De laatste jaren is het aantal ransomware-aanvallen in Nederland explosief gestegen. Criminelen die zich toegang weten te verschaffen tot de computersystemen van grote organisaties versleutelen de computerbestanden en maken back-ups onbruikbaar. Hierdoor komen deze organisaties tot stilstand, vaak met grote schade tot gevolg. De oplossing die de criminelen aandragen is heel simpel: betaal een grote som geld – vaak in een crypto-valuta – en zij leveren een code waarmee de bestanden weer ontsleuteld kunnen worden.

Het alternatief is de dure en tijdrovende volledige vervanging of herinstallatie van alle computersystemen, áls er nog een werkende back-up beschikbaar is. Een bijkomend risico is dat de criminelen ook van deze bestanden een kopie hebben gemaakt en de inhoud openbaar maken. Het is dus aantrekkelijk voor slachtoffers om het gevraagde losgeld te betalen. Niet voor niets koos de Universiteit Maastricht er in 2019 voor om 200.000 euro aan criminelen te betalen om zo weer onderwijs te kunnen geven. Vorige week werd bekend dat tandartsketen Colosseum Dental het kolossale bedrag van twee miljoen euro heeft overgemaakt om weer gaatjes te kunnen vullen. En zo volgen er in de toekomst waarschijnlijk nog veel meer slachtoffers die voor het betalen van losgeld zullen vallen.

De losgeld betalende Nederlandse bedrijven houden deze vorm van criminaliteit in stand omdat criminelen dat geld kunnen gebruiken om nieuwe aanvallen mee te financieren. Bovendien heeft Nederland een extra groot probleem. Uit onderzoek blijkt namelijk dat Nederlandse organisaties gemiddeld grotere losgeldbedragen betalen dan organisaties in andere landen. Dit maakt van Nederlandse organisaties een extra aantrekkelijk en rendabel doelwit.

Er gaan daarom steeds meer geluiden op om het betalen van losgeld aan cybercriminelen te verbieden. Een veelgehoord argument tegen dit voorstel is dat getroffen organisaties soms geen andere keuze hebben dan het betalen van losgeld. Hoe logisch dat ook klinkt, het is wel in strijd met de waarheid. Er is altijd een keuze. Dat kan weliswaar een moeilijke keuze zijn (hoge kosten, inkomstenderving, wekenlang bezig zijn met het herstel, zelfs een mogelijk faillissement), maar de keuze is er wel degelijk en die moet eerlijk worden uitgesproken. Maatschappelijk gezien is het meestal de juiste keuze om geen losgeld te betalen en zo het algemeen belang te dienen. Daarom moet die juiste keuze aantrekkelijker worden gemaakt dan het betalen van losgeld, net zoals het vooraf investeren in het tegengaan van digitale aanvallen aantrekkelijker moet worden gemaakt dan het opruimen van puin achteraf.

Mijn voorstel is daarom de introductie van een wettelijke losgeldtoeslag van bijvoorbeeld 100 procent voor grote organisaties. Dit zijn organisaties met meer dan vijftig medewerkers of organisaties die zo groot zijn dat ze een volledige jaarrekening moeten publiceren. Deze organisaties zijn ook groot genoeg om professionele hulpverleners in dienst te nemen of in te huren die kunnen helpen een ransomware-aanval te voorkomen en goede backupfaciliteiten aan te leggen die zo’n aanval kunnen weerstaan. Deze toeslag zorgt er voor dat organisaties die honderdduizend euro betalen aan cybercriminelen, nog eens honderdduizend euro toeslag moeten betalen waardoor de totale kosten verdubbelen. Dit heeft een aantal voordelen.

Allereerst maakt deze toeslag het vooraf investeren in het voorkomen van een ransomware-aanval en goede backupfaciliteiten financieel aantrekkelijker. Het maakt ook de keuze om géén losgeld te betalen aantrekkelijker, omdat het betalen van losgeld immers duurder wordt. Als een organisatie ten slotte niet anders kan dan tóch losgeld betalen, dan kan het geld dat aan toeslagen wordt geïncasseerd worden gebruikt om particulieren en kleine ondernemers te helpen die de kennis noch de middelen hebben om professionele hulp in te schakelen zichzelf weerbaarder te maken voor dergelijke ransomware-aanvallen, zodat ook zij minder vaak slachtoffer worden. Ook kan het geld gebruikt worden voor meer opsporingscapaciteit om de pakkans te vergroten. Ten slotte ontstaat zo een beter beeld van hoe vaak Nederlandse bedrijven losgeld betalen, en hoeveel geld daarin omgaat. Nu weten we eigenlijk niet hoe groot het probleem precies is, omdat bedrijven die losgeld hebben betaald daar vaak over zwijgen.

Een losgeldtoeslag zorgt er voor dat Nederland weerbaarder wordt, bedrijven minder vaak en minder losgeld gaan betalen en dat Nederland voor cybercriminelen niet langer een bovengemiddeld aantrekkelijk land is om hun digitale pijlen op te richten.

Dit opiniestuk werd gepubliceerd in NRC Handelsblad.