nabije toekomst nog een paar pittige rechtszaken gaan krijgen over verzekeraars die hun klanten niet willen betalen omdat de beveiliging bij nader inzien onvoldoende was ook al kwam die door de controle van diezelfde verzekeraar heen. Ik verwacht dat die er op neer gaan komen dat de verzekeraars gaan stellen dat hun klanten nalatige zijn geweest omdat ze hun beleid niet in praktijk hebben gebracht. ("Windows niet gepatched? Helaas, dan betalen we niet.")

Al met al denk ik dus verzekeraars een grote rol kunnen spelen in het maken van financiele ruimte voor beveiliging. Maar ik heb minder vertrouwen in de manier waarop ze het aanpakken. Denk er aan, verzekeraars hebben (net als ieder bedrijf) hun eigen belang voorop staan. Uiteindelijk zijn de regels er om de verzekeraars te beschermen, niet de klanten.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 22:30]

Volgens mij heb je 100% gelijk: momenteel is er een soort gold rush voor de verzekeraars die allemaal ene stukje van de ransomwaretaart willen, maar diezelfde verzekeraars kennen helaas niet al te veel van beveiliging.

Dat kan hen vrees ik ook niet zo heel veel schelen: ze schrijven de voorwaarden momenteel zo vaag dat je nooit uitgekeerd kan worden, met zinnen als "de beveiliging van het netwerk en voorlichting van werknemers moet afdoende zijn". Zoiets is niet meetbaar, en het feit dat er dan toch eens een incident is waardoor een bedrijf getroffen wordt zal de verzekeraar aangrijpen als bewijs dat er neit aan de voorwaarden voldaan is.

Uiteindelijk zal dat zoals je zegt wel beteren, met duidelijk gekwantificeerde voorwaarden, waardoor bedrijven *eindelijk* security serieus gaan nemen, want ja: nu komt het van een checklist van de verzekeraar, en dat moeten we serieus nemen.

Het erge is dat systeembeheerders al meer dan 10 jaar roepen dat er wat moet veranderen, maar zij worden systematisch genegeerd en krijgen geen budgetten om de security op orde te brengen, maar eens iemand van Achmea binnenkomt en hetzelfde zegt, dan is het plotseling wel iets waar naar geluisterd wordt.
Het is natuurlijk per bedrijf verschillend en ook sterk afhankelijk van het product wat je verkoopt. Maar soms is de keuze van niet betalen en accepteren dat er data weg is ook een verhelderende weg. Maar iedere situatie is weer anders. Blijft wel dat goede backup en slim omgaan met rechten heel belangrijk is. Bijvoorbeeld de backup laten uitvoeren door een ander user account welke als enige rechten heeft op de backup data. En kleine bedrijven gebruik de Cloud goedkoper en veiliger.
Persoonlijk denk ik nooit betalen, maar als al je systemen vastzitten snap ik de keuze om te betalen wel.
Het zou prettig zijn als niet alleen conclussies genoemd worden maar ook het onderzoek zelf in te zien is. Verschillende conclussies lijkt te wijzen op verschillen in onderzoeksvraag, onderzoek, gegevens en hoe je dat kan interpreteren (en wat bijvoorbeeld buiten beschouwing is gelaten).
Verzekeraars houden zich daarom de afgelopen jaren steeds meer bezig met de beveiliging van bedrijven. "Sommigen in het vak denken dat cyberverzekeraars zich steeds meer richting compliance officers begeven", zegt Brouwer. "Ze zijn namelijk steeds actiever betrokken bij de bedrijfsvoering. Dat is bij cyberverzekeringen ook veel meer het geval dan bij traditionele polissen."
Ik zie dit verschijnsel wel, maar ik zie wel dat het vaak een impuls is in de verkeerde richting. Verzekeraars willen vaak wat ziek van een onafhankelijke partij, maar die heeft vaak geen compleet beeld van de situatie.

Als voorbeeld heb ik dit geval gezien: verzekeraar stelt de premie afhankelijk van de BitSight score. Software (met name browsers) die verouderd zijn worden door Bitsight een lage score gegeven. Daarom worden die van het netwerk geweerd. Op zich een goed plan.

Echter, deze worden in dit geval ook van het 'onboarding' netwerk geweerd omdat dit ook bepaalde internet toegang heeft (nodig voor updates en communicatie met Azure AD en Intune enzo) en soms gezien kan worden door BitSight. Die laptops moeten toch geupdate worden om weer op het netwerk te kunnen. Een complete nieuwe installatie kan vaak niet.

Dus wat krijg je dan? Gebruikers gaan lopen klooien. Want ze moeten toch wat. Naar het cafe aan de overkant van de straat met de laptop bijvoorbeeld. Daardoor ga je dus met een kwetsbare laptop in een kwetsbare situatie zitten (onbeveiligde WiFi, denk Pineapple enz). Dat kan toch niet de bedoeling zijn? Maar omdat BitSight het niet ziet wordt er weinig belang aan gehecht. Eigen straatje schoongeveegd, probleem 'opgelost'.

Het probleem met BitSight is ook dat deze een hoop inschattingen maakt die niet kloppen. Ik kreeg bijvoorbeeld rapporten van "We hebben een Mac met verouderde versie van Safari!". Kijk ik even een beetje verder, zie ik dat het een buildnummer betreft dat nooit uitgebracht is voor macOS maar wel voor iOS! Lopen ze dus kennelijk een iPad voor een Mac aan te zien ofzo. Apple doet dat tegenwoordig expres om de desktop versie van websites te laten zien. Aangezien er in die omgeving slechts weinig Macs waren maar heel veel iPads, is dan door 1 verouderde iPad je hele score om zeep terwijl het in de juiste categorie niet zo had uitgemaakt.

