De Austra­li­sche overheid verplicht sinds eind mei grote organi­sa­ties om binnen 72 uur melding te doen van elke betaling als gevolg van cyber­af­per­sing, ook wel cyber extor­tion genoemd (Cy‑X). Een wereld­wijde primeur, die volgens Orange Cyber­de­fense navol­ging verdient. “Dit is een noodza­ke­lijke stap richting trans­pa­rantie en volwassen risico­be­heer”, zegt Jort Kollerie, Strategic Advisor bij Orange Cyber­de­fense. “We kunnen deze crimi­na­li­teit alleen struc­tu­reel tegen­gaan als we het volle­dige plaatje kennen.”

Hoewel cyber­af­per­sing via bijvoor­beeld ransom­ware een van de grootste digitale dreigingen is, blijft het werke­lijke aantal slacht­of­fers groten­deels onbekend. Juist daarom is meer trans­pa­rantie essen­tieel. “Cy‑X thrives in silence”, zegt Kollerie. “Zolang we doen alsof betalen normaal is, blijven we achter de feiten aanlopen. De meldplicht is geen afreken­sys­teem, maar een manier om collec­tieve weerbaar­heid op te bouwen.”

Strategisch wapen

Het verplicht melden van betalingen als gevolg van cyber­af­per­sing moet niet worden gezien als bureau­cra­ti­sche overlast, maar als een strate­gisch wapen in de strijd tegen cyber­cri­mi­na­li­teit. Hiermee krijgen overheden en securi­ty­or­ga­ni­sa­ties zicht op de omvang, aard en impact van deze aanvallen. We weten simpelweg niet goed wie wordt getroffen, door wie, en welke sectoren kwets­baar zijn.

Een meldplicht geeft overheden realtime inzicht in de tactieken van cyber­cri­mi­nelen en geeft de volgende voordelen:

1. Snellere identi­fi­catie en ontman­te­ling van crimi­nele netwerken – Door meldingen te analy­seren van bijvoor­beeld betaal­be­dragen, wallet-adressen en commu­ni­ca­tie­pa­tronen kunnen opspo­rings­dien­sten zoals Europol of de Neder­landse politie gericht jagen op speci­fieke groepen. Zo kon het netwerk van LockBit dankzij inter­na­ti­o­nale samen­wer­king tijde­lijk uit de lucht worden gehaald. Dit verstoorde hun operatie, levert cruciale inlich­tingen op en geeft bedrijven wereld­wijd ademruimte om hun verde­di­ging te versterken.
2. Waarschuwen van andere bedrijven of sectoren – Zodra duide­lijk wordt dat een speci­fieke aanvals­me­thode meerdere organi­sa­ties treft, kunnen overheids­in­stan­ties via secto­rale CERT’s (zoals Z‑CERT voor de zorg) of het Natio­naal Cyber Security Centrum (NCSC) gerichte waarschu­wingen uitgeven. 
3. Witwas­be­strij­ding en blokkeren van betalingen aan gesanc­ti­o­neerde partijen – Met verplichte meldingen krijgen de Finan­cial Intel­li­gence Unit (FIU) en andere toezicht­hou­ders beter zicht op de finan­ciële routes die cyber­cri­mi­nelen gebruiken. Zodra duide­lijk is welke wallets of trans­ac­ties gelinkt zijn aan cyber­cri­mi­nelen of gesanc­ti­o­neerde landen, kunnen deze adressen op waarschu­wings­lijsten worden geplaatst. Wordt het losgeld vervol­gens omgezet naar reguliere valuta via een geregu­leerde crypto-exchange, dan kunnen die tegoeden direct worden bevroren en/​of in beslag genomen. 
4. Inter­na­ti­o­nale druk en sanctie­be­leid vormgeven – Meldingen van betalingen als gevolg van cyber­af­per­sing geven Europese autori­teiten inzicht in de omvang en impact van digitale afper­sing. Die gegevens zijn cruciaal om inter­na­ti­o­nale samen­wer­king af te dwingen. Denk aan gezamen­lijke sancties of afspraken over opspo­ring. Binnen mondiale samen­wer­kings­ver­banden, zoals het door de VS geïni­ti­eerde Counter Ransom­ware Initi­a­tive (CRI), kan de EU met harde cijfers onder­bouwen hoeveel schade Europese bedrijven lijden. Zo ontstaat inter­na­ti­o­nale druk op landen die cyber­cri­mi­nelen de hand boven het hoofd houden, en kan er worden opgetreden tegen bijvoor­beeld witwas­net­werken of digitale infra­struc­tuur van cybercriminelen.

Geen administratief monster

Een meldplicht voor betalingen als gevolg van cyber­af­per­sing hoeft volgens Kollerie geen admini­stra­tief monster te worden als deze goed is ingericht. Het begint met een helder doel: meer inzicht in het dreigings­land­schap, niet het bestraffen van slacht­of­fers. Vervol­gens moet het meldproces digitaal en gestan­daar­di­seerd verlopen, bijvoor­beeld via een bevei­ligd online formu­lier waarin alleen de noodza­ke­lijke gegevens worden ingevuld: datum, type aanval, betaal­me­thode, bedrag. Geen lange rappor­tages dus, maar overzich­te­lijke signalen.

Om te voorkomen dat dit op het bordje van toch al overbe­laste IT-teams belandt, kunnen meldingen worden gedaan via bestaande struc­turen zoals secto­rale CERT’s of meldpunten zoals het NCSC. Deze organi­sa­ties kunnen de infor­matie verza­melen, analy­seren en doorzetten.

Zo blijft de meldplicht werkbaar, zelfs voor kleinere organi­sa­ties, en draagt het bij aan betere bescher­ming zonder extra bureaucratie.

“De strijd tegen cyber­af­per­sing vraagt om drempels én dialoog,” stelt Kollerie. “Australië laat zien dat streng beleid en construc­tieve samen­wer­king hand in hand kunnen gaan. Ook het Verenigd Konink­rijk zet een stap, door sinds april betalingen voor cyber­af­per­sing door publieke instan­ties te willen verbieden. Maar alleen verbieden is niet genoeg, het kan slacht­of­fers isoleren en incidenten juist onder de radar houden. Een meldplicht, zoals in Australië, is werkbaarder én effec­tiever: het creëert inzicht, versnelt opspo­ring en versterkt de collec­tieve weerbaarheid.”