To Pay or Not to Pay, dat is de vraag

Redactie WINMAG Pro
Ransomware veroorzaakt slapeloze nachten voor bestuurders, CIO's en CFO's over de hele wereld en in Nederland. Ook neemt het aantal aanvallen steeds verder toe. Onlangs veroorzaakte de aanval op het ROC Mondriaan, waarbij persoonlijke gegevens van leerlingen en personeel openbaar werden gemaakt, grote schade in de digitale én de echte wereld.

Hoewel je op het gebied van cybersecurity veel kunt doen om aanvallen te voorkomen en de impact van aanvallen te beperken, willen bestuurders, CIO’s en CFO’s vaak één ding weten.

Wat moet ik doen als ik geconfronteerd word met de vraag: “Wij hebben controle over al uw gegevens. Betaal X Bitcoin, en we zullen ze ontgrendelen.”?

Steeds vaker horen we dat criminelen bedrijfsgevoelige data van bedrijven of organisaties hebben verzameld en deze partijen dan in een onmogelijke positie manoeuvreren. Cybercriminelen publiceren de data of dreigen het te publiceren op het darkweb, nadat de data al versleuteld is. Dit zet de getroffen partijen voor een duivels dilemma.

Scholengroep ROC Mondriaan werd eind augustus slachtoffer van zo’n ransomware aanval. De scholengroep werd gevraagd om 4 miljoen euro te betalen om de toegang tot hun digitale systemen weer terug te krijgen. Als drukmiddel werd er gedreigd met het online publiceren van interne en privacygevoelige stukken.

Zoals dit voorbeeld aantoont, leiden ransomware aanvallen tot enorm ingewikkelde situaties en dus is er geen simpel "betaal wel" of "betaal niet" antwoord op bovenstaande vraag. Losgeld betalen is in principe verkeerd, online of in de fysieke wereld, maar geen twee situaties zijn hetzelfde. Hieronder worden enkele argumenten voor en tegen het betalen van losgeld besproken, om zo hopelijk richting te geven aan je beslissing.

Het gevaar van betalen

Bij ransomware aanvallen financier je als slachtoffer de mensen die je proberen aan te vallen, en op deze manier draag je in feite bij aan de volgende aanval.

Stel dat je ervoor kiest om te betalen, dan moet je de criminelen vertrouwen die zojuist in je netwerk hebben ingebroken en je gegevens hebben gegijzeld. Er is dus geen garantie dat ze je gegevens daadwerkelijk zullen ontgrendelen zodra je hebt betaald. Om die gedachtegang voort te zetten; stel dat de cybercriminelen daadwerkelijk je gegevens ontsleutelen, dan wordt je nog steeds geconfronteerd met tenminste drie risico's:

  1. Met het betalen van het losgeld kom je niet van de cybercriminelen af en het lost ook niet de onderliggende beveiligingsproblemen op waardoor ze jouw netwerk binnen konden komen. En wie zegt dat ze geen achterdeur zullen inbouwen om je in de toekomst weer te bezoeken?
  2. Het is makkelijker om inkomsten te genereren van bestaande klanten dan om nieuwe te vinden. Dat geldt ook voor hackers. Ook zonder achterdeur kennen ze de ins en outs van je netwerk. Ze kunnen dus terugkeren en hun geluk opnieuw beproeven met jouw bedrijf.
  3. Hoe weet je dat de nu ontgrendelde gegevens niet per ongeluk zijn beschadigd? Er zijn verschillende dingen die fout kunnen gaan, zelfs als de ransomware-auteur het “juiste” probeert te doen. Het is zorgelijk dat je de integriteit van de gegevens niet kunt verifiëren.

Het losgeld zelf is slechts de initiële kostenpost en brengt je niet verder dan je was op het moment van de inbreuk. Meldingen, beveiligingstrainingen en het opnieuw uitrusten van beveiligingsplatforms om de oorzaak aan te pakken, zullen veel duurder zijn.

Laatste redmiddel

Het betalen van het losgeld zou het laatste redmiddel moeten zijn van elk slachtoffer van cybercriminaliteit, maar het is begrijpelijk dat sommigen ervoor kiezen om te betalen. Het is in veel gevallen makkelijker om het losgeld te betalen en tijd te besteden aan het decoderen van gegevens dan het geld uit te geven om alle systemen te herstellen. Onderzoek toonde aan dat de gemiddelde herstelkosten na een aanval ongeveer 1,5 miljoen euro zijn, terwijl het losgeldbedrag gemiddeld 141.000 euro bedraagt, ook kwam aan het licht dat slechts 8% van de organisaties al hun gegevens terugkrijgt na de betaling van losgeld.

