Het datalek bij Odido maakt een hoop discussie en emotie los bij mensen. Hackers hebben een grote Salesforce-database van Odido leeggeroofd en houden de data gegijzeld voor losgeld. Odido heeft besloten om de criminelen niet te betalen en de criminelen publiceren nu stukje bij beetje de gestolen data. Dat doen ze vrij slim in stukjes om de ophef in de media maximaal te benutten. De media werken daar ook vrij goed aan mee. Het is nieuws, dus terecht dat ze daar verslag van doen, maar al die aandacht helpt de criminelen ook.
Er wordt veel gediscussieerd over de keuze om wel of niet te betalen. De Politie adviseert heel concreet om niet te betalen:
Ons advies aan slachtoffers van ransomware is: niet betalen als criminelen losgeld eisen. Wanneer zij worden betaald, blijft hun verdienmodel tenslotte levend
Ook de Autoriteit Persoonsgegevens geeft vanuit AVG-perspectief advies:
Let op: De AP ziet het betalen van losgeld aan de aanvaller niet als een achteraf genomen maatregel waardoor het niet meer nodig is om de slachtoffers van een ransomware-aanval te informeren. Het betalen van losgeld aan criminelen biedt namelijk geen garantie dat zij de persoonsgegevens verwijderen. Of de gegevens niet op een later moment alsnog publiceren en/of aanbieden op internet of het darkweb.
Ik lees ook berichten van een aantal mensen die hier vrij hard tegenin gaan. Het is makkelijk om van buitenaf te zeggen dat je niet zou moeten betalen, maar betaling zou noodzakelijk en effectief zijn om het voortbestaan van je bedrijf en de veiligheid van de gegevens van de klanten te waarborgen. Hacker Sijmen Ruwhof is zelfs dusdanig ontevreden met de keus van Odido dat hij donaties vraagt om buiten Odido om alsnog losgeld te betalen aan de criminelen. BNR heeft een artikel gepubliceerd over dit initiatief.
Persoonlijk zit ik er een beetje tussenin. Ik denk dat de Politie en de AP op dit punt goed advies geven. Maar ik neem geen enkele organisatie het kwalijk als ze losgeld betalen. Het hele principe van een gijzeling is dat het slachtoffer wordt gedwongen om niet vrijwillig een keuze te maken. Odido is in dit geval een slachtoffer. Ik denk wel dat het eerlijk is om te benoemen dat het betalen van de criminelen een keus is die misschien de veiligheid van de organisatie en klanten tijdelijk vergroot, maar dat je de criminelen financiert om nog meer slachtoffers (hopelijk) ergens anders te maken. Dat bedoel ik niet als verwijt richting de slachtoffers die wel betalen. Maar het zou wel moeten meewegen in de afweging. En persoonlijk: ik ben klant van Odido, mijn persoonsgegevens liggen nu ook bij de criminelen en ik waardeer dat Odido ervoor heeft gekozen om de criminelen niet te betalen.
Kan je criminelen vertrouwen
Een onderdeel van de discussie waar ik me over kan opwinden is de discussie of criminelen eigenlijk wel te vertrouwen zijn. Grof samengevat: dit soort criminelen kunnen alleen succesvol geld verdienen als hun slachtoffers er op vertrouwen dat ze zich aan hun afspraken houden. Daarom zijn de criminelen te vertrouwen is het argument dat ik in verschillende vormen teruglees.
Ik denk dat er heel veel nuance mist in de discussies die ik teruglees. Ik denk dat dat argument uiteenvalt als je nader specificeert waarmee je de criminelen zou moeten vertrouwen en welke redenen/observaties er zijn om dat te geloven. In de kern komt het neer op het volgende: er zijn belangrijke manieren waarop criminelen het vertrouwen kunnen schenden die niet makkelijk zichtbaar zijn en dus het vertrouwen van de slachtoffers niet zouden ondermijnen.
In de tabel probeer ik de onderstaande risico’s te vergelijken met observaties/argumenten die ik publiek terug zie komen. Voor elke combinatie van observatie en claim over vertrouwen probeer ik te beoordelen of die consistent (C) zijn met met de claim dat betalingen effectief zijn, inconsistent zijn (I), of niet van toepassing zijn (NA).
- Publicatie
- De hoofdclaim die ik lees is dat criminelen te vertrouwen zijn met het niet na betaling alsnog publiceren van de gegijzelde gegevens.
- Wissen
- Slachtoffers willen dat de gestolen gegevens na betaling door criminelen ook gewist worden. Dit kan nog verder worden opgesplits in slordig omgaan met bewaartermijnen en opzettelijk bewaren voor later misbruik, maar voor nu behandel ik dit als één geheel.
- Fourth Party Collection
- Het is bekend dat ransomwaregroepen (al dan niet vrijwillig) samenwerken met inlichtingendiensten die meekijken met de criminelen omdat er soms ook interessante slachtoffers tussen zitten. Dit kan allerlei vormen aannemen die ik hier niet verder uitsplitst zoals actieve aansturing door inlichtingendiensten, gedwongen medewerking, inlichtingendiensten die de groepen hacken en stilletjes meekijken, etc.. Zie bijvoorbeeld dit artikel.
- Doorverkoop
- Criminelen kunnen naast het losgeld nog proberen gegevens stiekem door te verkopen aan andere criminelen die die gegevens bijvoorbeeld gebruiken om verder in te breken in accounts of voor phishing.
| Publicatie | Wissen | Fourth Party Collection | Doorverkoop | |
|---|---|---|---|---|
| Geen zichtbare publicatie na betalingen | CC | NA | NA | NA |
| Misdragingen schaden vertrouwen van toekomstige slachtoffers | CC | NA | NA | c |
| Publieke berichtgeving over inlichtingendiensten | NA | NA | I | NA |
Dit overzicht is absoluut niet volledig. Maar ik denk dat het belangrijk is om claims over de effectiviteit van het betalen van losgeld veel duidelijker te specificeren en te onderbouwen. De meningen die ik soms teruglees lijken soms meer op marketing voor de criminelen dan een onderbouwde inschatting van de risico’s. Dan kunnen we het daarna hebben op de kans en impact van de verschillende elementen waarop je zou kunnen vertrouwen. Maar als de volledige vertrouwensvraag wordt gereduceerd tot het wel of niet publiceren van gestolen gegevens worden er relevante risico’s over het hoofd gezien.