Antwoord schriftelijke vragen : Antwoord op vragen van het lid Verhoeven over de berichten ‘Universiteit Maastricht betaalde hackers losgeld’ en ‘Verzekeraars zorgen voor toename van ransomware-aanvallen’

Antwoord van Minister Grapperhaus (Justitie en Veiligheid) (ontvangen 23 maart 2020).
Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 1721.

Vraag 1

Bent u bekend met de berichten ««Universiteit Maastricht betaalde hackers losgeld»
en «Verzekeraars zorgen voor toename van ransomware-aanvallen»?1 2

Antwoord 1

Ja.

Vraag 2

Hoeveel gevallen van (semi-)publieke instellingen, waaronder universiteiten en ziekenhuizen,
die zijn getroffen door ransomware zijn er bij u bekend?

Antwoord 2

In 2019 zijn 188 meldingen en aangiftes gedaan van ransomware bij de politie. Het
is niet mogelijk op korte termijn na te gaan hoeveel van deze meldingen/aangiftes
afkomstig zijn van (semi-)publieke instellingen.

Vraag 3 en 4

In hoeveel gevallen is er gekozen voor de oplossing om ransomware te betalen in plaats
van het terugzetten van back-ups? Kunt u de complexiteit van de afwegingen daarbij
schetsen?

In hoeverre is het mogelijk om voor dergelijke beslissingen over het al dan niet betalen
van losgeld eenduidig beleid te ontwikkelen? Ziet u additionele mogelijkheden voor
beleid op het gebied van back-upbeleid?

Antwoord 3 en 4

Ik heb geen informatie over het aantal gevallen waarin is gekozen ransomeware te betalen,
danwel over de verschillende afwegingen die een rol spelen bij het overgaan tot betaling.
Ik hecht eraan te benadrukken dat toegeven aan ransomware altijd onwenselijk is en
dat het van belang is om altijd aangifte te doen. Door te betalen worden criminele
activiteiten beloond en gestimuleerd. Daarnaast is de verwachting dat het betalen
van losgeld leidt tot meer aanvallen van ransomware. Er wordt dan ook geen aanvullend
beleid ontwikkeld met betrekking tot besluitvorming over het al dan niet betalen van
losgeld.

Er bestaan geen algemene verplichtingen rond het maken van back-ups. Organisaties
zijn zelf verantwoordelijk voor de cybersecurity binnen hun organisatie. Het is voor
publieke en private organisaties van belang dat cybersecurity voldoende aandacht krijgt
in de bedrijfsvoering. Via preventiecampagnes, advies en handelingsperspectieven wordt
geprobeerd om burgers en bedrijven te informeren over veiligheid en internet, bijvoorbeeld
via veiliginternetten.nl en het Digital Trust Center.3 Het maken van back-ups wordt daarentegen wel actief onder de aandacht gebracht tijdens
preventiecampagnes. Dit is een van de basisbeginselen om de schade van cybercrime
te beperken.

Daarnaast adviseert het Nationaal Cyber Security Centrum (NCSC), de rijksoverheid
en vitale aanbieders over cyberdreigingen en -incidenten. Het NCSC geeft ook voor
het brede publiek toegankelijke adviezen op de website, waaronder ransomware. Onderdeel
daarvan is het advies om regelmatig back-ups te maken.4

Vraag 5 en 6

Bent u het eens met de stelling dat het feit dat verzekeraars losgeld dat betaald
wordt voor ransomware in sommige gevallen vergoeden, zorgt voor een toename in ransomware-aanvallen?

Zo ja, bent u van plan om stappen te nemen tegen, of eisen te stellen aan, het verzekeren
van losgeld voor ransomware?

Antwoord 5 en 6

In beginsel is te verwachten dat het betalen van losgeld leidt tot meer aanvallen
van ransomware. De politie verwacht dat losgeld dat betaald wordt door slachtoffers
deels direct wordt ingezet om nieuwe aanvallen te bekostigen. Het vergoeden van losgeld
door verzekeraars kan dit effect verder faciliteren.

Inzake het effect van de rol van verzekeraars op ransomware moet ook in acht worden
genomen dat door middel van het stellen van cybersecurity eisen door verzekeraars
het risico op ransomware kan afnemen. Bijvoorbeeld doordat verzekeraars eisen dat
afnemers van een verzekering hun software up to date houden en dat back-ups worden
gemaakt. Uiteraard heeft het daarbij de voorkeur dat de verzekeraar de geleden schade
door het niet betalen van losgeld vergoedt, en niet het losgeld dat in handen van
criminelen terecht komt.

Ik zal de onwenselijkheid om te betalen bij ransomware en de consequenties van betaling
bij het Verbond van Verzekeraars onder de aandacht brengen.

Vraag 7

Welke andere stappen bent u van plan te nemen tegen ransomware-aanvallen?

Antwoord 7

De integrale aanpak cybercrime5 benoemt maatregelen die tegen diverse vormen van cybercrime, waaronder ransomware,
worden genomen. Zo wordt er onder andere ingezet op preventie, bijvoorbeeld via publiekscampagnes
(zie antwoord vraag6. Daarnaast doen de politie en het Openbaar Ministerie onderzoek om daders aan te
pakken en criminele werkwijzen tegen te gaan. Het Regeerakkoord heeft een forse investering
in de politie mogelijk gemaakt. Deze komt deels ten goede aan de opsporing van cybercrime
en gedigitaliseerde criminaliteit.

Voor slachtoffers van ransomware heeft de politie samen met partners de site nomoreransom.org
ontwikkeld. Deze site is een internationaal samenwerkingsverband tussen opsporingsdiensten
en private partners. Hier worden, indien beschikbaar, ontsleutelcodes gratis ter beschikking
gesteld. Ook wordt op de genoemde website voorlichting gegeven over het voorkomen
van ransomware.

Tot slot kunnen burgers en organisaties zelf diverse maatregelen nemen om slachtofferschap
van cybercrime te voorkómen of de schade te beperken. Via veilige hard- en software
kan het risico worden beperkt dat ransomware zich verspreidt via kwetsbaarheden in
software.7 Daarnaast kan door het regelmatig maken van back-ups, het updaten van software en
oplettendheid bij het ontvangen van berichten met hyperlinks van onbekende afzenders
het risico om te maken te krijgen met ransomware beperkt worden. De regering ondersteunt
activiteiten voor bewustwording over dergelijke mogelijkheden via bijvoorbeeld de
campagnes «eerst checken, dan klikken» en «doe je updates».