Na een grote ransomwarebesmetting staan organisaties voor een duivels dilemma: betalen we het losgeld of niet? Daarvoor bestaan argumenten voor én tegen.
Ransomware is een ware plaag voor het bedrijfsleven en de overheid. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is het probleem inmiddels zo groot dat de nationale veiligheid in gevaar is. In het Cybersecuritybeeld Nederland 2021 waarschuwt de NCTV al voor gerichte aanvallen op de vitale infrastructuur.
Uit onderzoek van Mimecast blijkt dat iets meer dan de helft van de Nederlandse organisaties in het afgelopen jaar slachtoffer werd van gijzelsoftware. Van hen betaalde veertig procent het losgeld. Mimecast, de politie en het Nationaal Cyber Security Centrum (NCSC) raden slachtoffers af om te betalen. Toch is te begrijpen waarom wel voor betaling wordt gekozen.
Het toonaangevende Sans Institute organiseerde onlangs een virtueel debat met securityexperts die getroffen bedrijven bijstaan. Het was een interessante sessie waarin de voors en tegens aan bod kwamen.
Wél te betalen
De experts noemen diverse argumenten om tot betaling over te gaan.
- Snel weer back in business
Volgens het onderzoek bedraagt de gemiddelde downtime door een ransomwarebesmetting vijf dagen. Maar een gijzeling kan de bedrijfsvoering soms wel maanden verstoren. In ernstige gevallen gaat voor jaren aan werk verloren. Betalen wordt dan als de snelste manier gezien om weer volledig operationeel te zijn.
- Data van klanten beschermen
Veel moderne ransomwarevarianten versleutelen de data niet alleen, maar exfiltreren deze ook. Vervolgens dreigen de criminelen de gegevens openbaar te maken (‘dubbele afpersing’). Dit geeft hen een stok achter de deur voor als het slachtoffer weigert te betalen. Zo’n lek kan immers grote gevolgen hebben voor klanten.
- Geld besparen
Bij deze afweging voeren veel organisaties een kosten-batenanalyse uit. Van productiviteitsverlies en misgelopen inkomsten door downtime tot reputatieschade: de totale impact van een langdurige besmetting is vaak niet gering. Onder de streep kan het voordeliger zijn om aan de eisen van de aanvallers te voldoen.
- Medewerkers beschermen
Het menselijke aspect speelt ook een rol in de besluitvorming. Een ransomwarebesmetting kan ertoe leiden dat it-systemen of apparaten niet beschikbaar zijn. Mogelijk vallen er dan diensten uit. Flexwerkers met een laag inkomen en zonder financiële buffer komen dan in het nauw.
- Achterhalen wat er gestolen is
Organisaties hebben lang niet altijd een volledig beeld van de data die ze verwerken en verzamelen. Bij een ransomwarebesmetting is dan al gauw de vraag: wat hebben de aanvallers precies gestolen? Zie daar maar eens antwoord op te krijgen als alle bestanden versleuteld zijn.
Níét betalen
Dit steekhoudende argumenten. Maar er zijn nog betere redenen om de rug recht te houden.
- Betalen biedt geen garanties
In het onderzoek van Mimecast kreeg 41 procent van de Nederlandse organisaties die het losgeld betaalden desondanks geen toegang tot de gegijzelde data. Soms werkt de decryptiesoftware niet goed, soms gaan de cybercriminelen er gewoon met de buit vandoor. Het komt maar zelden voor dat het slachtoffer alle data terugkrijgt.
- Bedrijfsvoering wordt toch verstoord
Zelfs als de getroffen organisatie het losgeld betaalt, heeft een ransomwarebesmetting een flinke impact op de business. Het is geen knop waarop u drukt om de oude situatie te herstellen. Zo nemen de onderhandelingen met de criminelen tijd in beslag, net als het opnieuw opstarten van het netwerk.
- Betalen leidt tot meer aanvallen
Ransomware is een succesvol verdienmodel dat bedrijven in stand houden door te betalen. Niet voor niets adviseert de politie om geen losgeld te betalen. Ook andere landen ontmoedigen dit. Zo wil Australië een meldplicht invoeren voor losgeldbetalingen en pleit de Amerikaanse energieminister Jennifer Granhold zelfs voor een verbod.
