De juridische consequenties van ransomwarebetalingen

De juridische consequenties van het wel of niet betalen van ransomware hangen als een donkere schaduw boven het bedrijfsleven, vooral nu deze aanvallen steeds vaker voorkomen en steeds geavanceerder worden. Ransomware blijft de belangrijkste bedreiging voor mkb-ondernemers en grote ondernemingen die actief zijn in de gezondheidszorg, de retail, de productie en andere vitale sectoren, zo staat te lezen in het Acronis Cyberthreats Report 2022.

Zo'n 37% van de wereldwijd opererende bedrijven geeft aan dat ze in 2021 slachtoffer zijn geworden van een ransomware-aanval. Veel onderzoekers denken dat dit percentage in werkelijkheid hoger is, omdat slechts een klein deel van de ransomware-aanvallen bekend wordt gemaakt. Het valt voor bedrijven niet mee om voldoende zicht te houden op alle bedreigingen en zich adequaat te beschermen tegen de vloedgolf aan cyberaanvallen mede omdat er aan de lopende band nieuwe ransomwaremethoden worden ontwikkeld, zoals Ransomware-as-a-Service (RaaS) en het subgenre dat bekend staat als Initial Access Brokers (IAB).

Deze op abonnementen gebaseerde modellen zijn erg in trek bij de verschillende typen ransomware-aanvallen (die hun naam ontlenen aan de groep of bende die de aanvallen uitvoert). Via zo'n abonnementsmodel kunnen bijvoorbeeld ransomwaretools en geïnfiltreerde bedrijfsresources aan cyberdieven en -bendes worden verkocht.

We zien daarnaast een stijging in de hoeveelheid cloudgebaseerde ransomware nu cybercriminelen ook de markt voor Software-as-a-Service (SaaS) in het vizier krijgen. Aanvallers blokkeren de apparaten of SaaS-gegevens van hun slachtoffers om ze te dwingen losgeld te betalen. Sommige van deze bendes zijn gewoon klant bij grote cloudproviders en creëren hun eigen infrastructuur om op eenvoudige wijze malware te kunnen distribueren. Bedrijven in de VS staan bovenaan de lijst met doelwitten van alle cybercriminelen en groepen, ongeacht het type/groep/soort ransomware.

Ondertussen komt het midden- en kleinbedrijf ook steeds meer onder vuur te liggen. In dit segment variëren de verliezen van een kleine $ 70 tot wel $ 1,2 miljoen. In 95% van de gevallen bedragen de gemiddelde ransomware-gerelateerde kosten $ 11.150. De rapporten komen niet allemaal tot dezelfde conclusie als het gaat om het aantal ransomware-aanvallen dat op mkb-ondernemers en grote ondernemingen wordt uitgevoerd (soms wordt zelfs een aantal van drie op vijf genoemd). Beveiligingsonderzoekers zijn het er wel over eens dat het aantal aanvallen in de komende jaren gaat stijgen.

Geen enkele sector ontspringt de dans. Ransomware-aanvallen doen zich voor in het onderwijs, de gezondheidszorg, de retail, de technologie, de productie en bij nutsbedrijven en financiële instellingen. De dreiging van een ransomware-aanval hangt als een donkere schaduw boven elk bedrijf en elke organisatie. Ze moeten voor zichzelf bepalen of het verstandig is om wel of geen losgeld te betalen.

Betalen of niet betalen?

De eerste prioriteit van elk bedrijf is uiteraard om met proactieve maatregelen een ransomware-aanval te voorkomen. Maar dan nog is het belangrijk om alvast een standpunt in te nemen wat betreft het wel of niet betalen van losgeld. Beveiligingsexperts adviseren over het algemeen om niet te betalen. Dit advies is gebaseerd op een aantal goede redenen. Zo slagen slechts weinig bedrijven erin om de gestolen gegevens daadwerkelijk te herstellen. Ook is er geen enkele zekerheid dat de ontvangen versleutelingscodes correct werken. Bovendien motiveert een betaling cybercriminelen alleen maar om door te gaan met hun afpersingspraktijken en het ontwikkelen van nieuwe ransomware.

Juridische consequenties

Regeringen hebben gezamenlijk stelling genomen tegen het betalen van ransomware en dit in een wettelijk kader vastgelegd. Het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën en het Financial Crimes Enforcement Network (FinCEN) hebben bepaald dat het betalen van losgeld in de meeste gevallen illegaal is.

