image

D66 wil opheldering over betalen van losgeld bij ransomware

donderdag 23 januari 2020, 16:13 door Redactie, 18 reacties

D66 heeft minister Grapperhaus van Justitie en Veiligheid om opheldering gevraagd over het betalen van losgeld bij ransomware door publieke instellingen. Aanleiding voor de Kamervragen van D66-Kamerlid Kees Verhoeven is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen en berichtgeving dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen.

Verhoeven wil van Grapperhaus weten hoeveel publieke instellingen, waaronder universiteiten en ziekenhuizen, door ransomware zijn getroffen en in hoeveel gevallen er is gekozen om het losgeld te betalen. "In hoeverre is het mogelijk om voor dergelijke beslissingen over het al dan niet betalen van losgeld eenduidig beleid te ontwikkelen? Ziet u additionele mogelijkheden voor beleid op het gebied van back-upbeleid?", vraagt het D66-Kamerlid verder.

De minister moet tevens aangeven of hij het eens is met de stelling dat het betalen van ransomware door verzekeraars voor een toename van ransomware-aanvallen zorgt. "Zo ja, bent u van plan om stappen te nemen tegen, of eisen te stellen aan, het verzekeren van losgeld voor ransomware?", aldus een vervolgvraag van Verhoeven, die tevens wil weten welke stappen Grapperhaus tegen ransomware-aanvallen gaat nemen. De minister heeft drie weken de tijd om de vragen te beantwoorden.

Reacties (18)
23-01-2020, 16:29 door Anoniem
Senator New York wil verbod op betalen losgeld ransomware

Wees wijs nederland en ga niet naief op de knieen voor criminelen.

Waneer worden de nederlandse vliegvelden nu actief
gecontroleerd op de uitbraak van het uit china afkomstige coronavirus?

Hoelang blijven we wachten op
de Wereldgezondheidsorganisatie van de Verenigde Naties?

NL word wakker
23-01-2020, 16:46 door Anoniem
Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.
23-01-2020, 17:25 door Reinder
Door Anoniem: Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.

En dat moet ook vers twee zijn. Het bestrijden van criminaliteit is niet de primaire taak van die organisaties, die taak is voorbehouden aan de daartoe aangewezen onderdelen van de staat. Als betalen de snelste of eenvoudigste manier is om de dienstverlening aan de klanten of gebruikers te herstellen dan is betalen wellicht ook de beste oplossing, het blijk in elk geval in een groot genoeg percentage van de gevallen te werken. Principes zijn heel mooi, maar als daardoor je dokters niet kunnen opereren, je studenten geen examen kunnen doen of je vracht verloren dreigt te gaan dan kan ik me goed voorstellen dat de keuze gemaakt wordt de bestrijding van criminaliteit ondergeschikt te maken en die te beleggen daar waar het hoort; bij de staat.
23-01-2020, 18:07 door Anoniem
Ach het is KeesV maar... nu roept ie wellicht nog dat ie graag ziet dat losgeld niet meer betaald mag worden, maar als het
in stemming komt en "de coalitie" vindt dat niet nodig, dan stemt Kees gewoon TEGEN.
23-01-2020, 18:37 door Anoniem
Wat is de link met bitcoin ?
Uitbetalingsopdracht vermoedelijk
23-01-2020, 19:00 door Remmilou
Door Reinder:
Door Anoniem: Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.

En dat moet ook vers twee zijn. Het bestrijden van criminaliteit is niet de primaire taak van die organisaties, die taak is voorbehouden aan de daartoe aangewezen onderdelen van de staat. Als betalen de snelste of eenvoudigste manier is om de dienstverlening aan de klanten of gebruikers te herstellen dan is betalen wellicht ook de beste oplossing, het blijk in elk geval in een groot genoeg percentage van de gevallen te werken. Principes zijn heel mooi, maar als daardoor je dokters niet kunnen opereren, je studenten geen examen kunnen doen of je vracht verloren dreigt te gaan dan kan ik me goed voorstellen dat de keuze gemaakt wordt de bestrijding van criminaliteit ondergeschikt te maken en die te beleggen daar waar het hoort; bij de staat.
Tot op zekere (zelfs grote) hoogte mee eens. Toch een kanttekening:
Voor infrastructuren die vitaal zijn voor het functioneren van belangrijke zaken, zoals van de rechtstaat, verzorgingsstaat, economie e.d. zie ik graag dat de staat / samenleving een verantwoordelijkheid neemt. Door alles op alles te zetten dat die infrastructuren veilig zijn. Niet alleen i.v.m. ransomware, maar ook tegen datalekken en andere ellende.
Als je morgen geopereerd moet worden bij het Nederlands Kankerinstituut en de zaak gaat daar plat, kun je niet effe snel naar Groningen uitwijken. Als een grote bank een dagje plat gaat zal dat desastreuze gevolgen hebben voor onze economie. Andere voorbeelden: geen water uit de kraan, geen gas of electriciteit meer...
Dat blijft natuurlijk nog steeds een kosten / baten analyse, maar met heel andere parameters voor de staat.
23-01-2020, 19:12 door Anoniem
Door Reinder:
Door Anoniem: Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.

