Is het betalen van losgeld bij ransomware niet in strijd met de wet?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over "ongebruikelijk" betalingsverkeer en betalen aan verdachte landen?
Antwoord: Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.
Dat is hetzelfde als bij 'gewone' gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.
Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.
Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)
Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.
Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.
In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen "zaken doen", nog los van dat je niet wéét waar de gijzelnemers zitten.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Haarkloverij .
Maar het kan de curiositeit opleveren dat jij als burger/bedrijf geacht wordt een organisatie als crimineel te
herkennen/beschouwen die niet veroordeeld is .
(Zonder veroordeling als zodanig geen criminele organisatie - en waren ze wel veroordeeld, zouden ze hopelijk ook out of business zijn ).
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Op zich een duidelijke en goede stelling. Alleen bij ziekenhuizen, chemische bedrijven en dergelijke, kan het herstellen vanaf een backup zo lang duren, dat intussen een gevaarlijke situatie ontstaat. Waarschijnlijk zal men daar dan toch gaan kiezen voor betalen, als dat veel sneller werkt.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Op zich een duidelijke en goede stelling. Alleen bij ziekenhuizen, chemische bedrijven en dergelijke, kan het herstellen vanaf een backup zo lang duren, dat intussen een gevaarlijke situatie ontstaat. Waarschijnlijk zal men daar dan toch gaan kiezen voor betalen, als dat veel sneller werkt.
Alleen gaat dat eraan voorbij aan het feit dat dit soort systemen zo ingericht dienen te zijn dat uitval van een systeem opgevangen kan worden. Dat geldt voor ransomware, maar ook voor andere redenen waarom een systeem niet meer beschikbaar is.
zelfde als je als McDonalds het voedingcentrum in Den Haag geld geeft om te onderzoeken.. dat noem je dan niet smeergeld maar een leerstoel.
Dus als je als verzekeringstoko er miljoenen mee kunt verdienen gaat een persoon als Rutte daar zeker geen verbod op zetten.
En zo'n vriendendienst noem je dan geen omkoping maar een commisariaatfunctie (zoals Camiel E bij KLM (waar nu nog steeds miljoenen naar toe moeten, Bart de L bij Uber, Jack de V (Boeing), Gerrit Z (ABN Amro waar ook miljoenen naar toe moeten), Nebahat A bij Shell (die nog steeds niet hoeft te betalen voor Groningen of Edith S en Atzo N die voor DSM zijn gaan werken).
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Op zich een duidelijke en goede stelling. Alleen bij ziekenhuizen, chemische bedrijven en dergelijke, kan het herstellen vanaf een backup zo lang duren, dat intussen een gevaarlijke situatie ontstaat. Waarschijnlijk zal men daar dan toch gaan kiezen voor betalen, als dat veel sneller werkt.
Alleen gaat dat eraan voorbij aan het feit dat dit soort systemen zo ingericht dienen te zijn dat uitval van een systeem opgevangen kan worden. Dat geldt voor ransomware, maar ook voor andere redenen waarom een systeem niet meer beschikbaar is.
Tussen niet en wel zit een groot grijs gebied, maar het geeft wel stof tot nadeken .......
Dit schijf alsof dit 'niet-verbieden' vanzelfsprekend is, maar dat is het niet. Door het betalen strafbaar te stellen maak je het daders moeilijker om aan geld te komen, waardoor je op lange termijn juist gijzelingen voorkomt.
Het is niet voor niets dat in de VS het betalen van losgeld voor personen wel strafbaar is. Alleen werkt dit voorkomen van ontvoeringen slecht in het buitenland, waardoor de wet onder Obama aangepast is zodat er nu wel betaald mag worden bij gijzelingen in het buitenland.
Het is niet voor niets dat in de VS het betalen van losgeld voor personen wel strafbaar is. Alleen werkt dit voorkomen van ontvoeringen slecht in het buitenland, waardoor de wet onder Obama aangepast is zodat er nu wel betaald mag worden bij gijzelingen in het buitenland.