De EU heeft een vergelijkbare benadering als het gaat om 'essentiële diensten', een categorie die recent met een aantal nieuwe sectoren is uitgebreid. EU-lidstaten kunnen op grond van de Netwerk- en Informatiebeveiliging richtlijn (NIB-richtlijn) boetes opleggen aan bedrijven of organisaties die losgeld betalen.

De vraag of onderhandelen met cybercriminelen de norm is geworden, hangt af van allerhande factoren die een rol spelen bij het wie, wat, waar en waarom van de ransomware-aanval. Soms is het handig om wat tijd te rekken zodat de beveiligingsexperts of -providers van het bedrijf een decryptor kunnen schrijven. Ook kan gedurende deze tijd worden geprobeerd de identiteit van de ransomware-aanvaller of -groep te achterhalen.

Tot nu toe is er nog geen gerechtelijke vervolging ingesteld tegen bedrijven of organisaties die losgeld aan ransomware-aanvallers hebben betaald. Maar het verlies van zeer vertrouwelijke informatie heeft uiteraard wel gevolgen op het gebied van ethiek, merkreputatie en marktpositie, bijvoorbeeld:

Boetes voor het uitlekken van persoonlijke gezondheidsgegevens (PHI in relatie tot HIPAA), financiële gegevens (in relatie tot de Payment Card Industry) en persoonsgegevens (PII).

Ernstige ondermijning van het vertrouwen in een merk.

Negatieve effecten op serviceovereenkomsten, marktpositie, waardebepaling en beleggersvertrouwen die in financieel opzicht catastrofaal kunnen uitpakken.

Geen garantie

Belangrijk is ook dat er geen enkele garantie is dat het betalen van losgeld een werkende decryptiesleutel oplevert of dat de gegevens daadwerkelijk kan worden hersteld. Betalen kan er ook toe leiden dat dezelfde of andere aanvallers besluiten het nog eens te proberen.

Beveiligingsexperts zijn het erover eens dat het beter is om niet te betalen, maar het is altijd een goed idee om een beveiligingsprofessional te vragen wat in een bepaalde situatie de beste aanpak is. Een bedrijf kan op basis daarvan een plan maken voor eventuele noodzakelijke wijzigingen in de beveiliging en zich voorbereiden op mogelijke consequenties voor de bedrijfsvoering.

Financiële en marktgerelateerde consequenties

Het Amerikaanse congres heeft bepaald dat bedrijven die cruciaal zijn voor het Amerikaanse nationale belang verplicht zijn om te melden dat ze zijn gehackt of losgeld hebben betaald. Maar elk bedrijf is weer anders en moet aan andere wettelijke vereisten voldoen. Dat betekent dat elk bedrijf ook zijn eigen afwegingen moet maken over het wel of niet betalen van losgeld.

JBS Foods, 's werelds grootste vleesleverancier, betaalde $ 11 miljoen in bitcoins nadat hackers een aantal van hun vleesverwerkende fabrieken had weten uit te schakelen. Volgens de directeur besloot het bedrijf te betalen om toekomstige aanvallen te voorkomen die een enorme invloed op restaurants, supermarkten, boerenbedrijven en de eigen vleesverwerkende fabrieken zouden hebben.

Colonial Pipeline betaalde in 2021 de cybercriminele groep DarkSide een bedrag van $ 4,4 miljoen om te voorkomen dat bijna 100 GB aan gegevens op straat zou komen te liggen. De hack veroorzaakte enorme tekorten aan de hele oostkust van de VS. En dat allemaal vanwege één buitgemaakt wachtwoord.

Andere bedrijven kozen ervoor niet te betalen omdat ze gegevensback-ups klaar hadden staan en zich met behulp van andere methoden hadden voorbereid:

Sportartikelenproducent Puma werd in januari 2022 slachtoffer van een ransomware-aanval waarbij gegevens van zo'n 6632 werknemers werden gestolen. Dit had tot gevolg dat betalingen wekenlang te laat werden uitgevoerd.

Microchipfabrikant NVIDIA werd in februari 2022 getroffen door een ransomware-aanval. De aanvallers dreigden 1 TB aan inloggegevens van werknemers en vertrouwelijke bedrijfsinformatie (waaronder broncodes) te publiceren.

