De ransomware-epidemie en het belang van crisisbeheersing

Highlights:

• Een speciaal team voor cybercrisisbeheersing is belangrijk.
• Neem in uw crisisbeheersingsplannen een ransomwarescenario op .
• Denk vooruit over uw communicatiestrategie, -kanalen en -berichten.
• Wees voorbereid op een beperkte beschikbaarheid van uw gebruikelijke communicatie- en samenwerkingsplatforms.
• De sleutel tot een goede voorbereiding is uw team(s) vooraf instrueren, trainen en laten oefenen tijdens een simulatie of tabletop-oefening.

Een speciaal team voor cybercrisisbeheersing 

Uw organisatie heeft wellicht al een team voor crisisbeheersing in het algemeen. En misschien ook wel een team of zelfs een hele afdeling voor cybersecurity en incidentrespons. Maar tijdens een ransomwareaanval blijkt vaak dat organisaties niet weten hoe deze teams moeten samenwerken in een speciaal team voor cybercrisisbeheersing. Op het moment dat zich daadwerkelijk een cybercrisis voordoet, is het vaak onduidelijk wie er allemaal bij betrokken moeten worden. Vragen die u moet beantwoorden zijn: moet u uw incidentresponsteam opschalen? En moeten cyberexperts deel uitmaken van uw algemene team voor crisisbeheersing?

Het is belangrijk om te weten waarin een cybercrisis van een ‘gewone’ crisis verschilt. Organisaties beschikken vaak over een crisisplan of een crisisteam. Maar vanwege de unieke dilemma’s waarmee u te maken krijgt, is dat niet altijd voldoende. Tijdens een cybercrisis, zoals een ransomwareaanval, moeten er belangrijke beslissingen worden genomen die zowel om technische expertise als om strategische besluitvorming vragen. Dat kunnen beslissingen zijn over het uitschakelen van systemen of netwerken, het onderhandelen met de hacker, het publiekelijk bekendmaken of niet en, uiteraard, of u bereid (en in staat) bent om losgeld te betalen. Hoewel het in feite een technisch probleem is, heeft een ransomwareaanval vaak grootschalige gevolgen die de kern van uw bedrijfsvoering ernstig ontregelen. Bedenk ook dat er tegenwoordig vaker sprake is van hacks met meervoudige afpersing. U heeft dan niet alleen te maken met ontoegankelijke systemen, maar ook met diefstal van gegevens die verkocht kunnen worden, publiekelijk bekendgemaakt of voor andere kwaadaardige doeleinden kunnen worden gebruikt. Het leidt allemaal tot meer druk op organisaties om aan de eisen van hackers te voldoen. Het probleem daarbij is dat niet-cyberexperts vergaande beslissingen over een technisch onderwerp moeten nemen. Die beslissingen kunnen een enorme impact hebben.

Om een crisis goed te beheersen, moet het glashelder zijn welke rollen erbij betrokken moeten worden en wat de taken en verantwoordelijkheden van deze rollen zijn. Dit vereist de betrokkenheid van zowel uw technische experts als van uw hogere management. Daarnaast dient u te omschrijven wie verantwoordelijk is voor het verzamelen van de vereiste informatie en input om de crisis te beheersen en hoe de coördinatie en het besluitvormingsproces moeten plaatsvinden.

Richtlijnen en plannen voor de aanpak van ransomware 

De Universiteit Maastricht had plannen liggen voor de crisisbeheersing van grote incidenten (ook op het gebied van ICT), maar ransomwareaanvallen waren daar niet in opgenomen[1]. Dat merkten ze toen al hun Windows-systemen werden gehackt. Uit forensisch onderzoek bleek dat de aanval was begonnen met twee phishingmails, die pas waren verzonden nadat de hackers al twee maanden de systemen van de universiteit waren binnengedrongen. De aanvallers hadden bovendien heel effectief de back-ups verwijderd. De Universiteit Maastricht zag geen andere uitweg dan het losgeld van 30 bitcoin te betalen om alle studentactiviteiten niet langer dan een maand stop te zetten. De Universiteit Maastricht heeft door dit incident zijn les geleerd. De universiteit neemt cybersecurity nu uiterst serieus en is beter voorbereid op cyberincidenten. Het voorbeeld toont aan dat een ransomwareaanval een specifiek soort crisis is, met unieke dilemma’s. U moet dus bedenken of uw gangbare procedures daarvoor volstaan. Het ontbreekt organisaties vaak aan een crisisbeheersingsplan met een specifiek draaiboek voor ransomware. Dit maakt het lastig om deze unieke uitdaging effectief het hoofd te bieden wanneer het noodlot toeslaat.