En dat moet ook vers twee zijn. Het bestrijden van criminaliteit is niet de primaire taak van die organisaties, die taak is voorbehouden aan de daartoe aangewezen onderdelen van de staat. Als betalen de snelste of eenvoudigste manier is om de dienstverlening aan de klanten of gebruikers te herstellen dan is betalen wellicht ook de beste oplossing, het blijk in elk geval in een groot genoeg percentage van de gevallen te werken. Principes zijn heel mooi, maar als daardoor je dokters niet kunnen opereren, je studenten geen examen kunnen doen of je vracht verloren dreigt te gaan dan kan ik me goed voorstellen dat de keuze gemaakt wordt de bestrijding van criminaliteit ondergeschikt te maken en die te beleggen daar waar het hoort; bij de staat.
Door Reinder:
Door Anoniem: Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.

En dat moet ook vers twee zijn. Het bestrijden van criminaliteit is niet de primaire taak van die organisaties, die taak is voorbehouden aan de daartoe aangewezen onderdelen van de staat. Als betalen de snelste of eenvoudigste manier is om de dienstverlening aan de klanten of gebruikers te herstellen dan is betalen wellicht ook de beste oplossing, het blijk in elk geval in een groot genoeg percentage van de gevallen te werken. Principes zijn heel mooi, maar als daardoor je dokters niet kunnen opereren, je studenten geen examen kunnen doen of je vracht verloren dreigt te gaan dan kan ik me goed voorstellen dat de keuze gemaakt wordt de bestrijding van criminaliteit ondergeschikt te maken en die te beleggen daar waar het hoort; bij de staat.

Het snelste is nog altijd nooit besmet te raken, of degelijke back-ups in eigen beheer te hebben. Met name dat laatste lijkt toch wel erg vaak mis te gaan. Dan zijn tranen over verloren productie eigenlijk ietwat beschamend en belachelijk. Dan gaat het niet over praktische oplossingen in plaats van principes, dan gaat het over je eigen nalatigheid. Je hebt je schaapjes niet op het droge en wil en passant ook nog even een illegale industrie stimuleren. Bespaar ons dan je tranen en maak zaken niet nog erger dan ze - door eigen toedoen - al zijn.
23-01-2020, 19:36 door Anoniem
Ik ben verbaasd (en toch ook niet) door een aantal reacties.
Blijkbaar is de uitleg die een aantal mensen aan samenleving en samenleven geven beperkt tot het pure eigenbelang, zonder enige verantwoordelijkheid voor samen. Het "samen" lijkt een pure verantwoordelijkheid van de overheid.
Natuurlijk heeft de overheid daar een stevige verantwoordelijkheid in, maar samenleven doe je samen en dat betekent dus ook verantwoordelijkheid nemen. Voor burgers, maar ook voor bedrijven en instellingen.
Met louter "nemen ten eigen bate" plaats je je buiten de samenleving.
In een andere wetenschap hebben ze daar volgens mij o.a. het woord parasiet voor bedacht.

