Het afgelopen jaar zijn er in het Verenigd Koninkrijk twee wetsvoorstellen verschenen die zich richten op de problematiek van losgeldbetalingen door Britse bedrijven. Deze focus van de Britse regering zou een verschuiving kunnen betekenen richting een verbod op dergelijke betalingen, of bedrijven voor lastige keuzes kunnen stellen. Dan Raywood onderzoekt de details.

Vorig jaar begon de Britse regering met een harde aanpak van cybercriminelen. voorgestelde wetgeving Dat zou het betalen van losgeld illegaal maken voor bepaalde sectoren. Concreet zouden overheidsinstanties en beheerders van cruciale nationale infrastructuur – waaronder de NHS, gemeenten en scholen – geen losgeld meer mogen betalen. Andere bedrijven die niet onder het verbod vallen, zouden de overheid op de hoogte moeten stellen van elk voornemen om losgeld te betalen.

Minister van Veiligheid Dan Jarvis zei dat het voorstel erop gericht is "het bedrijfsmodel van cybercriminelen te vernietigen" en essentiële diensten te beschermen. Door samen te werken met het bedrijfsleven, zei hij, "geven we een duidelijk signaal af dat het Verenigd Koninkrijk eensgezind is in de strijd tegen ransomware."

Die consultatie duurde 12 weken (van 14 januari tot 8 april 2025) en bevatte de volgende voorstellen:

  1. Een gericht verbod op losgeldbetalingen voor gereguleerde kritieke nationale infrastructuur en de publieke sector.
  2. Een systeem ter voorkoming van ransomware-betalingen.
  3. Een verplichte meldingsplicht voor incidenten.

Deze maatregelen zouden de eerste specifieke Britse wetgeving vormen die is ontworpen om ransomware tegen te gaan, met als hoofddoel het beschermen van openbare diensten en kritieke infrastructuur tegen verstoring.

Crystal Morin, senior cybersecuritystrateeg bij Sysdig, gaf aan dat het verbeteren van de rapportage van ransomware-incidenten geen impulsieve reactie is, maar een strategische aanpassing aan een snel veranderend dreigingslandschap.

"Incidenten met grote impact in het afgelopen jaar hebben aangetoond hoe ransomware cruciale diensten kan ontwrichten en het dagelijks leven kan beïnvloeden", zei ze. "Deze gebeurtenissen laten zien dat cyberaanvallen, hoe geïsoleerd ze ook lijken, een reëel risico vormen voor de nationale veiligheid en het algemeen welzijn."

Positieve reactie

Consultant en beleidsspecialist Jen Ellis merkt op dat de reactie op de consultatie van de overheid over het idee van een verbod "overweldigend positief" was. Ze suggereert dat dit deels komt doordat bedrijven klanten willen kunnen vertellen dat ze wettelijk niet in staat zijn om losgeld te betalen en dat ze zich simpelweg aan de wet houden.

Ze wijst er ook op dat sommigen geloven dat ransomware puur winstgedreven is en dat het wegnemen van het winstmotief de misdaad zal elimineren. Dit negeert echter factoren zoals de betrokkenheid van georganiseerde misdaadgroepen die gelinkt zijn aan gewelddadigere activiteiten, waaronder mensenhandel.

"Het houdt geen rekening met de omvang van de winsten of het gebrek aan effectieve handhaving," zegt Ellis. "Aanvallers opereren ongestraft en kunnen de meest kwetsbare organisaties aanvallen met weinig kosten voor zichzelf."

"Het negeert ook het feit dat we actief zijn op een wereldwijd internet. Een verbod in het Verenigd Koninkrijk beschermt organisaties niet tegen activiteiten die elders plaatsvinden."

Nieuwe Factor

Terwijl het overleg op de volgende fase wacht, deed zich in oktober een nieuwe ontwikkeling voor toen parlementslid Bradley Thomas een voorstel indiende. wetsvoorstel van een particulier lid In 2025 zou het wetsvoorstel bedrijven die aan specifieke criteria voldoen verplichten om cyberafpersing of ransomware-aanvallen binnen een bepaalde termijn aan de overheid te melden.

