Boek ‘Onderhandelen in het duister’ van Geert Baudewijns
Je bent gehackt en de hackers eisen een losgeld. En dan bel je Geert Baudewijns, wiens job het is om wereldwijd te onderhandelen met hackers naar aanleiding van een ransomware-aanval. Baudewijns geeft op woensdag 6 november een keynote presentatie op Cybersec Netherlands.
1. Losgeld betalen is meestal onvermijdelijk
‘Mijn belangrijkste taak is om de som van het losgeld naar beneden te krijgen. Want betalen zul je bijna altijd’, is de stelling van Geert Baudewijns. Sommige organisaties betalen principieel geen losgeld. Meestal hebben overheidsorganisaties dit beleid, uit ethische principes. ‘Op basis van de zogenaamde wall of shame van ransomware-groepen zien we dat zeven op de tien slachtoffers betalen. Zodra je betaalt, verdwijn je in principe van zo’n wall.’
Maar soms is het simpelweg een praktische overweging. ‘De meeste bedrijven hebben hun data sneller gerecupereerd na betaling van het ransomeware-losgeld, dan dat ze hun eigen restore zouden uitvoeren’, stelt hij. En intussen ligt het bedrijf plat. ‘Vaak is het zo: ‘als je niet betaalt, bestaat de kans dat je failliet gaat.’
2. Losgelden gebaseerd op omzetcijfers
Losgelden die hackers vragen (en die zo goed als altijd in bitcoins moeten worden vereffend) zijn meestal gebaseerd op omzetcijfers. Voor grote organisaties loopt dat flink op. ‘Voor een kleiner bedrijf, van zo’n dertig tot honderd werknemers, moet je doorgaans rekenen op vijftigduizend tot honderdvijftigduizend euro.’
Maar omzetcijfers zeggen weinig over winst. ‘Waardoor sommige bedrijven door zo’n bedrag wel degelijk in de problemen komen’, stelt hij. ‘Winstcijfers zijn overigens moeilijker te vinden, maar als hackers die hebben, zit je als onderhandelaar in een moeilijke positie. Want dan weten hackers hoeveel een bedrijf echt kan betalen.’
3. Publiceren van data is geen ramp
Wat veel bedrijven de schrik op het lijf jaagt, is dat hackers dreigen om bedrijfsdata te publiceren. Vaak een onterechte bekommernis, vindt Baudewijns. Want hackers kunnen die bedrijfsdata niet zomaar op internet plaatsen, met als risico om geïdentificeerd te worden. En dus gaan die vertrouwelijke data op het darknet, en daar zijn ze simpelweg al veel moeilijker op te sporen. ‘Bovendien gaat het op het darknet ook veel trager om gegevens te downloaden.’
Meer zelfs: het publiceren van die bedrijfsdata is een onderhandelingstactiek. ‘Als ik de klant ervan kan overtuigen om de gegevens desnoods te publiceren, sta ik sterker als onderhandelaar tegenover de hackers’, stelt hij.
4. Meer dan losgeld: vier doeleinden van de onderhandeling
Bij elke onderhandeling – die gemiddeld zowat anderhalve week duurt – stelt Baudewijns zichzelf vier doelen. ‘Eén de prijs voor de klant zo laag mogelijk houden, dat spreekt voor zich. En twee: de juiste sleutels krijgen om de gegevens te decrypteren, die van de belangrijkste data eerst.
Maar de andere doeleinden zijn mogelijk zelfs nog belangrijker. ‘De belangrijkste is namelijk te weten komen of en welke data de hackers precies hebben gestolen en gekopieerd, zodat de klant beter kan inschatten wat het risico is’, vertelt hij. ‘En vier, ook behoorlijk cruciaal: op papier krijgen via welke weg de hackers de weg naar binnen vonden, zodat we die zwakheden in het systeem kunnen beveiligen.’
5. Reken op een trage heropbouw
Veel mensen denken dat zodra de encryptiesleutels binnen zijn, alles snel weer normaal zal worden. ‘Maar zo werkt het niet’, merkt de onderhandelaar op. ‘De software die de hackers gebruiken om te versleutelen, gebruikt de volledige kracht van de server. De decryptiesoftware echter, werkt maar met tien procent van de kracht van de server. Dat duurt dus veel langer’, stelt hij.
Data ontsleutelen is maar één deel van het verhaal. ‘Bovendien moet je het netwerk ook helemaal weer opnieuw opbouwen, anders zit de hacker in geen tijd weer bij je binnen.’
Onderhandelen in het duister – Een toponderhandelaar getuigt over zijn jacht op cybercriminelen
Geert Baudewijns
Lannoo
240 pagina’s
ISBN 9789401498319
Cybersec Netherlands
Op de vakbeurs Cybersec Netherlands is vanzelfsprekend volop aandacht voor het veiliger maken van bedrijven en instellingen. De beurs wordt georganiseerd op 6 en 7 november in Jaarbeurs Utrecht. Meld je hier voor het programma-overzicht en een gratis toegangskaart. Een impressie? Bekijk hier de video-opnames van Cybersec Netherlands 2023.
