Kamervragen over wettelijk verbod op betalen van losgeld bij ransomware
In de Tweede Kamer zijn vragen aan minister Van Weel van Justitie en Veiligheid gesteld over een wettelijk verbod op het betalen van losgeld bij ransomware-aanvallen. Aanleiding is de aanval op Odido waar aanvallers de gegevens van miljoenen klanten wisten te stelen en dreigden die openbaar te maken als het telecombedrijf geen losgeld betaalde. Odido ging niet tot betaling over, waarop de verantwoordelijke criminelen gegevens van honderdduizenden klanten op internet hebben gepubliceerd.
"Vindt u dat het toegeven aan dit soort afpersing het verdienmodel van cybercriminelen in stand houdt? Hoe verhoudt dit zich volgens u tot de bescherming van slachtoffers, die hun persoonlijke data in handen van criminelen zien verdwijnen als een getroffen organisatie niet betaalt?", vragen GroenLinks-PvdA-Kamerleden Kathmann en Mutluer aan de minister.
Van Weel moet ook duidelijk maken of hij nog steeds achter het advies van de overheid aan organisaties staat om geen losgeld aan hackers te betalen en op welke expertkennis dat advies is gebaseerd. "Zou een verbod op het betalen van losgeld aan hackers de samenleving als geheel ten goede kunnen komen? Zo ja, waarom? Zo nee, waarom niet? Wat zijn volgens u de voor- en nadelen van een dergelijk verbod?", vragen Kathmann en Mutluer verder.
"Klopt het dat het voor een getroffen organisatie logisch kan lijken om losgeld te betalen (op basis van de belofte van daders dat gestolen data niet gepubliceerd worden of versleutelde systemen worden vrijgegeven), maar dat dit de samenleving als geheel juist meer kan kosten, omdat het verdienmodel van cybercriminelen in stand gehouden wordt? Zo nee, waarom niet? Zo ja, op welke manier kan de samenleving volgens u dit dilemma oplossen?", willen de Kamerleden daarnaast weten.
De minister moet ook duidelijk maken of een verbod op het betalen van losgeld als extra prikkel kan dienen voor organisaties om extra werk te maken van cyberweerbaarheid. "Welke extra prikkels en instrumenten kunt u inzetten om ervoor te zorgen dat organisaties te dwingen hun cyberweerbaarheid serieus te nemen? Denkt u dat boetes hier een effectief middel voor kunnen zijn? Zo ja, op welke manier? Zo nee, waarom niet?", willen Kathmann en Mutluer aanvullend weten. Van Weel heeft drie weken om met een reactie te komen.
Laat Odildo lekker zelf bepalen of ze willen schuiven of niet. Daar heeft de overheid helemaal niks mee te maken. Die bemoeit zich al met veel en veel teveel.
Torenhoge boetes voor bedrijven die hun security niet serieus nemen.
In dit geval lijkt ook Odido erg nalatig geweest en komt er steeds meer stront naar buiten.
Al dan niet moedwillig informatie achterhouden die achteraf toch gelekt blijkt te zijn.
Ik vermoed dat als alle machines waren wel versleuteld waren , dat dan het losgeld misschien wel betaald werd, nu liep de bedrijfsvoering geen gevaar. Alleen de klanten zijn de dupe van data diefstal
Elk bedrijf moet zelf weten of ze betalen of niet, daar hebben we de overheid niet voor nodig.
Advies geven mag, afdwingen niet
Laat Odildo lekker zelf bepalen of ze willen schuiven of niet. Daar heeft de overheid helemaal niks mee te maken. Die bemoeit zich al met veel en veel teveel.
En als Odido betaald zal de ransomware bende ook wel denken dat ik ga betalen en dus achter mij komt.
Nu heeft Odido besloten om niet te betalen en kunnen ze verantwoordelijk worden gesteld voor hun beslissing. Als dit wettelijk verboden zou worden dan zou het de verantwoordelijkheid worden van de overheid.
Meestal niet.
- Stroomlijn bestaande wetgeving, en pas die zo aan dat niet meer dan het absolute minimum opgeslagen mag worden.
