Betalen aan criminelen of failliet: het duivelse dilemma

In dit artikel:

De schermen gaan op zwart en op de server verschijnt een uitnodiging voor een chat op het dark web — voor veel bedrijven het begin van een nachtmerrie. Voor Inge van der Beijl echter is dat dagelijkse realiteit. Als GM Innovation en crisispsycholoog bij Northwave onderhandelt zij met georganiseerde cybercriminelen die functioneren als strakke, commerciële ondernemingen. Haar belangrijkste waarschuwing aan slachtoffers: ga niet zelf beginnen te chatten — elke stukje informatie heeft geldwaarde in dit spel.

Van der Beijl komt niet uit het standaard security‑kanaal; met veertien jaar bij TNO en ervaring bij Defensie en een missie in Afghanistan brengt ze militaire kalmte naar digitale crisisteams. Ze bestrijdt het romantische beeld van de eenzame hacker: veel beruchte groepen werken grotendeels bedrijfsachtig (HR, ontwikkelteams, verlofregelingen) en treden in onderhandeling vaak op als zakelijke partners om emotie uit het incident te halen en betalingen te normaliseren.

Doelwitten lopen uiteen van de lokale bakker tot multinationals. Cybercriminelen zijn opportunistisch en hitten zich steeds vaker op leveranciers en kleinere schakels in ketens: raak één IT‑leverancier, en je raakt vele klanten. Van der Beijl onderscheidt zes kernvormen van digitale dreiging: ransomware (systemen versleuteld, losgeld en data‑publicatie als drukmiddel), Business Email Compromise (stil overnemen van mailboxen om bijvoorbeeld facturen te manipuleren), aanvallen door statelijke actoren (spionage en strategische positionering), supply chain‑aanvallen (malware via vertrouwde leveranciers of updates), insider threats (kwaadwillig of per ongeluk door mensen met toegangsrechten) en hacktivisme (ideologisch gemotiveerde verstoring of reputatieschade).

In de acute fase geldt volgens haar een harde vuistregel: geen overhaaste conclusies trekken. "In die eerste 24 uur weet je eigenlijk nog helemaal niets," zegt ze — vaak duurt het dagen of weken om omvang en aard van dataverlies nauwkeurig vast te stellen. De communicatiestrategie moet daarom zorgvuldig: alleen feiten delen en speculatie vermijden. Te veel openheid — bijvoorbeeld op de website melden hoe lang je offline bent — kan tegen je werken omdat het criminelen concrete hefboominformatie geeft. Ook klinische, juridische taal schiet vaak tekort; slachtoffers hebben behoefte aan praktische, menselijke informatie (wat betekent het concreet voor mijn betaalgegevens, wie kan ik bellen).

Als onderhandelingen lopen verplaatsen die zich naar anonieme kanalen (TOX‑ID chats, dark web‑landingpages). Northwave werkt in de War Room volgens het four‑eyes‑principe: twee onderhandelaars, één adviseert de directie en één onderhoudt de interactie met de dader. Doel kan zijn niet zozeer meteen betalen, maar tijd winnen zodat IT‑teams back‑ups kunnen herstellen. Cruciaal is om bewijs van de dader te eisen: kan hij een specifiek bestand ontsleutelen of aantonen hoeveel data hij heeft? Pas op basis van feiten kan een bestuurder rationeel besluiten of betalen overwogen wordt. Northwave verzamelt en deelt alle opsporingssporen met politie en internationale instanties (zoals Europol); het ontmantelen van bendes is geen hun taak.

Betalen blijft het meest controversiële thema. Northwave adviseert in principe geen transacties met criminelen, maar erkent dat bedrijven soms tussen betalen of faillissement staan. Daarbij geldt een wettelijke grens: voordat betaald wordt, vindt een sanction‑screening plaats op bitcoinadressen en groepen (controle tegen lijsten zoals die van OFAC of het VK). Betaling aan gesanctioneerde entiteiten is verboden; De Nederlandsche Bank houdt toezicht op deze integriteitsprocessen om te voorkomen dat losgeld naar terroristische of geprofileerde statelijke actor‑netwerken stroomt.

Kijkend naar beleid pleit Van der Beijl voor een grotere maatschappelijke ontvankelijkheid voor digitale veiligheid: NIS2 verplaatst cybersecurity naar de bestuurskamer, maar er is meer nodig. Zij stelt een Digitaal Slachtofferloket voor — een laagdrempelige opvang voor individuen en kleinere organisaties die hulp en advies nodig hebben na een incident, vergelijkbaar met hoe kinderen leren veilig oversteken in het verkeer. Praktijkoefeningen zijn essentieel: een plan in een kluis is nutteloos als het niet repetitief is geoefend en fysiek beschikbaar is wanneer systemen uitstaan.

Haar slotboodschap richt zich op mindset: accepteer de chaos en wees eerlijk over onzekerheden binnen crisisteams. Teams die durven toegeven dat ze het even niet weten en op basis daarvan handelen, functioneren het best. Onzekerheid is geen blijk van zwakte maar een realiteit die je moet leren managen om als organisatie weerbaar te blijven.