Ransomware en losgeld: geen nattevingerwerk
Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4
Na de ransomware-aanval op de Universiteit Maastricht eind vorig jaar kreeg het bestuur van de universiteit een hoop kritiek uit politieke hoek. De bestuurders betaalden zo’n 200.000 euro losgeld aan de internetcriminelen die de systemen gegijzeld hielden. VVD en D66 stelden daarop Kamervragen aan onderwijsminister Van Engelshoven en minister Grapperhaus van Justitie en Veiligheid. Want het kon toch niet zo zijn dat deze criminele activiteiten in stand gehouden werden door hackers te geven wat ze willen? En dat ze nota bene betaald werden met belastinggeld?
In de Verenigde Staten werd eind 2019 een resolutie aangenomen door een verbond van burgemeesters. Zij adviseerden gemeenten die getroffen werden door ransomware om vooral geen losgeld te betalen. De stad Baltimore nam dat advies ter harte. De gemeente betaalde niet de 76.000 dollar die de hackers vroegen, maar huurde experts in om de systemen te herstellen. Dat kostte de stad een paar weken. En 18 miljoen dollar.
In de securitywereld zijn er twee kampen. Zowel het ‘betaal nooit losgeld’-kamp als het ‘betaal als dat nodig is’-kamp hebben valide argumenten. Ik zit zelf in geen van beide kampen. De vraag of je geld moet overmaken om de toegang tot je systemen terug te krijgen, beantwoord ik liever met het advies om het als een zakelijk vraagstuk te bekijken. Wat is het beste voor jouw organisatie of onderneming?
Kritieke bedrijfsprocessen
Bepalen wat het beste is, is geen nattevingerwerk. In een ideale wereld heb je al eens een Business Impact Analyse (BIA) gedaan, lang voordat je te maken kreeg met gijzelsoftware. Daarbij stel je vast wat de kritieke bedrijfsprocessen zijn en wat de impact is als die processen tot stilstand komen. Hoe snel verspreidt de schade zich dan en hoe groot kan de schade worden? Denk daarbij niet alleen aan financiële schade, maar ook aan reputatieschade en juridische gevolgen.
Een Business Impact Analyse kan ook uitgevoerd worden op het moment dat hackers al hebben toegeslagen. Omdat er tijdsdruk is en er veel zaken meteen geregeld moeten worden als systemen niet beschikbaar zijn, loont het vaak om ervaren consultants te laten helpen bij het maken van de analyse. Met de resultaten op tafel is het aan de bestuurders om een knoop door te hakken over het al dan niet betalen van losgeld.
Geen tijd verliezen
In het beste geval wordt de organisatie of onderneming überhaupt niet getroffen door gijzelsoftware. Daarom maakten wij een handleiding over het voorkomen van ransomware-aanvallen en – als het toch gebeurt – het correct aanpakken van zo’n aanval. Ook daaruit blijkt dat een one size fits all-benadering niet goed werkt. Discussiëren over het beter wel of juist nooit betalen van internetcriminelen, daar zou geen enkele organisatie dus nog tijd aan hoeven verliezen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee