Nieuw promotieonderzoek toont belang aangifte bij ransomware-aanval

De belangrijkste conclusie van het onderzoek: aangifte doen blijft belangrijk. Niet alleen omdat dit leidt tot mogelijke vervolging van de daders, maar ook omdat forensisch experts van de politie bij onderzoek vaan informatie kunnen terugvinden die gebruikt kan worden om de aangevallen systemen te ontgrendelen en zo de bedrijfsvoering te herstellen zonder dat er losgeld betaald kan worden. Ook is aangifte cruciaal omdat criminelen die ransomware gebruiken zich zelden beperken tot een doelwit. Aangiftes in Nederland hebben meerdere malen bijgedragen aan het oprollen van internationale netwerken. Ook wordt informatie uit aangiftes gebruikt om betere tools te ontwikkelen tegen bestrijding, zoals decryptors die kunnen helpen bij het ontgrendelen van gegijzelde gegevens.

Lage aangiftebereidheid draagt bij aan een vertekend risicobeeld. Uit het onderzoek blijkt dat grote bedrijven (met meer dan 250 werknemers) jaarlijks 1.3% kans hebben om getroffen te worden door dit soort aanvallen. Ze zijn ook meer aantrekkelijke doelwitten, omdat ze meer kunnen uitbetalen om hun gegevens terug te krijgen. Het vermoeden bestaat echter dat kleine bedrijven minder bereid zijn om aangifte te doen. Kleinere bedrijven lopen vaak achter op het gebied van cyberveiligheid. Daarnaast komt bij aangifte ook veel ander werk kijken. Zo moet in het geval dat er ook klantengegevens vergrendeld zijn bij een ransomware aanval altijd melding worden gedaan bij de Autoriteit Persoonsgegevens (AP) en aan alle klanten melding moeten worden gemaakt dat hun gegevens mogelijk buitgemaakt zijn.

Wondermiddel

Het promotieonderzoek van Meurs benadrukt dat er geen wondermiddel bestaat tegen ransomware. In kader van bestrijding van ransomware hebben het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse private partijen uit de cybersecuritysector in 2023 het convenant Melissa ondertekend. In dit convenant staat vastgelegd hoe publieke en private partijen zullen samenwerken in de bestrijding van deze vorm van cybercriminaliteit.

Criminelen die gebruik maken van ransomware opereren vaak in internationale netwerken. Nationale en internationale samenwerking is dus nodig om niet alleen de daders aan te pakken, maar bijvoorbeeld ook de partijen die de software die bij deze aanvallen gebruikt wordt, en de cryptobeurzen die gebruikt worden om het bij de ransomware-aanvallen betaalde losgeld weg te sluizen.

Dat belang van een brede aanpak blijkt ook uit het promotieonderzoek. Hier wordt bijvoorbeeld Operation Endgame benoemd. Deze internationale operatie leidde tot het uit de lucht halen van honderden servers en duizenden domeinen die werden gebruikt voor ransomware-aanvallen. Door de internationale samenwerking, waarbij ook informatie uit Nederlandse aangiftes gebruikt werd om het onderzoek te ondersteunen, werden bijvoorbeeld niet alleen de uitvoerders van deze aanvallen aangepakt, maar ook de kopstukken van de organisaties.

Hulpmiddelen

Niet alleen de politie werkt aan de bestrijding van ransomware. Ook de overheid ondersteunt ondernemers, voornamelijk via het Digital Trust Center (DTC). Zo heeft het DTC een eigen informatiepunt over ransomware. Hier vindt u de meest recente informatie over preventie. Ook kunt u met de Cyberoefengame ransomware op een praktische manier peilen hoe goed u bent voorbereid op een eventuele aanval, en of u weet wat u moet doen mocht een aanval toch slagen.

Ook het NCSC en de Nationale Coördinator Terrorismebestreiding en Veiligheid (NCTV) bieden informatie. Het vergroten van de digitale weerbaarheid van overheid, bedrijven en maatschappelijke organisaties en het tegengaan van digitale dreigingen van criminelen zijn twee van de vier pilaren van de Nederlandse Cybersecuritystrategie 2022-2028.