Door de grootschalige Kaseya-aanval is ransomware met alle bijbehorende onderwerpen het gesprek van de dag. Experts buitelen over elkaar heen om het verbieden van ransomware-betalingen, de aanpak van ransomware-criminelen, het voorkomen van ransomware-aanvallen, en het afsluiten van ransomware-verzekeringen te duiden, conclusies te trekken en adviezen te geven. Dat is goed, want sommige gesprekken moeten nú gevoerd worden.
Het is niet vreemd dat (voornamelijk) security-experts ten strijde trekken om het ransomware-kwaad te bestrijden en het hoe en waarom daarvan nu (al dan niet via de media) met hun eigen klanten, het bedrijfsleven en de overheid te delen. De Kaseya-aanval heeft duidelijk gemaakt dat de cyberveiligheid wereldwijd nog lang niet op het gewenste niveau is en dat kan desastreuze gevolgen hebben.
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) schetste in het jaarlijkse Cybersecuritybeeld-rapport een sombere toekomst waar het ransomware betreft. Volgens de NCTV vormt ransomware een aantoonbaar risico voor de nationale veiligheid, met alle gevolgen van dien. Door de opmars van ransomware-as-a-service, waarbij ransomware-ontwikkelaars hun producten beschikbaar maken voor cybercriminelen die minder technisch onderlegd zijn, worden ransomware-aanvallen op steeds grotere schaal uitgevoerd door een steeds grotere groep daders. In het buitenland worden dit soort grootschalige aanvallen steeds vaker uitgevoerd op de vitale infrastructuur, zoals energievoorzieningen, lokale overheden en ziekenhuizen. In Nederland hebben we dat soort aanvallen nog niet gezien, maar het NCTV waarschuwt dat het gevaar op de loer ligt.
Niet op orde
We moeten alert zijn. En dat is precies wat de experts over en weer proberen duidelijk te maken: de cyberveiligheid is niet op orde en dat brengt grote risico’s met zich mee. In dat gesprek worden diverse oplossingen aangedragen: het verbieden van het betalen van losgeld door een ransomware-slachtoffer, het verbieden van cyberverzekeringen, een nationale instantie die bedrijven verplicht hun cybersecurity op orde te hebben en zo mogelijk zelf kan ingrijpen, en zo verder.
Al deze oplossingen kijken naar de bron van het probleem (de slechte cyberveiligheid) en de veroorzakers (de criminelen, die we niet in stand willen houden door ze ook daadwerkelijk te betalen). Maar de échte bron van het probleem is niet de slechte cyberveiligheid - die wordt immers óók ergens door veroorzaakt. De échte bron van informatie zit bij de bedrijven zelf: hoe kon het gebeuren dat zijn hun achterdeur op lieten staan?
Bedrijven die te maken krijgen met een cyberaanval krijgen meteen een hoop verschillende zaken te verstouwen. Er moet gezocht worden naar een oplossing, it-systemen moeten worden bijgewerkt en aangepast, medewerkers moeten worden geïnstrueerd en eventueel bijgeschoold. Tegelijkertijd moet worden nagedacht over de communicatie, want een cyberaanval is pr-matig gezien een ramp. Wie geen langdurige imagoschade wil oplopen moet nadenken over een opgepoetst verhaal over de oorzaak, niet te veel details loslaten en snel en adequaat handelen om de bedrijfsvoering weer op te pakken.
Schandpaal
Daar gaat het mis. Slachtoffers van cyberaanvallen en in het bijzonder ransomware zouden hun verhaal niet moeten (hoeven) oppoetsen. Op dit moment doen we in de cybersecurity allemaal aan victim blaming: wie slachtoffer is geworden van cybercrime wordt aan de spreekwoordelijke schandpaal genageld. Naar buiten komen met informatie is lastig in een omgeving waarbij zelfs de minister van Justitie bedrijven die ten prooi vallen aan cybercrime of die moeite hebben met hun cybersecurity afschildert als ‘oliebol’. In zo’n onveilige omgeving maken bedrijven niet meer bekend tegen welke problemen zij aanlopen bij hun digitale beveiliging, waardoor andere bedrijven niet kunnen leren van hun ‘best practices’.
Bovendien verzandt regulering door de overheid naar alle waarschijnlijkheid in een lijst van eisen waar bedrijven aan moeten voldoen, terwijl ze het nu al moeilijk genoeg hebben om alles op orde te krijgen. En ja, wellicht hebben we met elkaar te lang gewacht op het nemen van bepaalde maatregelen, en er zijn bedrijven die er een potje van maken. Maar we moeten dit samen doen: het creëren van een veilige omgeving is cruciaal voor de weg vooruit.
Podium
In de vervolggesprekken die we nu over ransomware gaan hebben, moeten we als experts zéker onze kennis en achtergrond blijven delen, maar we moeten het podium niet domineren. Het wordt tijd dat we de microfoon doorgeven aan de slachtoffers, om van hen te kunnen leren waar het daadwerkelijk mis ging en waarom het ook in 2021 nog steeds zo lastig om je cybersecurity op orde te krijgen. Zij moeten hun verhaal vertellen. Zo waarschuwen we andere ondernemers en bestuurders. Juist daar vinden we de waardevolle inzichten die ons helpen ons land een stuk veiliger te maken.
Lees ook