image

SP pleit voor invoering van meldplicht bij ransomware-aanvallen

donderdag 9 december 2021, 16:04 door Redactie, 7 reacties

De SP wil dat slachtoffers van ransomware-aanvallen verplicht worden dit te melden om zo andere organisaties te waarschuwen. Demissionair minister Grapperhaus wil vooral inzetten op het versterken van de "digitale dijkbewaking" als antwoord op aanvallen met ransomware. Dat blijkt uit een recent overleg van de vaste commissie voor Digitale Zaken.

Tijdens het overleg van de commissie, dat over online veiligheid en cybersecurity ging, werd er ook over ransomware gesproken. Volgens SP-Kamerlid Leijten is nu onbekend hoeveel schade ransomware veroorzaakt doordat de meldingsbereidheid van getroffen organisaties zo laag is. "Dat moet anders, want we kunnen deze criminelen alleen treffen door het verdienmodel aan te pakken, te leren hoe ze werken en die ervaringen te delen. Is het kabinet bereid een meldingsplicht in te stellen voor als je slachtoffer wordt van ransomware?", vroeg Leijten aan Grapperhaus.

"Dan kunnen we namelijk informatie uitwisselen en kunnen we proberen het verdienmodel aan te pakken, door bijvoorbeeld geen losgeld te betalen. Is het kabinet het met de SP eens dat we dit als norm moeten inzetten? En is het kabinet bereid om dit uit te werken?", vroeg het SP-Kamerlid verder. De minister stelde dat er al een meldplicht voor vitale aanbieders geldt en er wordt gekeken om die verder uit te breiden. "Hoe dat zou moeten lopen, lijkt me een goed punt van discussie tussen uw Kamer en het kabinet."

Volgens Leijten is het belangrijk dat organisaties op een veilige manier melding moeten kunnen doen. "Dat betekent niet dat het een publieke melding moet zijn en dat het meteen in de krant moet staan. Ik begrijp heel erg goed dat je dat op een veilige manier moet doen", merkte ze op. "We moeten het ook begeleiden als gezegd wordt dat er geen losgeld wordt betaald. Je moet weten dat je meteen hulp kunt krijgen met het misschien oplossen daarvan. Ik zou er heel erg voor zijn dat we dat wel creëren. Dat kan je via zo'n meldingsplicht doen."

Dijkbewaking

Grapperhaus herhaalde het overheidsadvies om bij ransomware geen losgeld te betalen. "We moeten echt alle nuances heel goed met elkaar gaan bekijken. We hebben gewoon te maken met geavanceerde, internationaal georganiseerde cybercriminele groeperingen. Houd er dus rekening mee dat die niet door één keer betalen voorgoed van het bord zijn."

De minister wil dan ook vooral inzetten op preventie. "We moeten even doordenken. Als we dat ransomwaregedoe zo veel mogelijk willen temmen, dan is het allerbelangrijkste dat iedereen zijn systemen met optimale digitale dijkbewaking zo veilig mogelijk houdt. Dat is het eerste. Het tweede is dat iedereen zo veel mogelijk moet melden wat er gebeurt." Organisaties die hun "digitale dijkbewaking" op orde hebben zouden veel minder schade hebben van ransomware, als er al schade is, aldus de minister.

Reacties (7)
09-12-2021, 17:45 door Anoniem
er moer nog eventjes een discrete deken over de puin blijven dat is me wel duidelijk... de SP heeft gelijk, door die plicht en transparantie worden beleids keuzes meer meet baar op effect en uitvoering en tja dan kan je ook tot vernatwoording geroepen worden, dus ik denk dat het nog wat rondes pappen en nathouden gaat zijn met fredje grappemaker.
09-12-2021, 19:21 door Anoniem
Ja. nog meer overheidsbemoeienis. Goed idee!
Decimeer de overheid nou gewoon eens. Het is al een kind met een waterhoofd. En dat hoofd groeit nog steeds. Ophouden met de verzorging van de wieg tot het graf. En de overheid dient alleen maar overheidstaken te regelen. Wat een private onderneming met z'n ICT doet hoort daar nadrukkelijk niet onder. Eh... wat een private onderneming überhaupt doet hoort daar niet onder.
09-12-2021, 23:08 door Anoniem
Heel de oorsprong van regeringen en criminaliteit blijft natuurlijk een kip met ei verhaal.
10-12-2021, 09:09 door Anoniem
Een meldplicht en een verbod op betalen, ik hoop dat Renske begrijpt dat dit of tot een lage meldingsbereidheid leid en/of tot claims richting de overheid?

