Wel of geen losgeld betalen na een ransomware-aanval? Mimecast geeft tips

Recent onderzoek van cyberbeveiliger Mimecast toont aan dat een overgrote meerderheid van de Nederlandse bedrijven de afgelopen twee jaar is aangevallen met ransomware. Van de bedrijven die getroffen werden, besloot meer dan de helft om losgeld te betalen. Sander Hofman, Manager Sales Engineering bij Mimecast, begrijpt die keuze, maar heeft er wel zijn bedenkingen bij.

De resultaten van het onderzoek zijn duidelijk en misschien ook wel schrikbarend. Van de 742 ondervraagde IT-professionals uit negen landen, waaronder Nederland, gaf ongeveer 80% aan dat hun organisatie in de afgelopen twee jaar getroffen werd door ransomware. In Nederland lag dat percentage zelfs nog iets hoger: 87%. Ruim een derde van de getroffen Nederlandse bedrijven raakte klanten kwijt als gevolg van de aanval en één op de zes organisaties ging zelfs failliet. Ongeveer de helft van de getroffen Nederlandse bedrijven betaalde het volledige losgeldbedrag zelf (46%) of via de verzekering (7%). Dat ging in Nederland gemiddeld om 96.000 euro. Ruim een derde besloot het losgeld niet te betalen. Ongeveer 10% wist een lager bedrag uit te onderhandelen.

Sander Hofman, Manager Sales Engineering bij Mimecast, is niet verbaasd door de uitkomsten. “Die liggen in lijn met wat wij al een paar jaar lang zien gebeuren. Als je de stijgende lijn van het aantal aanvallen bekijkt, dan is het niet meer de vraag of cybercriminelen al bij jouw organisatie binnen zitten, maar alleen wanneer ze toeslaan. Van de gemiddelde hoogte van het losgeldbedrag dat betaald moet worden, schrik ik ook niet. Dat ligt in Nederland overigens een stuk lager dan in veel andere landen, zo bleek uit het onderzoek.”

Wel betalen?
Is betalen de juiste keuze? Hofman spreekt over een afweging die bedrijven zelf moeten maken en veroordeelt de keuze voor betalen niet. “Ik kan best begrijpen dat bedrijven die geen maatregelen hebben genomen, kiezen voor betalen. Op die manier hopen ze zo snel mogelijk weer up-and-running te zijn. Als je geen backups hebt en niet weet hoe je je organisatie weer terugbrengt naar hoe het voor de aanval was, dan is een gemiddeld bedrijf minder geld kwijt met losgeld betalen dan met de hele omgeving opnieuw opbouwen.” Zo zijn er meer argumenten te bedenken voor wel betalen. “Criminelen dreigen steeds vaker dat ze de gestolen data openbaar maken. Als bedrijf wil je je klanten en je imago natuurlijk beschermen.”

Niet betalen?
Maar veel van die argumenten zijn in de praktijk minder sterk dan ze lijken, legt Hofman uit. Want garanties heb je nooit, zo blijkt ook uit het onderzoek. Ongeveer vier op de tien van de Nederlandse organisaties die losgeld betaalden, kregen daarna geen toegang tot de gegijzelde data. Hofman: “En al krijg je alle data terug, dan is je bedrijfsproces nog steeds verstoord. Het kost je tijd. Jouw data is daarnaast nog steeds in handen van die criminelen. Wat gaan ze er nog meer mee doen?”

Het te betalen losgeldbedrag is meestal ook maar een deel van de kosten die je echt kwijt bent. “Als je gemiddeld een ton betaalt aan de criminelen, dan ben je daarbovenop vaak zeker het dubbele kwijt aan allerlei andere kosten, zoals een onderzoeksbureau en een cybersecuritybedrijf die je moeten helpen om alles weer op te bouwen. Die kostenafweging maken bedrijven vaak niet.”

Er zijn nog meer tegenargumenten. “Vergeet niet dat je na het betalen van losgeld een grotere kans hebt om opnieuw aangevallen te worden. Cybercriminelen hebben een keihard businessmodel, die kennen geen medelijden. Het onderzoek bevestigt dat een groot aantal bedrijven die betaalden niet veel later opnieuw aan de beurt waren.”

Hofman wil ook graag de ethische kant van de discussie benoemen. “Als je betaalt, houd je het businessmodel van criminelen en daarmee eigenlijk dus een crimineel circuit in leven. Wat voor activiteiten gaan ze met jouw geld doen? Persoonlijk ben ik mede om die reden zeker geen voorstander van betalen. We spreken hier over harde criminelen die veel schade en leed veroorzaken. Als ze aan hun geld blijven komen, gaan ze daar ook niet mee stoppen. Los daarvan heb je geen enkele garantie dat alles weer goed komt, nadat je hebt betaald.”

Investeren
Wat moet je dan doen als je getroffen wordt? Hofman: “Het is echt belangrijk dat bedrijven zo transparant mogelijk zijn. Met het onder de pet houden van incidenten schieten we niets op. Het mag geen taboe meer zijn, want daar profiteren cybercriminelen van. De aanval bij het ene bedrijf en de eventuele fouten die daar gemaakt zijn, kunnen voor anderen heel leerzaam zijn.”

Maar alles begint natuurlijk met een goede bescherming om de kans op een geslaagde aanval zo klein mogelijk te maken. Het is belangrijk dat bedrijven daarin investeren, verduidelijkt hij. “Bedrijven worden vaak nog gedreven door commerciële motieven. Veel Nederlandse bedrijven hebben het idee dat ze veilig zijn, terwijl basale beveiligingsmaatregelen ontbreken. Ze vinden te snel dat goed ook goed genoeg is. Er zijn voldoende producten in de markt die complementair zijn aan de platformen van bijvoorbeeld Microsoft en Google en die voor een hoger niveau van beveiliging van de organisatie zorgen. Je zult moeten investeren in een extreem goed platform voor EDR (Endpoint Detection and Response, red.) of XDR (Extended Detection and Response, red.), in de juiste firewalls en in een goed email-securityplatform zoals dat van ons. Andere belangrijke maatregelen zijn sterke wachtwoorden, offline-backups, netwerksegmentatie, een strikt toegangsbeheer, multi-factor-authenticatie en goede awareness-trainingen voor medewerkers. Als je dat allemaal combineert met een productiviteitsplatform waarin security is ingebouwd, dan heb je de juiste stappen gezet om aanvallen tegen te gaan. Ja, dat kost geld. Maar veel minder dan wanneer je losgeld moet betalen.”

Door: Johan van Leeuwen