Het ROC Mondriaan koos ervoor om het losgeld uiteindelijk niet te betalen, waarna de criminelen identiteitsbewijzen, persoonsgegevens en tientallen documenten met persoonlijke informatie van studenten zoals klachten, schorsingen en incidenten online hebben gezet. De Scholengroep heeft afgelopen week besloten om de kosten van een nieuw identiteitsbewijs voor medewerkers en studenten van wie gegevens door internetcriminelen online zijn gezet te gaan vergoeden.

Eerder deze maand kwam het betalen van losgeld aan ransomware-criminelen ook ter sprake in de Tweede Kamer. Het dringende advies vanuit het Nederlandse Kabinet is om geen losgeld te betalen na een ransomware-aanval, aangezien dit het crimineel verdienmodel in stand houdt. De politie stelde dat een relevant deel van het door slachtoffers betaalde losgeld zelfs rechtstreeks wordt geïnvesteerd in nieuwe aanvalsinfrastructuren.

De beslissing om losgeld te betalen mag alleen in de meest extreme gevallen worden overwogen en moet worden gezien als noodherstel en niet als een snelle manier om een ​​omgeving te herstellen. We moeten ook erkennen dat geen twee gevallen hetzelfde zijn. Het is begrijpelijk dat mensen in gevallen met wijdverbreide maatschappelijke gevolgen of mogelijke gevolgen voor de veiligheid van anderen een sterkere druk voelen om te betalen.

Wees onaantrekkelijk

Of je het nu leuk vindt of niet, als je het slachtoffer wordt van een ransomware-aanval en je ervoor kiest om te betalen, word je een zakenpartner van cybercriminelen. Als dat klinkt als iets dat je wilt vermijden, zijn hier de basisacties die je moet overwegen:

  • Ontwerp je netwerk met de juiste beveiligingsarchitectuur in gedachten. Het belangrijkst hierbij is een goede back-up, segmentatie en een Zero trust-architectuur. Je moet jezelf een duur, moeilijk en dus onaantrekkelijk doelwit maken voor de criminelen.
  • Vertrouw nooit 100% op je vermogen om hackers buiten de deur te houden. Zelfs de beste architectuur kan worden doorbroken. Zorg dat je een rampenplan gereed hebt, waarbij alle relevante onderdelen van de organisatie zijn betrokken, waaronder juridische zaken, HR, financiën, IT, uw directie en directieteam.

Onschadelijk maken

In een aantal gevallen is het ook mogelijk om de getroffen bestanden zelf te ontsleutelen zonder daarvoor te betalen aan criminelen. Voor het onschadelijk maken van ransomware zijn speciale decryptietools nodig. Het No More Ransom-initiatief van Europol stelt deze tools, samen met verschillende cybersecurity partners waaronder Cisco en Emsisoft, gratis beschikbaar zodat bedrijven zelf hun bestanden kunnen ontsleutelen. Het beste advies blijft natuurlijk om een ransomware te voorkomen door preventieve maatregelen te nemen.

Wat kan er worden gedaan buiten het individuele bedrijf en de organisatie?

Het Amerikaanse ministerie van Justitie, Europol en een aantal van 's werelds grootste technologiebedrijven, waaronder Cisco, hebben de Ransomware Task Force opgericht in een poging de grondoorzaken aan te pakken. Zij erkennen dat internationale en publiek-private samenwerking van cruciaal belang is. Inspanningen moeten worden verlegd van wat de ransomware-actoren hebben gedaan, naar wat hen in staat stelt te opereren. Het doel moet zijn om uiteindelijk de ransomware-groepen te ontmantelen en anderen, die een vergelijkbaar pad willen volgen, af ​​te schrikken. Wat dat concreet betekent, leest u in deze blogpost van Talos, de threat intelligence-organisatie van Cisco.

Niemand kan het alleen, maar als een klein land met een beperkt bereik en beperkte middelen, is het nog belangrijker dat we diepere internationale samenwerking zoeken.

Het is onzeker of dit gaat werken, maar cybercriminelen blijven innoveren, en dus wij ook. Betaal indien mogelijk geen losgeld. Wees onaantrekkelijk. Wees voorbereid op het ergste. Omarm een ​​nieuw samenwerkingsmodel om de hoofdoorzaken van ransomware aan te pakken. Door op voorhand te zorgen voor een gedegen digitale weerbaarheid van de organisatie zorg je ervoor dat cybercriminelen je deur voorbij lopen.

Jan Heijdra security specialist bij Cisco Nederland

afbeelding van Redactie WINMAG Pro

RedactieWINMAG Pro | Redacteur

Bekijk alle artikelen vanRedactie