Ergo: ieder (e organisatie) die onderdeel wil zijn van onze samenleving heeft ook verantwoordelijkheden ten opzichte van het goed (blijven) werken van die samenleving.
23-01-2020, 22:37 door Anoniem
Als die partij nou eens over meer zaken helderheid wil dan scheelt dat meteen heel veel security-wise.
23-01-2020, 22:38 door Erik van Straten
Door Anoniem: Het snelste is nog altijd nooit besmet te raken, of degelijke back-ups in eigen beheer te hebben.
Doe alleen die eerste maar. Van vandaag:
https://www.bleepingcomputer.com/news/security/maze-ransomware-not-getting-paid-leaks-data-left-and-right/

https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-threatens-to-publish-data-of-automotive-group/

Back-ups, hoe recent (of juist niet) en betrouwbaar ook, helpen daar niet tegen. Uit https://www.security.nl/posting/639865/Belgisch+bedrijf%3A+betalen+losgeld+ransomware+was+goedkoper#posting640019:
Daarom denk ik dat het zinvoller is om te focussen op:
1) het voorkomen dat criminelen toegang krijgen tot onze systemen;
2) (wetende dat 1 nooit voor 100% gaat lukken) het zo snel mogelijk ontdekken van intrusions;
3) het voorkomen dat de aanvallers eenvoudig meerdere systemen en/of accounts kunnen compromitteren, na één systeem of account te hebben gehacked;
4) het voorkomen dat aanvallers (snel) hoge privileges kunnen verkrijgen;
5) het voorkomen dat er überhaupt "God mode" privileges bestaan of inzetbaar zijn waarmee alle bestanden en/of back-ups in een domein (of daarbuiten) benaderd kunnen worden.
24-01-2020, 06:21 door Anoniem
@ Erik van Straten,

En we weten ook duidelijk dat dit niet gaat lukken. Zeker niet buiten onze landsgrenzen en ook niet daarbuiten.
Zie je al onze cyberhandhavers alle louche hostingbedrijfjes voor Russian Business Network in het zuiden des lands voornamelijk sinkholen en neerhalen? Zie je al een overeenkomst met de heren binnen de Russische Federatie en bijvoorbeeld Oekraine voor het opsporen van dit soort cybercriminelen, die net als bij clop-malware eerst testen of je niet toevallig een Russisch of Adjerbeidjani keyboardje draait, want ze "sch**ten"niet in de eigen achtertuin.

Zeker niet zoals bij D66's laatste drugsbestrijdingsvoorstellen (legalisering van ransomware misschien?).

#sockpuppet
24-01-2020, 08:26 door Anoniem
Door Anoniem: Ik ben verbaasd (en toch ook niet) door een aantal reacties.
Blijkbaar is de uitleg die een aantal mensen aan samenleving en samenleven geven beperkt tot het pure eigenbelang, zonder enige verantwoordelijkheid voor samen. Het "samen" lijkt een pure verantwoordelijkheid van de overheid.
Natuurlijk heeft de overheid daar een stevige verantwoordelijkheid in, maar samenleven doe je samen en dat betekent dus ook verantwoordelijkheid nemen. Voor burgers, maar ook voor bedrijven en instellingen.
Met louter "nemen ten eigen bate" plaats je je buiten de samenleving.
In een andere wetenschap hebben ze daar volgens mij o.a. het woord parasiet voor bedacht.

Ergo: ieder (e organisatie) die onderdeel wil zijn van onze samenleving heeft ook verantwoordelijkheden ten opzichte van het goed (blijven) werken van die samenleving.

Dan zou het tegenovergestelde ook waar moeten zijn en dat is in de praktijk helaas niet het geval.

Namelijk dat de samenleveing ook de slachtoffers van dit type misdrijven bijstaat wanneer ze hogere kosten moeten maken voor herstel, dan dat het betalen van het losgeld zou hebben gekost.

Omdat de samenleving in die gevallen niet thuis geeft snap ik wel dat bedrijven eieren voor hun geld kiezen
24-01-2020, 10:07 door hw28
De minister moet tevens aangeven of hij het eens is met de stelling dat het betalen van ransomware door verzekeraars voor een toename van ransomware-aanvallen zorgt. "Zo ja, bent u van plan om stappen te nemen tegen, of eisen te stellen aan, het verzekeren van losgeld voor ransomware?"

