Ransomware-aanvallen zijn schering en inslag bij Belgische bedrijven. Vaak gaan zij over tot het betalen van losgeld, dat zelfs fiscaal aftrekbaar is. Maar is betalen wel een goed idee?
Een ransomware-pandemie. Zo noemt het jongste nummer van het toonaangevend weekblad The Economist de steeds driester wordende cyberaanvallen op overheid en bedrijfsleven. De techniek waarbij cybercriminelen computerservers lamleggen tot het slachtoffer losgeld betaalt, maakt school.
Twee recente zaken in de Verenigde Staten deden wereldwijd alarmbellen afgaan. Een aanval op Colonial Pipeline zorgde voor olietekorten aan de oostkust van de VS. Kort daarna werd vleesverwerker JBS het slachtoffer, waardoor de prijzen van bepaalde types vlees omhoogschoten.
In beide gevallen betaalden de bedrijven losgeld via de virtuele munteenheid bitcoin. JBS hoestte 11 miljoen dollar op, Colonial ruim 4 miljoen dollar, waarvan de FBI achteraf nog 2,3 miljoen dollar kon terughalen.
Wereldwijd winnen cybercriminelen aan macht en invloed. De vloedgolf aan ransomware-aanvallen valt amper bij te houden. Ook in ons land. Volgens Geert Baudewijns, CEO van cybersecurityfirma Secutec uit Aartselaar, betalen Belgische bedrijven maar liefst 100 miljoen euro per jaar aan losgeld. Hij ziet de laatste jaren een forse groei in het aantal aanvallen.
Fiscale fiche
Vorige week nog moest Secutec uitrukken naar een kleine supermarkt met 14 computers en 4 servers. Het bedrijfje lag anderhalve week lam, het losgeld bedroeg uiteindelijk 22.000 euro. Dagelijkse kost voor Baudewijns, die als het ware als een bemiddelaar optreedt tussen bedrijfsleider en hacker. ‘Kleine firma’s zijn veel gevoeliger voor aanvallen dan grote bedrijven’, zegt hij.
Losgeld betalen is niet verboden in ons land. Sterker nog, de som is aftrekbaar van de belastingen. ‘Losgeld kan als een aftrekbare beroepskost worden beschouwd’, bevestigt de FOD Financiën. Er zijn wel voorwaarden: het bedrijf moet aantonen dat die uitgaven nodig waren om belastbare beroepsinkomsten ’te verkrijgen of te behouden’. Ook moet het ‘de echtheid en het bedrag’ aantonen met bewijsstukken. Mocht dat niet lukken, dan mag het slachtoffer wijzen naar ‘alle bewijsmiddelen toegelaten door het gemeen recht, met uitzondering van de eed’.
Fiscaal expert Michel Maus (VUB) kan zich vinden in die uitleg van de administratie, maar volgens hem moet er ook nog een fiscale fiche worden opgesteld.
Het is gewoon een heel slecht idee om criminele organisaties financieel te steunen.
Europees verbod
Maar is het wel een goed idee om losgeld te betalen? De discussie leeft. Eind vorig jaar waarschuwde het Amerikaanse ministerie van Financiën nog dat bedrijven beboet zouden kunnen worden wanneer ze losgeld betalen aan hackers die op de officiële sanctielijst staan.
‘Een belangrijk debat’, zegt Inti De Ceukelaire. De ethische hacker zoekt met zijn platform Intigriti de gaten in digitale beveiligingssystemen op om ze daarna te dichten. Hij gelooft dat een verbod op het betalen van losgeld een verschil kan maken in de strijd tegen ransomware. Slachtoffers zullen incidenten sneller rapporteren, denkt hij. ‘Bovendien is het gewoon een heel slecht idee om criminele organisaties financieel te steunen. Niet alleen omdat ze dan meteen weten dat je betaalt, en dus een interessant doelwit bent, maar ook omdat je ze zo meer middelen geeft om hun activiteiten uit te breiden.’
Een puur Belgische ban zou evenwel niet veel zin hebben, denkt De Ceukelaire. Hij pleit minstens voor een verbod op Europees niveau, liefst nog wereldwijd. ‘Mocht het geld dat nu massaal naar criminelen vloeit, worden gebruikt voor het ontsleutelen van ransomware en het oppakken van de daders, dan zouden de kaarten anders liggen.’
Secutec-CEO Baudewijns snapt de redenering, maar is geen voorstander van een verbod. Volgens hem heeft zeker een derde van de aangevallen bedrijven geen andere keuze dan betalen. ‘Wanneer je systeem een tijdlang stilligt, dreigt het faillissement. Dat kan enkel worden afgewend door het betalen van het geld. Zelfs als de politiek losgeld betalen illegaal maakt, dan zouden bedrijven het nog doen.’
Fout opgemerkt of meer nieuws? Meld het hier