Wereldwijde bandenfabrikant Bridgestone ontdekte in februari 2022 dat de LockBit-ransomwarebende erin was geslaagd hun systemen binnen te dringen. Ondanks alle inspanningen was het bedrijf genoodzaakt de productie een hele week stop te zetten.

Advocatenkantoren worden ook steeds vaker getroffen door ransomware-aanvallen, maar nemen verschillende standpunten in over het wel of niet betalen van losgeld. In februari 2021 werd een ransomware-aanval uitgevoerd op een bekend advocatenkantoor met tientallen grote klanten in de economische sector. Het kantoor liet weten dat er mogelijk burgerservicenummers, biometrische gegevens en zorgverzekeringsgegevens waren buitgemaakt. De National Law Review raadt aan niet te betalen op basis van de redenen die ook bijna allemaal in deze blog vermeld staan.

Het betalen of niet betalen van losgeld brengt talloze operationele, juridische, financiële en merkgerelateerde consequenties met zich mee. In deze blog hebben we enkele van de belangrijkste consequenties voor u op een rijtje gezet. We raden alle bedrijven aan proactief voorbereidingen te treffen om ransomware tegen te houden en een strategisch plan op te stellen voor de nasleep van een aanval. Het verhinderen van of het reageren op een ransomware-aanval vereist een goed inzicht in de technische uitdagingen die daarbij komen kijken.

Technische uitdagingen van een ransomware-aanval

Bedrijven van klein tot groot krijgen te maken met allerlei technische uitdagingen als ze ransomware-aanvallen willen verhinderen of er zo goed mogelijk op willen reageren. Veel bedrijven voeren te weinig back-ups, end-to-end toolimplementaties, patchupdates en andere belangrijke taken uit. Maar voor een goede bescherming van bedrijfsgegevens is een geïntegreerde benadering van cyberbeveiliging een eerste vereiste.

Elk bedrijf of het nu één, honderd of duizend werknemers heeft - zou trainingen en best practices op het gebied van cyberbeveiliging onderdeel van de bedrijfscultuur moeten maken. Het begint allemaal met een goed inzicht in de verschillende behoeften op het gebied van cyberveerkracht en cyberbeveiliging. Cyberveerkracht is de mate waarin een bedrijf bestand is tegen cyberbedreigingen; cyberbeveiliging heeft betrekking op de cruciale IT-tools die nodig zijn om dat doel te realiseren.

Een proactieve benadering tot ransomware- en malware-infiltratie

Cyberaanvallen worden steeds geavanceerder en vereisen een holistische (fysieke, doelgerichte en veelzijdige) benadering van cyberbeveiliging en cyberveerkracht. Geïntegreerde back-up- en beveiligingsoplossingen vormen bijvoorbeeld een belangrijk onderdeel van de 3-2-1-regel die wordt gehanteerd voor het opslaan van gegevens op een externe locatie.

Acronis Cyber Protect biedt een praktische, proactieve benadering in de strijd tegen ransomware om bedrijven te helpen de benodigde cyberveerkracht te realiseren. Het is de enige oplossing met ingebouwde integratie van cyberbeveiliging, gegevensbescherming en beheer voor het beveiligen van eindpunten, systemen en gegevens. Dankzij deze veelzijdige en holistische benadering van cyberbeveiliging kunnen zowel mkb-ondernemers als grote ondernemingen zich met Acronis Cyber Protect proactief voorbereiden op het tegenhouden van aanvallen, zowel nu als in de toekomst. Probeer het 30 dagen kosteloos!

Het doel is om bedrijfsspecifieke inzichten te verzamelen over de juridische consequenties van het wel of niet betalen van losgeld aan ransomware-aanvallers. Een bedrijf kan vervolgens de juiste technische en sociale 'cyberveerkrachtige' vaardigheden ontwikkelen die een cruciale rol spelen bij het beschermen van bedrijfsgegevens.

Acronis biedt in dit artikel geen juridisch advies over ransomware en raadt elk bedrijf aan om een juridisch adviseur te raadplegen die zich op dit gebied heeft gespecialiseerd. U weet dan zeker dat u de beste opties in kaart heeft gebracht voordat u daadwerkelijk moet beslissen of u wel of niet losgeld aan ransomware-aanvallers wilt betalen.