De crisis achter ransomware

Het is inmiddels een bekend fenomeen, dat helaas niet meer is weg te denken uit het rijtje van mogelijke risico’s voor bedrijven: ransomware. Sterker nog; ‘ransomware is here to stay’. Mede dankzij de lage kosten en vooral de lage pakkans voor de criminelen is het een lucratief businessmodel geworden.

Cybercriminelen bieden zelfs ransomware aan in de vorm van ‘cyber-as-a-service’, waardoor minder professionele cybercriminelen zich ook op dit werkveld begeven. Al met al reden om aan te nemen dat we nog lang te maken zullen hebben met deze vorm van criminaliteit.

De modus operandi van de criminelen is bekend; je infrastructuur wordt gehackt, waarna ransomware systematisch wordt geïnstalleerd op de systemen. Vaak steelt de crimineel ‘onderweg’ nog wat data, die wordt gebruikt gedurende afpersing. Concreet heb je op enig moment geen toegang meer tot je systemen en moet je losgeld betalen. De gestolen data wordt vervolgens met je gedeeld en gebruikt om de druk op te voeren, mocht je aangeven niet te willen betalen. Op dat moment dreigt de crimineel met het openbaar maken van deze data. Al met al genoeg ellende die op de organisatie afkomt.

In dit soort gevallen schieten de meeste bedrijven onmiddellijk in de technische oplossingen. Uiteraard zeer begrijpelijk, want je wilt snel weer terug naar business as usual. De focus komt te liggen op toegang tot de systemen en data. Wat echter net zo belangrijk is, is het managen van de crisis. Alleen al de vraag ‘wie gaat deze crisis managen?’ is relevant. Laat je het alleen over aan de systeembeheerder, of benader je het probleem ook breder?

De meest voor de hand liggende vraag is: hoe ga je communiceren, nu de IT systemen onbenaderbaar zijn? Maar er zijn ook vragen, waaronder of je een melding moet doen bij de Autoriteit Persoonsgegevens betreffende de diefstal van de gestolen data. Of moet je klanten gaan informeren over mogelijk verlies van hun data? En wat vertel je de eigen medewerkers? Kortom, het antwoord is, dat je het probleem zeker niet alleen technisch moet benaderen.

Idealiter heeft u een crisismanagementteam beschikbaar, dat getraind is en de analyse maakt van alle mogelijke scenario’s die op de organisatie kunnen afkomen. Zij beantwoorden vragen, zoals: betalen we het geëiste geld?’, kunnen we überhaupt onderhandelen over losgeld? en welke stakeholders moete wij op de hoogte brengen? Hieronder volgen een paar praktijkvoorbeelden, waar wij met onze specialisten opdrachtgevers hielpen met dit soort vraagstukken.

Onderhandelen of niet?

Dit is een essentiële vraag, kun je eigenlijk onderhandelen over het losgeld dat de ransomware crimineel eist? Het antwoord is niet eenduidig en hangt sterk af van de situatie. Een van onze opdrachtgevers die slachtoffer werd van ransomware was bijvoorbeeld redelijk goed in staat om op korte termijn de systemen weer op te bouwen. Het werd een business-case waarbij de overweging was om terug te koppelen naar de criminelen dat zij bereid waren om slechts een deel van het losgeld te betalen, zodat ze daar sneller weer operationeel waren. Uiteraard kwamen er daarna nog behoorlijke forensische kosten bij om te controleren of de malware uit de systemen was en zij niet opnieuw slachtoffer konden worden. En natuurlijk is het ook belangrijk om aangifte te doen bij de politie.

Welke stakeholder moet je betrekken?

Een andere vraag die snel aan de orde komt, is wie moet je allemaal informeren? Ga je bijvoorbeeld de klanten informeren dat je mogelijk informatie van hen kwijt bent, en op welke wijze doe je dat dan?

