Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    In afwachting van wetten over het melden en betalen van Ransomware in 2022

    De beleidsmakers in Washington zijn erop gericht bedrijven zover te krijgen dat zij aangifte doen wanneer zij door ransomware worden aangevallen, aangezien veel bedrijven tot betaling zijn gedwongen.

    by Karen Lynch
    GettyImages-1279840959-1200px.jpg

    Hoofdpunten

    • Het Amerikaanse Congres zal zich naar verwachting opnieuw inspannen om de melding van ransomware in 2022 bij wet verplicht te stellen.
    • Door een mislukking in de onderhandelingen op het laatste moment kon een tweeledige maatregel in 2021 niet worden aangenomen.
    • Uit onderzoek van Mimecast blijkt dat de meeste Amerikaanse bedrijven het losgeld betalen, maar niet altijd hun gegevens terugkrijgen.

    Amerikaanse beleidsmakers hebben zich vastgebeten in het idee van meldplichten voor ransomware als een stap die ze konden zetten temidden van wat een niet te stoppen misdaadgolf van ransomware leek in 2021. Wetgevers zien rapportage als noodzakelijk om de nationale veiligheid te beschermen en daadkrachtig op te treden tegen cybercriminelen en hun staatssponsors.[i] Maar sommige bedrijven vrezen dat overheidsinterventies eerder opdringerig dan nuttig kunnen zijn wanneer ze proberen te herstellen van ransomware-aanvallen.

    Een tweeledige maatregel werd in december bijna goedgekeurd als onderdeel van een grotere rekening voor defensie-uitgaven, maar strandde op het laatste moment. Verwacht wordt dat de inspanningen in 2022 worden hervat.

    De uitkomst van december is het topje van de ijsberg, met verschillende wetsvoorstellen die in het Congres circuleren naast verordeningen van federale agentschappen en soortgelijke maatregelen in sommige staten. Terwijl het debat in alle hevigheid woedt, blijkt uit onderzoek van Mimecast dat veel bedrijven het losgeld betalen wanneer ze worden aangevallen, maar dat ze niet melden dat ze überhaupt worden aangevallen.

    Ransomware wetsvoorstellen en richtlijnen woekeren in 2021

    Elk van de handvol federale wetsvoorstellen voor ransomwaremelding die in 2021 zijn ingediend, heeft een iets andere aanpak en biedt een glimp van wat bedrijven in 2022 te wachten kan staan, waaronder:

    • Cybersecurity Incident Notification Act (CINA): Deze eerste grote tweeledige maatregel van de leiders van de Senaatscommissie voor Inlichtingen zou bedrijven verplichten om elke inbreuk of poging tot inbreuk op de cyberbeveiliging met mogelijke gevolgen voor de nationale veiligheid, de overheid of de economie binnen 24 uur te melden. De federale instanties bepalen welke bedrijven onder de maatregel vallen, maar in het wetsvoorstel worden al federale aannemers, exploitanten van kritieke infrastructuur en aanbieders van "diensten op het gebied van cyberbeveiligingsincidentenbestrijding" genoemd. Om bedrijven aan te moedigen zich te melden, zou de openbaarmaking van informatie waar mogelijk worden beperkt. Op het niet melden zou een civielrechtelijke boete staan van maximaal 0,5% van de bruto-inkomsten van het voorgaande jaar voor elke dag dat het bedrijf niet meldt. Het wetsvoorstel bevat ook toezeggingen van de federale regering om de ontvangen informatie te analyseren en daarnaar te handelen.[ii]
    • Cyber Incident Reporting Act: Verschillen met het vorige wetsvoorstel zijn onder meer een langer venster voor het melden van incidenten (72 uur) en het vooruitzicht van strafrechtelijke sancties.[iii]
    • Andere wetsvoorstellen: Onder andere voorstellen, zou de Ransomom Disclosure Act elk bedrijf dat zich bezighoudt met interstatelijke handel verplichten om ransomware-betalingen binnen 48 uur te melden, met straffen voor het niet melden die later worden bepaald.[iv] De Ransomware and Financial Stability Act zou banken verbieden om de meeste losgeld-eisen te betalen.[v] Sommige individuele staten hebben ook wetgeving voorgesteld die staatsagentschappen, lokale overheden en sommige bedrijven verbiedt om losgeld te betalen.[vi]
    • Defense Authorization Act Amendment: Dit is de maatregel die het Congres in december niet heeft gehaald. Maar het bevat aspecten van CINA en andere hangende wetgeving die zouden kunnen wijzen op een consensus onder beleidsmakers voor 2022 wetgeving. Een belangrijk aspect is dat een incident binnen 72 uur moet worden gemeld, in plaats van binnen 24 uur, zoals in CINA. Dat gezegd hebbende, elke daadwerkelijke betaling van ransomware zou binnen 24 uur moeten worden gemeld.[vii]

     

    Regelgevers stellen nu al rapportage-eisen

    Hoewel de wetten die momenteel in het Congres worden besproken, de meldingsvoorschriften voor ransomware zouden codificeren en aanscherpen, hebben verschillende richtlijnen van de federale regering van de VS in 2021 al betrekking op Amerikaanse overheidsagentschappen en hun contractanten, pijpleidingbeheerders en transportbedrijven. Amerikaanse financiële regelgevers hebben gezamenlijk de eis van banken geactualiseerd om een cyberbeveiligingsincident binnen 36 uur te melden.[viii] Nationale en staatswetten inzake privacy en datalekken kunnen ook van toepassing zijn in de VS en andere landen.[ix]

    Sommige losgeldbetalingen kunnen verboden worden

    Hoewel er minder druk wordt uitgeoefend om de betaling van losgeld in de VS te verbieden, heeft het Amerikaanse ministerie van Financiën onlangs gewaarschuwd dat het iedereen kan straffen die losgeld betaalt aan personen of organisaties die op zijn sanctielijst staan.[x] De ambtenaren van het ministerie van Financiën vatten het heersende sentiment in Washington samen door te zeggen: "De Amerikaanse regering raadt alle particuliere bedrijven en burgers sterk af om losgeld of afpersingseisen te betalen en beveelt aan om zich te concentreren op het versterken van defensieve en veerkrachtige maatregelen om ransomware-aanvallen te voorkomen en er bescherming tegen te bieden."

