Brits voorstel: miljoenenboetes tegen cyberaanvallen

Britse organisaties moeten tot zo’n 18 miljoen euro beboet kunnen worden als ze te weinig doen om cyberaanvallen te voorkomen, staat in een overheidsvoorstel.

Foto Valentyn Ogirenko/Reuters

Britse organisaties die te weinig doen om grote cyberaanvallen te voorkomen, moeten als het aan de Britse overheid ligt bestraft kunnen worden met miljoenenboetes. Dat staat volgens The Guardian in een voorstel dat dinsdag tijdens een consultatie over internetveiligheid wordt besproken. Zo wil het Verenigd Koninkrijk grote storingen in bijvoorbeeld het verkeer, het elektriciteitsnetwerk en de gezondheidszorg voorkomen.

De boetes kunnen volgens The Guardian oplopen tot 17 miljoen pond (oftewel 18,8 miljoen euro) of 4 procent van de wereldwijze omzet van een bedrijf. De financiële sancties moeten worden gebruikt als “laatste uitweg”, is het idee. Organisaties die worden aangevallen en kunnen aantonen voldoende te hebben gedaan om dat te voorkomen, blijven buiten schot.

“We willen dat het Verenigd Koninkrijk de veiligste plaats van de wereld is”, zegt minister voor digitale zaken Matt Hancock in een toelichting. De maatregel zou in mei 2018 moeten ingaan.

WannaCry

Het voorstel komt nadat de Engelse NHS, het nationale gezondheidssysteem, in mei doelwit werd van een ransomware-aanval. Door deze ‘gijzelsoftware’ moesten operaties in ziekenhuizen worden geannuleerd en werden patiëntenbestanden ontoegankelijk.

Met het WannaCry-virus werden computernetwerken binnengedrongen en bestanden versleuteld. De slachtoffers konden tegen betaling hun bestanden weer terugkrijgen. De getroffen ziekenhuizen maakten gebruik van sterk verouderde Windows-computersystemen. Om ziekenhuizen beter tegen online aanvallen te beschermen, stelde de minister van Defensie eerder al 50 miljoen pond beschikbaar.

Vijftien ziekenhuizen

In Nederland werd parkeerbedrijf Q-Park dit voorjaar getroffen door WannaCry. Volgens de NOS kregen de afgelopen drie jaar zeker vijftien ziekenhuizen in ons land te maken met gijzelsoftware. Eind juni werden in Nederland onder meer pakketbezorger TNT en de Rotterdamse containerterminal van APM nog getroffen door een ransomware-aanval.

Meldplicht

De Nederlandse overheid neemt ook extra maatregelen. Aanbieders van ‘essentiële diensten’, zoals drinkwaterbedrijven en banken, zijn vermoedelijk vanaf het najaar verplicht om cyberaanvallen te melden. Dat moeten ze doen bij de staatssecretaris van Veiligheid en Justitie, waarna het Nationaal Cyber Security Centrum de melding in behandeling zal nemen. De meldplicht vloeit voort uit een Europese richtlijn. Onduidelijk is nog of het Britse voorstel hier ook uit voortvloeit.