Northwave – specialist in informatiebeveiliging – heeft wetenschappelijk onderzoek gedaan bij organisaties en individuen naar de psychische effecten van een ransomware-crisis. De uitkomsten laten zien dat een ransomware-crisis diepe sporen nalaat bij individuen in de getroffen organisatie. En ook dat de IT- en security-teams van de organisaties nog ver na de crisis in het ongerede kunnen raken.
Ransomware: na de crisis komt de klap
“Uit het onderzoek blijkt dat de psychologische impact van ransomware-aanvallen op mensen van getroffen organisaties lang kan doorwerken. Het blijkt dat leden uit het crisisteam pas veel later ernstige klachten kunnen ontwikkelen. Het topmanagement en HRM moeten daar maatregelen tegen nemen, eigenlijk al direct bij het uitbreken van de crisis. Zij dragen immers verantwoordelijkheid voor het welzijn van hun mensen”. Dat zegt organisatiepsycholoog Inge van der Beijl, Director Behaviour & Resilience bij Northwave. “Verder zien we dat teams enige tijd na de crisis uiteenvallen omdat mensen weggaan of ziek thuis zitten. Ook maakt het onderzoek duidelijk dat de effecten in de hele organisatie kunnen na-ijlen. Dat alles maakt dat deze onzichtbare impact van een cybercrisis een zaak is voor de algemene bedrijfsleiding en beslist ook voor HRM”.
Northwave ziet de bestrijding van een cyberaanval zich in drie fasen voltrekken: de feitelijke crisissituatie die na ongeveer een week overgaat in een incidentfase. Er is dan een plan van aanpak en er is begonnen met herstel. Na ongeveer een maand is de brand grotendeels geblust en zijn de eerste (basis)functionaliteiten weer beschikbaar. Volledig herstel kan een tot twee jaar duren. Elke fase heeft specifieke effecten op lichaam en geest van individuele betrokkenen, en in het verlengde daarvan, op de organisatie of delen daarvan. “Gemiddeld is een bedrijf iets meer dan drie weken uit de lucht na een malware-aanval. Wat ons heeft verrast, is dat de impact daarna zo lang doorwerkt. Een jaar na de crisis signaleren we nog steeds mentale klachten”, zegt Van der Beijl.
- Eén op de zeven werknemers die direct of indirect betrokken waren bij de aanval, heeft maanden na de aanval symptomen die zo ernstig zijn dat ze boven de klinische drempel liggen waarop professionele hulp bij traumaverwerking nodig is.
- Eén op de vijf medewerkers geeft aan achteraf meer professionele hulp nodig te hebben gehad bij het verwerken van de aanval.
- Eén op de drie had graag meer kennis en concrete handvatten gezien om de mentale gevolgen van de aanval het hoofd te bieden.
De aanval heeft blijvende gevolgen voor de manier waarop medewerkers naar de wereld kijken. Tweederde van de werknemers, inclusief degenen die niet bij de aanval betrokken waren, gelooft nu dat de wereld minder veilig is. Zoals een IT-manager aangaf: “Ik ben veel wantrouwiger geworden. De buitenwereld is een gevaarlijke plek”.
Deze langdurige effecten hebben impact op het personeelsverloop:
- Eén op de vijf direct betrokkenen bij de aanval heeft overwogen, of overweegt nog van baan te veranderen.
- Meer dan de helft van de managers en het IT-personeel meldt dat meerdere medewerkers voor een langere periode, maanden tot zelfs een jaar na de aanval, afwezig zijn geweest van het werk.
Omdat de vragenlijst via de bedrijven zelf onder werknemers is verspreid, zijn mensen die van baan zijn veranderd buiten het bedrijf mogelijk niet in de steekproef opgenomen.
