Lessen in crisismanagement: Dit moet je weten over ransomware

‘Streef ernaar anderen te helpen.’ Dat was de les die Glenn Schoen van zijn ouders meekreeg. “Zij waren na de oorlog zeer betrokken bij de wederopbouw en leerden mijn zussen en mij het belang van het helpen van anderen en zo bij te dragen aan de goede zaak. En, doe dat waar mogelijk op grote schaal om zo velen in plaats van slechts enkelen te helpen.”

Deze boodschap zette de Nederlands-Amerikaanse Glenn Schoen recentelijk onder meer om in een boek over zijn 30-plus jaar advieswerk in meer dan 40 landen: ‘Code Black – 50 lessen in crisismanagement voor effectief leiderschap’. Met dit Engelstalige boek, verschenen op Amazon, hoopt hij naar eigen zeggen “een bijdrage te leveren door veel van mijn eigen hard-geleerde lessen met een groter publiek te delen en hen zo te helpen zich te beschermen tegen verschillende soorten crises”.

Cybercrises behoren volgens de auteur tot de lastigste die er zijn, vanwege hun vaak verstrekkende gevolgen, complexiteit en kosten. “En dan hebben we het nog niet eens over de betrokkenheid van zowel de georganiseerde misdaad als overheidsactoren op dit gebied. Tel daarbij op de recente ontwikkeling naar thuis- en hybride werken door de coronapandemie, en je begrijpt, net als de crimineel dat al vroeg in de pandemie deed, dat het potentiële digitale aanvalsoppervlak enorm is uitgebreid.”

Kosten impact ransomware stijgen explosief
Cyberdreigingen hebben inherent te maken met systemen en hebben vaak een groot bereik, zowel binnen als buiten een organisatie. Daarbij maakt het niet uit of de aanvallers uit zijn op identiteitsdiefstal, IP-diefstal, diefstal van staatsgeheimen, het uitrollen van ransomware of malware of een van de vele vormen van systeem- of gegevensmisbruik. Niet zelden worden cyberaanvallen pas maanden na de daadwerkelijke inbraak opgemerkt. Dat bewijst hoe ontoereikend onze verdediging vaak is en wat onze eigen vele tekortkomingen zijn in de naleving van wet- en regelgeving op bijvoorbeeld het gebied van gegevensopslag en privacy, om er een paar te noemen.

Eén van de cybercrises die de afgelopen jaren flink gegroeid is, is ransomware: het gebruik van kwaadaardige software om de toegang tot een computersysteem te blokkeren, gevolgd door een losgeldeis. Ransomware is in korte tijd geëscaleerd van een relatief bescheiden fenomeen tot een leidend wereldwijd crimineel verdienmodel waarin vele miljarden omgaan.

Ransomware-aanvallen staan niet alleen bekend om hun grote impact en het al-dan-niet-betalen- dilemma; de aanvallen kosten organisaties ook steeds meer geld. Dan gaat het naast de losgeldeis en de kosten voor het herstel na een incident, ook om een hogere verzekeringspremie, boetes wanneer er wel betaald wordt, en een grotere algehele impact op het merk en de positie van een organisatie.

Kosten om rekening mee te houden zijn onder meer:
1. Onmiddellijk herstel van het incident;
2. Verlies van marktpositie (verkoop/klanten/steun);
3. Boetes, met name in verband met regels op het gebied van rapportage en gegevensbescherming;
4. Juridische kosten, met name in verband met de gevolgen voor derden en vierde partijen;
5. Aanvullende aanpassingen aan de cyberbeveiliging die verder gaan dan onmiddellijke herstelmaatregelen.

Verschillende onderzoeken van onder meer SophosLabs, Gartner, IBM en Grant Thornton wijzen uit dat de gemiddelde ransomware-aanval in 2021 (niet hetzelfde als een datalek!) organisaties zo’n 1,85 miljoen dollar kostte en 16 dagen vergde om bedrijfsactiviteiten te herstellen. De kosten stegen met meer dan 100 procent ten opzichte van 2020. Dat betekent dat de gemiddelde herstelkosten van een aanval inmiddels tot 10 keer de losgeldeis bedragen, waardoor het steeds duurder wordt om je als organisatie te verzekeren, laat staan te betalen.

Hoewel in 2021 de eerste grote, internationale rechtshandhavingsactie tegen ransomware-netwerken van start ging, door onder meer de FBI, Europol en Interpol, blijven de vooruitzichten zorgwekkend. Een robuuste BC-planning en CM-reactiecapaciteit is daarmee cruciaal.