- Aanvallers hebben de data nog
Het betalen van losgeld geeft de organisatie misschien weer toegang tot de data krijgt, maar de gestolen data blijven in handen van de cybercriminelen, die per definitie niet te vertrouwen zijn. Mogelijk wordt de organisatie in een later stadium nogmaals afgeperst, of belanden de data alsnog op internet.
- Financiering van criminelen
Dan is er uiteraard het ethische aspect. De opbrengsten worden niet alleen gebruikt voor nieuwe aanvallen, maar ook voor het financieren van andere criminele activiteiten. Dan gaat het bijvoorbeeld om zware misdrijven zoals mensensmokkel en kindermisbruik. Ofwel, het betalen van losgeld kan levens verwoesten.
Beter: betaal nooit!
Wat is nu de juiste keuze? Dat moet elke organisatie voor zichzelf bepalen. Maar het betalen van losgeld is principieel verkeerd. We hebben hier te maken met genadeloze criminelen die veel leed veroorzaken. Zolang het geld blijft binnenstromen, gaan zij niet stoppen. Betalen is een kortetermijnoplossing. Los daarvan biedt het geen enkele garantie op gegevensherstel.
Mocht uw organisatie toch slachtoffer worden van ransomware, durf hier dan zo transparant mogelijk over te zijn. Dergelijke incidenten worden vaak onder de pet gehouden. En hoewel hiervoor een legitieme reden kan zijn, lijkt het bijna een taboe om erover te praten. Dat is gunstig voor cybercriminelen. Het zou mooi zijn als kennisdeling de norm wordt. Dan kunnen andere organisaties leren van eventuele fouten.
Beter is het natuurlijk om te voorkomen dat u in deze situatie belandt. Zorg daarom voor een gelaagde beveiliging tegen ransomware. Die bestaat uit maatregelen zoals het gebruik van sterke wachtwoorden, offline-backups, netwerksegmentatie, een strikt toegangsbeheer, multi-factorauthenticatie en noodvoorzieningen voor e-mail. Train uw werknemers ook regelmatig in gevaarherkenning, want een besmetting begint meestal bij een phishing-aanval.
Er zullen altijd bedrijven zijn die ondanks de bezwaren besluiten het losgeld te betalen. Maar wat levert dat nu echt op? U kunt dat geld ook investeren in uw security, zodat u over een jaar niet nogmaals voor hetzelfde dilemma staat.
Goed dat ook naar de zakelijke afwegingen gekeken wordt want morele principes zijn leuk maar uiteindelijk moet de schoorsteen blijven roken. De argumenten om wel te betalen zijn trouwens objectief sterker want hoewel er risico’s zitten aan zaken doen met criminelen draait het verdienmodel van ransomware grotendeels om vertrouwen. Morele principes zijn leuk maar hackers komen hierop binnen want 20 jaar na ILOVEYOU is er nog steeds geen bewustzijn bij gebruikers. Te goed van vertrouwen en te dom om te snappen dat ransomware een lucratief verdienmodel is geworden doordat cryptogeld zo lastig te volgen is, misschien eerst dat verbieden?
Verder kun je weinig aan de gestolen data doen, je hebt als organisatie een meldplicht hiervoor maar als je niet weet wat er gestolen is dan tast je in het duister (wie doet het licht aan?) over de waarde en impact. Een meldplicht zonder informatieplicht heeft zoals ik 6 jaar geleden schreef niet zoveel waarde. Oja, je kunt klanten ook niet waarschuwen omdat je klantenbestand nog versleuteld is want het is moreel verwerpelijk om zaken te doen moet criminelen.
Bij Colonial Pipeline hebben ze betaald, maar vervolgens bleek de software om te decrypten zo traag dat ze alsnog op back-ups moesten terugvallen.
In alle gevallen geld: Voorkomen lijkt het best en goedkoopst.
Dus hoe voorkom je dat je slachtoffer wordt?
Het antwoord is een gift that keeps on giving.
Oja, nog een nabrander…. of je nu gaat betalen of niet… start direct de onderhandeling met de criminelen. Dat gaat je ook veel geld schelen als je onverhoopt toch gaat betalen.
