Cyberdreiging

De VS waarschuwen: banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

Beeld ANP

Criminelen betalen is een lastig verhaal. De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden.

De paniek is groot als een bedrijf, universiteit of ziekenhuis wordt getroffen door een ransomware-aanval, waarbij criminelen computersystemen of gegevens versleutelen en losgeld eisen. Betalen of niet? Bedrijven die stilvallen of geen backups hebben, zeggen niet anders te kunnen dan de instructies van de hackers te volgen. Ze maken bitcoins over, hopende dat de criminelen woord houden en de ICT vrijgeven. Er kan nog een andere vraag opkomen: zijn we hiervoor verzekerd?

Criminelen betalen is een ingewikkeld verhaal. Het Amerikaanse ministerie van financiën waarschuwt banken voor hun betrokkenheid bij ransomware-criminaliteit. “Ransomware-aanvallen zijn een groeiende zorg voor de financiële sector vanwege de cruciale rol die financiële instellingen spelen bij het incasseren van losgeld”, schrijft het Financial Crimes Enforcement Netwerk (FinCen) in een instructie aan de financiële sector.

Beeld Thijs van Dalen

Daarom moeten ze transacties melden die verband houden met ransomware-betalingen. Zo is het is verdacht als een bedrijf nooit virtuele valuta gebruikt en opeens geld vrijmaakt om bitcoins te kopen. Helemaal als die betaling losstaat van de bedrijfsvoering. Dat zijn alarmbellen waarop een financiële instelling moet reageren.

Betalingen faciliteren aan criminelen op de sanctielijst mag niet

Verder bestaat het risico dat het losgeld wordt overgemaakt aan criminelen die op de sanctielijst staan in de VS, zoals hackers in Noord-Korea, Iran of Rusland. Instellingen die ransomware-betalingen faciliteren namens de slachtoffers, overtreden mogelijk de Amerikaanse sanctiewetgeving, schrijft het ministerie. De waarschuwing geldt ook voor cyber-verzekeringsbedrijven.

Uit Noord-Korea stamt de ransomware-aanval Wannacry 2.0, die in 2017 zo’n 300.000 computers in 150 landen infecteerde. De aanval is gelinkt aan de Lazarus Groep, een cybercriminele organisatie die vorig jaar in de VS op de sanctielijst is geplaatst. Tijdens de coronacrisis zijn de cyberdreigingen toegenomen, zegt FinCen.

Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben, laat de Financial Intelligence Unit weten. Bij deze overheidsinstantie moeten banken ongebruikelijke transacties rapporteren om criminaliteit, witwassen of financiering van terrorisme tegen te gaan. “Of deze betaling nu rechtstreeks van een slachtoffer afkomstig is, of via een andere route verloopt”, zegt de woordvoerder.

Niet betalen dus, vindt het Nationaal Cyber Security Centrum

Bij een gerichte ransomware-aanval kan het losgeld oplopen tot miljoenen euro’s, schrijft het Nationaal Cyber Security Centrum, dat onder het ministerie van justitie en veiligheid valt. Het centrum raadt betalingen af, omdat dit cybercriminelen juist aanmoedigt om ransomware te gebruiken. Ook ben je niet zomaar van criminelen af: soms eisen de daders na de eerste betaling een hoger bedrag, of dreigen ze buitgemaakte informatie te publiceren. Niet betalen dus.

Toch bieden veel Nederlandse verzekeraars een cyberverzekering aan die ook de betaling van losgeld vergoedt, zoals Interpolis, Centraal Beheer en NN. Volgens het Verbond van Verzekeraars is ransomware een maatschappelijk probleem en krijgt preventie veel aandacht in deze cyberverzekeringen. Het betalen en vergoeden van losgeld is het laatste redmiddel als het voortbestaan van een bedrijf op het spel staat.

Net als banken dienen verzekeraars zich aan de Nederlandse sanctiewet te houden. Ze mogen geen zakendoen met mensen of organisaties op de sanctielijst en moeten daarom de uiteindelijke ontvanger van het geld identificeren. Interpolis verwijst in zijn cyberpolis naar die sanctiewet. Als de verzekeraar niet kan achterhalen wie de ontvanger is, keert die niet uit, zegt een woordvoerder.

‘Het geld gaat naar degene die schade lijdt, niet naar de crimineel’

Is het wel mogelijk om te controleren wie de uiteindelijke ontvanger van het losgeld is? “In de praktijk wordt dat zelden duidelijk”, zegt Michiel van der Kraats, die als expert digitale veiligheid bij Tourtan bedrijven helpt om ransomware-aanvallen te voorkomen. “Het losgeld moet worden betaald aan een bitcoinadres en wie daarachter zit, is onbekend. Tenzij de dader slordig is. En heel soms lukt het om grote malware-aanvallen te herleiden naar een land van herkomst.”

Als de uiteindelijke ontvanger niet bekend is, hoe is het dan mogelijk voor een verzekeraar om het losgeld uit te keren? Volgens het Verbond keert de verzekeraar niet uit aan de afperser, maar aan de verzekerde die schade heeft geleden, en is dat een belangrijk verschil.  “De verzekeraars moeten ervoor zorgen dat het geld niet direct of indirect ten goede komt aan de crimineel, in die zin dat het uiteindelijk bij hem terechtkomt. Wanneer een verzekerde losgeld betaalt, dan wordt die in sommige gevallen schadeloos gesteld. Door de uitkering aan de verzekerde verandert niks aan de toestand van de crimineel, maar wel aan die van de verzekerde”, zegt een woordvoerder van het Verbond.

Een verzekeraar kan volgens deze redenering het geld niet voorschieten, of het losgeld direct overboeken naar de dader. Omdat ransomware een relatief nieuw verschijnsel is, zijn de regels nog niet uitgekristalliseerd. Nederlandse organisaties hebben in de praktijk rekening te houden met Amerikaanse sanctieregels. Wat de Amerikaanse waarschuwing voor cyberverzekeraars betekent voor Nederlandse verzekeraars, kan het Verbond nog niet zeggen.

Nood breekt wet

Mag het slachtoffer losgeld overmaken naar criminelen? “Er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden”, zegt ICT-jurist Arnoud Engelfriet. “Ik zou zeggen dat een slachtoffer in zodanige geestelijke nood zit, dat het moet kunnen. Nood breekt wet, een beroep op noodweer zou ik wel logisch vinden. Welke officier van justitie gaat een vader vervolgen die losgeld betaalde om zijn kind terug te krijgen? Dat is toch ondenkbaar?”

“Maar als een professionele tussenpersoon zoals een verzekeraar dat doet, dan wordt het anders”, zegt Engelfriet. “Die maakt een zakelijke afweging en is niet gedwongen door emotionele nood. Ik zou daar de gewone regels voor zakelijk betalingsverkeer op los laten. En ja, als dan blijkt dat je aan een sanctieland zoals Noord-Korea betaalt, dan overtreed je internationale wetgeving.”

Lees ook:

Universiteit Maastricht over de hack: we konden niet anders dan betalen

De cybercriminelen die de systemen van de onderwijsinstelling net voor Kerst wisten te versleutelen, kregen bijna twee ton van de universiteit.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden