Komt Washington met verbod op betalen ransomware?

Sinds de succesvolle ransomware besmetting van Colonial Pipeline is het in Washington alle hens aan dek. Politici roepen om maatregelen. Nog belangrijker is dat toezichthouders de bestaande instrumenten en bevoegdheden tegen het licht houden. Dat zou wel eens kunnen leiden tot het verbod op het betalen van ransomware.

Aanvallen op Amerika

Of de aanval op Colonial Pipeline de druppel is die de emmer doet overlopen is nog niet bekend. Het aantal aanvallen op bedrijven, overheden en instellingen in Amerika is namelijk enorm groot. Lang niet alles haalt de internationale pers. Evenmin is onbekend wie er allemaal losgeld betaalt en wat de hoogte is. Het gemak waarmee Colonial Pipeline is aangevallen zal een rol spelen bij de stappen die Washington nu zet. Een van de stappen is het uitbrengen van nieuwe een aangepaste directives voor kritieke infrastructuur rond de brandstofvoorziening.

Maatregelen TSA

De toezichthouder Transportation Security Administration (TSA) heeft de bevoegdheid maatregelen op te leggen aan de sector. In de lijst van nieuwe maatregelen die nu rondgaat vallen drie punten op.

Cybersecurity contactpersooon en meldplicht

Het eerste punt dat voor de sector moet gaan gelden is dat bij elk van de bedrijven een cybersecurity contactpersooon wordt aangesteld. Die persoon of personen moeten 24/7/365 bereikbaar zijn. Dat dit punt is benoemd kan maar een ding betekenen: op dit moment is dat niet het geval voor deze sector. Dat geldt ook voor put twee, binnen 30 dagen na een cyber incident moet de TSA zijn geïnformeerd (plus nog de federale cybersecurity instantie). Uiteraard zullen bedrijven gaan klagen over de hoge kosten en andere lasten van de meldplicht, maar de kans dat Washington veel water bij de wijn doet is gering. De (imago) schade is gewoon te groot en de meldplicht komt er ook voor andere sectoren.

Verbod ransomware losgeld betaling

Punt drie gaat om een andere reden heel interessant worden. TSA wil, met verwijzing naar andere reeds bestaande wetgeving, alle partijen in de sector verbieden ransomware losgeld te betalen. Het idee daarachter is uiteraard dat een verbod op betalen het voor de aanvallers minder aantrekkelijk maakt. In Amerika maar ook in andere landen is wat dat betreft voldoende ervaring opgedaan met het bestrijden van bendes die personen kidnappen en een losgeld eisen. De stappen die Washington wil zetten in  de strijd tegen ransomware zijn interessant. Maar er speelt nog iets. Vorige maand werd bekend dat AXA een deel van de cyberverzekeringen aanpast op precies het punt van die ransomware betalingen. Zou de verzekeraar daarmee vast een voorschot hebben genomen op het Amerikaanse beleid?

En Europa?

En om nog een stap verder te gaan. Als Washington dit doet, moet Europa wel volgen. Anders ontstaat er een onbeheersbaar waterbed-effect.