Zo onderhandel je met cybercriminelen - als laatste redmiddel

In dit artikel:

Begin dit jaar werd bij telecombedrijf Odido een grote hoeveelheid gevoelige gegevens buitgemaakt; het bedrijf weigerde de losgeldeisen en de aanvallers publiceerden de data daarna. Die keuze volgt de overheidsaanbeveling om niet te betalen, maar de praktijk is complex: organisaties moeten technologische, juridische en strategische afwegingen maken voordat zij besluiten wel of niet aan losgeld te voldoen. Cruciale vragen zijn onder meer of systemen snel en veilig uit back-ups kunnen worden hersteld, of er daadwerkelijk waardevolle data zijn gestolen, en of betalingsverboden van toepassing zijn omdat de aanvallers verbonden zijn aan gesanctioneerde groepen.

Onderhandelen met ransomwarecriminelen is geen willekeurige chatwisseling maar een gestructureerd proces. Incident response-teams verzamelen eerst informatie over de dader en valideren claims van de aanvallers (bewijs van de gestolen data, de waarde daarvan). In zo’n 98% van de ransomware-incidenten wordt ook data exfiltreerd, waardoor reputatie- en compliance-risico’s minstens zo zwaar wegen als operationele verstoring. Als de gestolen data geen reële waarde blijken te hebben, is de aanbeveling vaak om niet te betalen. Als data wel waardevol zijn, proberen professionele onderhandelaars het geëiste bedrag te verlagen; onderzoek wijst uit dat gestructureerde onderhandelingen losgeldbetalingen gemiddeld met 67% kunnen verminderen en in totaal tot 94% kunnen besparen als volledig voorkomen van betaling wordt meegerekend. Sommige groepen onderhandelen niet, anderen accepteren soms minder dan 10% van de oorspronkelijke eis.

Het dreigingslandschap verandert: cybercriminelen werken steeds meer als bedrijven—specialiseren, outsourcen en verbeteren tactieken. Ze stelen vaker alleen data zonder systemen te versleutelen om detectie te vermijden en operationele risico’s te beperken. Er is ook een verontrustende opkomst van ‘violent crime‑as‑a‑service’, waarbij digitale afpersing wordt gecombineerd met fysieke intimidatie via lokale misdaadnetwerken. Bovendien zijn aanvallers onbetrouwbare partners; betaling garandeert niet dat data daadwerkelijk worden verwijderd en herhaalde afpersing met dezelfde gegevens komt voor.

Preventie blijft het meest effectieve instrument. Organisaties moeten offline en geteste back-ups hebben, gevoelige data standaard en sterk versleutelen, en een expliciet incident‑responseplan opstellen dat beslisregels rond losgeld omvat, inclusief sanctie‑checks. Technische maatregelen—multi‑factor authenticatie, endpointbescherming, continue 24/7‑monitoring en personeelstraining—verminderen de kans op succesvolle aanvallen en maken vroegtijdig stoppen mogelijk. Cyberverzekeringen kunnen helpen toegang te krijgen tot gekwalificeerde experts.

De advieslijn blijft: niet betalen tenzij onvermijdelijk, maar de uiteindelijke beslissing ligt bij de getroffen organisatie. Deze ingezonden bijdrage is van Arctic Wolf, die ook ondersteuning bij incident response en onderhandelingen aanbiedt.