Is ransomware een datalek en moet je altijd aangifte doen?

De vraag of ransomware als een datalek geldt en dus moet worden gemeld wordt vaak gesteld. Google heeft ruim 60.000 hits op de Nederlandse vraag en meer dan 7 miljoen op de Engelse vraag. De grote belangstelling is in ieder geval een indicatie voor de omvang van ransomware aanvallen. Maar het zegt ook nog iets anders.

Double digit groei voor Cybercrime

Ransomware is geen incident maar een steeds belangrijker onderdeel van cybercrime. Afgelopen week werd tijdens de virtuele Cyber Security Tech Summit 2020 nog eens aangeven wat de omvang van online criminaliteit is. Sinds 2013 wordt er meer geld mee verdiend dan met de handel in drugs. In dat jaar zou de “global impact van cybercrime” $3 biljoen zijn. De verwachting is dat in 2021 de teller op $6 biljoen komt te staan. Ransomware is een van de voornaamste redenen van deze verdubbeling. Afgelopen jaar was de groei in ransomware volgens The New York Times 41 procent. Andere bronnen komen tot een nog grotere groei, in ieder geval is het een forse double digit groei voor zowel cybercrime als ransomware.

Ransomware besmetting en wat dan?

Als een systeem met succes is aangevallen door ransomware zijn er voor het slachtoffer maar een paar opties. Betalen of niet betalen is er daar een van. Hopelijk zijn er steeds vaker veilige en actuele back-ups waardoor die eerste vraag niet gesteld hoeft te worden.

De vraag die dan alle aandacht kan krijgen is of er sprake is van een incident waarvan aangifte moet worden gedaan. Die vraag wordt dus heel duidelijk niet alleen in Nederland gesteld, maar overal ter wereld. Dat komt in ieder geval omdat er in de EU wetgeving is (de AVG) die daar iets over voorschrijft. In Amerika zijn er andere wetten en regels die dat regelen.

Dat in de pers regelmatig wordt geschreven over ransomware en dat daar steeds vaker wordt aangegeven of het slachtoffer aangifte heeft gedaan bij de toezichthouders van een datalek zorgt er ook voor dat mensen vaker op zoek gaan naar het antwoord op die vraag. De awareness van ondernemers, overheden en zelfs burgers wordt daarmee steeds hoger.

Het antwoord op de vraag aangifte doen van een datalek bij ransomware ja of nee is overigens volgens de Nederlandse toezichthouder altijd ja.

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

Het is een duidelijke en vaak geciteerde reactie, die ook door IT bedrijven richting de klanten wordt gebruikt. Mogelijk is de communicatie van toezichthouders in andere landen minder helder. Dat helpt dan – naast het grotere aantal besmettingen – te verklaren waarom elders die vraag zo vaak wordt gesteld.