Bij een andere klantcasus hebben we, gezien de situatie en de omvang van het bedrijf dat slachtoffer was van ransomware criminaliteit, een heel callcenter opgebouwd. En concrete lijst met vaste Q&A’s was voorbereid om zowel klanten en medewerkers te helpen met hun algemene vragen, maar er waren ook cyber specialisten beschikbaar, die specifieke vragen konden beantwoorden. Uiteraard was er vooraf een goed doordachte communicatie uitgegaan naar deze klanten en medewerkers, die al veel vragen en eventuele onrust voorkwam.

In beide voorbeelden is het van groot belang dat je als crisisteam in staat bent om het overzicht te bewaren en op basis van de juiste informatie de situatie te beoordelen en besluiten te nemen. Er zijn zes stadia in een crisis die van belang zijn:

De crisis vermijden: dit lijkt een dooddoener, te veel organisaties zijn echter nog onvoldoende beveiligd tegen ransomware, of hebben überhaupt niet goed in beeld welk risico zij daadwerkelijk lopen.

Voorbereiden op een crisis: dit is het proces van plannen op een crisis. Dit proces bestaat uit de analyse van de crisisscenario’s, het uitwerken van beheersplannen en het trainen daarvan.

Het herkennen van een crisis: Dit is soms de meest uitdagende fase van crisisbeheer – in feite erkennen dat er een crisis is. In het algemeen moet het management begrijpen hoe anderen een probleem zullen zien en dehun eigen veronderstellingen ter discussie stellen. Vaak blijft de focus van het (crisis) management gericht op de interne organisatie en wordt vergeten wat het effect kan zijn van de percepties van externe stakeholders.

Het beheersen van de crisis: Dit is de fase waar het besluitvormingsproces essentieel is. Besluitvaardigheid is van cruciaal belang… een redelijk besluit met acties is bijna altijd beter dan helemaal geen actie. Hier is het structureel doorlopen van het proces van: beeldvorming, oordeelsvorming, besluitvorming, opdracht en controle van groot belang.

De crisis oplossen: Wees voorbereid op een langdurige crisis. Vergeet niet dat de normale business ook doorloopt, maar vooral; de crisis eindigt niet nadat bij terugkeer in ‘business as usual’. Heb juist dan ook oog voor de naweeën van een crisissituatie en monitor de reactie van de stakeholders na de crisis.

Profiteer van de crisis: dit laatste stadium loopt in lijn met de vorige. Als je in staat bent de crisis professioneel te managen, levert dat aanzien op zowel binnen als buiten de organisatie. Juist professionele acties richting stakeholders kunnen ervoor zorgen dat deze meer vertrouwen krijgen in de organisatie. He hebt immers veerkracht en leiderschap getoond in een moeilijke situatie.

Als je als organisatie slachtoffer wordt van een ransomware-aanval, is het zaak dat je dit aanvliegt als een crisis. Bij voorkeur zorg je op voorhand voor een crisisplan, waarbij teams worden geformeerd en getraind en op voorhand al is nagedacht over het aanpakken van deze crisis. Gedurende het aanpakken van de crisis is het van groot belang dat niet wordt vergeten om de belangrijkste stakeholders te betrekken en dat er een open en eerlijke communicatie op gang komt.

Het managen van een crisis vraagt om moeilijke beslissingen en dus om leiderschap. Weet je als organisatie de crisis goed het hoofd te bieden, dan kan dat zelfs positieve effecten hebben.

Gerelateerde artikelen

Twee derde werknemers gokt met security

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

Overheid lanceert NIS2-Quickscan

Overheid lanceert NIS2-Quickscan

Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.

Bestuur CISO Platform Nederland is compleet

Bestuur CISO Platform Nederland is compleet

Het bestuur van CISO Platform Nederland, de non-profit vereniging van de CISO community Nederland, is compleet: de CISO’s Dimitri van Zantvliet, Luisella ten Pierik, Mahdi Abdulrazak, Justin Broeders en mede-oprichter Rob Beijleveld zijn op 16 februari officieel toegetreden tot het bestuur van de organisatie.