“Beter: betaal nooit!” Als elke organisatie voor zichzelf mag bepalen, dan gaat een substantieel deel van de slachtoffers betalen in de hoop dat dit de beste keuze is voor de eigen organisatie. Dit geldt niet alleen voor problemen met ransomware, maar ook voor gestolen data en een combinatie van beiden.
De overheid zou op dit gebied eindelijk eens een visie moeten ontwikkelen. Blijft het bij waarschuwen, ieder voor zich en acceptatie van het verdienmodel? Of betalen we structureel niet en krijgt het slachtoffer steun als deze bepaalde maatregelen heeft genomen op gebied van techniek, organisatie en eventueel een bijpassende verzekering. Daarbij moet bedacht worden dat gegevensverwerkers ook al maatregelen moeten nemen vanwege de privacywetgeving. Welk alternatief zou voor de maatschappij goedkoper zijn gezien de huidige trend?
Ik vraag me ook af wanneer geldverstrekkers eisen gaan stellen aan leningen door bedrijven die door ransomware in ernstige problemen kunnen komen. Als de liquide middelen naar de cryptocurrency wallets van de criminelen zijn gegaan en het bedrijf alsnog failliet gaat, dan moet de stroppenpot gebruikt worden.
Jaap, nooit betalen is in gevallen geen optie. Dan zou ik zeggen: De komende vijf jaar gaan we plan X uitvoeren zodat ieder bedrijf die zich aan de wet houdt zich kan beveiligen tegen extreme gevolgen van ransomware. Als voorbeeld: Ieder bedrijf dient een plan te hebben en uit te voeren om off site / off line backups te maken en terug kunnen zetten binnen een Y periode.
Als je dan zegt; “Ja maar als ik niet betaal, dan is mijn bedrijf kapot” dan heb je dus niet aan de wet gehouden 🙂
Aardig verhaal wat ik niet zeker weet of het echt gebeurd is, is dat losgeld vragen door de maffia in Italië zo’n plaag werd dat de regering verbood losgeld te betalen en dat ze daarmee het probleem hebben opgelost.
Henri, een beleid uitwerken kost tijd, ongeacht de keuze. Maar geen keuze maken kost ook geld. Hoe lang zijn criminelen in Nederland al bezig met chantage met gestolen data en gijzelsoftware? De eerste bij mij bekende pogingen stammen uit de jaren negentig. Het gaat niet meer om balorig anarchisme. Er zijn 2 ministers Veiligheid en Justitie en een staatsecretaris, maar er is geen visie, alleen stoer geblaat. De tijd van verschuilen achter “met de kennis van nu” is voorbij. De overheid moet gewoon eens uitrekenen wat het beste is en niet doen alsof zij voor nachtwakersstaat speelt. Misschien zou VNO-NCW het initiatief moeten nemen.
Kijk je naar de overheid in Nederland, dan zie je dat een universiteit bijvoorbeeld wel betaalt en een gemeente weer niet. De één medefinanciert dus de aanval op een ander van ons gezamenlijke geld, de ander is principieel.
tja….
https://it.slashdot.org/story/21/06/18/1933233/80-of-orgs-that-paid-the-ransom-were-hit-again-report-finds
Henri,
De wetgever is nogal makkelijk want er ligt ook een verplichting aangaande de administratie, als deze niet op orde is dan kan dat later vervelende consequenties hebben. Compliance aangaande de bewaarplicht geldt veelal een bewijslast en de keus tussen ransomware en een boete zorgt ervoor dat bedrijven minder transparant zullen worden in hun besluitvorming. Verdienmodel van ransomware gaat om de toegankelijkheid van data, andere verdienmodel van afpersing gaat om reputatieschade.
Rechtspersonen beschermen wel hun imago maar niet de natuurlijke personen en verhaal van de maffia kent volgens mij een vreemde historische oorsprong als we kijken naar de bescherming van belangen. Ik romantiseer niks maar was het historisch niet de overheid die faalde waardoor sociale groeperingen zelf de macht in handen namen en als belasting protectiegeld vroegen?
Sommigen vinden het gijzelen van data en/of personen door de overheid rechtvaardig en anderen vinden het crimineel, ik oordeel niet maar wijs alleen op de historie want wil niet iedereen geld uit data halen?