Australië introduceert meldplicht voor betalen van losgeld bij ransomware
Bedrijven of vitale organisaties in Australië die vanaf vandaag slachtoffer worden van ransomware en losgeld aan de criminelen betalen moeten dit voortaan binnen 72 uur aan de Australische overheid rapporteren (pdf). Australië is daarmee het eerste land dat een meldplicht voor losgeld bij ransomware introduceert. De meldplicht geldt niet voor alle organisaties.
"Mandatory ransomware and cyber extortion payment reporting" geldt alleen voor bedrijven die in Australië actief zijn en een omzet van drie miljoen Australische dollars of meer hebben of verantwoordelijk zijn voor vitale infrastructuur. Ook wanneer derde partijen voor deze organisaties betalingen doen moet dit worden gemeld. In het geval er losgeld wordt betaald moeten organisaties dit binnen 72 uur melden. Daarbij moet ook allerlei informatie over het incident en de betaling worden verstrekt. De Australische overheid heeft ook een document gepubliceerd met uitleg in welke situaties de meldplicht van toepassing is (pdf).
Volgens de Australische autoriteiten zouden organisaties het betalen van losgeld zelden melden, waardoor er geen volledig beeld van de problematiek is. Uit onderzoek van het Australian Institute of Criminology zou slechts één van de vijf slachtoffers van een ransomware-aanval dit rapporteren. Hierdoor heeft de Australische overheid naar eigen zeggen geen beeld van de economische en sociale impact van ransomware in het land.
"Naar schatting betaalden Australische bedrijven die door ransomware werden getroffen vorig jaar 9,27 miljoen dollar losgeld. Dit probleem moet worden aangepakt. Verplichte rapportage van ransomware-betalingen zal ons inzicht geven in hoeveel bedrijven via ransomware-aanvallen worden afgeperst, aan wie deze betalingen worden gedaan en hoe", aldus Tony Burke, de Australische minister voor cybersecurity, eind vorig jaar.
Daar heeft de staat niets mee te maken.
Een bedrijf betaalt losgeld omdat het geen betere optie heeft.
Daar heeft de staat niets mee te maken.
Een bedrijf betaalt losgeld omdat het geen betere optie heeft.
Met name als je criminelen betaald, want volgens mij mag dit dus niet. Niet voor criminele activiteiten, want ransom(ware) is.
Daar heeft de staat niets mee te maken.
Een bedrijf betaalt losgeld omdat het geen betere optie heeft.
Dat ben je ook niet verplicht om te melden bij de politie.
Daar heeft de staat niets mee te maken.
Een bedrijf betaalt losgeld omdat het geen betere optie heeft.
Zolang het winst oplevert voor de criminelen zal het door blijven gaan.
M.i.is het betalen van losgeld hetzelfde als criminaliteit financieren, en inschrijfgeld voor het deelnemen aan de volgende overval van deze orgsnisatie.
De verzekering ertegen is adequate backup, herstel opties, etc.
Daar heeft de staat niets mee te maken.
Een bedrijf betaalt losgeld omdat het geen betere optie heeft.
Bedrijven betalen losgeld omdat ze op dat moment geen betere optie hebben.
Dan zitten ze dus al met de gebakken peren.
Meestal leren ze hierdoor dat het de moeite waard is om je bedrijf beter te beveiligen dan ze deden.
Zoals kinderen die ooit hun handjes moeten verbranden om erachter te komen wat hitte doet.
Maar je moet er ook van uitgaan, dat criminelen altijd zullen blijven zoeken naar manieren om binnen te komen; dat kun je niet uitroeien.
Het is een dynamisch gebeuren, een wedloop, wat betekent dat de beste beveiliging van vandaag, dat morgen niet meer is.
Precies. Alleen leren veel bedrijven die les pas nadat ze door criminelen uitgekleed zijn.
Andere anoniem hier. Ik ben het er niet mee eens. Ik durf zelfs te stellen dat het betalen van losgeld strafbaar gesteld zou moeten worden; en onder bestuurlijke aansprakelijkheid zou moeten vallen.
Een aannemer doet zijn bus ook op slot; als zijn gereedschap gejat wordt doordat hij geen adequate beveiliging had/heeft kan ook betekenen dat hij zijn werk niet meer kan doen.
Als bedrijf ben je aansprakelijk voor het hebben van een BCP, dat kan voor een aannemer zijn dat hij zijn gereedschap passend beveiligd en/of verzekerd (waarbij de verzekeraar eisen stelt aan de maatregelen). Als bedrijf dat afhankelijk is van IT diensten zorg je dat je een exitplan hebt; een uitwijk/backup en eventueel een cybersecurityverzekering.
En waarom zeg ik die laatste? Omdat de verzekeraars strenge eisen stellen aan de maatregelen die je dan moet treffen voordat je de verzekering uberhaubt krijgt. Dat kan een mooie graadmeter zijn voor hoe veilig je omgeving is.
Wat doe jij als een roofovervaller je een pistool tegen je hoofd zet en zegt: "je geld of je leven?"
Dat ben je ook niet verplicht om te melden bij de politie.
Cyberaanvallen verborgen houden zorgt dat het probleem te weinig zichtbaar is waardoor beveiligingsproblemen niet goed aangepakt worden. Een meldplicht is uiteindelijk goed voor iedereen (behalve de criminelen).
Precies. Alleen leren veel bedrijven die les pas nadat ze door criminelen uitgekleed zijn.
Een aannemer doet zijn bus ook op slot; als zijn gereedschap gejat wordt doordat hij geen adequate beveiliging had/heeft kan ook betekenen dat hij zijn werk niet meer kan doen.
Dat heeft met (particuliere) eigendom te maken. Bedrijven zijn particuliere eigendom.
En waarom zeg ik die laatste? Omdat de verzekeraars strenge eisen stellen aan de maatregelen die je dan moet treffen voordat je de verzekering uberhaubt krijgt. Dat kan een mooie graadmeter zijn voor hoe veilig je omgeving is.
Het betalen van losgeld kan je bedrijf redden, continueren dus.
Ook dat is een vrijwillige keuze en moet dat m.i. ook blijven.
Jij wilt daarvan af en het onder de regie van de staat (verplichting) brengen.
Dat betekent dat je in het eigendomsrecht treedt.
Dat kan enorme consequenties hebben omdat de staat een bijzondere, geprivilegieerde positie in de samenleving inneemt en niet persé het beschermen van andermans eigendom als hoogste prioriteit heeft, maar daarentegen door een machtsbehoefte gedreven wordt.
Dat ben je ook niet verplicht om te melden bij de politie.
Cyberaanvallen verborgen houden zorgt dat het probleem te weinig zichtbaar is waardoor beveiligingsproblemen niet goed aangepakt worden.
Gaan ze dat wèl doen wanneer de politie zicht heeft op de aantallen? Ik betwijfel het.
De meldplicht is m.a.w. een manier van de staat om bij de bedrijven binnen te komen en daar de lakens uit te gaan delen.
Niet omdat (de winst van) bedrijven de staat aan het hart gaat, maar omdat de staat voortdurend naar manieren zoekt om meer controle te krijgen. Zowel over burgers als over bedrijven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?