Ik snap het beter als er wordt gekoppeld aan echte interne compliance en onderzoek zoals pentests. Maar een derde partij die gewoon ongevraagd loopt te checken zoals BitSight geeft het ook een impuls om kwetsbare zaken onder de radar te houden. Waar je die juist niet wil hebben. Je moet ze niet verbergen, je moet ze oplossen. En zo'n partij heeft per definitie een beperkte blik op je situatie.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 22:30]

Het is wel weer typerend voor de moderne beleidsmaker om nu bedrijven en verzekeraars op de korrel te nemen. Het typische symptoombestrijding. Maar het probleem gaat er niet mee weg, ook niet als bedrijven hun IT-zaken beter op orde hebben. Perfecte veiligheid bestaat niet.

Het werkelijke probleem komt ook eigenlijk pas echt in de laatste paragraaf naar voren: de cybercriminelen wordt hun het hand boven het hoofd gehouden door het (gast)land waarin men verblijft. En dat is waar beleidsmakers zich op zouden moeten richten: consequenties binden aan landen die deze cybercriminelen niet aanpakken en/of uitleveren.

Maar dat vereist dat beleidsmakers internationaal een sterke ruggengraat opstelling hebben. Het is echter veel makkelijker om MKB-ertje te pesten met een nieuw verbod en daarmee met de volgende verkiezingen weer te scoren.
Ik ben voor een compleet verbod van het betalen van losgeld. Je hoort criminelen niet te faciliteren. Ieder bedrijf denkt nu lekker aan zichzelf, en 'boeie' voor de maatschappij en het volgende slachtoffer, zo lang zij er maar vanaf zijn.

Wat zou je dan wel moeten doen? Ten eerste een mentaliteitsverandering inzetten bij overheden. Het advies van de FBI is doorgaans, 'Betaal maar gewoon.' Op die manier kunnen bedrijven geen kant op, uiteraard. Net zoals er net Revil severs offline gehaald zijn, moeten justitiele instanties ransomware aanvallen serieuser gaan nemen, en, wat mij betreft gewoon gaan beschouwen als terroristische aanvallen. Maar dat is precies mijn punt: terrorisme is een (inter-)nationale aangelegenheid. niets iets waar bedrijven zelf eventjes over mogen beslissen.

Bedrijven moet niet alleen verboden worden om met terroristen te onderhandelen, maar ook (financieel) gesteund worden tijdens een aanval. Maar ook gewoon verplicht worden hun zaakjes op orde te hebben, wanneer ze dus van zo'n garantiefonds, zeg maar, gebruik willen maken. Zulke cyberaanvallen zijn nooit helemaal uit te sluiten, maar bedrijven zijn over het algemeen tamelijk lui; ze hebbenn 'bean counters' die berekenen hoeveel het kost om niks uit te geven aan security (of zo weinig mogelijk) versus wat ze aan losgeld zouden moeten betalen. Ook die mentaliteit moet om: ben je als bedrijf aantoonbaar nalatig geweest, dan ga je maar gewoon failliet bij een aanval.
totdat een ziekenhuis op slot gaat en je moeder op de IC ligt! Een flauwe opmerking van mij, en niet persoonlijk bedoeld, maar het ligt er maar aan waar het over gaat lijkt me.
Onder diezelfde categorie kan je dan ook zeggen dat als morgen iemand met een mes voor je staat en zegt "je geld of je leven" dat je dan ook maar niets moet afgeven omdat je dan ook een crimineel aan het helpen bent. Dat het mogelijks je leven kan kosten is dan bijzaak, net zoals het niet betalen van losgeld bij cryptoware mogelijks honderden of duizenden mensen werkloos kan maken.

Criminaliteit is geen terrorisme. De mafia is ook nooit aangemerkt als terrorisme, maar ook de dit weekend in Colombia opgepakte hoofd van een drugskartel is geen terrorist. Terrorisme heeft een ander doel dan criminaliteit. Dus neen, we moeten dat niet onder terrorisme scharen.

En ik zou het erg vinden dat een bedrijf zelf niet mag beslissen over zaken die dat bedrijf aanbelangen.

En leuk dat je schrijft dat bedrijven hun zaken op orde moeten hebben, maar zelfs al pas je alles correct toe, ben je volledig up to date, geef je een kapitaal uit aan cybersecurity, ga jij dan 100% garanderen dat er niets kan gebeuren? Ik niet.

Ik vind het ook zo spijtig dat mensen die vaak niet weten waarover ze het hebben zomaar even alle bedrijven over dezelfde kam gaan scheren. Het is dat elk bedrijf geen geld wil uitgeven aan security en alles maar op zijn beloop laat want alles voor de winst... zucht.
Ik denk dat de impact van ransomware zo groot kan zijn, dat het vitale delen van onze infrastructuur kan aantasten, en daarmee weldegelijk geschaard mag worden onder cyberterrorisme. Een Russische aanval oip ons electriciteitsnet, bijv. Met ransomware is het directe doel geld, maar wanneer bijv. Mastercard plat zou komen liggen door ransomware, of SWIFT, dan wordt onze maatschappij als wedegelijjk als geheel bedrijgd.

Ik zei overigens ook niet dat ik 100% kan garanderen dat er niets kan gebeuren. In zei juist precies het tegenovergestelde: 'Zulke cyberaanvallen zijn nooit helemaal uit te sluiten.' Maar wel voegde ik er aan toe, dat bedrijven ook verplicht moeten worden hun zaken op orde te hebben (redelijkerwijs), en dat ze dan dus pas financieel aanspraak kunnen maken op hulp wanneer ze niet aantoonbaar nalatig zijn geweest.

Op dit item kan niet meer gereageerd worden.