Cyberveilig Nederland in Schade Magazine: "Digitaal gegijzeld: wat nu?"

Digitaal gegijzeld: wat nu?

Een bijdrage aan Schade Magazine door Liesbeth Holterman en Petra Oldengarm

Een MKB-ondernemer wordt overvallen door een gewapende bende. De schade is groot: naast de dagomzet, kan het bedrijf een aantal dagen niet open zijn omdat de inboedel is beschadigd. Ook de mentale impact is groot: de ondernemer had nooit verwacht slachtoffer te worden van een overval, want veel leek er niet te halen. De lokale krant pakt het nieuws van de overval breed op en de ondernemer krijgt veel steun. De maatschappelijke verontwaardiging is groot: er wordt geroepen om meer ‘blauw’ op straat en hardere handhaving. Ook verschillende politici pakken het op en twitteren massaal over het belang van meer geld naar opsporing om ‘boeven te kunnen vangen.

Wanneer organisaties slachtoffer worden van een fysieke overval dan ziet de maatschappij ze meteen als slachtoffer. Wanneer het echter een digitale overval betreft, dan durven ze er vaak niet openlijk voor uit te komen. Meestal omdat ze bang zijn voor reputatieschade. Ook dan staan de kranten er soms vol van, maar voornamelijk over de slechte inrichting van de digitale beveiliging en de nare bijeffecten voor de klanten, zoals bijvoorbeeld datalekken. En dat terwijl ook deze organisaties slachtoffer zijn, ze worden namelijk digitaal overvallen door (cyber)criminelen.

Dagelijks overkomt dit meerdere organisaties. Van grote, wereldwijd opererende multinationals, tot mkb-ers bij je om de hoek. Toch hoor je er nog te weinig over. Het speelt zich namelijk af in de digitale wereld. Er zijn verschillende vormen van digitale aanvallen. Ransomware is op dit moment de meest voorkomende en meest lucratieve vorm van cybercrime wereldwijd. In de afgelopen jaren heeft deze vorm van criminaliteit zich dusdanig ontwikkeld dat er inmiddels meer geld verdiend met cybercrime dan met (internationale) drugshandel. Elke dag worden vele organisaties wereldwijd geraakt door ransomware. Cybercriminelen vragen soms wel tot enkele tientallen miljoenen euro’s aan losgeld. Ransomware leidt daarom niet alleen bij de slachtoffers tot grote schade, maar ontwricht ook steeds meer de maatschappij.

Wat is ransomware?

De naam ransomware is een samenvoeging van de woorden ransom (losgeld) en software. Bij een ransomware aanval gijzelen aanvallers data van het slachtoffer en gebruiken drukmiddelen om het slachtoffer over te halen te betalen. Die gijzeling bestaat vaak uit het versleutelen van de gegevens van het slachtoffer. Steeds vaker wordt ook gedreigd gestolen informatie te publiceren als extra drukmiddel om slachtoffers te laten betalen. Volgens de leden van Cyberveilig Nederland, de branchevereniging van cybersecurity bedrijven, betreft het merendeel van de cyberincidenten momenteel ransomware.

Een ransomware-aanval bestaat grofweg uit een drietal fasen: (1) het binnendringen in het systeem of netwerk (IN), (2) het verkrijgen van toegang in de voor de criminelen relevante onderdelen van het netwerk (DOOR) en (3) alle acties die nodig zijn om het uiteindelijke doel te bereiken (UIT). Deze vorm van digitale aanvallen vraagt om veel kennis en ervaring en we zien tegenwoordig vaak de betrokkenheid van verschillende criminele groeperingen die ieder gespecialiseerd zijn in een klein deel van de totale aanval.

Kosten van een ransomware aanval: direct en indirect

Cybercriminelen willen vanzelfsprekend dat het slachtoffer het gevraagde losgeld betaalt. Daarom moeten ze niet te veel, maar zeker ook niet te weinig losgeld vragen. Vaak baseren ze de hoogte van de losgeldeis op de omzet van een onderneming. Ze investeren tijd om de financiële situatie van het slachtoffer goed in te kunnen schatten. Dit varieert van het opzoeken van bedrijfsinformatie in open bronnen tot het bestuderen van financiële informatie uit het netwerk van het slachtoffer. Bij bedrijven ligt de losgeldeis vaak tussen de 0,4% en 2% van de wereldwijde jaaromzet. Bij overheidsinstellingen is het vermoeden dat cybercriminelen kijken naar de maatschappelijke verantwoordelijkheden van het (beoogde) slachtoffer en passen ze daar de eis op aan.

