Blog geschreven door: GUBERNA Sounding Board Committee voor Cybersecurity
Ransomware is een van de grootste cyberdreigingen waarmee elke organisatie tegenwoordig wordt geconfronteerd. Ransomware richt zich op organisaties in alle sectoren, waaronder de gezondheidszorg, de financiële sector, het onderwijs en kritieke infrastructuur. Ransomware-aanvallen kunnen financieel verwoestend zijn en de bedrijfsvoering ernstig verstoren.
De raad van bestuur moet zich ervan bewust zijn dat het risico op ransomware aanzienlijk kan worden verminderd door een goede governance en risicobeheer.
Ransomware is een soort kwaadaardige software die de digitale bestanden en systemen van het slachtoffer versleutelt, waardoor ze ontoegankelijk worden totdat er een “losgeld” wordt betaald (meestal in Bitcoin of een andere cryptocurrency) zodat de slachtofferorganisatie een decoderingssleutel kan krijgen om de bestanden te herstellen.
De meeste ransomware is ‘bedrijfsbreed’. Dit betekent dat niet slechts één gebruiker of één machine wordt getroffen, maar vaak het hele organisatienetwerk. Zodra cybercriminelen toegang hebben tot de systemen, hebben ze meestal wat tijd nodig om uit te zoeken waar kritieke gegevens zijn opgeslagen en hoe back-ups worden gemaakt en opgeslagen. Gewapend met deze kennis kunnen de cybercriminelen hun ransomware-aanval uitvoeren wanneer ze maar willen.
Ransomware-aanvallen beginnen meestal door een gebruiker in de organisatie die wordt misleid tot het downloaden en openen van een bijlage in een e‑mail die er bekend uitziet, maar in werkelijkheid afkomstig is van een cybercrimineel. Sommige cybercriminelen simuleren een ransomware-aanval en eisen gewoon betaling zonder alle bestanden daadwerkelijk te versleutelen of alleen enkele apparaten te versleutelen. Cybercriminelen voeren ook een tweede afpersing uit door eerst zoveel mogelijk bestanden uit het organisatienetwerk te extraheren voordat ze de ransomware starten en de bestanden versleutelen, waardoor een eerste losgeld wordt gevraagd voor de decoderingssleutel, gevolgd door een dreiging om alle gevoelige gegevens te publiceren, tenzij de slachtofferorganisatie een tweede losgeld betaalt aan de cybercriminelen. En organisaties en bestuurders moeten er rekening mee houden dat ze te maken hebben met criminelen en dat ze geen enkele garantie hebben dat deze cybercriminelen hun beloftes zullen nakomen om de decryptiesleutels te leveren, niet meer aan te vallen of de organisatie-informatie later niet te plaatsen/verkopen.
Ransomware-aanvallen kunnen ernstige gevolgen hebben voor slachtofferorganisaties. Er zullen niet alleen financiële verliezen zijn via betalingen aan cybercriminelen, herstelkosten en mogelijke boetes, maar ransomware veroorzaakt ook operationele verstoring via downtime en productiviteitsverlies omdat systemen worden hersteld of gegevens ontbreken. Bovendien kunnen slachtofferorganisaties reputatieschade oplopen door verlies van vertrouwen van klanten en medewerkers en negatieve berichtgeving in de media. Ten slotte kan ransomware juridische en regelgevende gevolgen hebben wanneer gevoelige persoonsgegevens door cybercriminelen worden gepubliceerd, wat leidt tot datalekken en niet-naleving van de regelgeving inzake gegevensbescherming.
In juni 2017 werd de Deense wereldwijde scheepvaartgigant Maersk getroffen door ransomware, wat meer dan $ 300 miljoen aan schade en ernstige operationele verstoringen veroorzaakte. De toewijding van het bestuur aan snel herstel en transparante communicatie hielp Maersk het vertrouwen te herstellen en zijn cyberbeveiligingspositie te verbeteren. In mei 2021 kreeg de grote Amerikaanse exploitant van brandstofpijpleidingen Colonial Pipeline te maken met een ransomware-aanval die leidde tot brandstoftekorten en aanzienlijke operationele verstoringen. De snelle besluitvorming en coördinatie van het bestuur met de federale autoriteiten waren cruciaal om de impact te verzachten en de operaties te herstellen. In december 2022 werd de stad Antwerpen getroffen door een ransomware-aanval die alle digitale diensten verstoorde, inclusief de diensten aan burgers, ondanks het feit dat ze maanden voordat de eigenlijke ransomware-aanval plaatsvond in twee afzonderlijke veiligheidsauditrapporten was gewaarschuwd. Het kostte ongeveer 100 miljoen euro om alle schade te herstellen en de maturiteit van de cyberbeveiliging te verbeteren.