Positieve effecten
Naast de negatieve effecten, zijn er ook positieve effecten van ransomware-aanvallen. IT-afdelingen kunnen eindelijk achterstallig beveiligingsonderhoud plannen, omdat het bedrijf nu meer prioriteit geeft aan cyberveiligheid. Saamhorigheid en empathie is betoond door collega’s buiten de IT-afdeling.
- Bijna de helft van de geïnterviewden zei dat de samenwerking enorm was verbeterd.
- Eén op de 5 van de bij een ransomware-aanval betrokken werknemers, geeft aan dat ze nader tot hun collega’s zijn gekomen.
Aanbevelingen
De onderzoeksresultaten benadrukken het belang van actieve betrokkenheid van hoger management bij herstel van zowel de zichtbare als de onzichtbare impact van ransomware-aanvallen.
Zorg in fase 1 voor regelmatige check-ins. Het is onmogelijk om een marathon in sprinttempo te lopen, en een ransomware-aanval is een marathon. Zorg ervoor dat mensen regelmatig pauzeren en in ploegen werken. Mensen voelen zich verantwoordelijk, wat betekent dat sommige mensen moeten worden opgedragen om vrij te nemen. Kijk welke coping-mechanismen mensen gebruiken, want ongezonde coping komt veel voor.
Manage in fase 2 met beleid de werklast van het incident-team. Maak onderscheid tussen incident-gerelateerde werkzaamheden en reguliere taken. Zoek waar mogelijk extra mensen voor reguliere taken. Creëer een ritme met rust- en hersteltijd voor iedereen.
In fase 3: Plan evaluaties. Het is zeer waarschijnlijk dat veel van degenen die betrokken zijn bij ransomware-aanvallen, psychische symptomen zullen ontwikkelen. Omdat de onderlinge band tussen collega’s is toegenomen, kan het een krachtig hulpmiddel zijn om een open omgeving te creëren waarin negatieve gevoelens regelmatig worden besproken. Mensen willen praten over wat er is gebeurd en wat het voor hen betekende, het faciliteren hiervan kan een enorme hulp zijn.
Over het onderzoek
Met het onderzoek wil Northwave meer inzicht geven in die effecten om organisaties in staat te stellen om passende maatregelen te ontwikkelen teneinde schade door stressgerelateerde klachten te voorkomen, te signaleren en te verwerken. Het grootschalige multi-study onderzoek omvat de reacties over psychosomatische en stressgerelateerde klachten van mensen die beroepshalve een ransomware-aanval hebben meegemaakt. Het onderzoek bestaat uit drie delen. Allereerst zijn er na afloop van ransomware-crises semigestructureerde enquêtes gehouden onder medewerkers van het eigen Cyber Emergency Response Team (CERT) van Northwave. Daarna is kwalitatief onderzoek gedaan naar persoonlijke ervaringen en de effecten binnen de organisatie onder eindverantwoordelijken op C-level van internationale organisaties die in de afgelopen 24 maanden zijn getroffen. De meeste van hen hebben hun hoofdkantoor in de Benelux of de DACH-regio. Tenslotte hebben medewerkers van de getroffen organisaties een vragenlijst ingevuld. Het veldwerk is eind september afgerond. Van der Beijl: “Wat het onderzoek extra waarde geeft, is dat we de effecten tot twee jaar na de crisis in beeld hebben.”
De onderzoeksuitkomsten zijn op 19 oktober gepresenteerd tijdens de ONE Conference, Europa’s belangrijkste cybersecurity-evenement en toonaangevend platform voor het delen van kennis, best practices en onderzoeksresultaten.
Op basis van de resultaten van het onderzoek ontwikkelt Northwave een programma om bedrijven te helpen zich voor te bereiden op de mentale impact van ransomware-aanvallen en om medewerkers te helpen sneller te herstellen van cyberincidenten, om de negatieve impact voor bedrijven zo veel mogelijk te minimaliseren.
In de week van 7 november publiceert Northwave een whitepaper met de complete uitkomsten van het onderzoek.