Organisaties moeten richtlijnen opstellen voor crisisbeheersing bij een ransomwareaanval. Deze richtlijnen duidelijk maken welke rollen er nodig zijn, wat de verantwoordelijkheden van deze rollen inhouden en welke procedures gevolgd moeten worden wanneer zich een cyberaanval voordoet. Het kan ook goed zijn om in die richtlijnen operationele details op te nemen, bijvoorbeeld contactgegevens van belangrijke medewerkers en algehele overzichten van de infrastructuur, zoals netwerkdiagrammen en systeembeschrijvingen. Mogelijk wilt u ook toevoegen waar belangrijke informatie gevonden kan worden, evenals de contactgegevens van uw (of een) verantwoordelijke voor incidentrespons. Tijd is een luxe die u zich tijdens een crisis niet kunt veroorloven. U moet dus bedenken wat u alvast van tevoren kunt voorbereiden. Belangrijke strategische beslissingen die tijdens een ransomwarecrisis moeten worden genomen, kunnen op voorhand al worden besproken. Bijvoorbeeld:

• Welke bedrijfsprocessen en grootste schatten moeten als eerste worden beschermd of hersteld?
• Wie heeft op welk moment het mandaat om verbindingen tussen netwerken of apparatuur te verbreken?
• Bent u bereid hackers te betalen? En zo ja, bent u daartoe in staat?
• Hoe wilt u eventuele onderhandelingen met de hacker organiseren?
• Wilt u of moet u de politie en/of uw accountant informeren of erbij betrekken?
• Wilt u transparant of juist ontwijkend zijn in uw communicatie?

Uw richtlijnen of plannen hoeven geen allesomvattende documenten te zijn: het gaat erom dat wat u op voorhand opstelt, nuttig zal zijn in de praktijk. Dit kan een draaiboek zijn of zelfs een uitgetekend scenario met enkele richtlijnen erop, dat voor iedereen binnen de organisatie toegankelijk is.

Goed voorbereide communicatie

Een andere grote uitdaging is de communicatie en bedenken wat u tijdens een aanval gaat zeggen tegen uw medewerkers, klanten, derden, de media en andere belanghebbenden. Dat kan onnodige vertraging veroorzaken bij het beantwoorden van vragen, waardoor mensen het gevoel kunnen krijgen dat ze in het ongewisse worden gelaten. Wat dan weer van invloed kan zijn op uw reputatie of klantrelaties. Daarom is het belangrijk om goed voorbereid te zijn; zowel wat betreft uw standpunt over transparantie/openheid als over de richtlijnen en wellicht zelfs de templates die u bij de hand wilt hebben.

Mocht u besluiten om uw verklaringen al van tevoren voor te bereiden, dan hoeft u tijdens de crisis alleen nog de laatste details in te vullen. Dit maakt het makkelijker voor uw communicatieafdeling en klantgerichte teams om te weten wat ze moeten doen en zeggen. Deze teams bevinden zich tijdens de crisis in de frontlinie en moeten dan ook over de juiste tools beschikken. Geef ze een document met veelgestelde vragen en eerlijke antwoorden. De manier waarop uw onderneming op een crisis reageert, kan een groot verschil maken als het gaat om schadebeperking en klantrelaties. Proactief zijn in uw crisiscommunicatie geeft uw onderneming controle over de situatie. Bepalen hoe transparant u wil (of kan) zijn, hangt echter af van de omstandigheden van uw organisatie. Wees bondig en samenhangend wanneer u met belanghebbenden en met het publiek praat. Vergeet niet om ook positieve zaken te benadrukken, bijvoorbeeld hoe hard de teams zich achter de schermen inzetten of hoe uw beveiliging nu wordt bijgewerkt naar het hoogste niveau.

De manier van communiceren hangt vaak samen met de cultuur van een organisatie. Toen het Mondriaan ROC in Den Haag in 2021 het doelwit was van een ransomwareaanval, met een datalek als gevolg, informeerden ze het publiek niet met wat voor soort aanval ze in hun systemen te maken hadden[2]. Dit leidde tot veel onzekerheid bij studenten en docenten en zelfs tot Kamervragen. Andere organisaties kozen juist voor een heel open aanpak, zoals het Zweedse Volue, dat dagelijkse livestreams organiseerde met hun hogere management en hoofd informatiebeveiliging (CISO), waarin ze hun klanten van updates voorzagen[3]. Of u dit nu tijdens de crisis doet of pas achteraf, bedenk dat het delen van uw ervaring enorm waardevol kan zijn en ook als waarschuwing of les voor andere organisaties kan dienen.

Out-of-band communicatiezone 

Wanneer uw systemen door ransomware worden aangevallen, kunt u soms niet meer via uw normale kanalen communiceren, omdat er links en rechts stekkers uit worden getrokken of programma’s onbruikbaar worden gemaakt. Daar komt bij dat een aanvaller uw communicatie mogelijk volgt, waardoor het gebruik van uw gebruikelijke kanalen risico’s met zich meebrengt.

