image

Kabinet kijkt naar meldplicht bij grote ransomware-aanvallen

dinsdag 4 april 2023, 11:45 door Redactie, 10 reacties

Het kabinet kijkt of organisaties moeten worden verplicht om grote ransomware-aanvallen op hun netwerk te melden. Daarnaast wordt er onderzoek gedaan naar de schade die ransomware in Nederland veroorzaakt en komt er geen fonds om het losgeld bij ransomware-aanvallen op het mkb te betalen. Dat liet minister Yesilgöz van Justitie en Veiligheid weten tijdens een commissiedebat in de Tweede Kamer over cybercrime.

Tijdens het debat kwamen verschillende onderwerpen aan bod, waaronder de integrale aanpak van cybercrime en online fraude. Zo werd onder andere ransomware besproken, waaronder de impact en de mogelijkheid voor slachtoffers om online aangifte te doen. "De politie werkt er daarom aan dat burgers online aangifte kunnen doen van ransomware. Daar wordt dus concreet aan gewerkt. Ik zal zorgen dat we in november hierover rapporteren", liet de minister weten.

Ze stelde ook dat het zicht op de aard en de omvang van ransomware een groot probleem is. "We weten het gewoon niet precies. Verifieerbare cijfers zijn er niet. Dat komt onder andere doordat niet van alle ransomware-aanvallen aangifte wordt gedaan. Daarom is het zo belangrijk dat we dit ook hier blijven agenderen, want dan kunnen we aan iedereen die ermee te maken heeft, weer een oproep doen: doe alsjeblieft wél aangifte."

Het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), het kennisinstituut voor het ministerie van Justitie en Veiligheid, doet nu onderzoek naar de aard en omvang van de schade die ransomware bij bedrijven en organisaties in Nederland veroorzaakt. Rond de zomer zou het onderzoek gereed moeten zijn.

Losgeld

Yesilgöz was ook gevraagd of er een fonds voor het mkb moet komen waaruit het losgeld voor ransomware kan worden betaald. "Wij vinden het betalen van losgeld onwenselijk", reageerde de minister. "Want zo'n fonds zou eigenlijk neerkomen op een soort verzekering. Er zijn in Nederland verzekeraars die cyberverzekeringen afsluiten voor schade geleden bij een ransomware-aanval. Een apart fonds daarvoor zou in die zin dus niet nodig zijn."

De bewindsvrouw riep getroffen organisaties op om geen losgeld te betalen. "Ik begrijp dat het heel ingewikkeld is op het moment dat je dat meemaakt, maar wij blijven ertoe oproepen om geen losgeld te betalen. Dat doen we ook, of misschien wel met name, omdat het probleem na het betalen van losgeld niet zomaar voorbij is. Het is niet zo dat je er dan vanaf bent. Het garandeert niet dat criminelen de systemen weer toegankelijk maken of dat ze je vervolgens niet meer onder druk kunnen zetten met de data. En het uitbetalen van losgeld houdt uiteraard ook, helaas, het verdienmodel van de criminelen in stand."

Meldplicht

Eind 2021 pleitte de SP voor een meldplicht voor ransomware-aanvallen en tijdens het debat liet ook D66 weten hier voorstander van te zijn. "Wat betreft een meldplicht bij ransomware wordt nu in het kader van de Netwerk- en Informatiebeveiligingsrichtlijn gekeken naar een meldplicht bij ransomware bij grote incidenten. Die wordt ook geïmplementeerd, dus als we daar meer over kunnen melden, zal dat zeker volgen", liet Yesilgöz daarop weten. Ze heeft aangegeven de Tweede Kamer in het derde kwartaal van dit jaar over de meldplicht te informeren.

De Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn) is gericht op aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, zoekmachines en online marktplaatsen. Voor deze bedrijven geldt een zorgplicht, wat inhoudt dat ze 'passende en evenredige' maatregelen moeten nemen om incidenten te voorkomen, en is er ook al een meldplicht om incidenten met aanzienlijke gevolgen te melden.

Reacties (10)
04-04-2023, 12:21 door Anoniem
Ben je ramsomware aanvallen niet verplicht om te melden bij de Autoriteit Persoonsgegevens?
04-04-2023, 12:44 door Anoniem
Door Anoniem: Ben je ramsomware aanvallen niet verplicht om te melden bij de Autoriteit Persoonsgegevens?
als er geen gegevens zijn gejat dan niet. ransomware is tegenwoordig double extortion. maar er zijn nog enkele strains die puur focussen op je bedrijf platleggen zonder data te jatten
04-04-2023, 13:18 door Anoniem
Lijkt me nogal wringen. Want om een verplichting kracht bij te zetten zal er een sanctie bedacht moeten worden als je de verplichting niet nakomt. Wat dan straffen van een slachtoffer betekent. En dat lijkt me echt helemaal haaks staan op de principes van de rechtsstaat. Ik heb er zelfs met mijn rechtsgevoel moeite mee hoe iemand zoiets zou kunnen bedenken, laat staan serieus voorstellen. Wat zure bang en griezelig reaguurders op een website kan nog, maar het kabinet zelf? Daar krijg ik formeel een broekafzakmomentje van, al kijk ik er nog naar of ik dat ook ga laten gebeuren. En waar.

