Ingediend | 21 september 2021 |
---|---|
Beantwoord | 7 oktober 2021 (na 16 dagen) |
Indiener | Queeny Rajkowski (VVD) |
Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA) |
Onderwerpen | criminaliteit economie ict openbare orde en veiligheid overige economische sectoren |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z16018.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-225.html |
Ja.
Ja, een verbod op het vergoeden van betaald losgeld aan cybercriminelen na een ransomware-aanval door verzekeraars wordt momenteel onderzocht. Hierbij worden de voor- en nadelen en de juridische mogelijkheden geïnventariseerd. Er is geen besluit over genomen. Daarnaast wordt gekeken naar hoe overheden om moeten gaan met ransomware, waaronder losgeldbetalingen. De meest wenselijke wijze van het beperken van losgeldbetalingen ligt echter in het voorkomen dat personen en organisaties überhaupt slachtoffer worden van ransomware.
Het dringende advies vanuit het Kabinet blijft om geen losgeld te betalen na een ransomware-aanval, aangezien dit het crimineel verdienmodel in stand houdt. De politie stelt vast dat een relevant deel van het door slachtoffers betaalde losgeld rechtstreeks wordt geïnvesteerd in nieuwe aanvalsinfrastructuren.2 Ik heb begrip voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden. Een algemeen verbod op het betalen van losgeld kan leiden tot minder losgeldbetalingen, maar kan ook grote nadelige effecten hebben. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden.
Ja.
Ja. Criminelen die ransomware-aanvallen uitvoeren maken een zorgvuldige calculatie bij het stellen van de losgeldeis. Indien er geen losgeld wordt betaald en er geen back-up beschikbaar is, kan dit tot gevolg hebben dat de versleutelde data verloren gaat en de ICT-infrastructuur opnieuw moet worden opgebouwd. Ook kan een aanval leiden tot openbaarmaking van gestolen informatie en gegevens. De totale kosten voor een organisatie om een ransomware-aanval te boven te komen, zoals gevolgschade of het verlies van kostbare informatie, zijn vaak groter dan het geëiste losgeldbedrag.3
Ook indien er wel losgeld wordt betaald en de sleutel door criminelen wordt verstrekt, leidt dit niet gegarandeerd tot succes. Zo kan de sleutel niet goed functioneren waardoor de toegang tot data en systemen niet wordt hersteld. Verder zal in veel gevallen de hele ICT-infrastructuur alsnog opnieuw moeten worden opgebouwd, aangezien deze als gecompromitteerd moet worden beschouwd. Omdat doorgaans na een ransomwarebesmetting de integriteit van de ICT-infrastructuur niet meer kan worden gewaarborgd en een organisatie zijn systemen dus niet meer kan vertrouwen, zal deze dus ook bij betaling vaak vervangen moeten worden. Bovendien blijven kwaadwillenden beschikken over eventuele buitgemaakte data en kan er opnieuw een losgeld geëist worden om publicatie daarvan te voorkomen.
Ja. Een ransomware-aanval kan grote impact hebben op slachtoffers, maar ook op diens klanten en gebruikers. In uiterste gevallen kan dit leiden tot een faillissement. De nadelige gevolgen van een algemeen verbod op het betalen van losgeld kunnen daarom zeer groot zijn. Op dit moment is er geen voornemen om losgeldbetalingen wettelijk te verbieden. Zoals gemeld in het antwoord op vraag 2 wordt de mogelijkheid van een verbod op het vergoeden van losgeldbetalingen door verzekeraars wel onderzocht.
De meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware. Preventie vormt een belangrijk onderdeel bij het tegengaan van cybercrime, waaronder ook ransomware. Het beeld is dat bij veel succesvolle ransomware-aanvallen de basismaatregelen onvoldoende getroffen zijn. Om de cyberweerbaarheid te vergroten biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan met adviezen voor ondernemers om een besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Daarnaast biedt het DTC mogelijkheden om de cyberweerbaarheid van een bedrijf te testen middels een basisscan. Ook het NCSC biedt voor diens achterban diensten en producten aan om de cyberweerbaarheid te verhogen. Veel informatie en adviezen zijn voor het brede publiek beschikbaar op de website van het NCSC. Verder wordt in het kader van het convenant voor preventie van cybercrime met private partijen samengewerkt aan de verbreding van het gebruik van twee-factor authenticatie.4 De politie geeft aan dat dit al aanzienlijk kan helpen bij het tegengaan van ransomware. Het verhogen van de cyberweerbaarheid van burgers, bedrijven en organisaties vraagt blijvende inspanning.