Onlangs kondigde de Britse overheid een verbod aan op losgeldbetalingen door publieke instellingen bij ransomware-aanvallen. Het doel is helder: het financiële voordeel voor cybercriminelen wegnemen en zo de publieke sector en vitale infrastructuur minder aantrekkelijk maken als doelwit.
Toch roept deze maatregel belangrijke vragen op over de bredere gevolgen. De discussie draait om een fundamentele vraag: moet het betalen van losgeld verboden worden? In theorie klinkt een verbod logisch. Betalingen belonen criminelen en stimuleren verdere aanvallen.
Illegaal
Echter, de praktijk is complexer. Organisaties kunnen alternatieve routes zoeken, bijvoorbeeld via buitenlandse vestigingen of tussenpersonen. Zulke mazen in de wet ondermijnen het verbod en zorgen voor een ongelijk speelveld.
Bovendien worden Chief Information Security Officers (CISO’s) nu voor een duivels dilemma gesteld. Geen enkele organisatie wíl betalen, maar in crisissituaties – bijvoorbeeld als bedrijfskritische systemen platliggen of als gevoelige klantgegevens dreigen te lekken – kan betaling soms als enige uitweg worden gezien. De overheid biedt tot nu toe weinig concrete ondersteuning aan bedrijven die hierdoor in een overlevingsstrijd terechtkomen.
Cyberdreigingsinformatie
Een bijkomend probleem is de impact op het delen van cyberdreigingsinformatie. Wanneer bedrijven het risico lopen op sancties bij een ransomware-betaling, kan dit leiden tot onderrapportage of het verkeerd labelen van incidenten. Hierdoor verliest de overheid zicht op aanvalspatronen, wat cybercriminelen juist in de kaart speelt.
Daarnaast kan het verbod een zwarte markt creëren, waarbij criminelen slachtoffers onder druk zetten om geheime betalingen te doen – en vervolgens opnieuw chanteren met de dreiging deze bekend te maken.
Conclusie
Het volledig illegaal maken van losgeldbetalingen lijkt een aantrekkelijke, maar gevaarlijke koers. Beter is een flexibeler model waarbij betalingen alleen onder strikte voorwaarden en met overheidsgoedkeuring mogelijk zijn. Tegelijk moet het verplicht worden om álle ransomware-incidenten te melden, ongeacht de reactie. Alleen via samenwerking, transparantie en betere voorbereiding kunnen we de complexe dreiging van ransomware effectief het hoofd bieden.