Beheer

Security
ransomware

VNG over ransomware: betalen is soms onvermijdelijk

'Gegevens weer moeten opbouwen kan een jaar duren'

© CC0 Pixabay.com,  VISHNU_KV
16 januari 2020

'Gegevens weer moeten opbouwen kan een jaar duren'

Hackers sloegen deze week toe bij Medisch Centrum Leeuwarden en de gemeente Zutphen. Laatstgenoemde is geraakt door ransomware, maar betaalde daarbij geen losgeld, zo meldde burgemeester Annemieke Vermeulen.  De Informatiebeveiligingsdienst van de Vereniging Nederlandse Gemeenten stelt desgevraagd dat betalen in het uiterste geval onvermijdelijk kan zijn.

De Universiteit Maastricht werd onlangs getroffen door een ransomware-aanval en betaalde de hackers losgeld om te worden ‘bevrijd’ volgens het onafhankelijke universiteitsblad Observant. Er zouden enkele tonnen zijn betaald. Annemieke Vermeulen, burgemeester van gemeente Zutphen, stelde tegenover Radio 1 dat haar gemeente in geen enkel geval losgeld betaalt.” Daar kan ik heel duidelijk over zijn. Dan moeten ze echt ergens anders zijn.”

De Informatiebeveiligingsdienst voor gemeenten (IBD) stelt in een reactie dat binnen de hele overheid het advies geldt dat er niet betaald moet worden voor ransomware. “Het Nationaal Cyber Security Centrum zal dat ook altijd adviseren”, aldus een woordvoerder. Toch is het voor gemeenten betalen soms onvermijdelijk, legt hij uit. “Er komt een punt dat je niet meer anders kan dan betalen, bijvoorbeeld wanneer alle backups ook zijn vernietigd.”

Gegevens opnieuw opbouwen

Voor Maastricht University gold zo'n scenario afgelopen week. Bij andere organisaties waaronder gemeenten kan dat in de toekomst ook niet worden uitgesloten. “Betalen kan een optie zijn wanneer een aanvaller al heel lang in het netwerk zit en beheerdersrechten heeft verworden. En wanneer er geen goede back-ups meer beschikbaar zijn”, legt de woordvoerder uit. “Wanneer een gemeente niet betaalt, moeten dan alle gegevens opnieuw worden opgebouwd. Dat kan soms wel een jaar kosten. Betalen is dan een stuk minder duur. Het wordt een afweging. Wereldwijd zie je dat er in veel gevallen dan wel betaald wordt.”

Bij de IBD zijn er tot nu toe geen gevallen bekend waarbij hackers beheerdersrechten hebben verworven. “Het standaardadvies aan gemeenten luidt nu: betaal niet, want anders houdt je het verdienmodel van de hackers in stand.” Of er discussie over is in gemeenteland, nu Maastrict University betaald heeft? “Als de vraag zich aandient, dan moet er goed gediscussieerd worden.’’
 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.