Dat is noodzakelijk omdat, minder bekend maar zeer ingrijpend, wanneer een organisatie het slachtoffer wordt van ransomware, ongeacht of er losgeld wordt betaald of niet, het bedrijf gemiddeld slechts ongeveer 65 procent van zijn gegevens zal terugkrijgen. Dat legt doorgaans een grote, langdurige BC- en CM-belasting op de inspanningen om de bedrijfsactiviteiten te hervatten.

Les 1 – Ken het basis actieplan voor een ransomware-aanval
De verschillende adviezen van belangrijke spelers op dit gebied, met name cyberbeveiligingsbedrijven, geven ons een eerste belangrijke leerpunt, namelijk dat het belangrijk is om je te realiseren wat de min of meer standaard responsstappen zijn die een organisatie zou moeten kunnen doorlopen wanneer ze geconfronteerd wordt met een ransomware-aanval. Deze stappen zijn:

1. Initiëren van eerste responsprotocollen
a. Indien nodig, ga offline
b. Informeer degenen die geïnformeerd moeten worden
c. Activeer het bedrijfscontinuïteitsplan om verstoring tot een minimum te beperken
d. Activeer een crisismanagementteam om de situatie te beheersen

2. Start onderzoek

3. Schakel cyber forensische partners in

4. Inschakelen van aanvullende expertise (bijv. juridisch, HR, privacy)

5. Contacten onderhouden met relevante belanghebbenden

6. Los het incident op

7. Reset en herstart (‘nieuwe situatie’)

Deze stappen vereisen natuurlijk een uitgebreide voorbereiding, en de realiteit achter sommige van deze korte, eenvoudig klinkende zinnen zoals ‘Los het incident op’ komt vaak neer op een langdurig, moeizaam en uitputtend CM-proces (Tegemoet treden? Betalen? Onderhandelen?) dat soms hele organisaties tot op het bot door de mangel haalt.

Les 2 – Vereisten om snel en adequaat te kunnen reageren
De tweede belangrijke les draait dan ook om het voldoen aan bepaalde vereisten die een organisatie en een CMT vroegtijdig extra manoeuvreerruimte geeft om zowel een acute dreiging het hoofd te bieden als met enige souplesse door een herstelproces te laveren. Deze vereisten zijn:

1. Een cybersecurity operations center (SOC) om het implementeren van (beveiligings)technologieën te overzien, bedreigingen op te sporen, risico's te beoordelen, patches aan te brengen en de reactie op incidenten te coördineren;

2. Een hoogwaardige cyberdreiging/netwerkmonitoringdienst;

3. Een cyberverzekeringspolis om onder meer snel ondersteuning van ransomware-experts te kunnen krijgen, en wanneer nodig aan losgeldeisen te voldoen;

4. Een berekening vooraf van de mogelijke financiële gevolgen van een succesvolle ransomware-aanval dat minimaal ook het risico van derde en vierde-laagse ketenpartijen dekt (dat zou sowieso al standaard moeten zijn voor uw BC-plan, maar is het op de een of andere manier vaak niet);

5. Een heldere 'concessiepositie' die vooraf is bepaald.

Les 3 – Blijf altijd leren van fouten van jezelf en anderen
De derde belangrijke les gaat over leren. "Zorg ervoor dat uw organisatie een ‘leercultuur’ heeft", adviseert de gepensioneerde Nederlandse viceadmiraal Pieter Bindt. Hij is voormalig directeur van de Militaire Inlichtingendienst en adviseur van de Onderzoeksraad voor Veiligheid, die allerlei ongevallen en incidenten onderzoekt om er lering uit te trekken, van militaire ongelukken tot cyberaanvallen.

Bindt is stellig over het vermogen van een organisatie om te leren van fouten uit het verleden, waarbij hij opmerkt dat "wat anderen en mogelijk ook je eigen organisatie is overkomen, vaak te weinig wordt gebruikt om toekomstige crises te voorkomen.

Cybercriminaliteit, met inbegrip van ransomware, is een domein waar snel leren het grootste verschil kan maken. Het ligt allemaal voor het grijpen - de vereiste strategie, structuur, systemen, cultuur. Maar men moet het leren omarmen en de geleerde lessen zo snel mogelijk identificeren en toepassen. Dat is de enige manier om de crisis zo goed mogelijk te beheersen en de verliezen te beperken in deze zeer snel veranderende bedreigingsomgeving."