Ethische afwegingen rondom het betalen van ransomware: ‘To pay or not to pay?’

Met de nieuwe NIS2 wetgeving, en de huidige DORA wetgeving, wordt de zorgplicht van bestuurders steeds meer vastgelegd. Dat betekent ook dat men aansprakelijk kan worden gesteld wanneer men niet aan de zorgplicht voldoet. In een ransomware situatie is ervoor zowel wel betalen als niet betalen iets te zeggen over de zorgplicht. Men kan beargumenteren dat voor wel betalen bestuurders goed omgaan met gegevens, er wordt tenslotte (mogelijk) voorkomen dat gegevens van de organisatie op straat komen te liggen. Voor niet betalen kan men beargumenteren dat er redelijk wordt omgegaan met financiële middelen; het criminele circuit wordt niet gesponsord. In tegenstelling tot sommige andere landen, is er in Nederland geen wetgeving die het verbiedt om een ransom te betalen. Er is in het verleden wel sprake geweest van een poging van de Nederlandse overheid om organisaties minder te laten betalen.[2] Kortom, de zorgplicht is voor zowel betalen als niet betalen een belangrijk afweging om te maken.

Het meest gehoorde argument om niet te betalen is het principe dat ‘men geen zakendoet met criminelen’. Veel ransomwaregroepen komen uit Oost-Europa en Rusland, waar de Russische overheid een oogje toeknijpt zolang de groepen westerse bedrijven aanvallen. Het betalen van ransomware draagt dan niet alleen bij aan het in standhouden van een crimineel circuit, maar ook aan een politieke situatie van Rusland als autoritair regime tegen de West-Europese democratieën. 

Het principe om wel te betalen gaat vaak over de eigen bedrijfsvoering: ‘We moeten koste wat het kost, blijven draaien.’ Betalen helpt vaak bij het heropstarten van de bedrijfsactiviteiten die eerder geblokkeerd waren. Daardoor blijft de schade voor zowel de organisatie als medewerkers beperkt. Het beperken van de schade voor de eigen organisatie draagt ook bij aan de continuïteit van het ecosysteem waarin de organisatie opereert. Immers, als de organisatie snel weer ‘up and running’ is, hebben ketenpartners minder last van de verstoring. Voor beide principes is wat te zeggen, discussie over die principes leidt dan ook tot de volgende vraag: ‘Wat kost het ons als we wel of niet betalen?’

In sommige ransomware situaties, is betalen niet nodig. Simpelweg omdat er bijvoorbeeld goede back-ups zijn gemaakt, of omdat de systemen die geraakt zijn minder belangrijk zijn dan aan de buitenkant lijkt. Als er geen noodzaak is om te betalen, is het ook niet logisch om dat dan wel te doen. Om zeker te weten dat er geen noodzaak is, moet wel zeker zijn dat de aanval geïsoleerd is en niet alsnog op andere plekken kan opduiken. Vaak is dit helaas niet met zekerheid te zeggen. Het kan daarom lonen om contact te zoeken met de aanvaller. Op die manier is vaak wel te controleren of de aanvaller over de informatie en, niet onbelangrijk, de decryptiesleutel beschikt. Een externe gespecialiseerde partij kan dit contact ondersteunen. Het kan zijn dat het herstellen van de geraakte systemen zoveel tijd en geld kost, dat het economischer kan zijn om wel te betalen. Daarnaast kunnen er grote morele of maatschappelijke redenen zijn om te betalen. Die afweging is zeer afhankelijk van de situatie en de beschikbare kennis binnen de organisatie.

De klant heeft meerdere belangen die spelen wanneer het gaat om wel of niet betalen. Onze ervaring is dat vooral communicatie een belangrijke rol speelt wanneer de klant ingelicht moet worden, onafhankelijk van de keuze om wel of niet te betalen. Geen of verkeerde communicatie leidt over het algemeen tot onbegrip, zowel intern als extern. Voor zowel de klant als medewerkers kan dat een mogelijk verlies van vertrouwen in de organisatie creëren. Wanneer er mogelijk persoonsgegevens zijn gelekt, moet er altijd melding gemaakt worden bij de Autoriteit Persoonsgegevens. Onder de aankomende NIS2 wetgeving geldt ook een meldplicht. Afhankelijk van de bedrijfsactiviteiten is de klant, naast de meldplicht, gebaat bij de continuïteit van de bedrijfsvoering, het beschermen van de bedrijfs- en klantgegevens, het beperken van de financiële schade, of een combinatie van dezen.

Een ransomware is geen ransom zonder gevraagd geldbedrag. Vaak is het gevraagde bedrag een percentage van de jaarlijkse omzet. Door te onderhandelen kan dit bedrag nog naar beneden gaan: Ransomware groepen hebben meer baat bij een kleine betaling dan geen betaling. In het verleden is het voorgekomen dat een organisatie akkoord ging met een goed te overzien bedrag. In plaats van daarna de decryptiesleutel te ontvangen, werd het bedrag verhoogd. Niets betalen, kan dan eigenlijk niet meer. Ook zijn er bedrijven die hebben betaald, maar daar hun financiële buffer voor hebben gebruikt, waardoor zij een volgende klap (zoals corona) niet meer konden opvangen. Als uitgangspunt is betalen alleen verstandig als het de bedrijfsvoering niet ondermijnt én er een mogelijkheid is om meer te betalen, indien nodig. 

Een ransomware aanval heeft ook effect op de medewerkers van een organisatie. Er zijn drie effecten te onderscheiden. Allereerst is een ransomware aanval een beangstigende ervaring voor medewerkers. Zij worden persoonlijk geconfronteerd met de versleutelde bestanden en mogelijk het dreigbericht. Als tweede kan bij een langdurige verstoring frustratie ontstaan als medewerkers hun werk niet, of niet meer goed, kunnen doen. Als laatst leven medewerkers mee met klanten en betrokkenen als mogelijk hun gegevens op straat komen te liggen. Wel betalen beperkt de schade, terwijl niet betalen bijdraagt aan de morele ‘vergelding’: ‘Ze zijn dan wel binnen, maar ze krijgen niets van ons’.

Onderliggend aan bovengenoemde vragen, zitten morele principes en afwegingen. We zijn begonnen met de bestuurlijke vragen die met de huidige en aankomende wetgeving vooral draait om de vraag: ‘Hoe voldoe ik aan mijn zorgplicht?’. De volgende vraag ging over het zakendoen met criminelen: ‘Kunnen we dat verantwoorden?’. Daarna komen de kosten en baten: ‘Hoe besteden we ons geld in deze situatie het nuttigst, door te herstellen of te betalen? Als vierde hebben we de klant meegenomen in de afweging: ‘Hoe vertellen we onze keuze aan de klant?’. Vervolgens is de financiële buffer ter sprake gekomen: ‘Wat doet betalen met onze reserves en kunnen we verantwoorden als we die gebruiken?’ Als laatst hebben we de medewerker meegenomen in de discussie: ‘Hoe kunnen we de impact op medewerkers beperken en voldoen aan hun morele afweging?’. Afhankelijk van de situatie én de waarden van de organisatie zijn bepaalde afwegingen belangrijker of minder belangrijk. Wanneer je organisatie getroffen wordt, is er vaak geen ruimte en tijd voor die afwegingen. We raden daarom vaak aan op een eerder moment de afwegingen in het bestuur of directie te bespreken. Het crisisteam kan deze dan meenemen wanneer zij voor de keuze komen te staan: Gaan we wel of niet betalen; To pay or not to pay?

[1] Digital Trust Center

[2] NOS