Na de Universiteit Maastricht en de Universiteit van Amsterdam, was het in juli 2021 raak bij de Universiteit Leiden. Daar kwam naar buiten dat de onderwijsinstelling slachtoffer was geworden van een ransomware-aanval. De hackers eisten 16 bitcoins – omgerekend 450.000 euro – in ruil voor de gegijzelde gegevens. De Universiteit Leiden heeft laten weten het losgeld niet te betalen, maar is dit de juiste keuze?
Wat is een ransomware-aanval?
Ransomware is kwaadaardige software waarmee hackers alle bestanden op een apparaat en/of in een netwerk kunnen vergrendelen. De gegevens ontgrendelen zij vaak pas nadat er een enorm bedrag aan losgeld is betaald. Vaak begint ransomware met phishing: via een link komen slachtoffers terecht op een valse website waar zij inloggegevens invullen. Hackers misbruiken vervolgens die gegevens. Een andere manier is het openen van een kwaadaardige bijlage in een phishingmail, waarna het virus wordt geïnstalleerd op het apparaat. Hackers verschaffen zich via het virus toegang tot steeds meer gegevens.
Losgeld: wel of niet betalen?
De bedragen die hackers vragen om bestanden te ontgrendelen kunnen de meeste organisaties niet als jaarlijkse of tweejaarlijkse tegenslag incalculeren in hun bedrijfsvoering. Het gaat om tonnen losgeld die zij eisen. Daarbij is het altijd de vraag of de hackers de bestanden daadwerkelijk ontgrendelen nadat het bedrag is overgemaakt.
De overheid adviseert om het losgeld niet te betalen, omdat deze vorm van criminaliteit op die manier in stand wordt gehouden. Vorig jaar nog schreef demissionair minister Grapperhaus in een Kamerbrief dat het zijn voorkeur heeft als aanbieders van cyberverzekeringen het losgeld niet zouden vergoeden. Hij ziet in plaats daarvan liever dat zij de geleden schade vergoeden. Maar is het redelijk dat de demissionair minister van Justitie en Veiligheid dit verlangt van de verzekeraars en maatschappij? De kosten om alle bestanden te herstellen en systemen opnieuw in te richten liggen vaak vele malen hoger dan de prijs van het losgeld.
Daarnaast speelt de continuïteit van bedrijfsvoering een grote rol. Het kan maanden tot jaren duren om de bedrijfsvoering terug op hetzelfde niveau te krijgen. Buiten het feit dat het vaak voordeliger is om het losgeld te betalen, speelt ook het imago van de organisatie een grote rol. Hackers dreigen vaak om alle gestolen gegevens openbaar te maken indien niet wordt betaald. Wanneer het gaat om grote hoeveelheden persoonsgegevens van betrokkenen loopt de organisatie hiermee een groot risico. Wanneer deze gegevens gepubliceerd worden betekent dit dat het voor kwaadwillenden makkelijker is om identiteitsfraude te plegen. Hierdoor komen betrokkenen in een kwetsbare positie terecht.
Voorkomen is beter dan genezen
Uiteindelijk is het kiezen tussen twee kwaden. Uiteraard is het de beste optie om een ransomware–aanval – en andere vormen van cybercriminaliteit – te voorkomen. Te vaak nog denken organisaties dat het hen niet zal overkomen. Helaas geen realistische gedachte. De vraag is niet óf je gehackt wordt, maar wanneer. Het is daarom noodzakelijk om technische maatregelen te treffen. Denk hierbij aan een wachtwoordkluis (passwordmanager), tweefactorauthenticatie, virusscanner, actuele back-ups, tijdige software updates, VPN-verbinding, etc.
De belangrijkste in dit rijtje is de back-up. Wanneer bestanden na alle maatregelen dan toch vergrendeld worden, is er altijd nog een kopie beschikbaar van de gegevens. Het is dan overigens wel van belang om naast de online back-up ook te zorgen voor een offline variant. Wanneer hackers eenmaal de systemen zijn binnengedrongen hebben zij vaak ook toegang tot de back-up in de cloud, oftewel de back-up die benaderbaar is vanuit hetzelfde netwerk. Ook die back-up en bestanden zullen zij uiteindelijk vergrendelen.
Naast technische maatregelen zijn het de organisatorische maatregelen die het verschil kunnen maken. Bij organisatorische maatregelen valt te denken aan het vergrendelen van een computer, phishing awareness trainingen, wachtwoordbeleid, toegangspasjes, etc. Uiteindelijk blijft de mens de zwakste schakel. Systemen kunnen technisch nog zo goed beveiligd zijn. Maar wanneer een medewerker op een kwaadaardige link of bijlage klikt, hebben de technische maatregelen geen effect. Het is daarom van belang het bewustzijnsniveau van medewerkers op pijl te krijgen én te houden.
Medewerkers meer bewust maken op gebied van cybersecurity? Speel nu Hack The Room en leer te denken als een hacker om de kans op pshishing te voorkomen. Kijk voor meer informatie op www.privacy-escaperoom.nl.