Een MKB-ondernemer wordt overvallen. De schade is groot: naast het verlies van de dagomzet is de onderneming een week gesloten, omdat veel van zijn inboedel is beschadigd. Ook de mentale impact is groot: de ondernemer voelt zich onveilig en de medewerkers die op de dag van de overval in de winkel stonden hebben zich ziek gemeld. Ook had de ondernemer nooit verwacht slachtoffer te worden van een overval, want veel leek er niet te halen: hij is toch geen juwelier? Het lokale ‘sufferdje’ pakt het nieuws van de overval breed op en de ondernemer krijgt veel steun. De maatschappelijke verontwaardiging is groot: er wordt geroepen om meer ‘blauw’ op straat en hardere handhaving. Ook verschillende politici pakken het op en twitteren massaal over het belang van meer geld naar opsporing om ‘boeven te kunnen vangen’ en om MKB-ondernemers, die het al zo zwaar hebben, te steunen.
Herkenbaar? Bovenstaande overkomt ongeveer 1 op de 5 ondernemers. Alleen niet in de fysieke wereld, maar in de digitale. Waar door MKB-ondernemers vaak gedacht wordt dat alleen overheidsorganisaties of grote multinationals interessant zijn voor cybercriminelen laten de cijfers helaas iets anders zien: ook MKB-ondernemers worden steeds vaker slachtoffer van ransomware. Want daar hebben we het hier over.
Wat is ransomware?
De naam ransomware is een samenvoeging van de woorden ransom (losgeld) en software. Bij een ransomware-aanval gijzelen aanvallers data van het slachtoffer en gebruiken drukmiddelen om het slachtoffer over te halen te betalen. Die gijzeling bestaat vaak uit het versleutelen van de gegevens van het slachtoffer. Steeds vaker wordt ook gedreigd gestolen informatie te publiceren als extra drukmiddel om slachtoffers te laten betalen (data exfiltratie). Een aanval bestaat grofweg uit een drietal fasen: het binnendringen in het systeem of netwerk (IN), het verkrijgen van toegang in de voor de criminelen relevante onderdelen van het netwerk (DOOR), alle acties die nodig zijn om het uiteindelijke doel te bereiken (UIT).
Kosten van een ransomware-aanval: direct en indirect
Cybercriminelen willen natuurlijk dat het slachtoffer het gevraagde losgeld betaalt. Bij bedrijven ligt de losgeldeis vaak tussen de 0,4% en 2% van de (wereldwijde) jaaromzet. Bij overheidsinstellingen is het vermoeden dat cybercriminelen kijken naar de maatschappelijke verantwoordelijkheden van het (beoogde) slachtoffer. Vervolgens passen ze de eis daarop aan. Naast de losgeldeis komen er nog andere kosten kijken bij een ransomware-aanval. Immers je systemen liggen plat, waardoor je medewerkers niet aan het werk kunnen. De gemiddelde downtime bij een aanval is rond de drie weken. Dat betekent dat in deze periode geen of beperkte dienstverlening geleverd kan worden. Daarnaast wil je natuurlijk dat de criminelen niet nogmaals in je netwerk terecht kunnen komen. Dat kost investeringen om je netwerk weer op te bouwen en te beveiligen. Voor de gemeente Hof van Twente, die eind 2020 te maken kreeg met een ransomware-aanval, kostte het weer opbouwen van het netwerk bijna driemaal zo veel als wat de cybercriminelen aan losgeld vroegen. Het herstellen van een cyberincident zoals ransomware is helaas dus vele malen duurder dan vooraf investeren in passende maatregelen. Daarnaast moeten we de mentale impact van een aanval niet onderschatten. Onderzoek door het Nederlandse cybersecurity bedrijf Nortwave laat zien dat het bij sommige slachtoffers zelfs leidt tot een posttraumatische stressstoornis (PTSS).
Een ransomware aanval voorkomen
Voorkomen is dus beter dan genezen. Het tegenhouden van ransomware is helaas niet afhankelijk van het invoeren van één maatregel. Cybersecurity is een samenspel waar gedrag (de werknemers), de organisatie en technische maatregelen samen de weerbaarheid bepalen. De belangrijkste eerste stap is het in kaart brengen en beheren van de kritieke processen (kroonjuwelen) binnen de organisatie. Een risicoanalyse is daarbij de eerste stap. Op de website van het Digital Trust Center (www.digitaltrustcenter.nl) van het Ministerie van Economische Zaken en Klimaat staat een aantal tools die je hierbij kunnen helpen.
Daarnaast is het heel belangrijk dat medewerkers getraind worden in het herkennen van een malafide (phishing) mail. Een positieve securitycultuur helpt hierbij, want zo worden je medewerkers een extra beschermingslaag. Ook is het verstandig om tweefactor-authenticatie (2FA/MFA) in te zetten bij je mail en andere belangrijke systemen en applicaties die je hebt geïdentificeerd tijdens je risicoanalyse. Deze zorgt voor een extra beveiligingsstap doordat je een tijdelijke code krijgt (bijvoorbeeld via een app) om in te loggen. De Nederlandse overheid ziet een sterke toename van pogingen om gebruikersnamen en wachtwoorden te achterhalen en veel misbruik van bekende of zwakke gebruikersnaam/wachtwoordcombinaties. Door het gebruik van deze extra stap wordt voorkomen dat cybercriminelen via deze inloggegevens toegang krijgen en verder kunnen bewegen in de systemen voor bijvoorbeeld het uitvoeren van een ransomware-aanval.
Wat te doen bij een ransomware-aanval?
Ondanks alle maatregelen kan elke organisatie geraakt worden door een ransomware-aanval. Het is belangrijk om te beseffen dat het specialistische kennis vergt om met zo’n aanval om te gaan. Hiervoor kun je in ieder geval contact opnemen met de Fraudehelpdesk. Zij kunnen meedenken of het nodig is om de hulp van een professionele security-organisatie in te roepen.
Daarnaast is het belangrijk om helder te communiceren, zowel intern als extern, bij een aanval. Weten medewerkers waar ze aan toe zijn en wat ze wel of juist niet moeten doen? Zijn er toeleveranciers afhankelijk van jouw product of dienst, terwijl je niet kunt leveren door een aanval?
Mijn belangrijkste advies is om de kennis en ervaring te delen met anderen. Helaas is er nog veel (onterechte) schaamte bij slachtoffers waardoor het probleem van ransomware nog onbekend is bij veel organisaties. Hof van Twente en de Universiteit van Maastricht zijn goede uitzonderingen: zij hebben uitgebreid gedeeld hoe zijn slachtoffer zijn geworden, zodat anderen er van kunnen leren. Cyberveilig Nederland stimuleert daarom organisaties om open te zijn waar het kan en relevante informatie te delen met de overheid en binnen de cybersecuritysector, zodat deze kennis kan worden gebruikt om aanvallen bij anderen tegen te gaan.
Dit blog is geschreven door Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland.