De Britse overheid heeft advocaten in het land via een open brief gevraagd om het betalen van losgeld niet te adviseren aan klanten die door ransomware zijn getroffen. Volgens het Britse National Cyber Security Centre (NCSC) en de Britse privacytoezichthouder ICO is er de afgelopen maanden een toename van het aantal ransomware-aanvallen en gevallen waarbij getroffen organisaties losgeld betalen.

Getroffen organisaties vragen vaak advies aan hun advocaten of er losgeld moet worden betaald. Het NCSC en ICO stellen dat er het geloof heerst dat het betalen van het losgeld de gestolen data beschermt en voor een lagere boete kan zorgen als de privacytoezichthouder een onderzoek instelt. "We willen duidelijk maken dat dit niet het geval is", aldus de Britse overheidsinstanties (pdf).

Die stellen verder dat het betalen van losgeld niet het risico voor personen vermindert en ook geen verplichting onder de privacywetgeving is. Verder wordt het niet gezien als een redelijke maatregel om gegevens te beschermen. De ICO zal het betalen van losgeld dan ook niet als verzachtende maatregel beschouwen wanneer het besluiten om te handhaven.

De overheidsdiensten merken op dat justitie het betalen van losgeld niet aanmoedigt of veroordeelt en dat betalingen over het algemeen niet onrechtmatig zijn. Organisaties die betalen moeten echter wel rekening met sancties houden, met name met betrekking tot Rusland, zo laat de brief verder weten. Daarin staat ook dat het betalen van losgeld criminelen aanmoedigt om door te gaan en er geen garantie is dat bestanden worden ontsleuteld en data teruggegeven.

"Ransomware blijft de grootste dreiging voor het Verenigd Koninkrijk en we willen duidelijk maken dat organisaties geen losgeld zouden moeten betalen", zegt Lindy Cameron, directeur van het NCSC. "Helaas zien we een toename van het aantal betalingen aan ransomwarecriminelen en de juridische sector speelt een cruciale rol om deze trend terug te draaien."