- Voer nieuwe wetgeving in, en lever meteen de faciliteiten, zodat die afgegeven minimale digitale persoonsdata maar eenmalig gebruikt kan worden bij die ene organisatie, en daarna niet meer. Nutteloos wordt voor hackers.
Dan ben je pro-actief bezig als politiek.
Niet dit dwijlen met de kraan open, zoals ze nu doen.
Je druk maken over wel/niet betalen van losgeld. Daar winnen we de oorlog niet mee.
Zorg dat die data er niet is, en anders geen waarde heeft om nog gestolen te worden. Dat is pas nuttig.
Laat Odildo lekker zelf bepalen of ze willen schuiven of niet. Daar heeft de overheid helemaal niks mee te maken. Die bemoeit zich al met veel en veel teveel.
Het is de kerntaak van de overheid om burgers te beschermen en de overheid moet zich dus wel bemoeien met zaken waar rechten van burgers in het geding komen. Dus ook wanneer het gaat om het geven van geld aan criminele organisaties en/of het daarmee indirect prijsgeven van gegevens die niet prijsgegeven mogen worden. De overheid is in dit verhaal niet de boeman, maar de criminele organisatie en de mogelijke nalatige commerciële organisatie.
Nu heeft Odido besloten om niet te betalen en kunnen ze verantwoordelijk worden gesteld voor hun beslissing. Als dit wettelijk verboden zou worden dan zou het de verantwoordelijkheid worden van de overheid.
Als ze wel betaald hadden was dat geen garantie dat de data toch verkocht zou worden.
Misdaad mag nooit lonen.
Laat Odildo lekker zelf bepalen of ze willen schuiven of niet. Daar heeft de overheid helemaal niks mee te maken. Die bemoeit zich al met veel en veel teveel.
Nu heeft Odido besloten om niet te betalen en kunnen ze verantwoordelijk worden gesteld voor hun beslissing. Als dit wettelijk verboden zou worden dan zou het de verantwoordelijkheid worden van de overheid.
En als ze wel betalen kunnen ze ook verantwoordelijk worden gesteld.
Niet betalen is het beste. De pijn meteen nemen en ervan leren.
Wel betalen en die gegevens gaan dan opnieuw lekken via de hackers.
Dus voordat criminelen in het bedrijf zijn binnengedrongen, al dan niet door grove nalatigheid van het bedrijf op het gebied van bescherming van (klant)data.
Het is namelijk duidelijk dat er met dat verdienmodel iets fundamenteel niet in de haak is en dat dit verdienmodel 'an sich' criminele trekken vertoont.
En wat dat is, is ook te benoemen, namelijk tekortschietende waarborgen om het belang van klanten/consumenten te beschermen, zoals bijvoorbeeld het belang van klanten dat hun data goed beschermd wordt (maar er zijn veel meer voorbeelden van hun belangen te bedenken).
Worden die data beter beschermd wanneer het betalen van losgeld aan criminelen verboden wordt?
Lijkt mij niet, want waarom zou het bedrijf, wat al laks omgaat met klantdata, dat gaan verbeteren als ze de eigen nalatigheid niét meer mag proberen af te kopen i.c. losgeld betalen met een onbepaalde, maar wel aanwezige kans dat de data niet verder geëxploiteerd wordt?
Wat is er plezieriger voor de portemonnee van het bedrijf dan om te kunnen zeggen? "Sorry, wij mogen wettelijk geen losgeld betalen"? Dat komt de winst- en verliesrekening weer ten goede.
Met andere woorden, waar baseren de beide Kamerleden op dat het ontzien van de winst van een bedrijf een incentive is om bedrijfsgedrag te verbeteren?
Bedrijven die losgeld betalen bloeden voor hun zonde.
Bedrijven die dat wettelijk niet meer mogen hoeven daarvoor dus ook niet meer te bloeden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Ben jij die onafhankelijke expert die privacy naar een hoger plan tilt? Als Functionaris Gegevensbescherming (FG) krijg je bij ons een unieke uitdaging: jij bent hét toezichthoudend én adviserend geweten op privacygebied voor maar liefst vier gemeenten: Venray, Peel en Maas, Horst aan de Maas en Beesel.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
