Oproep aan alle bedrijven om Ransomware-aanvallen te melden
Aanvallen van ransomware met grote gevolgen hebben geleid tot oproepen voor meer transparantie en rapportage door bedrijven die worden getroffen. Maar het is ingewikkeld.
Hoofdpunten
- Regerings- en industriegroepen roepen op tot verplichte melding van ransomware-aanvallen.
- Door bedrijven te verplichten aanvallen te melden, kunnen wereldwijde inspanningen om de huidige golf van cybercriminaliteit te analyseren en te bestrijden, worden ondersteund.
- Maar bedrijven zijn vaak op hun hoede dat rapportage meer problemen kan veroorzaken dan oplossen.
Overheid en bedrijfsleven bundelen hun krachten tegen ransomware te midden van een aanhoudende golf van aanvallen met nationale en internationale impact. Onder een brede waaier van anti-ransomware initiatieven, is de onmiddellijke aandacht erop gericht bedrijven zover te krijgen dat ze ransomware-aanvallen aan de autoriteiten melden in plaats van te proberen de situatie te verhelpen of zelf een uitweg te vinden door te onderhandelen.
Wereldwijd wordt van verschillende kanten opgeroepen tot meer transparantie. Het gaat onder meer om een actieplan van de Ransomware Task Force van de particuliere sector, richtlijnen van de Amerikaanse regering, voorstellen van leiders in Australië en oproepen van Europol.
Gebrek aan rapportage dwarsboomt anti-Ransomware-inspanningen
Bedrijven zijn vaak terughoudend met het melden van ransomware-aanvallen om verschillende redenen, of het nu gaat om het beschermen van de reputatie van hun merk, het beperken van aansprakelijkheid, het behouden van hun aandelenkoers, het vermijden van de aandacht van regelgevende instanties of het afwenden van verstorende wetshandhavingsonderzoeken. Sommigen zijn verplicht toezichthouders (en minder vaak rechtshandhavingsinstanties) te informeren op grond van gegevensbeschermingswetten zoals de Europese General Data Protection Regulation (GDPR), de Health Insurance Portability and Accountability Act (HIPAA) en de California Consumer Privacy Act (CCPA), die allemaal een tijdige melding vereisen van inbreuken waarbij persoonlijke informatie wordt vrijgegeven.
Deskundigen zien nog steeds grijze gebieden en hiaten in de meldingsvoorschriften - bijvoorbeeld wanneer cybercriminelen zich richten op infrastructuuroperaties of bedrijfsgeheimen in plaats van persoonlijke informatie. Een ander probleem is de huidige lappendeken van nationale, nationale en internationale beleidslijnen, regels en systemen voor het melden van cybercriminaliteit, afkomstig van talloze regelgevende en handhavende instanties. [1] Een derde probleem: bedrijven twijfelen soms aan de waarde van het melden omdat wetshandhavingsinstanties beperkte middelen hebben, aldus Europol.[2]
Uit Nederlands onderzoek bleek onlangs dat slechts één op de zeven slachtoffers (bedrijven en consumenten) cybercriminaliteit van welke aard dan ook meldde, of het nu ging om ransomware, gegevensdiefstal of een ander soort aanval.[3] Wat ransomware in het bijzonder betreft, bleek uit een ander rapport dat ongeveer de helft van de ondervraagde bedrijven in de VS en Europa wetshandhavingsinstanties van een aanval op de hoogte zou brengen, en 45% zei dat ze het zouden melden aan regelgevende instanties voor gegevensbescherming.[4] Andere deskundigen wijzen er echter op dat zelfs bedrijven met de beste bedoelingen uiteindelijk besluiten om geen melding te doen.
"Corporate ransomware victims are discreetly paying the ransomums and are (lawfully) sweeping the incidents under the rug," aldus een voormalig functionaris bij de U.S. Securities and Exchange Commission (SEC).[5]
Het gebrek aan rapportage belemmert op zijn beurt de mogelijkheid om een accuraat overzicht te creëren en effectieve tegenmaatregelen te nemen, aldus Europol, die daaraan toevoegt: "Er moet een cultuur van acceptatie en transparantie worden bevorderd wanneer organisaties of personen het slachtoffer worden van cybercriminaliteit."
Hieronder volgt een kort overzicht van de nieuwe aanbevelingen, voorschriften en inspanningen op het gebied van informatie-uitwisseling inzake de rapportage van anti-ransomware.
Federale aannemers moeten aanvallen melden
Een nieuw uitvoeringsbesluit verplicht Amerikaanse overheidsaannemers om ransomware en andere cyberincidenten te melden, zowel aan de instantie waarmee ze een contract hebben gesloten als aan andere regelgevende en handhavende instanties.[6] Doorgaans dringen dergelijke aanbestedingsmandaten van de overheid breder door in de private sector naarmate ze beste praktijken worden.
Ondertussen heeft het Department of Homeland Security ook een nieuwe eis uitgevaardigd voor pijpleidingeigenaars en -exploitanten om bevestigde en potentiële cyberbeveiligingsincidenten te melden.[7] En wetgevers bereiden wetgeving voor over rapportagevereisten.