Naast de losgeldeis komen er nog andere kosten kijken bij een ransomware aanval. Immers, je systemen liggen plat waardoor je medewerkers niet aan het werk kunnen. De gemiddelde downtime is ongeveer drie weken. Dat betekent dat in deze periode geen of beperkte dienstverlening geleverd kan worden. Daarnaast wil je natuurlijk dat de criminelen niet nogmaals in je netwerk terecht kunnen komen. Dat vraagt om extra investeringen om je netwerk weer op te bouwen en te beveiligen. Voor de gemeente Hof van Twente, die eind 2020 te maken kreeg met een ransomware-aanval, waren de kosten van het weer opbouwen van het netwerk bijna driemaal zo veel als de kosten die de cybercriminelen aan losgeld vroegen. Het herstellen van een cyberincident zoals ransomware is helaas dus vele malen duurder dan vooraf investeren in passende maatregelen.

Een ransomware aanval voorkomen

Het is helaas niet mogelijk om met één maatregel te voorkomen dat een ransomware-aanval in een infrastructuur kan plaatsvinden. Digitaal beveiligen is een samenspel waarin er maatregelen nodig zijn om aanvallen te voorkomen, om deze zo snel mogelijk te ontdekken als ze plaatsvinden, en om ze op te lossen als het toch misgaat. Ook is het belangrijk om verantwoordelijkheden goed te verdelen en aandacht te hebben voor randvoorwaarden zoals kwaliteitsbewaking en compliance. Daarbij zien we de laatste jaren dat er naast technische maatregelen ook bredere maatregelen nodig zijn, gericht op gedrag van mensen en organisaties.

Een belangrijke eerste stap is het in kaart brengen en beheren van de kritieke processen (kroonjuwelen) binnen de organisatie. Een risico-analyse geeft hierbij inzicht in welke bescherming er nodig is. Op de website van het Digital Trust Center, www.digitaltrustcenter.nl, van het Ministerie van Economische Zaken en Klimaat staan een aantal tools die hierbij kunnen ondersteunen.

Vervolgens zijn er op verschillende niveaus maatregelen te nemen, die in iedere fase van een ransomware-aanval de weerbaarheid helpen te verhogen.

Aandacht besteden aan gedrag van medewerkers is hierbij ook nodig. Het is goed om in kaart te brengen welk gedrag van medewerkers nodig is en dit gedrag te stimuleren, trainen, of af te dwingen door de keuze van technische maatregelen. Een voorbeeld van dat laatste in het instellen van meerfactor authenticatie (2FA/MFA) voor toegang tot mail en andere essentiële applicaties. Dit voorziet in een extra beveiligingsstap doordat er een tijdelijke code, via bijvoorbeeld via een app te verkrijgen, nodig is om in te loggen. De Nederlandse overheid ziet een sterke toename van pogingen om gebruikersnamen en wachtwoorden te achterhalen door criminelen. Deze kunnen bij digitale aanvallen worden ingezet. Ook zijn zwakke wachtwoorden die eenvoudig te kraken zijn soms een gemakkelijke toegangspoort. Door het gebruik van deze authenticatiestap wordt voorkomen dat cybercriminelen met gestolen of gekraakte inloggegevens toegang krijgen en verder kunnen bewegen in de systemen van een organisatie.

Wat te doen bij een ransomware-aanval

Ondanks alle preventieve maatregelen kan elke organisatie geraakt worden door een ransomware-aanval. Het is belangrijk om te beseffen dat het specialistische kennis vergt om met zo’n aanval om te gaan. Het is dan ook aan te raden om zo snel mogelijk de hulp van een professionele security-organisatie in te roepen. Zij hebben ervaring met dit soort aanvallen en kunnen slachtoffers bijstaan in alle acties die ze moeten ondernemen. Zij zullen niet alleen helpen met het in kaart brengen van de impact van de aanval, maar kunnen ook helpen voorkomen dat de aanval zich verder verspreid en zorgen voor het herstel van het netwerk, zoals het terugzetten van back-ups.

Daarnaast is het belangrijk om helder te communiceren, zowel intern als extern, bij een aanval. Weten medewerkers waar ze aan toe zijn en wat ze wel, of juist niet moeten doen? Zijn er toeleveranciers afhankelijk van jouw product of dienst, terwijl je niet kunt leveren door een aanval?

Ons belangrijkste adviezen zijn om vooraf te oefenen met een gesimuleerde aanval en na een echte aanval de kennis en ervaring te delen met anderen. Helaas is er nog veel (onterechte) schaamte bij slachtoffers waardoor het probleem van ransomware nog niet zo breed bekend is. Hof van Twente en de Universiteit van Maastricht zijn goede uitzonderingen: zij hebben uitgebreid gedeeld hoe zij slachtoffer zijn geworden zodat andere organisaties hiervan kunnen leren. Cyberveilig Nederland stimuleert daarom organisaties om open te zijn waar het kan en relevante informatie te delen met de overheid en binnen de cybersecuritysector zodat deze kennis kan worden gebruikt om aanvallen bij anderen tegen te gaan, maar ook om nieuwe maatregelen te ontwikkelen zodat Nederland steeds beter weerbaar wordt tegen digitale aanvallen.

Cyberveilig Nederland in Schade Magazine: "Digitaal gegijzeld: wat nu?"