Le gouvernement néerlandais a déclaré qu’il ne soutient pas l’introduction d’une interdiction légale de payer des rançons aux cybercriminels à la suite d’attaques par ransomware, selon une lettre du ministère de la Justice et de la Sécurité.
Le ministre de la Justice et de la Sécurité, David van Weel, a déclaré que le gouvernement ne souhaite pas criminaliser les organisations victimes d’incidents de ransomware. Il a déclaré que, bien que les attaques par ransomware puissent causer des perturbations importantes et des dommages financiers, la décision de payer ou non une rançon devrait rester entre les mains de l’organisation concernée.
Le ministre a noté que le gouvernement continue de déconseiller de ne pas payer de rançons. Selon la déclaration, payer les attaquants ne garantit pas que les systèmes seront restaurés, que les données volées seront supprimées, ou qu’elles ne seront pas partagées ou vendues. Les directives précisent également que les paiements de rançons contribuent à la poursuite de l’activité cybercriminelle.
La position a été exposée en réponse à des questions parlementaires liées à une récente cyberattaque impliquant le fournisseur néerlandais de télécommunications Odido. Lors de cet incident, des agresseurs associés au groupe ShinyHunters ont affirmé avoir volé des données personnelles à plus de six millions de personnes et menacé de diffuser ces informations en ligne.
Malgré les inquiétudes concernant l’impact plus large du ransomware, le gouvernement a indiqué qu’une tension persistait entre les intérêts des victimes individuelles et les efforts plus larges pour réduire la cybercriminalité. Les responsables ont indiqué que les organisations pourraient faire face à des pressions opérationnelles et financières immédiates qui influencent leur prise de décision lors d’une attaque.
Le ministre a déclaré que, tant que ces considérations concurrentes ne pourront pas être résolues clairement, le gouvernement maintiendra son approche actuelle. Cette approche s’inscrit dans les politiques de plusieurs autres pays de l’Union européenne, où le paiement d’une rançon est découragé mais non interdit par la loi.
La déclaration reflète un débat politique en cours sur la manière dont les gouvernements devraient réagir aux incidents de ransomware et sur la question de savoir si les restrictions légales sur les paiements réduiraient ou modifieraient l’activité cybercriminelle. Aucun calendrier n’a été fourni pour les modifications du cadre actuel, et les directives actuelles restent en vigueur.