Grote hacks domineren de media. Niet alleen in het buitenland, maar ook op nationaal niveau. Zie de ransomware-aanvallen bij Mandemakers Keukens, Bakker Logistiek en onderwijsinstelling ROC Mondriaan. Deze aanvallen vergroten het bewustzijn dat iedereen slachtoffer kan worden van een ransomware-aanval. Is dat inzicht toe te juichen, tegelijkertijd gebeurt er iets anders: bedrijven verzekeren zich tegen ransomware-aanvallen. Maar deze verzekeringen zijn een onderdeel van het probleem.
Hoewel hackers zogenoemde spray and pray-technieken toepassen (lees: wie op de verkeerde link klikt, is slachtoffer), gaat een groot groep cybercriminelen ook nauwkeurig en gericht te werk. Voordat ze een aanval uitvoeren, lezen ze zich in, kopen ze legitieme inloggegevens en blijven ze langere tijd onder de radar in systemen rondhangen. Zo zijn ze in staat om ongemerkt allerlei informatie te achterhalen, inclusief of je een verzekering hebt afgesloten tegen ransomware én tegen welk bedrag. Cybercriminelen gebruiken dit vervolgens tegen je, waardoor ze uiteindelijk meer geld verdienen.
Gefaald
Het betalen van een losgeld lijkt wellicht een uitweg, maar dat is het allerminst. Organisaties vergeten vaak dat er veel meer kosten bij een ransomware-aanval komen kijken dan de ransom alleen. Met de sleutel die cybercriminelen je overhandigen zodra je hebt betaald, kun je je data enkel ontsleutelen. Dan weet je dus nog niet hoe ze je systemen zijn binnengekomen, welke data ze hebben aangeraakt of welke data precies is gelekt. Dit moet worden onderzocht middels een forensische analyse.
Bovendien heeft de tooling die je op het moment van de aanval gebruikte, blijkbaar gefaald. Daarom dien je ook te onderzoeken wat je moet veranderen om toekomstige aanvallen wél tegen te houden. Onderzoek hiernaar is tijdrovend en daardoor kostbaar. En wordt vaak níet gedekt door de verzekering.
Afspraken
Natuurlijk zijn er altijd situaties waarin het verleidelijk is om te betalen, zeker als een productielijn wordt platgelegd of als er ethische kwesties meespelen. Daarnaast is het nu eenmaal zo dat je eerder betaalt wanneer je verzekerd bent. Het wel of niet betalen van losgeld is een discussie die al sinds jaar en dag wordt gevoerd. Hoe je het ook wendt of keert, wie een ransom betaalt – of dit nu uit een verzekeringspolis komt of niet – sponsort de bad guys.
Natuurlijk wil niemand het bedrijf zijn dat ten onder gaat aan het niet betalen van een ransom. Toch zou het de norm moeten worden om niet te betalen. Want alleen als niemand meer betaalt, wordt het verdienmodel van hackers aangetast. Hier moeten we als maatschappij samen afspraken over maken, anders vallen individuele bedrijven of organisaties hierdoor om.
Geen zwart-witkwestie
Wat je ook afspreekt, er zullen altijd schrijnende gevallen zijn waarvan je niet wilt dat zij de dupe worden van een verbod op het betalen van een ransom of een verbod op ransomware-verzekeringen. Deze kwestie is dan ook zeker niet zwart-wit.
Als organisatie is het bovenal belangrijk dat je je beseft dat je niet machteloos staat. Het is een open deur, maar daardoor niet minder waar: met de juiste tooling kun je cybercriminelen voorblijven. En door actief te monitoren op verdachte gedragingen, kun je afwijkingen in een systeem in een vroeg stadium opmerken én aanpakken. Hiermee maak je het cybercriminelen zo moeilijk mogelijk om binnen te komen en minimaliseer je de kans om slachtoffer te worden van een ransomware-aanval.
(Auteur Ronald Pool is cybersecurityspecialist bij CrowdStrike.)
