Steeds meer bedrijven krijgen ermee te maken: ransomware. De afgelopen jaren stijgt het aantal cyberaanvallen waarbij gegevens worden gegijzeld van bedrijven om vervolgens geld af te troggelen sterk. De vraag is in elke unieke situatie dan altijd of er wel of niet betaalt moet worden. Een wettelijk verbod om te betalen in zulke gevallen is in ieder geval van tafel.
De Nederlandse Minister Van Weel van Justitie en Veiligheid heeft dat laten weten naar aanleiding van gestelde Kamervragen over dit onderwerp. De vragen werden gesteld door Pro Nederland naar aanleiding van de ransomware-aanval op Odido, waarbij criminelen gegevens van meer dan zes miljoen mensen buitmaakten.
Aanleiding voor de Kamervragen was de weigering van de provider om het gevraagde losgeld te voldoen. Kamerleden Kathmann en Mutluer wilden weten of een wettelijk betaalverbod de samenleving ten goede zou komen. “We willen organisaties die slachtoffer zijn geworden van een ransomware aanval niet criminaliseren”, reageerde Van Weel.
Hij erkent wel dat er een spanning bestaat tussen het individuele belang van een slachtoffer om schade op korte termijn te beperken, en het bredere maatschappelijke belang om het totale aantal slachtoffers te verminderen en het verdienmodel van criminelen te doorbreken.
Dringend advies in plaats van verbod
“Zolang die spanning niet eenduidig kan worden opgelost wordt, net als in de meeste EU landen, dringend geadviseerd om geen losgeld te betalen, in plaats van een wettelijk verbod”, aldus Van Weel. De minister benadrukt dat de uiteindelijke beslissing aan de getroffen organisatie zelf blijft. Het dringende overheidsadvies verandert echter niet. Naast dat advies zet de overheid in op preventie, meldplichten bij toezichthouders en gerichte informatie aan gedupeerde personen.
Over zulke losgelddilemma’s ging ICT Magazine eerder aan tafel met GM Innovation Inge van der Beijl. Zij is werkzaam als psycholoog en crisisexpert bij beveiligingsbedrijf Northwave en voert regelmatig onderhandelingen met criminele organisaties, onder andere over het veiligstellen van gegevens en betalen van losgeld. Van der Beijl liet daarbij weten dat de basis van Northwave helder is: doe geen zaken met criminelen. Er bestaat echter ook een grijs gebied waar ethiek botst met het voortbestaan van bedrijven. “Als een bedrijf 120 jaar bestaat en alles dreigt te verliezen omdat ze niet bij hun data kunnen, dan is betalen een bittere, maar reële optie”, zei van der Beijl daarover.
Betalen aan criminelen of failliet: het duivelse dilemma
Boetes als stok achter de deur
De Kamerleden vroegen ook of boetes organisaties kunnen aansporen hun cyberweerbaarheid serieus te nemen. Van Weel wees daarvoor op het bestaande wettelijke kader. De Telecommunicatiewet, de Wet beveiliging netwerk- en informatiesystemen en de AVG bieden toezichthouders al bevoegdheid om te handhaven. Dat kan via waarschuwingen, het stilleggen van gegevensverwerkingen of het opleggen van boetes.
Ransomware blijft intussen een hardnekkige dreiging. Volgens verschillende onderzoeken is ransomware anno 2026 nog steeds de belangrijkste cyberdreiging voor organisaties wereldwijd.