De veiligheid van leerlingen en medewerkers was voor OSG Hengelo de belangrijkste reden om contact met de hackers op te nemen en een overeenkomst te sluiten. Hoewel de school geen mededelingen doet over het betalen van losgeld, kan worden aangenomen dat er wel degelijk een bedrag is betaald om weer toegang te krijgen tot de computersystemen en om data veilig te stellen.
Rosalie Brand, advocaat en expert op het gebied van cybersecurity en gegevensbescherming bij Kennedy Van der Laan en woordvoerder in de zaak, wil niet bevestigen dat er losgeld is betaald. "Over de overeenkomst met de hackers doen wij geen mededelingen."
Het betalen van losgeld gaat nadrukkelijk in tegen het advies van politie, justitie en ICT-bedrijven. Daarmee worden cybercriminelen gestimuleerd om hun illegale activiteiten voort te zetten. Bovendien bestaat het risico dat een organisatie een makkelijke prooi is en in de toekomst vaker slachtoffer wordt. Brand bevestigt dat betaling van losgeld wordt gebruikt door hackers voor de herfinanciering van hun activiteiten. "Je draagt bij aan het in standhouden daarvan. Heel erg vervelend. Soms is het kiezen tussen twee kwaden."
Het gebeurt wel vaker dat organisaties overstag gaan en losgeld betalen na een ransomware-aanval. Brand zegt geen exacte landelijke cijfers paraat te hebben, maar schat in dat de hoogte van dat bedrag dat betaald moet worden, gemiddeld ligt tussen de 0,5 en 2 procent van de omzet ligt. Het is niet bekend of een dergelijk percentage ook is betaald in de ransomware-aanval bij OSG Hengelo. Hoewel de advocaat inhoudelijk niet op de zaak wil ingaan, zegt ze dat als het gaat om het sluiten van een overeenkomst door OSG Hengelo met de hackers de scholengroep zelf de afweging heeft gemaakt. "In dit geval is er data ontvreemd van leerlingen en leerkrachten en de benodigde bestanden waren er ook niet meer."
De exacte oorzaak van de ransomware-aanval is nog steeds onduidelijk en ook of de beveiliging van de systemen wel op orde was. OSG Hengelo zegt maatregelen te nemen om het beveiligingssysteem te versterken en ervoor te zorgen dat een dergelijk incident zich in de toekomst niet opnieuw voordoet. Brand zegt dat er meer mededelingen worden gedaan als het onderzoek is afgerond.