Zolang bedrijven de basismaatregelen niet nemen, zal de digitale pandemie voortwoekeren.
In 2021 raasde ook een digitale pandemie over de wereld. Een van de opvallendste slachtoffers van ransomware was Colonial Pipeline, dat de grootste brandstofpijpleiding aan de Amerikaanse oostkust uitbaat. Hackers versleutelen de bestanden van een organisatie en eisen geld om ze vrij te geven. Het probleem heeft Amerikaanse bedrijven in 2021 honderden miljoenen dollars gekost. In 2022 slaan de regeringen en de bedrijven terug, maar de pandemie zal blijven woeden.
De regeringen zijn het zat. Veel landen hebben cyberstrijdkrachten opgezet, geleid door het leger of de inlichtingendiensten. Als regeringen de aanvallers niet kunnen opsporen, is het losgeld terugkrijgen het op één na beste resultaat. In de meeste gevallen is het losgeld uitbetaald in een cryptomunt op anonieme, moeilijk te ontmaskeren bankrekeningen. Toch kon de Amerikaanse overheid het grootste deel van het door Colonial Pipeline betaalde losgeld recupereren. Ze kon het wachtwoord achterhalen voor de plek waar de aanvaller zijn bitcoins verborg.
Maar in de meeste gevallen gaat het losgeld voorgoed verloren. Daarom overweegt meer dan een derde van de CEO’s een cyberverzekering te nemen die verliezen door ransomware vergoedt, blijkt uit een enquête die de herverzekeraar Munich Re in maart hield. De mondiale markt voor cyberverzekeringen was in 2020 goed voor 6,2 miljard euro aan brutopremies. Tegen 2025 zal dat ruim 17,8 miljard euro zijn, schat het analysebureau GlobalData.
Basismaatregelen nemen
Maar de grens tussen cybermisdaad en cyberoorlog is vaag. Sommige aanvallers werken voor zichzelf, andere voor staten, en weer andere zitten daartussenin. Als de verzekeraar de aanval beschouwt als een oorlogsdaad, zal ze de slachtoffers niet uitbetalen. Veel regeringen vrezen ook dat de schadevergoedingen nog meer ransomware zullen uitlokken. Sommige aanvallers gaan zelfs na voor hoeveel een bedrijf verzekerd is, om hun losgeld af te stemmen op dat bedrag, merkt James Sullivan van de denktank Royal United Services Institute. Hij zegt dat verzekeraars afspraken moeten maken over minimale beveiligingsnormen.
Regeringen kunnen ook een verbod op digitale losgelden invoeren, zoals de uitbetaling van losgeld aan terroristen of ontvoerders in veel landen strafbaar is. Maar de kans is klein dat een losgeldverbod werkt. Het straft kleine bedrijven die niet de middelen en de expertise hebben om hun netwerk te versterken. Het is nuttiger van bedrijven te eisen dat ze zowel aanvallen als losgeldbetalingen rapporteren, zodat het onderwerp in de openbaarheid komt. Mettertijd zullen meer bedrijven beseffen dat losgeld betalen niet garandeert dat ze hun data terugkrijgen. Om cybercriminaliteit te beteugelen moeten bedrijven de basismaatregelen genomen hebben: hun personeel alert maken voor verdachte e-mails, hun software up-to-date houden en back-ups van hun data maken. Dat is niet zo sexy als een cybervergeldingsactie of zo bevredigend als een losgeldverbod, maar op lange termijn wel de enige oplossing.
Fout opgemerkt of meer nieuws? Meld het hier