VNG over ransomware: betalen is soms onvermijdelijk

De Universiteit Maastricht werd onlangs getroffen door een ransomware-aanval en betaalde de hackers losgeld om te worden ‘bevrijd’ volgens het onafhankelijke universiteitsblad Observant. Er zouden enkele tonnen zijn betaald. Annemieke Vermeulen, burgemeester van gemeente Zutphen, stelde tegenover Radio 1 dat haar gemeente in geen enkel geval losgeld betaalt.” Daar kan ik heel duidelijk over zijn. Dan moeten ze echt ergens anders zijn.”

De Informatiebeveiligingsdienst voor gemeenten (IBD) stelt in een reactie dat binnen de hele overheid het advies geldt dat er niet betaald moet worden voor ransomware. “Het Nationaal Cyber Security Centrum zal dat ook altijd adviseren”, aldus een woordvoerder. Toch is het voor gemeenten betalen soms onvermijdelijk, legt hij uit. “Er komt een punt dat je niet meer anders kan dan betalen, bijvoorbeeld wanneer alle backups ook zijn vernietigd.”

Gegevens opnieuw opbouwen

Voor Maastricht University gold zo'n scenario afgelopen week. Bij andere organisaties waaronder gemeenten kan dat in de toekomst ook niet worden uitgesloten. “Betalen kan een optie zijn wanneer een aanvaller al heel lang in het netwerk zit en beheerdersrechten heeft verworden. En wanneer er geen goede back-ups meer beschikbaar zijn”, legt de woordvoerder uit. “Wanneer een gemeente niet betaalt, moeten dan alle gegevens opnieuw worden opgebouwd. Dat kan soms wel een jaar kosten. Betalen is dan een stuk minder duur. Het wordt een afweging. Wereldwijd zie je dat er in veel gevallen dan wel betaald wordt.”

Bij de IBD zijn er tot nu toe geen gevallen bekend waarbij hackers beheerdersrechten hebben verworven. “Het standaardadvies aan gemeenten luidt nu: betaal niet, want anders houdt je het verdienmodel van de hackers in stand.” Of er discussie over is in gemeenteland, nu Maastrict University betaald heeft? “Als de vraag zich aandient, dan moet er goed gediscussieerd worden.’’