Criminele aanvallen bij RTL Nederland, Universiteit Maastricht, en het Amerikaanse Colonial Pipeline. Drie grote organisaties die afgelopen jaren zijn getroffen door ransomware-aanvallen. Deze cyberaanvallen zijn big business. Deze organisaties betaalden losgeld. De bedragen kunnen flink oplopen. De Universiteit van Maastricht tikte 197.000 euro af in 2020. Rechtseconoom Bernold Nieuwesteeg vindt dit een slechte ontwikkeling: “Het systeem moet op de schop. Er moet gewoon niet meer betaald worden”.
Drie keuzes als gehackt bedrijf
Het businessmodel van hackers is gebaseerd op slachtoffers die betalen. Bernold Nieuwesteeg legt uit dat je als slachtoffer drie keuzes hebt:
- Gewoon betalen.
- Onderhandelen met de hackers. (Vaak hebben ze een klantenservice. Echt waar!)
- Niet betalen.
“Wanneer je betaalt gaan je systemen vaak weer op groen en kun je overal bij. Je weet alleen niet welke gegevens er allemaal zijn gekopieerd. Het kan zijn dat jouw gegevens over vijf jaar toch ergens op de zwarte markt verschijnen”, vertelt Nieuwesteeg. “Hackers willen natuurlijk dat je gaat betalen. Anders hebben ze er niks aan.” Als de systemen van een groot bedrijf platliggen, vliegt het geld de deur uit. Het kost veel geld als er niet doorgewerkt kan worden. Dan lijkt het soms goedkoper om maar te betalen. Bernold Nieuwesteeg en een groep collega’s zijn het erover eens dat het criminele systeem hiermee in stand wordt gehouden. “Als samenleving zou je moeten zeggen: wij gaan in principe niet betalen.”
Een nieuwe cyberaanvalverzekering
Nieuwesteeg en collega’s stellen een klimaat voor waarin bedrijven de keuze hebben om niet te betalen. “Een verzekering zou een goede optie zijn”, aldus de rechtseconoom. “Nu dekt de verzekering soms het betalen. Het dekken van het niet betalen zou een betere optie zijn. Dus niet het losgeld vergoeden, maar het geld dat een bedrijf verliest wanneer alles op slot zit.”
Volgens Nieuwesteeg zou het ook handig zijn als bedrijven die losgeld betalen, dat melden. “Dat hoeft niet per se openbaar gemaakt te worden. Als de wetenschap er maar toegang tot heeft. Niemand weet nu hoeveel er betaald wordt aan losgeld. Er is bijna geen data over. Dan kunnen we uitrekenen hoeveel alle cyberaanvallen eigenlijk bij elkaar kosten.”
“Cybercrime is echt groot. Eigenlijk heb je dit sinds de middeleeuwen niet meer gezien. Dat een boef in de bosjes ligt en volledige handel steelt, waardoor jij je beroep niet meer kun uitoefenen. We staan voor de belangrijke en principiële vraag: gaan we deze criminelen als businesspartners zien of behandelen we ze echt als criminelen? Dat je daar gewoon principieel geen zaken mee doet.”
Bekijk het gehele interview met Bernold Nieuwesteeg in Studio Erasmus
- Gerelateerde content