"We hebben geen echt systeem om bedrijven te verplichten informatie in real time aan de regering te rapporteren, zodat we een volwaardige reactie zouden kunnen krijgen," zei Mark Warner, voorzitter van de Senaatscommissie voor Inlichtingen, tijdens een televisie-uitzending. Warner stelde beperkte aansprakelijkheidsbeschermingen en vertrouwelijkheid voor voor bedrijven die wel rapporten indienen.[8]
In de details zal worden nagegaan wat de gevolgen zullen zijn voor grote en kleine bedrijven. "Arguably, sharing may help to improve prevention, detection and responses to breaches, but smaller vendors with fewer resources to address compliance may feel the largest impact," The Wall Street Journal reported.[9]
En zoals een cyberbeveiligingsdeskundige opmerkte: "De komende richtlijnen in de komende paar maanden en jaren kunnen geleidelijk zijn, of ze kunnen plotselinger zijn, afhankelijk van hoe gebeurtenissen en incidenten zich ontvouwen ... dus begin er nu mee te plannen." [10]
Ransomware Task Force beveelt meldingsplicht aan
Een nieuwe Ransomware Task Force, bestaande uit 60 Amerikaanse en internationale bedrijven en belangengroepen, heeft een anti-ransomware strategie uitgebracht met 48 actiepunten die variëren van gecoördineerde internationale diplomatieke en rechtshandhavingsinspanningen tot meer regulering van cryptocurrency.[11]
De groep vindt dat losgeldbetalingen verplicht moeten worden gemeld, voordat er losgeld wordt betaald. Maar er wordt niet gepleit voor een verbod op dergelijke betalingen, zoals sommigen suggereren. Er zou een standaardformaat moeten worden ontwikkeld voor het melden van losgeld en er zou bescherming moeten worden ingebouwd in het meldingsproces tegen het onthullen van de identiteit van het slachtoffer, zoals anonieme meldingen.
Anti-Ransomware-oproepen Echo van Europa naar Azië-Pacific
Het Australische Ministerie van Defensie heeft onlangs een verklaring vrijgegeven waarin bedrijven worden aangemoedigd ransomware-aanvallen te melden.[12] Maar de Labor Party van Australië roept op tot een strengere, verplichte meldingsregeling voor ransomware als onderdeel van een nationale strategie.[13] Terwijl het land een meldingsplicht heeft voor inbreuken waarbij persoonsgegevens in gevaar worden gebracht, zeiden de leiders van de Labor Party dat een parallelle regeling nodig is voor ransomware.
Een van de initiatieven in Europa is gericht op de energiesector en andere infrastructuuraanbieders. Essentiële digitale dienstverleners en elektriciteitsbedrijven zijn bijvoorbeeld verplicht de nationale autoriteiten in kennis te stellen van ernstige incidenten.[14] Verwacht wordt dat binnenkort wetgeving van kracht wordt om deze informatie-uitwisseling in de hele Europese Unie te versterken en te stroomlijnen.[15]
In een verwante zaak in Nederland heeft het probleem van het internationaal en tussen instanties delen van rapporten over cyberbeveiligingsincidenten geleid tot oproepen om de barrières te slechten die verhinderen dat kritieke informatie de getroffen bedrijven bereikt.[16]
De kern van de zaak
Men is het er steeds meer over eens dat bedrijven transparanter moeten zijn over ransomware-aanvallen, zodat de overheid en het bedrijfsleven meer greep krijgen op deze aanhoudende misdaadgolf. Initiatieven roepen op tot verplichte rapportage en gestroomlijnde informatie-uitwisseling.
[1] "USA: Cybersecurity Wet- en Regelgeving 2021," ICLG
[2] "Internet Organized Crime Threat Assessment 2020," Europol
[3] "Slachtoffers van cybercriminaliteit in Nederland doen geen aangifte," ComputerWeekly
[4] "Global Ransomware Study 2018," SentinelOne
[5] "Ransomware's Dirty Little Secret: Most Corporate Victims Pay," Law 360
[6] "Executive Order on Improving the Nation's Cybersecurity," Witte Huis
[7] "DHS kondigt nieuwe cyberbeveiligingsvoorschriften aan voor eigenaars en exploitanten van kritieke pijpleidingen," Department of Homeland Security
[8] "Senate Intel Chairman Calls for Mandatory Reporting of Hacks After Colonial Pipeline Attack," CNBC
[9] "Na hack bij koloniale pijpleiding, VS verplichten exploitanten cyberaanvallen te melden," Wall Street Journal
[10] "Zijn de meldingsplichten van DHS voor inbreuken op de pijplijn nog maar het begin?", GovTech
[11] "Bestrijding van ransomware," Ransomware Task Force
[12] "Australië vecht terug tegen ransomware," Australisch ministerie van Defensie
[13] "Labor Calls for Ransomware Notice Scheme," InnovationAus
[14] "Cyberbeveiliging van kritieke energie-infrastructuur," Europees Parlement
[15] "Europese energiesector bereidt zich voor op nieuwe cyberbeveiligingsregels," Wall Street Journal
[16] "CSR Recommendation Letter on the Accelerated Sharing of Incident Information," Cyber Security Raad
Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze
Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox
Succesvol aanmelden
Dank u voor uw inschrijving om updates van onze blog te ontvangen
We houden contact!