Nieuws

Losgeld betalen bij ransomware: waarom er geen goed antwoord is?

Dat is nogal een vraag, zeker als jij als bestuurder deze vraag moet beantwoorden. Immers, het gaat om jouw organisatie, jouw reputatie en jouw geloofwaardigheid. Kortom, daar hangt veel vanaf en het is geen eenvoudige beslissing.

In het recente verleden hebben talloze organisaties, voor zover bekend, wel losgeld betaald om daardoor weer toegang te krijgen tot hun systemen en gegevens (o.a. Colonial Pipeline, Universiteit van Maastricht, Garmin, Travelex). Er zijn ook talloze organisaties die dat niet hebben gedaan (o.a. Hof van Twente, ROC Mondriaan en Royal Mail VK). Maar de belangrijkste vraag is, waar doe je nu goed aan als organisatie, ook in breed maatschappelijke zin?

Grofweg kan wel of niet losgeld betalen vanuit twee invalshoeken worden bekeken:

Op de eerste plaats zal een organisatie zo snel als mogelijk weer de beschikking willen hebben over haar systemen en gegevens. Dus betalen ligt voor de hand, al is dat geen garantie dat haar gegevens niet alsnog op straat komen te liggen of in dit geval te koop worden aangeboden op het darkweb. In het verlengde daarvan is de bereidheid om te betalen ook een bedrijfseconomische afweging. Als de schade door de discontinuïteit van de bedrijfsvoering het losgeldbedrag overtreft, dan zal een organisatie eerder geneigd zijn om te betalen. Een andere belangrijke factor voor het wel of niet betalen is de reputatie van de betreffende cybercrimineel. Heeft deze een goede reputatie op het gebied van het vrijgeven van gegevens en het weer beschikbaar stellen van de systemen, dan zullen organisaties ook eerder geneigd zijn om te betalen (Cartwright et al., 2019).

Op de tweede plaats kan het betalen van losgeld de ‘ransomware’-industrie in stand houden. Voor cybercriminelen blijft het tenslotte ook een vorm van kansberekening en als de kans op betalen van ransomware groot blijft dan zullen cybercriminelen geneigd zijn hun businessmodel eerder te handhaven.

Ondanks dat er Nederland geen officieel verbod is voor het betalen van losgeld door overheidsinstanties, is in de praktijk wel de beleidslijn om dat nadrukkelijk niet te doen. Immers, betalingen door een overheidsinstantie vinden dan feitelijk plaats met publiekelijk geld en dat ligt nu eenmaal gevoelig.

Zoals hierboven naar voren komt is wel of niet betalen een enorm dilemma. In het Verenigd Koninkrijk heeft de regering wel voorstellen gedaan die organisaties in de publieke sector en vitale infrastructuur verbieden om nog losgeld te betalen bij een ransomware-aanval. Deze voorstellen zouden een afschrikkend effect moeten hebben op cybercriminelen. De vraag is of dat zo is. Immers, uit onderzoek blijkt dat het volledig verbieden van losgeldbetalingen ook nadelige effecten kan hebben. Zo kunnen organisaties die slachtoffer zijn van een ransomware aanval geneigd zijn om een dergelijke aanval te verhullen of op heimelijke wijze toch het losgeld te betalen. Bovendien kan het verbieden van betalingen ook grote impact hebben op maatschappelijke incidenten. Hoe langer het duurt voordat bijvoorbeeld een ziekenhuis weer operationeel is, hoe groter de maatschappelijke gevolgen zijn. (Iwasaki, 2025).

Ondanks dat volgens de Autoriteit Persoonsgegevens (AP) het niet betalen van losgeld nog steeds de norm is in Nederland (Autoriteit Persoonsgegevens, 2024), blijkt uit een recent rapport van de AP dat ongeveer een kwart en misschien zelf een derde van de organisaties wel losgeld betaald (Autoriteit Persoonsgegevens, 2025).

Zoals al vermeld, wel of niet betalen van losgeld is een complexe afweging voor organisaties. En een dilemma waar organisaties beter over kunnen nadenken en een standpunt over kan innemen, voordat een eventuele ransomware aanval zich voordoet. Echter, het daadwerkelijk verbieden van losgeldbetalingen heeft eerder meer nadelige gevolgen dan dat het organisaties en de maatschappij uiteindelijk dient. Het is daarom beter meer te investeren in state-of-the-art maatregelen die organisaties helpen bij het weerstand bieden tegen ransomware-aanvallen en het veerkrachtiger maken op het moment dat zij slachtoffer zijn van een dergelijke aanval. Bijvoorbeeld door (uitgebreide) netwerksegmentatie toe te passen, door multifactor authenticatie te hanteren, door back-ups te maken en deze gescheiden te bewaren van het netwerk, door het opstellen van een incident- en responseplan en deze periodiek te oefenen en te trainen, enzovoort.