(edit dubbele quote-tag verwijderd)
Ik zou dan wel even een bonnetje vragen bij Ransomware Henk.
Dit schijf alsof dit 'niet-verbieden' vanzelfsprekend is, maar dat is het niet. Door het betalen strafbaar te stellen maak je het daders moeilijker om aan geld te komen, waardoor je op lange termijn juist gijzelingen voorkomt.
Het 'langere termijn' argument is op zijn best discutabel. Ook crimineel 'ondernemen' is risico nemen, zelfs nog sterker dan in de gewone wereld omdat de eventuele impact bepaald niet bij een faillissement ophoudt. De risicobereidheid is zeer groot...
Een punt is dat wie een wet maakt die mensen of organisaties verbiedt losgeld te betalen in wezen dezelfde mensen verplicht om de weerwraak (wat deze dan ook is) te ondergaan. De vraag is of een hypothetische 'langere termijn' in een verre toekomst afdoende is om mensen te verplichten een veel minder hypothetische weerwraak in een op dat moment concreet geval te ondergaan.
Ik ben erg benieuwd wat dan "verdachte landen" zijn, in de context van deze discussie. Je mag naar ieder land geld over maken, en er is geen belastingdienst van een land die betalingen voor ransomware accepteert.
Verder gaan betalingen vrijwel altijd naar cryptocurrency walletjes, niet naar bankrekeningen. Zonder toezicht en zonder specificatie van lokatie....
Is dat een website met artificial intelligence ?
Ehm, de maffia?
https://www.metronieuws.nl/in-het-nieuws/buitenland/2021/01/maffia-proces-grootste-italiaanse/
Leden daarvan zijn veroordeeld (of gaan nu verorodeeld worden). maar de organisatie zelf bestaat nog steeds.
Over herkenbaarheid als zo danig zullen we het maar niet hebben.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
@ Ron625,
Je stelt dat toch wel erg zwart<>wit hoor.
Bedenk dat de gezondheid van mensen gegijzeld wordt als hun patiëntengegevens in een ziekenhuis onbenaderbaar/onbruikbaar zijn als de IT door ransomware is getroffen.
Kun je dan spreken over financieren van een criminele organisatie, als een ziekenhuis zo zwaar getroffen wordt dat betalen noodzakelijk is om patiëntenlevens te redden?
Gelukkig is zo'n ernstige situatie voor zover mij bekend - maar ik kan alle nieuws niet volgen - tot nu niet voorgekomen. Ziekenhuizen zijn de hemel zij dank in staat gebleken dergelijke akelige gevolgen te voorkomen, maar toch: stel je voor... dat het een keer voorkomt dat een ransomwarebesmetting direct mensenlevens in gevaar brengt dan lijkt dat mij vergelijkbaar met betalen aan criminelen om te voorkomen dat een gegijzelde wordt geliquideerd.
Gaat het alleen om data, dan lijkt mij, dat betaling valt onder het financieren van een criminele organisatie.
En dat laatste is verboden.
Op zich een duidelijke en goede stelling. Alleen bij ziekenhuizen, chemische bedrijven en dergelijke, kan het herstellen vanaf een backup zo lang duren, dat intussen een gevaarlijke situatie ontstaat. Waarschijnlijk zal men daar dan toch gaan kiezen voor betalen, als dat veel sneller werkt.
"Alleen om data". Mwoa als jij 40 jaar van je leven dag in dag uit heb geinvesteerd om je bedrijf op te bouwen, hier bloed zweet en tranen in hebt gestoken en het dan dreigt te worden afnomen dan wil wel eens de rechter zien die hier zegt dat er geen emotioneel aspect speelt. Het zal misschien niet dezelfde emotionele waarde zijn als het je zoon of dochter betreft, maar is het dan wel toegestaan om voor je dochter losgeld te betalen, maar voor een goede vriend niet? Een kennis? Er zijn heel wat ondernemers wiens bedrijf hun meer aan het hart gaat dan Pietje die ze tweemaandelijks op de bridgeclub van hun vrouw zien. Mag je daar dan wel of geen losgeld voor betalen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.