Bij de presentatie van het wetsvoorstel merkte Thomas op dat bedrijven momenteel niet verplicht zijn te melden wanneer er losgeld is betaald, ondanks de financiële last die dergelijke betalingen met zich meebrengen. Zijn voorstel zou vereisen dat elk bedrijf dat is geregistreerd onder de Companies Act 2006 en een jaaromzet heeft van meer dan £25 miljoen – of verantwoordelijk is voor cruciale nationale infrastructuur – de overheid binnen 72 uur op de hoogte stelt wanneer het slachtoffer wordt.

Een aanvullend rapport zou vereist zijn indien er een betaling werd verricht door het bedrijf of een derde partij namens het bedrijf, wederom binnen 72 uur. Thomas erkende de zorgen over reputatieschade, maar zei dat robuuste wettelijke waarborgen ervoor zouden zorgen dat rapporten vertrouwelijk blijven, tenzij openbaarmaking in het nationale belang wordt geacht.

"Het ontbreken van een meldingsplicht, met name voor losgeldbetalingen, laat een gevaarlijke blinde vlek achter in onze nationale veiligheid", zei hij. "Wanneer bedrijven deze betalingen melden, verkrijgen onze veiligheidsdiensten cruciale informatie over wie het doelwit is en hoe de aanvallen zich ontwikkelen."

Morin zei dat de meldingsplicht niet bedoeld is om organisaties te schande te maken, maar om de collectieve verdediging te versterken. "Wanneer organisaties incidenten melden, krijgen beveiligingsteams inzicht in nieuwe tactieken en kwetsbaarheden, waardoor ze sneller kunnen reageren en grotere schade kunnen voorkomen."

Ze voegde eraan toe dat hoewel zorgen over reputatieschade begrijpelijk zijn, het voorgestelde kader waarborgen bevat om openbaarmaking te beperken tot uitzonderlijke gevallen. "Een verplicht, maar 'schaamtevrij' meldingssysteem erkent deze realiteit."

Ransomware-aanvallen afschrikken

Naar aanleiding van de voorstellen vertelde Ellis aan ISMS.online dat ze niet gelooft dat een landelijk betalingsverbod aanvallen significant zou afschrikken. "De meeste slachtoffers worden opportunistisch aangevallen omdat ze verbonden zijn met internet. Infecties gebeuren nu eenmaal."

"Ik denk niet dat een betalingsverbod effectief zal zijn, tenzij het wereldwijd wordt ingevoerd," zei ze. "Aanvallers zullen zich aanpassen."

Wat betreft het melden van misstanden, zei Ellis dat het essentieel is om openheid te normaliseren. "We moeten de angel uit het melden halen en ons begrip van wat er gebeurt vergroten. Dat kunnen we niet bereiken als mensen geen meldingen doen."

"Rapportage lost het probleem niet op, maar het geeft ons wel een beter beeld van de werkelijke omvang."

Op de vraag of bedrijven nog steeds in het geheim zouden betalen als er een verbod zou komen, zei Ellis dat dit moeilijk te voorspellen is. Ze heeft gesproken met ondernemers die denken dat ze geen andere keus zouden hebben als ze met een existentiële bedreiging worden geconfronteerd.

Ze benadrukte ook de mogelijke gevolgen voor cyberverzekeringen. "Als betalen illegaal is, dekt de verzekering dat niet. Verzekeraars zouden dan de herstelkosten moeten dekken, wat ertoe kan leiden dat ze strengere maatregelen ter bescherming tegen cyberaanvallen eisen."

Het wetsvoorstel van Thomas wordt in mei in tweede lezing behandeld, en beide voorstellen zijn erop gericht losgeldbetalingen te beperken. Voor bedrijven waar betaling de enige optie lijkt, kunnen de alternatieven echter beperkt zijn.

uit onderzoek van Sophos Uit een onderzoek uit 2025 bleek dat bijna 50% van de bedrijven losgeld betaalde om hun gegevens terug te krijgen. voorstel Het doel is om de weerbaarheidsnormen voor Britse bedrijven te verbeteren.

Uiteindelijk lijken de meeste belanghebbenden voorstander te zijn van rapportageverplichtingen, maar de vraag of er betaald moet worden, wordt complexer onder een wettelijke verplichting. Nu is het moment voor organisaties om hun weerbaarheid te versterken en te bepalen of ze kunnen overleven zonder zich vrij te kopen van cybercriminaliteit.