In plaats van symptoombestrijding zouden we beter kunnen inzetten op:

1. Meer juridische aansprakelijkheid softwareleveranciers, Microsoft "pronkt" bijvoorbeeld met legacy support in Windows maar dat betekend effectief dat ze oude en slecht ontworpen kwetsbare zooi gewoon te lang in het besturingssysteem laten zitten (zie printergate), ook worden steeds meer basale beveiligingsfeatures die door dit wanbeleid nodig zijn achter abonnementen en enterprise licenties geplakt: ga dat nu eerst eens aanpakken.

2. Steun van de overheid in de vorm van kennis en support, in plaats van belastingvoordelen voor grote bedrijven zouden we EU breed in kunnen gaan zetten op kennisdeling en healthchecks/audits voor MKB-ers en het kleinbedrijf, misschien een idee om die minster van landbouw in te ruilen voor een minister voor digitale infra/hygiene.

3. Meer persoonlijke aansprakelijkheid voor (hoger) management als er sprake is van IT wanbeleid.
10-12-2021, 09:13 door Anoniem
Door Anoniem: Ja. nog meer overheidsbemoeienis. Goed idee!
Decimeer de overheid nou gewoon eens. Het is al een kind met een waterhoofd. En dat hoofd groeit nog steeds. Ophouden met de verzorging van de wieg tot het graf. En de overheid dient alleen maar overheidstaken te regelen. Wat een private onderneming met z'n ICT doet hoort daar nadrukkelijk niet onder. Eh... wat een private onderneming überhaupt doet hoort daar niet onder.
In sommige gevallen zou juist de overheid het moeten doen. Een aantal taken zijn intussen van overheid naar privaat gegaan, met alle puinhopen van dien. Zie de zorgkosten, de puinhopen bij PostNL, de energiemarkt ellende. Privaat is geen oplossing, overheid is geen oplossing. Maar wat collectief geregeld moet zijn, zou ook collectief aangepakt moeten worden.
10-12-2021, 11:24 door Anoniem
Door Anoniem:
Door Anoniem: Ja. nog meer overheidsbemoeienis. Goed idee!
Decimeer de overheid nou gewoon eens. Het is al een kind met een waterhoofd. En dat hoofd groeit nog steeds. Ophouden met de verzorging van de wieg tot het graf. En de overheid dient alleen maar overheidstaken te regelen. Wat een private onderneming met z'n ICT doet hoort daar nadrukkelijk niet onder. Eh... wat een private onderneming überhaupt doet hoort daar niet onder.
In sommige gevallen zou juist de overheid het moeten doen. Een aantal taken zijn intussen van overheid naar privaat gegaan, met alle puinhopen van dien. Zie de zorgkosten, de puinhopen bij PostNL, de energiemarkt ellende. Privaat is geen oplossing, overheid is geen oplossing. Maar wat collectief geregeld moet zijn, zou ook collectief aangepakt moeten worden.

hear hear ! ik ben allen bang dat sommige welgestelde mensen niet verder kunnen kijken dan hun eigen bubble en het wel ok vinden nu om er een wilde westen mentaliteit te hebben in NL. echter kind gaat met badwater weg en put wordt pas gedempt als... tja ... dit soort mensne krijgen derekening wel al zullen ze tzt niet begrijpen waarom en 'het is niet eerlijk' doen...
10-12-2021, 12:39 door Anoniem
Volgens mij hebben we hier gewoon de meldpicht datalekken, zie de voorbeelden
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2019_voorbeeldlijst_wel_niet_melden_datalek_def.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.