De Nederlandse regering heeft verklaard dat zij het invoeren van een wettelijk verbod op het betalen van losgeld aan cybercriminelen na ransomware-aanvallen niet steunt, volgens een brief van het Ministerie van Justitie en Veiligheid.
Minister van Justitie en Veiligheid David van Weel zei dat de regering organisaties die slachtoffer worden van ransomware-incidenten niet wil criminaliseren. Hij verklaarde dat hoewel ransomware-aanvallen aanzienlijke verstoring en financiële schade kunnen veroorzaken, de beslissing over het betalen van losgeld bij de getroffen organisatie moet blijven.
De minister merkte op dat de regering blijft adviseren om losgeld te betalen. Volgens de verklaring garandeert betalende aanvallers niet dat systemen worden hersteld, dat gestolen gegevens worden verwijderd, of dat deze niet gedeeld of verkocht zullen worden. De richtlijn stelt ook dat losgeldbetalingen bijdragen aan het voortbestaan van cybercriminele activiteiten.
De positie werd uiteengezet als antwoord op parlementaire vragen die verband hielden met een recente cyberaanval waarbij de Nederlandse telecommunicatieprovider Odido betrokken was. In dat incident beweerden aanvallers die verbonden zijn aan de ShinyHunters-groep persoonlijke gegevens te hebben gestolen van meer dan zes miljoen personen en dreigden ze deze online vrij te geven.
Ondanks zorgen over de bredere impact van ransomware, zei de overheid dat er een voortdurende spanning is tussen de belangen van individuele slachtoffers en bredere inspanningen om cybercriminaliteit te verminderen. Functionarissen gaven aan dat organisaties direct operationele en financiële druk kunnen ondervinden die hun besluitvorming tijdens een aanval beïnvloeden.
De minister verklaarde dat, zolang deze concurrerende overwegingen niet duidelijk kunnen worden opgelost, de regering haar huidige aanpak zal handhaven. Deze aanpak sluit aan bij het beleid in verschillende andere landen van de Europese Unie, waar het betalen van losgeld wordt ontmoedigd maar niet wettelijk verboden is.
De verklaring weerspiegelt een lopende beleidsdiscussie over hoe overheden zouden moeten reageren op ransomware-incidenten en of wettelijke beperkingen op betalingen cybercriminele activiteiten zouden verminderen of verschuiven. Er is geen tijdlijn gegeven voor wijzigingen in het huidige kader, en de bestaande richtlijnen blijven van kracht.