Een gesprek met Tony Anscombe (ESET)

Het antwoord op deze vraag is wellicht "ja". Het debat over ransomware-betalingen (ransomware payments) gaat door, wat natuurlijk positief is; de discussie en de verschillende standpunten moeten leiden tot een geïnformeerde conclusie.

Laten we kijken wie het losgeld in feite betaalt. Stel dat u iets koopt voor 100$. Afhankelijk van waar u zich in de wereld bevindt, kan aan dit bedrag de verkooptaks worden toegevoegd. Uw kassaticket vermeldt 100$ voor de koopwaar en, laten we zeggen, 10$ voor verkooptaks, een totaal van 110$. Het bedrijf dat het product verkoopt, moet winst maken en zijn kosten dekken, waaronder personeel, gebouwen, verzekeringen, transport en vele andere zaken verbonden met het runnen van een bedrijf.

Was het bedrijf het slachtoffer van een ransomware-aanval en heeft het besloten cybercriminelen te betalen om weer toegang te krijgen tot zijn systemen of om te voorkomen dat zijn gegevens op het dark web gepubliceerd of verkocht worden? Dan zijn dit extra kosten en ze moeten terugverdiend worden bij de verkoop van producten of diensten.

Wat zou u zeggen als op het ontvangstbewijs cybercrime-financiering stond: product 100$, verkooptaks 10$, bijdrage cybercriminaliteit 2,50$ ? Ik vermoed en hoop dat u dit bedrag zou betwisten. Ik zou het doen. Het bedrijf zou dan mogelijk reageren met "OK, onze cyberrisicoverzekering heeft toch het merendeel van het losgeld betaald."

Dat zou kunnen, maar bij de premieberekening werkt de verzekeraar volgens risicokansen die dan aan het bedrijf worden doorgerekend. Verzekert hij tien bedrijven en is een op de tien het slachtoffer van een ransomware-aanval, dan zou de ticket van de 10 bedrijven misschien moeten vermelden: product 100$, verkooptaks 10$ en 0,25$ bijdrage aan cybercriminelen, betaald via de verzekeraars van het bedrijf.

In een artikel in The Hill (article in The Hill), antwoordde Bryan Vorndran, adjunct-directeur van de FBI Cyber Division, op een vraag van senator Mazie Hirono : "Wij zijn van mening dat verbieden om losgeld te betalen niet de juiste weg is". Deze reactie is wellicht gebaseerd op het feit dat het niet verbieden van de betaling kan leiden tot verdere afpersing omdat sommige bedrijven deze incidenten niet aan de autoriteiten melden.

De conclusie van deze discussie in de Senaatscommissie Justitie lijkt te suggereren dat er meer rapportageverplichtingen nodig zijn, in tegenstelling tot het verbod op betaling. Dit kan gezien worden als in strijd met de huidige vereisten die het uitkeren van geld verbieden aan cybercriminelen die op de OFAC-sanctielijst staan.

Daar bepaalde ransomware- groepen of individuen achter de groepen die op de lijst staan, zou dit kunnen suggereren dat de bedrijven die het losgeld betalen, zouden worden blootgesteld aan een dubbele afpersing en vervolgens die betaling zouden proberen te verbergen?

Er zijn nog heel wat vragen, maar één ding is zeker: het debat over het al dan niet betalen van losgeld is nog lang niet voorbij. En wij consumenten zullen waarschijnlijk een stijging van de prijzen voor producten en diensten zien als bedrijven de afpersers achter ransomware blijven betalen, hetzij rechtstreeks, hetzij via hun verzekering.

Ik eindig met de woorden van Margaret Thatcher (words of Margaret Thatcher), op 14 oktober 1988: "Geef toe aan de terrorist en je kweekt meer terrorisme".

Een gesprek met Tony Anscombe (ESET)Het antwoord op deze vraag is wellicht "ja". Het debat over ransomware-betalingen (ransomware payments) gaat door, wat natuurlijk positief is; de discussie en de verschillende standpunten moeten leiden tot een geïnformeerde conclusie.Laten we kijken wie het losgeld in feite betaalt. Stel dat u iets koopt voor 100$. Afhankelijk van waar u zich in de wereld bevindt, kan aan dit bedrag de verkooptaks worden toegevoegd. Uw kassaticket vermeldt 100$ voor de koopwaar en, laten we zeggen, 10$ voor verkooptaks, een totaal van 110$. Het bedrijf dat het product verkoopt, moet winst maken en zijn kosten dekken, waaronder personeel, gebouwen, verzekeringen, transport en vele andere zaken verbonden met het runnen van een bedrijf.Was het bedrijf het slachtoffer van een ransomware-aanval en heeft het besloten cybercriminelen te betalen om weer toegang te krijgen tot zijn systemen of om te voorkomen dat zijn gegevens op het dark web gepubliceerd of verkocht worden? Dan zijn dit extra kosten en ze moeten terugverdiend worden bij de verkoop van producten of diensten.Wat zou u zeggen als op het ontvangstbewijs cybercrime-financiering stond: product 100$, verkooptaks 10$, bijdrage cybercriminaliteit 2,50$ ? Ik vermoed en hoop dat u dit bedrag zou betwisten. Ik zou het doen. Het bedrijf zou dan mogelijk reageren met "OK, onze cyberrisicoverzekering heeft toch het merendeel van het losgeld betaald."Dat zou kunnen, maar bij de premieberekening werkt de verzekeraar volgens risicokansen die dan aan het bedrijf worden doorgerekend. Verzekert hij tien bedrijven en is een op de tien het slachtoffer van een ransomware-aanval, dan zou de ticket van de 10 bedrijven misschien moeten vermelden: product 100$, verkooptaks 10$ en 0,25$ bijdrage aan cybercriminelen, betaald via de verzekeraars van het bedrijf.In een artikel in The Hill (article in The Hill), antwoordde Bryan Vorndran, adjunct-directeur van de FBI Cyber Division, op een vraag van senator Mazie Hirono : "Wij zijn van mening dat verbieden om losgeld te betalen niet de juiste weg is". Deze reactie is wellicht gebaseerd op het feit dat het niet verbieden van de betaling kan leiden tot verdere afpersing omdat sommige bedrijven deze incidenten niet aan de autoriteiten melden.De conclusie van deze discussie in de Senaatscommissie Justitie lijkt te suggereren dat er meer rapportageverplichtingen nodig zijn, in tegenstelling tot het verbod op betaling. Dit kan gezien worden als in strijd met de huidige vereisten die het uitkeren van geld verbieden aan cybercriminelen die op de OFAC-sanctielijst staan.Daar bepaalde ransomware- groepen of individuen achter de groepen die op de lijst staan, zou dit kunnen suggereren dat de bedrijven die het losgeld betalen, zouden worden blootgesteld aan een dubbele afpersing en vervolgens die betaling zouden proberen te verbergen?Er zijn nog heel wat vragen, maar één ding is zeker: het debat over het al dan niet betalen van losgeld is nog lang niet voorbij. En wij consumenten zullen waarschijnlijk een stijging van de prijzen voor producten en diensten zien als bedrijven de afpersers achter ransomware blijven betalen, hetzij rechtstreeks, hetzij via hun verzekering.Ik eindig met de woorden van Margaret Thatcher (words of Margaret Thatcher), op 14 oktober 1988: "Geef toe aan de terrorist en je kweekt meer terrorisme".