Slachtoffers van ransomware zijn het erover eens: blijf altijd patchen, test je security dagelijks, beloon het melden van hacken door je personeel en bezuinig niet op je security. Dit vertelden Henk van Ee (De Friesland Zorgverzekeraar), Jeroen Sprangers (Rein Advocaten & Adviseurs) en Perry van der Weyden (Rijkswaterstaat) in het Computable Cafe tijdens de ict-vakbeurzen Infosecurity & Data Cloud Expo in Jaarbeurs Utrecht.
Van Ee: We zijn drie jaar geleden slachtoffer geworden van het Post NL-virus, later werden we slachtoffer van de trojan-hack vanuit Nu.nl. De impact was groot, ondanks dat we technisch gezien alles op orde hadden. De firewall had namelijk deze nieuwe virussen nog niet opgemerkt. Dit resulteerde in een zwart scherm met een bitcoinrekeningnummer en 250.000 bestanden die ge-encrypt waren.’ Hij licht toe hoe met het probleem is omgegaan. ‘Uiteindelijk is het probleem met het crisisteam van de ict-leverancier opgelost. We hadden gelukkig een back-up en hoefden dus niet te betalen. De belangrijkste les die we hieruit hebben geleerd is om medewerkers niet op hun kop te geven als ze op een gevaarlijke link hebben geklikt, maar ze juist te belonen. Op deze manier kun je sneller schakelen en haal je ook de schaamte eruit, want die is nergens voor nodig.’
Advocaatstukken verdwenen
Ook Rein Advocaten & Adviseurs werd slachtoffer van ransomware. ‘Bij ons gebeurde het door te klikken op een mail door een medewerker van onze failissementsafdeling’, zegt Sprangers. ‘Dit had grote gevolgen, want het hack gebeurde op vrijdagavond, terwijl we met onze ict-dienstverlerner enkel ondersteuning onder kantooruren hadden afgesproken. Dit schoot dus niet op. Doordat de bestanden gehackt waren, kon één van onze advocaten tijdens een rechtszaak niet bij de stukken, hierdoor is de betreffende zitting uitgesteld. Uiteindelijk is het probleem opgelost en hebben we er veel van geleerd. Je infrastructuur opdelen is bijvoorbeeld nu bij ons het devies. Hierdoor beperk je de schade en heb je inzichtelijk wat er binnen een segment zich aan data bevindt. Ook geven we nu meer geld uit aan security, waardoor we nu 24 uur per dag ondersteuning hebben. Daarnaast ben ik het met Van Ee eens dat de schaamte rond ransomware enkel de oplossing tegenhoudt. Het is vreemd dat mensen zich niet schamen voor een gewone inbraak, maar wel voor een cyberhack.’
Van der Weyden is het hiermee eens. ‘Wij zijn eind 2015 gehackt waardoor maar liefst 150 gebruikers niet meer bij hun documenten konden. Er waren maar liefst 170.000 documenten ge-encrypt, gelukkig konden we met behulp van het Nationaal Cyber Center de hack snel isoleren en de schade beperken.’
Wel of niet betalen?
Over het wel of niet betalen zijn de heren het niet eens. Hoewel van der Weyden, Sprangers en Van Ee menen dat bedrijven nooit zouden moeten betalen, kan het volgens gespreksleider Arwin van der Sluijs soms niet anders. ‘Ik was betrokken bij een administratie-kantoor in Hilversum dat gericht gehackt was. Ook de back-up was ge-encrypt, dus ze konden echt geen kant op. De externe ict’er zat zwaar in de problemen en had na deze hack geen bedrijf meer. Uiteindelijk heeft het bedrijf drie bitcoins betaald en het lek gemeld bij de AP.’
Alle deelnemers aan de discussie vinden dat je datalekken altijd moet melden. Van Ee: ‘Dit leidt ook tot meer begrip op bestuurdersniveau, waardoor er vaak meer geld voor security beschikbaar komt. Hiermee haal je het ook uit het verdomhoekje en maak je duidelijk dat medewerkers zich niet hoeven te schamen. Het zijn immers zeer verfijnde hackmails, geen overduidelijke aanvallen meer met mails die zogenaamd uit Nigeria komen.’
Cybersecurityverzekering
Een cybersecurityverzekering afsluiten is iets dat alle heren aanraden. Sprangers: ‘Je kunt deze verzekering zien als een ANWB-achtige verzekering. De schade dekt het vaak niet, maar je hebt wel ondersteuning en hulp bij het terughalen van data. Daarnaast is een verzekering ook bij het beheersen van het aansprakelijkheidskader ideaal. Het is namelijk zo dat bestuurders aansprakelijk worden gesteld wanneer ze onvoldoende securitymaatregelen nemen en slachtoffer worden van ransomware. Wanneer dit leidt tot een failissement, kan de bestuurder/eigenaar in zo’n geval aansprakelijk worden gesteld.’
Tot slot benadrukt Van der Sluijs dat patchen essentieel is. ‘Maar liefst 60 procent van de hacks komt door niet uitgevoerde patches.’ Sprangers beaamt dit en stelt dat dit vaak niet in onderhoudscontracten wordt afgesproken om kosten te besparen. ‘Dit is echter een verkeerde besparing, patchen patchen patchen is mijn devies’, besluit Van der Sluijs.
