VK gaat publieke sector verbieden om losgeld bij ransomware te betalen
Britse organisaties in de publieke sector en vitale infrastructuur mogen straks geen losgeld meer bij ransomware-aanvallen betalen. De Britse regering heeft aangekondigd een verbod op dergelijke betalingen in te voeren. Een verbod raakt het businessmodel van cybercriminelen en zal hen er van weerhouden om Britse organisaties aan te vallen, aldus het Britse ministerie van Binnenlandse Zaken. Het was al voor centrale overheidsorganisaties verboden om losgeld te betalen.
Daarnaast zal er een 'ransomware payment prevention regime' worden ingevoerd, dat ervoor moet zorgen dat getroffen organisaties eerst het Britse National Crime Agency informeren als ze van plan zijn om het door de criminelen gevraagde losgeld te betalen. Het NCA zal slachtoffers, voordat ze tot betaling overgaan, voorzien van advies. Ook zal de opsporingsdienst bedrijven waarschuwen als ze geld willen overmaken naar criminele groepen die op sanctielijsten staan.
Als laatste wordt een meldplicht voor ransomware-aanvallen ontwikkeld. Dit moet Britse opsporingsdiensten meer inzicht geven en de mogelijkheid om voor opkomende ransomwaredreigingen te waarschuwen. De Britse overheid benadrukt dat het belangrijk is dat organisaties zelf ook maatregelen tegen ransomware-aanvallen nemen, zoals het hebben van offline back-ups en geteste plannen voor het herstellen van systemen.
Hoezo trouwens verbieden te betalen en ook nog een meldplicht als je wil betalen? Verplicht jezelf aangeven?
Hoezo trouwens verbieden te betalen en ook nog een meldplicht als je wil betalen? Verplicht jezelf aangeven?
Dan het boete bedrag wel gebruiken om cyber crime tegen te gaan.
Want laten we eerlijk zijn: als een ziekenhuis volledig plat ligt en patiënten niet geholpen kunnen worden, ga je als organisatie écht niet wachten tot je via een formele procedure toestemming hebt om iets te doen. In een crisissituatie draait alles om snelheid en overleven, niet om bureaucratische regels of adviesgesprekken met het National Crime Agency. Hoe denkt de overheid dit in hemelsnaam te handhaven? Gaan ze een boete opleggen aan een ziekenhuis dat levens probeert te redden?
En dan het argument dat criminelen zullen afhaken omdat “het businessmodel niet meer werkt.” Echt? Alsof ransomwaregroepen netjes de BBC lezen en denken: “Oh, ze hebben een verbod ingevoerd, laten we iets anders proberen.” In werkelijkheid zullen criminelen gewoon naar nog creatievere methoden grijpen, of simpelweg nog harder toeslaan in landen waar wél betaald wordt. Het probleem verschuift alleen maar, het verdwijnt niet.
Bovendien: wie bepaalt of een organisatie wel of niet mág betalen? En hoe effectief is dit als er geen realistische alternatieven zijn? Offline back-ups en herstelplannen klinken fantastisch, maar hoeveel organisaties hebben dat écht op orde? Als je als overheid al jaren ziet dat bedrijven worstelen met basale cyberhygiëne, waarom zou dit dan ineens anders zijn?
Het idee van een meldplicht en beter inzicht voor opsporingsdiensten is prima – daar valt wat voor te zeggen. Maar een totaalverbod op betalingen voelt meer als symboolpolitiek dan als een werkbare oplossing. Het is makkelijk scoren in de media, maar in de praktijk kan dit levens, banen en complete organisaties in gevaar brengen. Misschien moet de overheid zich eerst richten op het afdwingen van basismaatregelen, in plaats van slachtoffers in een hoek te drijven waar ze nog minder opties hebben.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?