­Hoe ethisch is het om cybercriminelen te ­betalen?

Ransomware-aanvallen plaatsen bedrijven voor een dilemma: losgeld betalen om weer toegang tot hun bestanden te krijgen, of hun data opgeven.

In de nacht van 13 december wisten hackers 383.000 bestanden met persoonsgegevens te ontfutselen bij Limburg.net. De afvalintercommunale had twee en een halve dag de tijd om honderdduizend euro losgeld te betalen en zo te voorkomen dat het hackerscollectief Medusa de gehackte rijksregisternummers en adressen zou publiceren. Limburg.net ging niet in op de eis.

Sommige experts stelden dat de afvalintercommunale de verkeerde keuze heeft gemaakt, waardoor er nu persoonsgegevens op straat liggen. Het noopte ethisch hacker Inti De Ceukelaire tot volgende tweet: ‘Ik ben het oneens met de experten die zeggen dat Limburg.net had moeten betalen: het maakt criminele organisaties net groter en gevaarlijker, levert geen garanties op en vergroot de kans op verdere afpersing.’

Hoe moet die stelling zich dan in de praktijk vertalen? Als CEO en oprichter van Secutec, gespecialiseerd in cyberbeveiliging, begeleidde Geert Baudewijns al meer dan vierhonderd ransomware-onderhandelingen. ‘De redenering klopt in de praktijk’, zegt hij. ‘Elke euro versterkt het businessmodel van cybercriminelen. Tegelijk is het ook te kort door de bocht. In de cases die ik heb begeleid, hebben cybercriminelen altijd hun woord gehouden.”’

Beloftes en garanties

Toch zal u online ook minder positieve verhalen vinden. Baudewijns: ‘Binnen hackerscollectieven is het vaak de gewoonte om bedrijven op een interne ‘wall of fame’ te publiceren twee of drie dagen nadat ze slachtoffer zijn geworden. Dat is het signaal voor phishers om zich op het doelwit te storten en mails uit te sturen met een vraag naar losgeld.’ Het komt voor dat bedrijven toehappen en dus aan de verkeerde partij of via het verkeerde kanaal losgeld betalen.

“In sommige gevallen is het de enige juiste economische keuze om losgeld te betalen.”

Geert Baudewijns, CEO bij Secutec

Dat cybercriminelen hun woord zouden houden is al iets, maar wat met toekomstige risico’s? Het is algemeen geweten dat gelekte persoonsgegevens blijven circuleren op fora op het dark web. Die zijn in theorie niet heel toegankelijk, maar soms verhuist de informatie naar berichtendiensten als Telegram die wel vlot toegankelijk zijn. Ook hier stelt Baudewijns een verschil vast tussen theorie en praktijk: ‘Zelf heb ik nog nooit cases meegemaakt waarbij bedrijven een jaar na datum opnieuw werden afgeperst.’ Wat de mogelijkheid hierop niet uitsluit, uiteraard.

Punt blijft dat u cybercriminelen in principe niet kunt vertrouwen. Dat ze zichzelf in de voet schieten door beloftes te breken, is daarbij een gekende redenering. ‘Binnen collectieven kunnen er afsplitsingen plaatsvinden waarbij een deel van de groep omwille van opportunistische redenen met gestolen data aan de haal gaat. Ook als bedrijven beslissen om niet te betalen, weten cybercriminelen nog steeds welke medewerkers ze moeten viseren en hoe. Dat is waardevolle informatie, zeker als die personen van werkgever veranderen. Ransomware zal zijn bestaansreden dus altijd blijven behouden’, aldus De Ceukelaire.

Theorie en praktijk lopen dus uiteen, net zoals de meningen van de experts. Vraag blijft: wat horen bedrijven te doen wanneer ze het slachtoffer zijn van een ransomware-aanval? Voor De Ceukelaire bestaat er een belangrijk verschil tussen het betalen van losgeld om te voorkomen dat persoonsgegevens uitlekken en betalen om versleutelde bestanden terug te krijgen. ‘Enkel in het laatste geval valt de keuze van bedrijven te begrijpen, omdat je nooit de garantie hebt dat cybercriminelen data niet opnieuw verpakken en op andere plekken aanbieden. Het is een denkfout die velen maken.’

Economische realiteit primeert

Toch raadt Baudewijns bedrijven soms wél aan om losgeld te betalen om te voorkomen dat persoonsgegevens op straat komen te liggen. ‘In sommige gevallen is het de enige juiste economische keuze.’ Dat was ooit anders. ‘Vroeger adviseerden we om enkel te onderhandelen om de decryptiesleutels te bekomen, niet om hackers ervan te weerhouden gestolen gegevens te publiceren. Vandaag doen we dat soms wel, omdat bedrijfsdata en persoonsgegevens waardevoller zijn dan ooit.’ In het geval van Limburg.net zou Baudewijns dat ook gedaan hebben. ‘Niet betalen veroorzaakt een grotere economische schade.’ In dat licht benadrukt hij dat ook verzekeraars hier geen probleem van maken.

“Het is het enkel waard om datagijzelnemers te betalen wanneer het ontsleutelen van data levens kan redden of van vitaal belang is voor onze samenleving, economie of nationale veiligheid.”

Inti De Ceukelaire, ethisch hacker

Voor De Ceukelaire is die visie moeilijk verenigbaar met zijn standpunt als ethisch hacker. ‘Mijn stelregel is dat het enkel waard is om datagijzelnemers te betalen wanneer het ontsleutelen van data levens kan redden of van vitaal belang is voor onze samenleving, economie of nationale veiligheid.’ In het geval van Limburg.net adviseert hij dan ook het omgekeerde van wat Baudewijns zegt. ‘Het is veel zinvoller om het geld te investeren in het vergoeden van getroffenen of hen een cyberverzekering aan te bieden die hen beschermt tegen toekomstige identiteitsfraude met hun gegevens.’

Back-ups als voornaamste determinant

Hoe dan ook: de beslissing om al dan niet te betalen, blijft een praktijkoefening. ‘De grootste factor die daarbij de doorslag geeft, is de zekerheid die bedrijven hebben over hun back-ups’, stelt Baudewijns. ‘Als die er is, beslissen we om niet te onderhandelen of te betalen. Maar in zeventig procent van de gevallen is die zekerheid er niet.’ Maar ook zonder garanties beslissen grote organisaties soms om toch te betalen. Baudewijns: ‘Tweeduizend servers herconfigureren vanuit back-ups is een werk van maanden. Bedrijven maken dan ook de afweging.’

De Ceukelaire heeft de bestandenlijst die bij Limburg.net werd buitgemaakt zelf gezien, maar keek de bestanden niet in. ‘Dat zou niet ethisch zijn. Het ging om zeer oude gegevens en ik vraag mij af welk nut het heeft om die langer bij te houden dan nodig. Het zorgt alleen maar voor verhoogde kwetsbaarheid. Bovendien berekenen cybercriminelen het losgeldbedrag ook op basis van de omvang van de bestanden.’ Baudewijns treedt De Ceukelaire hierin bij. ‘Limburg.net was een schoolvoorbeeld van een gebrek aan datasegregatie. Het eeuwig bijhouden van gegevens hoeft op zich niet problematisch te zijn, maar de hackers hadden door het gebrek aan segregatie wel meteen toegang tot alle data.’