Wat kan de overheid doen tegen ransomware?

Maandag is de “Verkenning risicofactoren ransomware-aanvallen” gepubliceerd op de website van het WODC. Het publicatie gaat in op de bekende en minder bekende problemen rond ransomware. Afgesloten wordt met suggesties over het starten van awareness campagnes.

WODC staat voor Het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC). Het is het kennisinstituut voor het ministerie van Justitie en Veiligheid. De organisatie verricht zelf onafhankelijk wetenschappelijk onderzoek of laat dit, zoals in dit geval, door externe partijen doen. Deze verkenning is uitgevoerd door Dialogic.

Twee doelen

De inleiding beschrijft helder wat de twee belangrijkste doelen zijn. “Dit onderzoek heeft als doel het in kaart brengen en kwantificeren van factoren die ransomware-aanvallen beïnvloeden. Een tweede doelstelling is het bieden van inzicht in de mogelijkheden tot bewustwording onder bestuurders van middelgrote en kleine organisaties, zowel in de publieke als private sector.”

De publicatie telt meer dan 80 pagina’s. Die zijn niet allemaal even interessant of nuttig voor het kanaal. Wel absoluut de moeite van het lezen waard zijn de suggesties voor het aanbrengen van focus. De overheid kan onmogelijk alles en iedereen van de optimale informatie voorzien.

Twee categorieën

Volgens de onderzoekers is het  nodig de aandacht op twee categorieën te richten.

Focus op middelgrote en kleine organisaties

citaat:  Na een uitvoerige deskstudie en interviewronde is het voor de onderzoekers evident om middelgrote en kleine organisaties als focusgroep te nemen. [….] Middelgrote en kleine organisaties besteden daarentegen hun ICT vaak uit, hebben zelf weinig cybersecuritykennis in huis en hebben een lage  risicoperceptie voor wat betreft ransomware-aanvallen. […] cybercriminaliteit wordt beschouwd als een groot maatschappelijk risico, maar niet als iets dat hen persoonlijk snel zal overkomen.

Focus op het bestuurders

citaat: Nog geen 20% van de ICT-afnemers in het mkb is zeer bezorgd is over ransomware. […] bij bestuurders lijkt de urgentie niet groot genoeg. Zij onderschatten de impact en vooral de kans dat het hen overkomt.

Meer dan welkom

Het geschetste beeld zal waarschijnlijk bekend voorkomen. Toch is het meer dan welkom dat Dialogic en WODC de vinger op de zere plek leggen. De volgende stap zal namelijk zijn het ontwikkelen van een awareness-campagne die als doel heeft de overlast van ransomware aanvallen te verminderen. Hoe die campagne tegen ransomware eruit komt te zien is nog onbekend, maar het is natuurlijk goed en nodig dat de overheid actie onderneemt.

De Verkenning risicofactoren ransomware-aanvallen. In opdracht van WODC, Den Haag van Dialogic (2022) is via deze link te downloaden