Makkelijk gezegd. Als je de keuze hebt tussen failliet gaan (wat voor overheidsorganisaties niet opgaat maar wel voor bedrijven) of betalen, dan is de keuze snel gemaakt. En voor verzekeraars is het ook een financiele afweging.
24-01-2020, 10:22 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben verbaasd (en toch ook niet) door een aantal reacties.
Blijkbaar is de uitleg die een aantal mensen aan samenleving en samenleven geven beperkt tot het pure eigenbelang, zonder enige verantwoordelijkheid voor samen. Het "samen" lijkt een pure verantwoordelijkheid van de overheid.
Natuurlijk heeft de overheid daar een stevige verantwoordelijkheid in, maar samenleven doe je samen en dat betekent dus ook verantwoordelijkheid nemen. Voor burgers, maar ook voor bedrijven en instellingen.
Met louter "nemen ten eigen bate" plaats je je buiten de samenleving.
In een andere wetenschap hebben ze daar volgens mij o.a. het woord parasiet voor bedacht.

Ergo: ieder (e organisatie) die onderdeel wil zijn van onze samenleving heeft ook verantwoordelijkheden ten opzichte van het goed (blijven) werken van die samenleving.

Dan zou het tegenovergestelde ook waar moeten zijn en dat is in de praktijk helaas niet het geval.

Namelijk dat de samenleveing ook de slachtoffers van dit type misdrijven bijstaat wanneer ze hogere kosten moeten maken voor herstel, dan dat het betalen van het losgeld zou hebben gekost.

Omdat de samenleving in die gevallen niet thuis geeft snap ik wel dat bedrijven eieren voor hun geld kiezen

Eens. Je kunt het ook omkeren: losgeld betalen betekent dat je ook een boete moet betalen, minimaal ter hoogte van het herstelbedrag. Opbrengsten kunnen dan ten goede komen aan het NCSC. Zo haal je de financiële prikkel om losgeld te betalen (goedkoper dan herstel) weg.
24-01-2020, 11:46 door Anoniem
Door Reinder:
Door Anoniem: Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.

En dat moet ook vers twee zijn. Het bestrijden van criminaliteit is niet de primaire taak van die organisaties, die taak is voorbehouden aan de daartoe aangewezen onderdelen van de staat. Als betalen de snelste of eenvoudigste manier is om de dienstverlening aan de klanten of gebruikers te herstellen dan is betalen wellicht ook de beste oplossing, het blijk in elk geval in een groot genoeg percentage van de gevallen te werken. Principes zijn heel mooi, maar als daardoor je dokters niet kunnen opereren, je studenten geen examen kunnen doen of je vracht verloren dreigt te gaan dan kan ik me goed voorstellen dat de keuze gemaakt wordt de bestrijding van criminaliteit ondergeschikt te maken en die te beleggen daar waar het hoort; bij de staat.

Het achterliggende principe is: "Blijf bij het slachtoffer." Indien er een keus moet worden gemaakt tussen het helpen van het slachtoffer en het bestrijden van de dader(s), is de ethische weg te kiezen voor het eerste.

Een ander aspect is dat in de kwestie van losgeld de valkuilen van "victim blaming" (https://en.wikipedia.org/wiki/Victim_blaming) en "armchair strategy" (https://www.lexico.com/definition/armchair_strategist) op de loer liggen. Tevens is maar de vraag of men dat consequent volhoudt zodra zij zelf het slachtoffer zijn ("The shoe is on the other foot" (https://idioms.thefreedictionary.com/shoe+is+on+the+other+foot)).
24-01-2020, 11:53 door Anoniem
Door Erik van Straten:
Door Anoniem: Het snelste is nog altijd nooit besmet te raken, of degelijke back-ups in eigen beheer te hebben.
Doe alleen die eerste maar. Van vandaag:
https://www.bleepingcomputer.com/news/security/maze-ransomware-not-getting-paid-leaks-data-left-and-right/

https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-threatens-to-publish-data-of-automotive-group/

Back-ups, hoe recent (of juist niet) en betrouwbaar ook, helpen daar niet tegen. Uit https://www.security.nl/posting/639865/Belgisch+bedrijf%3A+betalen+losgeld+ransomware+was+goedkoper#posting640019:
Daarom denk ik dat het zinvoller is om te focussen op:
1) het voorkomen dat criminelen toegang krijgen tot onze systemen;
2) (wetende dat 1 nooit voor 100% gaat lukken) het zo snel mogelijk ontdekken van intrusions;
3) het voorkomen dat de aanvallers eenvoudig meerdere systemen en/of accounts kunnen compromitteren, na één systeem of account te hebben gehacked;
4) het voorkomen dat aanvallers (snel) hoge privileges kunnen verkrijgen;
5) het voorkomen dat er überhaupt "God mode" privileges bestaan of inzetbaar zijn waarmee alle bestanden en/of back-ups in een domein (of daarbuiten) benaderd kunnen worden.

