Getroffen door een cyberaanval? Betaal niks!

Criminele aanvallen bij RTL Nederland, Universiteit Maastricht, en het Amerikaanse Colonial Pipeline. Drie grote organisaties die afgelopen jaren zijn getroffen door ransomware-aanvallen. Deze cyberaanvallen zijn big business. Deze organisaties betaalden losgeld. De bedragen kunnen flink oplopen. De Universiteit van Maastricht tikte 197.000 euro af in 2020. Rechtseconoom Bernold Nieuwesteeg vindt dit een slechte ontwikkeling: “Het systeem moet op de schop. Er moet gewoon niet meer betaald worden”.

Drie keuzes als gehackt bedrijf

Het businessmodel van hackers is gebaseerd op slachtoffers die betalen. Bernold Nieuwesteeg legt uit dat je als slachtoffer drie keuzes hebt:

  1. Gewoon betalen.
  2. Onderhandelen met de hackers. (Vaak hebben ze een klantenservice. Echt waar!)
  3. Niet betalen.

“Wanneer je betaalt gaan je systemen vaak weer op groen en kun je overal bij. Je weet alleen niet welke gegevens er allemaal zijn gekopieerd. Het kan zijn dat jouw gegevens over vijf jaar toch ergens op de zwarte markt verschijnen”, vertelt Nieuwesteeg. “Hackers willen natuurlijk dat je gaat betalen. Anders hebben ze er niks aan.” Als de systemen van een groot bedrijf platliggen, vliegt het geld de deur uit. Het kost veel geld als er niet doorgewerkt kan worden. Dan lijkt het soms goedkoper om maar te betalen. Bernold Nieuwesteeg en een groep collega’s zijn het erover eens dat het criminele systeem hiermee in stand wordt gehouden. “Als samenleving zou je moeten zeggen: wij gaan in principe niet betalen.”

Een nieuwe cyberaanvalverzekering

Nieuwesteeg en collega’s stellen een klimaat voor waarin bedrijven de keuze hebben om niet te betalen. “Een verzekering zou een goede optie zijn”, aldus de rechtseconoom. “Nu dekt de verzekering soms het betalen. Het dekken van het niet betalen zou een betere optie zijn. Dus niet het losgeld vergoeden, maar het geld dat een bedrijf verliest wanneer alles op slot zit.”

Volgens Nieuwesteeg zou het ook handig zijn als bedrijven die losgeld betalen, dat melden. “Dat hoeft niet per se openbaar gemaakt te worden. Als de wetenschap er maar toegang tot heeft. Niemand weet nu hoeveel er betaald wordt aan losgeld. Er is bijna geen data over. Dan kunnen we uitrekenen hoeveel alle cyberaanvallen eigenlijk bij elkaar kosten.”

“Cybercrime is echt groot. Eigenlijk heb je dit sinds de middeleeuwen niet meer gezien. Dat een boef in de bosjes ligt en  volledige handel steelt, waardoor jij je beroep niet meer kun uitoefenen. We staan voor de belangrijke en principiële vraag: gaan we deze criminelen als businesspartners zien of behandelen we ze echt als criminelen? Dat je daar gewoon principieel geen zaken mee doet.”

Bekijk het gehele interview met Bernold Nieuwesteeg in Studio Erasmus

Studio Erasmus - Bernold Nieuwesteeg over het businessmodel van ransomeware-hackers

Gerelateerde content

Cybersecurity staat slechts bij één op de vijf bedrijven hoog op de agenda

Onderzoeker Bernold Nieuwesteeg en universitair docent Eva Eijkelenboom van Erasmus School of Law publiceren rapport over cybersecurity bij bedrijven.

“We moeten het criminele ransomware businessmodel onderuit halen”

Bernold Nieuwesteeg van Erasmus School of Law, heeft zich uitgesproken over de toenemende problematiek rondom losgeld bij een ransomware-aanval.

Kan een datalek worden voorkomen?

Bernold Nieuwesteeg, directeur van het CLECS, stelt dat de verantwoordelijkheden van softwareleveranciers vergroot en vastgesteld moeten worden.

Project van start voor het beschikbaar stellen van datalekmeldingen voor onderzoeksdoeleinden

Het effect en het maatschappelijke potentieel van de meldplicht kan beter worden; onder meer door de database van datalekken voor wetenschappelijk onderzoek…

'Bedrijven, maak datalekken gewoon openbaar'

Bedrijven moeten hun datalekken niet alleen melden, maar ook vaker openbaar maken, zegt Bernold Nieuwesteeg. Zo kan beter onderzocht worden welke cybersecurity…

Vergelijk @count opleiding

  • @title

    • Tijdsduur: @duration
Vergelijk opleidingen