Het betalen van ransomware-boeven zal uw juridische risico niet verminderen, waarschuwt toezichthouder

Het betalen van geld aan ransomware-criminelen is een controversiële kwestie.

De eisen van ransomware komen immers op één ding neer, of je het nu in de gewone taal kent als afpersing, chantage of standover, namelijk: geld eisen met bedreigingen.

Gewoonlijk laten de aanvallers al uw kostbare bestanden waar ze zijn, zodat u ze daar kunt zien zitten, waardoor de verleidelijke indruk ontstaat dat u ze kunt bereiken en openen wanneer u maar wilt...

...maar als je er een probeert te openen, zul je merken dat ze nutteloos zijn, veranderd in het kleurloze digitale equivalent van geraspte kool.

Dat is wanneer je wordt geconfronteerd met afpersing, chantage, standover, noem het wat je wilt: “We hebben een programma dat je bestanden ontcijfert, en we hebben de decoderingssleutel die uniek is voor je netwerk. We verkopen u deze reddingstoolkit voor wat wij als een redelijke vergoeding beschouwen. Neem contact met ons op om te weten hoeveel u moet betalen.”

Soms stelen de aanvallers ook eerst een smakelijke selectie van uw bestanden, meestal uploaden ze uw trofeegegevens naar een gecodeerde cloudback-up waarvan zij alleen de toegangscodes hebben.

Ze voegen dit vervolgens toe aan hun afpersingseisen en waarschuwen je dat als je de versleutelde bestanden zelf probeert te herstellen, bijvoorbeeld door je back-ups te gebruiken, ze de gestolen gegevens kwaadaardig zullen gebruiken.

Ze kunnen dreigen informatie te lekken naar de toezichthouder voor gegevensbescherming in uw land, of de gegevens door te verkopen aan andere boeven, of gewoon de sappigste stukjes dumpen waar iedereen ter wereld ze naar believen kan overnemen.

Het lijdt geen twijfel dat deze misdaad zowel eisen als dreiging met zich meebrengt, zoals je kunt horen in dit losgeldbericht, waar de boeven niet de moeite namen om hun toon of onderliggende bedreigingen:

[Ingesloten inhoud]

Veel ransomware-bendes hebben hun eigen "nieuwswebsites" waar ze beweren "statusupdates" te publiceren over bedrijven die weigerden te betalen, met als doel ze te zien kronkelen op een manier waarvan de criminelen hopen dat ze toekomstige slachtoffers kunnen "aanmoedigen" om een deal te sluiten, en betaal het chantagegeld in plaats van blootstelling te riskeren.

Bovendien breken ransomware-criminelen doorgaans niet in op uw netwerk en ontketenen ze het bestandsversleutelende deel van hun aanval meteen.

Ze kunnen dagen of zelfs weken rondsnuffelen, en een van de dingen die ze graag willen weten, is hoe je je back-ups maakt, zodat ze er van tevoren mee kunnen rommelen.

De aanvallers willen je vermogen om zelf te herstellen verpesten en daarmee de kans vergroten dat je vast komt te zitten met het sluiten van een "deal" met hen om je bedrijf weer op de rails te krijgen.

Het gaat niet alleen om de gegevens

Maar het gaat niet alleen om het terugkrijgen van de gegevens en het opnieuw opstarten van de bedrijfsvoering.

Het gaat ook over mogelijke aansprakelijkheid, althans dat denkt de Britse toezichthouder voor gegevensbescherming.

In een open brief aan de juridische gemeenschap eind vorige week gepubliceerd, schreef het Information Commissioner's Office (ICO), samen met het National Cyber Security Center (NCSC, een overheidsadviesorgaan dat deel uitmaakt van de geheime inlichtingengemeenschap), het volgende:

RE: De advocatuur en haar rol bij het ondersteunen van een veiliger VK online.

[…] In de afgelopen maanden hebben we een toename gezien van het aantal ransomware-aanvallen en losgeldbedragen die worden betaald en we zijn ons ervan bewust dat er vaak juridische adviseurs worden ingehuurd om klanten die slachtoffer zijn van ransomware te adviseren over hoe te reageren en of ze moeten betalen .

Er is ons gesuggereerd dat de overtuiging blijft bestaan dat het betalen van losgeld de gestolen gegevens kan beschermen en/of kan resulteren in een lagere boete door de ICO als deze een onderzoek zou starten. We willen duidelijk maken dat dit niet het geval is.

Zoals de ICO heel kaal aangeeft, in navolging van wat we hebben gevonden in onze recente ransomware-enquêtes (onze nadruk hieronder):

[Betaling] stimuleert verder schadelijk gedrag van kwaadwillende actoren en garandeert geen decodering van netwerken of teruggave van gestolen gegevens.

[…] Voor alle duidelijkheid: de ICO beschouwt de betaling van geld aan criminelen die een systeem hebben aangevallen niet als een beperking van het risico voor individuen en dit zal de boetes die worden opgelegd door ICO-handhavingsacties niet verminderen.

Trouwens, als je je ooit hebt afgevraagd hoe gemakkelijk de ransomware-betalingen van vandaag helpen om de aanvallen van morgen te financieren, onthoud dan hoe de beruchte REvil ransomware-bende ooit terloops gedumpt $ 1,000,000 in Bitcoin in een online misdaadforum.