Als jij niet afhankelijk bent van de crimineel voor het terugkrijgen van je data, kan hij deze inderdaad alsnog bekend maken, mits succesvol geëxfiltreerd uiteraard. Data is op de zwarte markt echter geld waard en waar je bij het decrypten van gegevens nog kunt controleren dat je weer bij je data kunt, moet je hier voor een fiks bedrag maar hopen dat ze je data inderdaad niet verder verkopen. In dit geval is weg domweg weg en gaat betalen je niet helpen. Dat je data publiek bekend gemaakt wordt is wellicht beschamend, maar maakt functioneel niets uit en je zult ook gewoon melding moeten maken van een lek.
24-01-2020, 11:55 door Anoniem
Door herbert28:
De minister moet tevens aangeven of hij het eens is met de stelling dat het betalen van ransomware door verzekeraars voor een toename van ransomware-aanvallen zorgt. "Zo ja, bent u van plan om stappen te nemen tegen, of eisen te stellen aan, het verzekeren van losgeld voor ransomware?"

Makkelijk gezegd. Als je de keuze hebt tussen failliet gaan (wat voor overheidsorganisaties niet opgaat maar wel voor bedrijven) of betalen, dan is de keuze snel gemaakt. En voor verzekeraars is het ook een financiele afweging.

De oplossing is dus het criminaliseren van betalen. Failliet gaan is nog altijd interessanter dan tegen een veroordeling aanlopen en zo is de balans weer correct.
24-01-2020, 11:59 door Anoniem
Door Anoniem:
Door Reinder:
Door Anoniem: Voor verzekeringen en boardrooms is het een kosten-baten-analyse: vaak is betalen goedkoper.
Principes zijn er zelden bij deze bedrijfsonderdelen.

Dat je een ongewenste bedrijfstak in stand houdt, ja, dat is vers twee.

En dat moet ook vers twee zijn. Het bestrijden van criminaliteit is niet de primaire taak van die organisaties, die taak is voorbehouden aan de daartoe aangewezen onderdelen van de staat. Als betalen de snelste of eenvoudigste manier is om de dienstverlening aan de klanten of gebruikers te herstellen dan is betalen wellicht ook de beste oplossing, het blijk in elk geval in een groot genoeg percentage van de gevallen te werken. Principes zijn heel mooi, maar als daardoor je dokters niet kunnen opereren, je studenten geen examen kunnen doen of je vracht verloren dreigt te gaan dan kan ik me goed voorstellen dat de keuze gemaakt wordt de bestrijding van criminaliteit ondergeschikt te maken en die te beleggen daar waar het hoort; bij de staat.

Het achterliggende principe is: "Blijf bij het slachtoffer." Indien er een keus moet worden gemaakt tussen het helpen van het slachtoffer en het bestrijden van de dader(s), is de ethische weg te kiezen voor het eerste.

Een ander aspect is dat in de kwestie van losgeld de valkuilen van "victim blaming" (https://en.wikipedia.org/wiki/Victim_blaming) en "armchair strategy" (https://www.lexico.com/definition/armchair_strategist) op de loer liggen. Tevens is maar de vraag of men dat consequent volhoudt zodra zij zelf het slachtoffer zijn ("The shoe is on the other foot" (https://idioms.thefreedictionary.com/shoe+is+on+the+other+foot)).

De term victim blaming suggereert dat de slachtoffers vaak geen eigen verantwoordelijkheid hebben en dat is bij ransomware vooralsnog bijna altijd wel het geval. Met geen geld uitgeven aan beveiliging en anderszins je zaakjes niet op orde hebben en je dan met tranen in de ogen als slachtoffer melden komt je niet weg.

Let ook op dat bedrijven een heel andere juridische positie hebben, waarbij de verantwoordelijkheid veel meer bij het bedrijf wordt gelegd dan dat bij een privé-persoon het geval is. Dit is slechts een extensie daarvan. Je hebt als bedrijf de verantwoordelijkheid om zelf expertise in huis te hebben, of dit anders extern in te schakelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.