Want je moet natuurlijk altijd een beetje rekening blijven houden met je omgeving.
04-04-2023, 13:30 door majortom
Door Anoniem:
Door Anoniem: Ben je ramsomware aanvallen niet verplicht om te melden bij de Autoriteit Persoonsgegevens?
als er geen gegevens zijn gejat dan niet. ransomware is tegenwoordig double extortion. maar er zijn nog enkele strains die puur focussen op je bedrijf platleggen zonder data te jatten
En het ligt eraan welke systemen zijn geraakt. Niet alle systemen bevatten data die onder de AVG valt.
04-04-2023, 13:33 door Anoniem
In tegenstelling tot wat de minister zegt krijg je bij betaling meestal gewoon een werkende decryptie tool. Dit omdat men anders hun eigen businessmodel onderuit haalt. Er zijn amateurs die fouten maken waardoor decryptie niet werkt. Of de aanval is eigenlijk wiperware waarbij het nooit de bedoeling is om te decrypten.

Laat elk bedrijf zelf zijn afweging daar in maken. Het gaat over een mogelijk faillisement en verlies van banen. Beter stoppen ze meer geld in preventie/recovery en kennisoverdracht. 9 van de 10 keer zijn de TTPs vergelijkbaar...
04-04-2023, 14:23 door Anoniem
Door Anoniem: Ben je ramsomware aanvallen niet verplicht om te melden bij de Autoriteit Persoonsgegevens?
Niet per se. Als een ransomwareaanval data heeft versleuteld maar daarbij geen persoonsgegevens heeft geraakt (misschien staan klant-, order- en personeelsgegevens op andere servers) is het voor de AVG geen datalek. De AVG gaat namelijk uitsluitend over persoonsgegevens, niet over andere gegevens.
Door Anoniem: als er geen gegevens zijn gejat dan niet. ransomware is tegenwoordig double extortion. maar er zijn nog enkele strains die puur focussen op je bedrijf platleggen zonder data te jatten
Het is niet pas een datalek als persoonsgegevens gejat zijn. Ongeoorloofde toegang tot persoonsgegevens maakt het al een datalek, en bij een geslaagde aanval heeft ransomware ongeoorloofde toegang, want zonder toegang kan die de data niet versleutelen. Als er persoonsgegevens zijn versleuteld is het daarom een datalek.

Als blijkt dat de versleutelde persoonsgegevens niet meer hersteld kunnen worden dan is ook dat een datalek. Vernietiging en verlies vallen er namelijk ook onder.

"Datalek" is de alledaagse term voor "inbreuk in verband met persoonsgegevens", die de AVG zo definieert:
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
04-04-2023, 14:39 door [Account Verwijderd]
Kabinet kijkt naar meldplicht bij grote ransomware-aanvallen
Als ik mij niet vergis dan zal er weer hevig gedebateerd moeten worden over de vraag wat 'groot' precies is.
Deze regering vindt het namelijk ook erg lastig om de juiste definitie te vinden van wat is 'groente' en wat is 'fruit' i.v.m. de afschaffing van de BTW op deze levensmiddelen...
04-04-2023, 16:49 door karma4
Door Anoniem:
Door Anoniem: Ben je ramsomware aanvallen niet verplicht om te melden bij de Autoriteit Persoonsgegevens?
als er geen gegevens zijn gejat dan niet. ransomware is tegenwoordig double extortion. maar er zijn nog enkele strains die puur focussen op je bedrijf platleggen zonder data te jatten

De AP wordt zelf als een bedreiging bij ransomware ingezet, "Betalen of we melden het bij de AP en krijg je een grote boete."
Ingegeven door de praktijk. Zolang de AP die houding aanneemt dan zijn ze een verlengstuk van de ransomware bendes.
04-04-2023, 17:52 door johanw
De meldplicht zal men wel pogen te laten volgen door een verbod om te betalen, want misdaadbestrijding is voor deze minister vee belangrijker dan het voortbestaan van bedrijven.
04-04-2023, 19:57 door walmare
Zijn ze helemaal van de pot gerukt; een fonds om losgeld te betalen. Hoe verzinnen ze het.
Laten ze maar verplicht aangeven wat voor OS er is gebruikt, misschien dat er dan eens een lampje gaat branden.
Maar goed de MSlobby verdient er goed aan dus zullen ze de politiek met nep- of onthouding van informatie voeren en uiteraard fêteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.