Deze uitbetaling was bedoeld als "lokmiddel" om criminele partners met de gewenste vaardigheden aan te trekken, met name met inbegrip van praktijkervaring met het gebruik en misbruik van reguliere back-upsoftwaretools:

Onze ransomware-enquêtes laten al zien dat het afbetalen van de boeven u vrijwel zeker geen geld zal besparen, niet in het minst omdat u nog steeds een hersteloefening moet doorlopen die net zoveel tijd zal vergen als herstellen op conventionele manieren, evenals het betalen van de chantage.

We hebben ook geconstateerd dat de decoderingstools die worden geleverd door de criminelen die u in de eerste plaats hebben aangevallen, vaak ongeschikt zijn voor het beoogde doel.

Sommige slachtoffers betaalden en kregen helemaal niets terug, en heel weinig slachtoffers slaagden er echt in om alles terug te krijgen. (Kolonial Pipeline naar verluidt en berucht) betaalde $ 4,400,000 voor een decryptor die eigenlijk nutteloos was.)

Nu moet u ook weten dat de regelgevende instanties van de overheid betalen niet zullen accepteren als een rechtsgeldig soort "we hebben ons best gedaan en probeerden het goed te maken" excuus.

Risicobeperking, zoals de ICO het noemt, kan niet worden bereikt door afpersingseisen te betalen, omdat het proces van risicobeperking als volgt zou moeten verlopen:

Waar de ICO risicobeperking zal erkennen, is waar organisaties stappen hebben ondernomen om volledig te begrijpen wat er is gebeurd en ervan te leren, en, waar nodig, hun incident hebben gemeld bij het NCSC, via Action Fraud aan de wetshandhaving hebben gemeld en kunnen bewijzen dat zij advies hebben ingewonnen bij of kunnen aantonen dat zij voldoen aan passende begeleiding en ondersteuning van het NCSC.

Wat te doen?

Door onze eigen onderzoeksresultaten te combineren met het juridische advies van de ICO, ontstaan deze vier eenvoudige dingen om te onthouden:

Betalen kan u in juridische problemen brengen. De ICO merkt op dat het betalen van ransomware-eisen niet automatisch onwettig is in het VK. Als het waarschijnlijk de enige hoop is om uw bedrijf te redden en uw personeel aan het werk te houden, lijkt het redelijk om betalen te beschouwen als een soort "noodzakelijk kwaad". Maar, zoals de ICO ons eraan herinnert, kan betalen u nog steeds in de problemen brengen vanwege: “relevante sanctieregimes (vooral die met betrekking tot Rusland).”
Betalen kan een totale mislukking zijn. Er zijn geen garanties dat de criminelen u kunnen helpen uw gegevens te herstellen, zelfs als ze echt willen dat het proces werkt om te fungeren als een "advertentie" voor toekomstige slachtoffers. Zoals we hierboven opmerkten, betalen sommige slachtoffers en recupereren ze helemaal niets, en heel weinig slachtoffers die wel betalen, krijgen uiteindelijk alles terug. De helft van degenen die betalen, verliest sowieso minstens een derde van hun gegevens, en een derde van hen verliest minstens de helft. (En je kunt niet kiezen welke helft dat is.)
Betalen verhoogt over het algemeen uw totale herstelkosten. De "hersteltools" zijn niet onmiddellijk en automatisch, dus u moet de operationele kosten van de daadwerkelijke implementatie en het gebruik van de tools bij de chantagekosten optellen, ervan uitgaande dat ze in de eerste plaats betrouwbaar werken. Die operationele kosten zijn waarschijnlijk minstens zo hoog als het zou kosten om van uw eigen back-ups te herstellen, aangezien het algehele proces niet anders is.
Betalen zal de boetes voor datalekken niet verminderen. Het geven van geld aan de criminelen die u in de eerste plaats hebben aangevallen, telt niet als "risicobeperking", of als een redelijke voorzorgsmaatregel, dus het kan niet worden gebruikt om te argumenteren dat uw straf moet worden verlaagd, ongeacht uw juridische adviseurs zou kunnen denken.

Simpel gezegd: betalen is geen goed idee, zou alleen een laatste redmiddel moeten zijn en dient soms alleen om een slechte zaak erger te maken.

Generatieve data-intelligentie

Het betalen van ransomware-boeven zal uw juridische risico niet verminderen, waarschuwt de toezichthouder

Het gaat niet alleen om de gegevens

Wat te doen?

Winstmaximalisatie in 2024: een alomvattende blik op ValueZone.AI

Britse minister van Defensie maakt Italiaanse levering van stormschaduwraketten aan Oekraïne bekend

Laatste intelligentie

Live verslaggeving: SpaceX lanceert 23 Starlink-satellieten op Falcon 9-vlucht vanaf Cape Canaveral

Drie sleutels voor de eilandbewoners om Game Five te winnen

Lakers behalen felbegeerde overwinning tegen Denver, nu met 3-1 achter in de reeks

Falcon 9 lanceert Galileo-navigatiesatellieten

NEVS Emily GT, ontworpen door ex-Saab-ingenieurs, wordt mogelijk in Italië gebouwd – Autoblog

Dogecoin- en Pepecoin-enthousiastelingen scharen zich achter nieuw AI-token gelanceerd door Wahoo Exchange Platform – CryptoInfoNet