Politie adviseert bedrijven geen losgeld te betalen bij ransomware
De politie adviseert bedrijven die het slachtoffer worden van een ransomware-aanval geen losgeld aan de verantwoordelijke criminelen te betalen. Het advies volgt in een reactie op de beslissing van Odido. Het telecombedrijf liet vandaag weten dat het niet met de criminelen onderhandelt die de gegevens van miljoenen klanten wisten te stelen. Daarop hebben de criminelen de gestolen persoonlijke informatie van honderdduizenden mensen op internet geplaatst, die nu voor iedereen te downloaden zijn.
De politie stelt dat het besluit van Odido aansluit bij de eigen visie. "Ons advies aan slachtoffers van ransomware is: niet betalen als criminelen losgeld eisen. Wanneer zij worden betaald, blijft hun verdienmodel tenslotte levend", zegt Stan Duijf van de politie. "De uiteindelijke afweging is aan het slachtoffer, maar je kunt er niet vanuit gaan dat je data veilig is als je betaalt. We weten vanuit onderzoek dat criminelen de gegevens niet altijd verwijderen, alsnog doorverkopen of opnieuw om geld vragen."
Wanneer bedrijven toch besluiten om losgeld te betalen is het volgens Duijf belangrijk dat ook dit aan de politie wordt gemeld. "Dit stelt ons in staat beter onderzoek te doen, en de ervaring leert dat via onze onderzoeken en interventies, op termijn slachtoffers ook gecompenseerd kunnen worden voor de geleden schade." Verder laat de politie weten dat het onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval op Odido is gestart. Daarbij wordt gekeken naar de aard en omvang van het incident en wordt er onderzoek naar de daders gedaan.
Met als boete dezelfde som geld als het losgeld + gevangenis straf voor het management (inclusief strafblad).
Misschien dat bedrijven dan de bescherming van hun gegevens serieus gaat nemen?
Ach ja de politie roept ook op om illegale (avg) deurbel camera’s aan te melden.
Precies Odido had zijn beveiliging en de mensen hadden niet de juiste awareness. Kan je het 100% verkomen? Zeker niet. Kon Odido beter beveiligd zijn: 100%. Nu betalen ze niet want dat kost geld, de gegevens die op straat liggen slaapt het bestuur geen minuut minder om. Hoop dat ze snel failliet zullen zijn.
maar dat is indirect, direct is Odido getroffen door de hack en zijn zij ook de partij die wel of niet (na mogelijk wel onderhandelt te hebben) beslissen wel of niet de portomonee te trekken.
Zeker!
De hele wijze van communicatie, tot vandaag dan, schreeuwde vanaf het begin ransomware en we gaan betalen.
het feit dat de criminelen contact hebben gezocht met de NOS en publiekelijk Odido naar de chat terug smeekte, zegt meer dan genoeg.
Er zit vanuit Odido ook geen beleid achter voor het wel of niet betalen, het is de hele periode pure paniek geweest. Nu is de kogel door de kerk, maar de reputatie schade is en zal aanzienlijk zijn.
De wijze van communicatie naar klanten en de media heeft daarbij zeker niet geholpen, in tegendeel zelfs.
En ja, security incidenten zullen er altijd zijn. Maar van deze omvang en dan ook nog data waarvan het bedrijf zelf nog niet wist, zie NOS artikel van 25 februari, over allerlei zeer persoonlijke notities die ook buit gemaakt is, schets een zeer pijnlijk beeld van een organisatie die de zaken overduidelijk niet op orde heeft en dat op meerdere fronten.
Het betalen van losgeld in dit soort situaties is in geen enkele situatie aangeraden. Best practice in de cybersecurity wereld is om nooit te betalen voor dit soort ongein. Je zult van een cybersecurity consultant ook nooit het advies krijgen om te betalen. Je hebt namelijk 0,0 garantie dat de hackers zich aan hun belofte houden nadat je betaald hebt. Dit geldt voor ransomware, maar dit geldt ook voor Odido.
Ohja, klanten kunnen een antivirus pakket krijgen geloof ik. Alsof dat het punt is. Miljarden wordt verdient aan scamming.
Nee, Odido is een held dat ze niet betalen.Mooi staaltje van marketing. Iedereen die voor is; aandelen bij Odido ofzo?
Met als boete dezelfde som geld als het losgeld + gevangenis straf voor het management (inclusief strafblad).
Misschien dat bedrijven dan de bescherming van hun gegevens serieus gaat nemen?
Ja, ik ben dit met je eens maar ik zie ook andere risico's die je wellicht mee wilt wegen.
Stel jouw data wordt buitgemaakt en laten we dan eens praten over extreem gevoelige data waar een crimineel veel schade mee kan aanrichten..... De optie betalen kan niet meer dus voor de criminelen is er nog 1 optie om geld te verdienen. Ze gaan die data verhandelen met alle gevolgen van dien.
Ik ben van mening dat er veel data nooit is gepubliceerd juist omdat er WEL betaalt is. Het klinkt onlogisch en moreel gezien niet erg ethisch omdat je criminelen 'beloond' voor hun daden maar dit is wel een bewust risico die je mee moet wegen.
Direct strafbaar stellen zou ik te kort door de bocht vinden maar in iedere situatie zou ik een afweging maken welk belang hoger is... de (gevoelige) data van 1 of meerder individuen of toch maar dat losgeld betalen..... Hoe rot het ook is.
De hele wijze van communicatie, tot vandaag dan, schreeuwde vanaf het begin ransomware en we gaan betalen.
het feit dat de criminelen contact hebben gezocht met de NOS en publiekelijk Odido naar de chat terug smeekte, zegt meer dan genoeg.
Er zit vanuit Odido ook geen beleid achter voor het wel of niet betalen, het is de hele periode pure paniek geweest. Nu is de kogel door de kerk, maar de reputatie schade is en zal aanzienlijk zijn.
De wijze van communicatie naar klanten en de media heeft daarbij zeker niet geholpen, in tegendeel zelfs.
En ja, security incidenten zullen er altijd zijn. Maar van deze omvang en dan ook nog data waarvan het bedrijf zelf nog niet wist, zie NOS artikel van 25 februari, over allerlei zeer persoonlijke notities die ook buit gemaakt is, schets een zeer pijnlijk beeld van een organisatie die de zaken overduidelijk niet op orde heeft en dat op meerdere fronten.
Dit schreeuwde ransonware? Vanaf dag 1 was mij al duidelijk dat dit phishing was en afpersing met gestolen data. Maar er is nooit enige vorm van ransomware geweest.... Systemen zijn toegankelijk gebleven en data is nooit op slot gezet om tegen betaling terug te krijgen.... of ik heb iets gemist.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