Voor een goede samenwerking van uw crisisbeheersingsteam, is het dan ook essentieel om over een back-up-locatie te beschikken waar zij wel kunnen communiceren. Dat kan een alternatieve functionele website zijn of een zone buiten de bedrijfssystemen, waar zich een nieuwe omgeving met communicatiemogelijkheden bevindt. Verder is het essentieel om medewerkers te informeren over wat er aan de hand is. Dit kan heel eenvoudig via groepscommunicatie in WhatsApp, Signal of Telegram, alleen dan moet u deze groepen wel op voorhand hebben aangemaakt. Hiervoor zijn betaalde platforms en andere programma’s op de markt.

Naast het hebben van zo’n out-of-band communicatiezone, is het belangrijk om uw belangrijkste systemen in kaart te brengen en best practices voor back-ups na te leven. In de helft van alle gevallen hebben organisaties namelijk geen idee van wat hun grootste schatten zijn. Het is belangrijk om deze waardevolle data in kaart te brengen en te beschermen. In 2021 werd het Nederlandse concern VDL Groep getroffen door een grote cyberaanval die alle 105 ondernemingen van de groep raakte[4]. VDL gaf aan dat het draaiboek voor cyberaanvallen dankzij adequate signalering in gang werd gezet en dat de IT-systemen direct werden afgesloten. Omdat ze regelmatig back-ups van hun systemen maakten, was veel data al veiliggesteld.

Wees voorbereid door voorlichting, training en vooral: oefening!

Een organisatie kan zich weliswaar voorbereiden op een ransomwarecrisis door plannen te ontwikkelen, een speciaal team voor crisisbeheersing aan te stellen en een communicatiestrategie en back-up-zone paraat te hebben, regelmatig oefenen is nóg belangrijker.

Het belangrijkste is dat de voornaamste belanghebbenden binnen de organisatie een idee hebben van de werkwijzen tijdens de crisis. Waardevolle instrumenten zoals draaiboeken, richtlijnen of templates helpen daarbij. Punt is dat u niet te veel tijd wilt verliezen aan het bespreken van zaken of het nemen van maatregelen die u eerder al had kunnen oppakken. Ook is het belangrijk om te bepalen of uw organisatie over de juiste (technische) vaardigheden beschikt om een cybercrisis het hoofd te bieden. Door te oefenen kunnen organisaties ‘spiergeheugen’ ontwikkelen, zodat de relevante belanghebbenden beter op elkaar zijn ingespeeld wanneer zich daadwerkelijk een crisis voordoet. Deze oefeningen kunnen gedaan worden via e-learning, tabletop-oefeningen, dilemmatrainingen of een uitgebreide crisissimulatie.

Met een goede voorbereiding kan een organisatie zijn weerbaarheid tijdens een ransomwarecrisis vergroten. Dat kan door een speciaal team voor crisisbeheersing aan te wijzen met duidelijke taken en verantwoordelijkheden. Ook is het belangrijk dat een organisatie richtlijnen voor een ransomwarecrisis heeft om adequaat te kunnen handelen wanneer de situatie daarom vraagt. Door richtlijnen of templates paraat te hebben voor onder meer de communicatie tijdens een dergelijke crisis, is een organisatie beter voorbereid. Daarnaast is het goed om een out-of-band communicatiezone te hebben wanneer de organisatie wordt aangevallen. Al met al kunt u dus vrij veel doen om beter voorbereid te zijn op een ransomwareaanval. Een goede voorbereiding is cruciaal, maar we hopen uiteraard dat u deze voorbereiding nooit in de praktijk hoeft toe te passen.

Auteurs:

Rachel Splinters

Rachel is cybersecurityconsultant, gespecialiseerd in crisisbeheersing en beveiliging binnen het cyberdomein. Ze houdt zich met name bezig met de ontwikkeling van cybercrisisoefeningen voor de publieke en private sector.

Manouck Schotvanger

Manouck is cybersecurityconsultant bij Capgemini Nederland. Ze is gespecialiseerd in crisisbeheersing en beveiliging binnen het cyberdomein en houdt zich met name bezig met bedrijfscontinuïteit en crisisbeheersing binnen de publieke en private sector.

Fokko Dijksterhuis

Fokko geeft leiding aan Capgemini’s afdeling voor cybercrisisbeheersing. Daarnaast is hij gespecialiseerd in organisatieoverstijgende en internationale samenwerking op cybersecuritygebied.

References:

1. https://www.maastrichtuniversity.nl/cyberaanval-een-overzicht
2. https://www.volkskrant.nl/nieuws-achtergrond/grote-cyberaanval-treft-roc-mondriaan-studenten-en-medewerkers-kunnen-niet-bij-bestanden~ba55c62e/?referrer=https%3A%2F%2Fwww.google.com%2F
3. https://www.volue.com/news/volue-after-the-cyberattack
4. https://www.vdlgroep.com/en/news/vdl-groep-back-in-business-after-cyber-attack