    Wereldwijd voorspelde de onderzoeksgroep Gartner dat: "Het percentage natiestaten dat wetgeving aanneemt om ransomware-betalingen, boetes en onderhandelingen te reguleren, zal stijgen tot 30% tegen het einde van 2025, vergeleken met minder dan 1% in 2021." [xi]

    Bedrijven verdeeld over het melden en betalen van losgeld

    Bedrijven die het slachtoffer kunnen worden van ransomware bekijken deze ontwikkelingen met ambivalentie. Zo zweeg de Kamer van Koophandel in haar verklaring over ransomware over rapportageverplichtingen en riep in plaats daarvan op tot meer overheidsinspanningen om internationale betalingssystemen voor ransomware te verstoren en de internationale rechtshandhavingsmiddelen te versterken, naast andere stappen.[xii] Een andere groep, de publiek-private Ransomware Task Force, steunde verplichte rapportage, maar hield zich afzijdig van het aanbevelen van een verbod op het betalen van losgeld.[xiii]

    Bedrijven kunnen aan beide kanten beargumenteren waarom ze losgeld moeten betalen. Volgens binnenkort te publiceren onderzoeksgegevens van Mimecast zegt 72% van de door ransomware aangevallen Amerikaanse bedrijven de criminelen te hebben betaald (waarbij slechts 19% daadwerkelijk hun gegevens terugkrijgt). Een eerdere enquête, voor het Mimecast-rapport State of Ransomware Readiness 2021 , bevatte meer details op mondiaal niveau, waaronder:

    • Reporting: Ongeveer een derde (31%) meldde de aanval bij het lokale dataprivacybureau en 25% meldde de aanval bij de rechtshandhavingsinstanties (met mogelijke overlapping tussen deze twee reacties).
    • Waarom sommige bedrijven betaalden: Meer dan de helft (51%) zei dat ze hun gegevens snel wilden recupereren, terwijl 37% dacht dat ze hun geld geheel of gedeeltelijk konden terugkrijgen en 26% vreesde dat hun gegevens openbaar zouden worden gemaakt of verkocht.
    • Waarom anderen niet betaalden: Bijna de helft (47%) dacht dat het betalen van losgeld alleen maar een nieuwe aanval op hun bedrijf zou aanmoedigen, terwijl hetzelfde aantal zei dat ze voldoende gegevensback-up- en herstelsystemen hadden om van betaling af te zien. Slechts ongeveer één op de 10 vreesde dat zij door de overheid zouden worden bestraft voor het betalen van het losgeld.

    In de Ransomware Readiness enquête gaf 77% van de bedrijven aan zich voorbereid te voelen om ransomware aanvallen af te slaan. Uit het rapport bleek echter ook dat 80% van de bedrijven met succes was aangevallen, wat een gemengde prognose oplevert voor ransomware in het komende jaar.

    De kern van de zaak

    2022 zal waarschijnlijk leiden tot meer eisen voor bedrijven om ransomware-aanvallen en -betalingen te melden. Sommige waarnemers voorspellen zelfs een verbod op het betalen van losgeld in bepaalde situaties of landen. Ondertussen betalen veel bedrijven gewoon.


    [i] "Na de koloniale hack van SolarWinds & introduceren vooraanstaande senatoren voor nationale veiligheid een tweepartijdige wet inzake cyberrapportage," Sen. Mark R. Warner

    [ii] "Cybersecurity Incident Notification Act," U.S. Senate

    [iii] "Cybersecurity Incident Reporting Act," U.S. Senate

    [iv] "Warren and Ross Introduce Bill to Requirelose disclosures of Ransomware Payments," Sen. Elizabeth Warren

    [v] "Ransomware and Financial Stability Act," U.S. House of Representatives

    [vi] "Staatswetgevende lichamen overwegen verbod op betaling van ransomware," JD Supra

    [vii] "Amendement," Politico

    [viii] "Twee keer zo snel, twee keer zo veel: Nieuwe kennisgevingsverplichting voor cyberincidenten," JD Supra

    [ix] "Verplichting om de kwetsbaarheid voor aanvallen met ransomware proactief te verminderen en

    Voorschriften betreffende de melding van inbreuken op gezondheidsgegevens," Ministerie van Justitie van Californië

    [x] "Bijgewerkt advies over potentiële sanctierisico's voor het faciliteren van betalingen voor ransomware," U.S. Treasury Department

    [xi] "The Top 8 Cybersecurity Predictions for 2021-2022," Gartner

    [xii] "U.S. Chamber Calls on U.S. Government to Act Decisively Against Cyber Threats to Deter Further Attacks," Kamer van Koophandel

    [xiii] "Bestrijding van ransomware," Ransomware Task Force

    09BLOG_1.jpg
    Up Next
    E-mailbeveiliging |
    Veiligheidsproblemen belemmeren vooruitgang digitale transformatie in Saoedi-Arabië en de VAE

    Verwante Artikelen

    E-mailbeveiliging
    When Cyberattackers Strike Again  ̶  and Again
    E-mailbeveiliging
    The Value of an Identity Management Platform 
    E-mailbeveiliging
    Cyberattacks Close to Home Get Board’s Attention

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven