O governo holandês declarou que não apoia a introdução de uma proibição legal de pagar resgates a cibercriminosos após ataques de ransomware, segundo uma carta do Ministério da Justiça e Segurança.
O Ministro da Justiça e Segurança, David van Weel, disse que o governo não quer criminalizar organizações que se tornem vítimas de incidentes de ransomware. Ele afirmou que, embora ataques de ransomware possam causar perturbações significativas e danos financeiros, a decisão sobre o pagamento do resgate deve permanecer com a organização afetada.
O ministro observou que o governo continua aconselhando contra o pagamento de resgates. De acordo com a declaração, pagar aos atacantes não garante que os sistemas serão restaurados, que dados roubados serão deletados ou que não serão compartilhados ou vendidos. A orientação também afirma que pagamentos de resgate contribuem para a continuidade da atividade cibercriminosa.
A posição foi apresentada em resposta a perguntas parlamentares relacionadas a um recente ataque cibernético envolvendo a operadora de telecomunicações holandesa Odido. Nesse incidente, atacantes associados ao grupo ShinyHunters alegaram ter roubado dados pessoais de mais de seis milhões de pessoas e ameaçaram divulgar essas informações online.
Apesar das preocupações sobre o impacto mais amplo do ransomware, o governo afirmou que há uma tensão contínua entre os interesses das vítimas individuais e os esforços mais amplos para reduzir o cibercrime. Autoridades indicaram que as organizações podem enfrentar pressões operacionais e financeiras imediatas que influenciam suas decisões durante um ataque.
O ministro afirmou que, enquanto essas considerações concorrentes não puderem ser resolvidas claramente, o governo manterá sua abordagem atual. Essa abordagem está alinhada com políticas de vários outros países da União Europeia, onde pagar um resgate é desencorajado, mas não proibido por lei.
A declaração reflete uma discussão política em andamento sobre como os governos devem responder a incidentes de ransomware e se restrições legais aos pagamentos reduziriam ou alterariam a atividade cibercriminosa. Nenhum cronograma foi fornecido para quaisquer mudanças no arcabouço atual, e as orientações existentes permanecem em vigor.