Wat hebben een Nederlandse universiteit en een Noorse aluminiumproducent met elkaar gemeen? Beide zijn geraakt door ransomware. Hard geraakt. Maar de twee organisaties hebben in hun rol van ransomwareslachtoffer ook opvallende verschillen. Ze zijn tegenpolen in hoe zij hun IT-gijzeling hebben doorstaan. Van beide benaderingen valt veel te leren.

Het was een nacht van maandag op dinsdag, vlak voor kerst 2019, toen de gijzeling gebeurde bij de Maastricht University. De eerste berichten spraken van een cyberaanval die het e-mailverkeer en de Windowssystemen trof van de universiteit in het zuiden des lands. Een woordvoerder van de onderwijsinstelling verklaarde toen al gelijk dat het ging om ransomware, en dat daardoor medewerkers en studenten geraakt werden. Zij waren afgesneden van e-mail, enkele websites en wetenschappelijke data van de universiteit zelf.

Het was een maandagnacht in maart 2019 toen de gijzeling gebeurde bij aluminiumproducent Norsk Hydro. De eerste berichten spraken van een cyberaanval die de productie verstoorde van het Noorse bedrijf met kantoren en fabrieken wereldwijd. Diezelfde dinsdag dat deze cyberaanval wereldkundig werd, is bevestigd dat het om ransomware ging. Na infectie van het centrale IT-systeem is de verstoring verspreid naar locaties in andere landen. Enkele fabrieken zijn stilgelegd en in bepaalde gevallen zijn – normaliter geautomatiseerde – productieprocessen handmatig opgepakt.

Voor, tijdens en na

In beide geruchtmakende gevallen van ransomware-infecties is de impact fors gebleken. Ondanks de flinke verschillen tussen deze twee soorten organisaties, kunnen vele anderen hiervan leren. Of zij nu onderwijsinstellingen, productiebedrijven of dienstverleners zijn, of grote multinationals, nationale instituten of bescheiden mkb’ers. Het gaat om de optelsom van technische tegenmaatregelen, zorgvuldige voorzorg, snelle respons, flexibiliteit in fixen én doordraaien, plus nazorg.