Betalen of niet betalen… dat is de vraag? Waarom ik die vraag opwerp? Omdat de Zwijndrechtse wooncorporatie Woonkracht10 besloten heeft om een (nog onbekend) bedrag aan losgeld over te maken aan cybercriminelen die, door een kennelijk goedgeslaagde ‘hack-actie’, beslag hadden weten te leggen op gegevens van huurders, personeel en relaties.
Is het toegeven aan dit soort eisen nou verstandig of niet? Terwijl ik die vraag opwerp weet ik zelf eigenlijk ook wel dat ik het antwoord niet voor handen heb. De overheid en het Nationaal Cyber Security Centrum (NCSC) adviseren om nooit en te nimmer met cybercriminelen te onderhandelen, want dit is in feite misdaad belonen. En dat is op zich waar natuurlijk, maar het is ook makkelijk praten. Ik bedoel… stel, je gaat – uit principiële overwegingen – niet op de eisen van cybercriminelen in en ‘gevoelige’ gegevens komen op straat te liggen (want daar dreigde deze hackersgroep mee) dan zou het zomaar ineens kunnen dat de dan gedupeerden de wooncorporatie vervolgens aansprakelijk stellen voor hun geleden schade. Uiteindelijk betaal je dan als corporatie (vermoedelijk na veel juridisch gesteggel) wellicht een veelvoud van het bedrag aan schadevergoedingen dan het ‘losgeld’ dat de ‘gijzelnamers’ eisen. Maar ook dát is moeilijk te beoordelen zolang Woonkracht10 niet bekend maakt om hoeveel geld het in deze zaak uiteindelijk ging. Ik herinner me een bedrijf in deze regio dat, enkele jaren geleden, door hackers met hulp van zogeheten ransomware volledig werd stilgelegd. Dat bedrijf stelde zich in eerste instantie ook principieel op, maar maakte uiteindelijk tóch het geëiste bedrag (ongeveer een ton) over. Dit simpelweg omdat betalen nu eenmaal véél lucratiever bleek dan in één keer alle grote orders kwijtraken. Tja… daar ga je dan met je mooie principes.
Ik hoop op z’n minst dat men bij Woonkracht10 van de affaire geleerd heeft en dat de wooncorporatie haar computersystemen voortaan wél door een goed ICT-bedrijf laat beschermen.