Eerste hulp bij ransomware: zo reageer je als bedrijf op een gijzeling
Of je nu een klein of groot bedrijf runt: door de constante toename van aanvallen is ook jouw bedrijf een potentieel doelwit van gijzelsoftware. Geen organisatie is immuun voor deze online chantagemethode, dus wat doe je als je slachtoffer wordt? Dit zijn de gouden regels volgens experts.
Het ene na het andere bedrijf werd dit jaar gegijzeld door een van de vele varianten van ransomware. Het gaat om multinationals, maar ook steeds vaker om mkb-bedrijven of publieke instellingen, zo bewijst de aanval die momenteel gaande is op de Universiteit Maastricht.
In de praktijk vaak slaat de paniek toe, zien cybersecurityspecialist Frank Groenewegen van Fox-IT en Marco Zannoni, die namens het Instituut voor Veiligheids- en Crisismanagement trainingen geeft aan bedrijven en organisaties die zijn verwikkeld in een veiligheidscrisis. Ze leggen uit wat je het beste kunt doen:
Wat is ransomware?
Ransomware of gijzelsoftware versleutelt de bestanden op iemands computer waardoor deze vaak totaal onbruikbaar worden. Slachtoffers kunnen pas weer bij hun bestanden wanneer zij losgeld ('ransom') betalen. Deze vorm van malware kan bestanden of hele systemen gijzelen.
1. Ik ben gegijzeld, wat doe ik nu al eerste?
"Het begint met onderzoek doen", zegt Groenewegen. "Breng direct in kaart wat er aan de hand is en welke data niet langer toegankelijk is en vooral: hoe zijn de aanvallers binnengekomen?"
Bij zo'n onderzoek wil je bovendien weten wat voor ransomware het is, of je nog back-ups hebt en of hackers nog steeds de controle over het netwerk hebben. Groenewegen: "Doe je dat niet, kan het een week later zo weer gebeuren."
2. Wie moet ik daarbij inschakelen?
Veel bedrijven schakelen alleen hun gebruikelijke it-dienstverlener in. Groenewegen: "Maar dat moet je meer zien als de huisarts. Die moet je altijd doorverwijzen naar een it-specialist, die wel weet hoe je moet reageren op de vele verschillende vormen van ransomware. Schakel zo snel mogelijk een specialist in en ga niet zelf zitten rommelen. Dan verlies je kostbare tijd en kun je cruciale sporen en oplossingen wissen."
Wat veel mkb'ers wel zelf kunnen doen? "Standaard op papier zetten: stel dat dit gebeurt, wie ga ik dan bellen? En welke back-ups heb ik allemaal? Dan ben je bij een aanval veel sneller weer operationeel."
3. Kan ik zelf onderhandelen met de gijzelaars?
"Geen enkele organisatie moet zelf gaan onderhandelen", stelt Zannoni. "Natuurlijk wil iedereen een aanval zo snel mogelijk stoppen. Maar zeker als grotere organisatie kun je soms beter wachten en is de tactiek om samen met een expert zo veel mogelijk informatie in te winnen."
4. Langer wachten? Dat kan ik me niet veroorloven en ik heb het geld.
Groenewegen: "Je moet nooit betalen, is het standaardantwoord. Dan houd je het businessmodel van deze criminelen in stand."
Maar die vlieger gaat niet altijd op, vervolgt hij. "Er zijn soms situaties waarin je offline of in de cloud echt geen enkele back-up hebt van je belangrijkste data. En waarin ook specialisten geen oplossingen hebben. In dat geval kan er maar één iemand beslissen binnen een bedrijf: is deze data kritiek genoeg om te betalen? En dat is de eigenaar."
5. Maar ik heb een cyberverzekering. Die kan toch gewoon uitkeren?
"Soms heb je geen andere optie, maar ik zou nooit blindelings betalen of losgeld laten uitkeren. Als we dat met z'n allen doen wordt ransomware een nog veel groter probleem en zorg je ervoor dat misdaad loont", aldus Groenewegen, die vindt dat verzekeraars moeten stoppen met het lukraak vergoeden van losgeld. Hij wil voorkomen dat verzekeren de meest voor de hand liggende optie wordt.
Bovendien heb je ook bij betalen of laten uitkeren geen volledige garantie. Zannoni: "Soms krijg je de data alsnog niet terug. En als dat wel zo is, blijkt dat je chantabel bent. Wie zegt je dat aanvallers dan niet terugkomen?"
6. Hoe werkt de communicatie naar mijn werknemers en klanten?
"Met een beveiligingsexpert kijk je naar it-security, maar de communicatie is minstens zo belangrijk", weet Zannoni. Een bedrijf moet volgens hem daarom standaard in kaart brengen welke gegevens van klanten of medewerkers misbruikt kunnen worden.
Dan weet je ook welke toezichthouder moet worden ingeschakeld en of er een meldplicht geldt. "Vervolgens ga je jouw klanten en de media zo snel mogelijk inschakelen, omdat je natuurlijk wilt dat ze het van jou horen."
7. Moet ik ook de politie inschakelen?
Ja, zeggen beide experts. "Hoewel de politie niet elk individueel bedrijf kan helpen en je een it-expert moet inschakelen, hoort ook aangifte doen erbij", zegt Zannoni.
Sommige bedrijven doen bewust geen aangifte, omdat zij geen ruchtbaarheid willen geven aan een gijzeling. Of omdat zij de meerwaarde van een aangifte niet inzien.
Maar elke regionale politie-eenheid heeft tegenwoordig een cyberunit. Zannoni: "Zij doen zo ervaring op die waardevol kan zijn om ransomware-aanvallen op grotere schaal aan te pakken."
