
Introductie
De Rotterdamse haven die alarm slaat, lege schappen in de supermarkt en bedrijven die wekenlang worden gegijzeld door criminelen. Ransomware is in opkomst en treft organisaties groot en klein.
De Rotterdamse haven die alarm slaat, lege schappen in de supermarkt en bedrijven die wekenlang worden gegijzeld door criminelen. Ransomware is in opkomst en treft organisaties groot en klein.
75 procent van Benelux-bedrijven gaf aan in 2022 te geconfronteerd te zijn met ransomware (Veeam, 2023).
Hoewel 88 procent van de organisaties over een cyberverzekering zei te beschikken, bleek de schadedekking in de praktijk 40 procent lager uit te vallen dan verwacht (Fortinet, 2023).
Ransomware is in opkomst sinds de Covid-pandemie en gaat voorlopig niet weg.
Beleid over cybercriminaliteit en ransomware is volop in ontwikkeling. Enkele staten, waaronder Nederland, hebben de mogelijkheid onderzocht om betalingen aan hackers strafbaar te tellen, maar dat is tot heden nergens ingevoerd. De overheid geeft slechts een dringend advies om niet te betalen in het geval van gijzelsoftware.
Het Nationaal Cyber Security Centrum (NCSC) als spin in het web coördineert de landelijke aanpak en adviseert partijen. Het werkt hierin nauw samen met cybersecuritybedrijven, verzekeraars en de politie. Daarnaast is het Digital Trust Center (DTC) ingericht ter ondersteuning van het bedrijfsleven.
Het is niet per definitie verboden losgeld te betalen maar soms kan het wel strafbaar zijn, afhankelijk van de context. Dit is deels te verklaren vanuit een geopolitiek perspectief op ransomware, vooral als er sprake is van betalingen aan gesanctioneerde individuen of groepen uit onvrije landen als Rusland, Iran en Noord-Korea.
“Ransomware payments benefit illicit actors and can undermine the national security and foreign policy objectives of the United States” (Dept of Treasury, 2021)
“The UK has sanctioned 7 Russian cyber criminals through coordinated actions with the US government.” (HM Government, 2023)
De meest relevante huidige wetgeving is de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni 2018) in Nederland. De Wbni komt voort uit Europese wetgeving en introduceerde verplichte meldplicht en zorgplicht voor belangrijke entiteiten. Uit evaluatie bleek dat de implementatie in de Europese lidstaten te wensen over laat. Het EU-bedrijfsleven is momenteel niet weerbaar genoeg voor de cyberdreigingen en de weerbaarheid is ongelijk verdeeld over lidstaten en sectoren. Ook bleek dat er geen gezamenlijk beeld bestaat over de dreigingen en uitdagingen waar de EU voor staat.
Daarom werd de NIS2 richtlijn gelanceerd in januari 2023, als opvolging van NIS1. Nederland heeft nog tot oktober 2024 om deze richtlijn om te zetten in nationale wetgeving middels een update van de Wbni. Veel meer sectoren vallen onder NIS2 dan voorheen en de richtlijn dwingt partijen ook tot dialoog met leveranciers.
Het Ransomware Resilience netwerk heeft een aantal tools ontwikkeld die uw organisatie kunnen helpen in het voorkomen van ransomware of het mitigeren van een aanval.