Als organisaties blijven betalen na een hack, houden ze zelf het verdienmodel van cybercriminelen in stand. Dat moet ophouden, zegt rechtseconoom en cybersecurityonderzoeker Bernold Nieuwesteeg, die al jaren waarschuwt voor de gevolgen. "We gaan van incident naar incident. Het is een soort Groundhog Day zonder dat er gedacht wordt aan een oplossing voor de lange termijn."
"Er wordt nog steeds gigantisch veel betaald", zegt de onderzoeker. Al jarenlang pleit hij al voor één simpele regel: alles in het werk stellen om niet betalen te stimuleren of zelfs af te dwingen. Maar ondanks grote datalekken, publieke verontwaardiging en hoge geldeisen van hackers, verandert de praktijk niet. Organisaties kiezen massaal voor de korte termijn en daardoor is het wachten op een volgend datalek of ransomware-aanval.
Het gevolg? Nederland blijft een aantrekkelijk doelwit. Elke betaling geeft criminelen meer middelen én motivatie om door te gaan. "We belonen cybercriminelen. Dat is het probleem."
Elke betaling maakt de kans op een nieuwe hack groter
Een organisatie wil haar data terug of massaclaims voorkomen. Een betaling lijkt daarmee een individuele keuze van het bedrijf. Maar volgens de onderzoeker is dat een misvatting: "Elke betaling van losgeld veroorzaakt maatschappelijke schade."
Als een Nederlands bedrijf betaalt na een hack, maakt dat ons land als geheel aantrekkelijker voor cybercriminelen. "Dan is bekend dat in Nederland wordt betaald. Het maakt ons een aantrekkelijk doelwit. Je moet eigenlijk het beschermen van de gegevens van miljoenen Odido-klanten nu afwegen tegen het veelvoud van wat er in de toekomst nog gehackt gaat worden", vertelt Nieuwesteeg.
Daarnaast draag je bij aan toekomstige cyberaanvallen door te betalen: "Ze hebben dan weer een miljoen euro extra aan budget om aanvallen uit te voeren. Losgeld betalen is niet iets individueels van een bedrijf. Het is alsof een pyromaan dreigt je huis in de fik te steken en je dat voorkomt door hem een paar jerrycans benzine te geven".
Bernold Nieuwesteeg is ondernemer, rechtseconoom en expert op het gebied van cybersecurity. Hij is de oprichter van het Centre for Law and Economics of Cyber Security, een onderzoekscentrum binnen Erasmus School of Law. Hij was de directeur en is nu verbonden als adviseur.
Hoe komen we wél uit deze cyclus?
Volgens de onderzoeker is er een hele reeks maatregelen die kan helpen; van licht naar zwaar. Deze drie stappen zijn volgens hem essentieel:
- Benoem altijd de maatschappelijke schade van betalen
Maak als organisatie duidelijk dat een betaling niet alleen een praktische keuze is, maar een beslissing met nationale gevolgen. Elke betaling geeft cybercriminelen meer middelen voor toekomstige aanvallen in ons land.
- Registreer landelijk alle betalingen
Zonder data geen beleid. En als er straks beleid is, weet je of er daadwerkelijk minder wordt betaald. En daarmee of het beleid werkt.
- Zet organisaties in een positie waarin ze niet hoeven te betalen
Dat betekent natuurlijk je cybersecurity vooraf op orde hebben, noodplannen maken die niet afhankelijk zijn van losgeld en ondersteuning vanuit de overheid om weer operationeel te worden zonder toe te geven aan chantage.
"Sommige sectoren in het buitenland zeggen al: wij betalen nooit meer! Hoe pijnlijk het ook kan zijn na een cyberaanval. Als je echt voet bij stuk houdt dan ben je uiteindelijk niet meer interessant voor cybercriminelen. Ze weten dan dat er niks te halen valt", vertelt de rechtseconoom.
Oproep aan cybersecuritygemeenschap: stop met incidentbestrijding
Zijn kritiek richt zich opvallend genoeg niet alleen op de gehackte organisaties, maar op een deel van de cybersecuritygemeenschap zelf. Die is volgens hem vooral bezig met incidentbestrijding, in plaats van met het oplossen van het probleem.
De redenering die organisaties te horen krijgen is vaak: als je niet anders kunt, moet je betalen. De experts die helpen bij onderhandelingen kennen de hackers, weten welke groepen 'betrouwbaar' zijn en onderhandelen soms letterlijk over de prijs. "Dat doen ze heel goed", zegt hij. "Maar het is puur tactisch. Strategisch verandert er niets."
Met andere woorden: een deel van de gemeenschap die Nederland cyberveilig moet houden, lijkt te berusten in de status quo. "Ze zitten in een soort loopgraaf. Wie alleen bezig is met het afslaan van aanvallen, denkt niet na over hoe je de oorlog beëindigt."
Tijd voor een visie voor de lange termijn
In enkele extreme gevallen is een betaling te verdedigen. Denk aan een buit met onversleutelde wachtwoorden. Dat is een nachtmerrie: criminelen zouden met miljoenen inloggegevens moeiteloos andere accounts van burgers kunnen overnemen. "Dan heb je een cyber-atoombom," zegt Nieuwesteeg.
Toch verandert dat zijn structurele boodschap niet: betalingen moeten uitzonderingen zijn, niet de norm. Het probleem is dat ze nu standaard zijn. Zolang Nederland geen duidelijke lijn trekt, blijft ons land aantrekkelijk voor cybercriminelen. "We laten chantage gewoon gebeuren", zegt de onderzoeker. "Dat moet stoppen. Dit is een voorbeeld waarop de wetenschap echt een ander geluid heeft dan de praktijk. Het is belangrijk dat we dit geluid laten horen."
- Onderzoeker
- Meer informatie
Meer wetenschapsverhalen? Kijk op ons online magazine Erasmus Extra.
- Gerelateerde content
