Stappenplan: hoe te reageren bij een ransomware-aanval

Als bedrijven worden getroffen door ransomware zit de schrik er direct goed in. Je ziet dat alleen de melding vaak veel indruk maakt. Hackers kunnen via verschillende manieren melden dat ze digitaal je organisatie zijn binnengedrongen. Zo zie je dat hackers een document op het bureaublad zetten met de melding: ‘Your data has been encrypted, contact us for the keys’, is de bureaubladachtergrond gewijzigd of wordt spontaan een programma opgestart. Het programma geeft aan wat er is geblokkeerd en bevat een toelichting op de eisen die moeten worden ingewilligd om de data en systemen weer vrij te geven.

Eerste stap: bel een expert

De eerste stap die je zou moeten nemen bij een ransomware-aanval is de hulp van experts inroepen. Er komt namelijk ook veel meer op je af dan je denkt en de impact is groter dan alleen je bedrijfsprocessen. Een security-expert kan je niet alleen helpen met het herstel van je systemen, maar je ook helpen bij alle randzaken die geregeld moeten worden en je in het gehele proces begeleiden. Als je een verzekering hebt afgesloten voor ransomware bel dan direct je verzekeraar. Zij hebben ook security-experts met wie zij samenwerken.

Een security-expert zal direct verschillende sporen uitzetten om ervoor te zorgen dat een incident snel verholpen is. Zo wordt gekeken welke data en systemen zijn geblokkeerd, of er back-ups beschikbaar zijn en of deze al dan niet versleuteld zijn door de hacker. Vervolgens wordt ingeschat hoeveel tijd het kost om deze terug te zetten en wat dit nu betekent voor de organisatie. Het is namelijk heel verschillend per organisatie of en hoe lang het bedrijf offline kan werken.

Om de systemen op te schonen wordt vaak een tweede, nieuwe IT-omgeving gebouwd. Hierin worden de schone systemen die onderzocht en hersteld zijn teruggeplaatst. Je kunt het zien als een soort wasstraat waar medewerkers komen met hun laptop. Deze wordt volledig leeggehaald en opnieuw geïnstalleerd. Afhankelijk van hoeveel systemen je hebt kan dit proces wel even duren. Houd sowieso rekening met enkele weken. In het beste geval kun je een back-up terugzetten, zoals keukenbedrijf Mandemakers deed toen het werd getroffen door ransomware. Maar ook dan moet onderzocht worden of de aanvallers hier niet al in zitten om te voorkomen dat je later weer aan de beurt bent.

Eisen van hackers

Ook zoekt de security-expert contact met de hackers om belangrijke informatie boven tafel te krijgen. Hoeveel losgeld wordt er gevraagd, hebben ze de data gekopieerd of zelfs doorverkocht en is het überhaupt mogelijk de data te ontsleutelen? Dit laatste kun je testen met een aantal bestanden die ontsleuteld moeten worden. Als hackers er niet in slagen deze te ontsleutelen, weet je dat je de rest van je data ook kwijt bent. Verder wordt doorgaans de vraag gesteld hoe men is binnengekomen. Als je de bron van hack kunt achterhalen en weet wat er allemaal is geraakt kun je ook beter de impact bepalen. Dit wordt een ‘root cause analysis’ genoemd. Doorgaans geven aanvallers deze informatie alleen als je betaalt, daarom voeren security-dienstverleners deze analyse vaak zelf uit.

Ook al ben je niet van plan losgeld te betalen: het is sowieso raadzaam contact op te nemen met de hackers. Je wint er namelijk ook tijd mee waarin je de belangrijkste partijen kunt informeren.

Melden bij Autoriteit Persoonsgegevens

Naast de technische aspecten heb je bij een ransomware-aanval ook te maken met de menselijke en procesmatige kant en zijn er belangrijke juridische zaken om rekening mee te houden. Zo moet je binnen 72 uur na het ontdekken van een incident melding hebben gedaan bij de Autoriteit Persoonsgegevens (AP). Deze melding kan in eerste instantie heel summier zijn en later worden aangevuld als er meer informatie is. Sommige organisaties zoals aanbieders van essentiële diensten en digitale dienstverleners vallen onder de Wet beveiliging netwerk- en informatiesystemen en moeten direct meer informatie verstrekken aangezien de impact van een aanval verstrekkend kan zijn voor hun klanten.

Controleer belangrijkste bedrijfsprocessen

Verder moet gekeken worden naar wat de belangrijkste bedrijfsprocessen zijn. Dit is bepalend voor de prioriteiten in het herstel. Het is logisch om de systemen die het meest kritisch zijn als eerste terug online te brengen. Daarnaast moet je inventariseren welke (leverings)verplichtingen je hebt naar je klanten. Je kunt er het beste vanuit gaan dat je een á twee weken volledig buiten bedrijf bent. Hoe ga je in die periode je bedrijf draaiende houden? Er is geen IT-omgeving beschikbaar, wat kun je desondanks toch doen? Is het een optie om in de tussentijd orders simpelweg met pen en papier te noteren of tijdelijk een beperkt schaduwsysteem op te zetten?

Klanten proactief informeren

Bepaal ook hoe je na een ransomware-aanval wil communiceren met je klanten. Ik adviseer organisaties altijd klanten proactief te benaderen en te informeren over de situatie en aan te geven wat het incident voor de dienstverlening betekent. Je ziet vaak dat bedrijven het heel angstvallig geheim houden en de ransomware-aanval scharen onder een computerstoring. Een voorbeeld hiervan is Garmin dat een ransomware-aanval eerst zelfs afdeed als onderhoud. Dit leidde tot veel onrust en speculatie. Op langere termijn zie je ook dat het alleen maar schadelijke gevolgen heeft en het vertrouwen een deuk oploopt. Het is goed om open te zijn over wat er gebeurt en klanten op de hoogte te houden van de vorderingen van het herstel. Je zou dit bijvoorbeeld kunnen doen in een blog op je site of in een nieuwsbrief.

Niet alleen je klanten, maar ook de eigen medewerkers zijn belangrijk om aandacht te geven na een dergelijke aanval. Zo zie ik dat mensen enorm schrikken als dit hun organisatie overkomt. Ook komen er veel vragen naar boven over bijvoorbeeld de data in het HR-systeem: weten de hackers nu waar ik woon, hebben ze een kopie van mijn paspoort en kunnen ze nu ook identiteitsfraude plegen?

Je kunt als bedrijf inspelen op deze vragen door heel duidelijk uit te leggen wat er is gebeurd, welke data is buitgemaakt en wat dit voor medewerkers betekent. Verder is het altijd goed om als je kopieën van paspoorten bewaart hier een watermerk overheen te zetten wat het doeleinde van de kopie aangeeft. Dit is eenvoudig te realiseren met de KopieID-app van de overheid.

Voorbereiden op crisissituatie

Als je dit leest als ondernemer kun je al snel concluderen dat een ransomware-aanval niet alleen een IT-probleem is. Het raakt je hele organisatie. Door je voor te bereiden en alle verschillende facetten en situaties die een aanval mogelijk met zich meebrengt te oefenen kun je tijdens een incident sneller en effectiever reageren.

Stel je komt erachter dat je IT-leverancier niet 24/7 bereikbaar is maar jij de data die nog niet is buitgemaakt veilig wil stellen, dan is dit een belangrijke factor bij het selecteren van een dienstverlener. Een ransomware-aanval is een crisissituatie, net als bij een BHV-oefening is hierbij een goede voorbereiding het halve werk en kan dit bovendien helpen de schade te beperken.