Raden van bestuur moeten een actieve rol spelen bij het toezicht op cyberbeveiligingsmaatregelen, aangezien bestuurders persoonlijk verantwoordelijk kunnen worden gehouden voor tekortkomingen op het gebied van cyberbeveiliging die leiden tot cyberaanvallen.
Ransomware vormt een aanzienlijk strategisch risico. Het bestuur moet ervoor zorgen dat de organisatie beschikt over een uitgebreid kader voor risicobeheer dat robuuste cyberbeveiligingsmaatregelen omvat. Dit omvat regelmatige risicobeoordelingen, het delen van informatie over bedreigingen en scenarioplanning, inclusief testen.
Het bestuur heeft ook een fiduciaire plicht om de activa van de organisatie te beschermen en de levensvatbaarheid op lange termijn te waarborgen. Dit omvat het toezicht houden op de uitvoering van cyberbeveiligingsbeleid en het waarborgen van verantwoording op alle niveaus. Cybersecurity moet in de loop van het jaar een vast punt op de agenda van de raad van bestuur zijn.
Regelgevende instanties leggen steeds vaker strenge eisen op aan cybersecurity. Het bestuur moet ervoor zorgen dat de organisatie voldoet aan de relevante regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) in Europa en sectorspecifieke richtlijnen zoals de Richtlijn Netwerk- en Informatiebeveiliging (NIS2) of de Digital Operational Resilience Act (DORA).
Het bestuur moet beoordelen of de juiste proactieve en reactieve tegenmaatregelen zijn genomen om de impact van ransomware op hun organisatie te voorkomen of te verminderen.
De beste proactieve tegenmaatregel tegen ransomware zijn regelmatige en veilige back-ups, die cruciaal zijn om de impact van ransomware te minimaliseren. Het bestuur moet ervoor zorgen dat de organisatie actuele, geteste back-ups van (kritieke) gegevens onderhoudt en dat deze back-ups veilig en offline worden opgeslagen. IT-systemen kunnen altijd opnieuw worden aangeschaft bij de leverancier, maar de gegevens niet.
De raad van bestuur moet ervoor zorgen dat er voldoende wordt geïnvesteerd in cyberbeveiligingsinfrastructuur, met inbegrip van oplossingen voor beveiligingsdetectie en ‑respons, regelmatige beveiligingsaudits en continue netwerkbewaking. Het bestuur moet ervoor zorgen dat er voldoende wordt geïnvesteerd in cybersecurity-infrastructuur.
Aangezien menselijke fouten het meest voorkomende toegangspunt voor ransomware zijn, moeten er regelmatig beveiligingsbewustzijnstrainingen worden georganiseerd om werknemers te helpen phishing-pogingen en andere cybercriminele tactieken te herkennen. De raad van bestuur moet een cultuur van cyberbeveiligingsbewustzijn in de hele organisatie bevorderen, ook voor bestuurders zelf, aangezien de bestuurders ook een doelwit kunnen zijn van cybercriminelen.
Leveranciers en externe partners kunnen ook ransomware in de organisatie introduceren. De raad van bestuur moet toezicht houden op de uitvoering van strenge risicobeheerpraktijken van derden, met inbegrip van beveiligingsbeoordelingen en contractuele verplichtingen voor cyberbeveiligingsnormen, en dit op regelmatige basis, niet alleen bij goedkeuring.
Tot slot, als er toch een ransomware-aanval plaatsvindt in de organisatie, is een effectief incidentresponsplan of draaiboek van cruciaal belang. De raad van bestuur moet ervoor zorgen dat een dergelijk reactief ransomwareplan of draaiboek regelmatig wordt bijgewerkt, getest door middel van simulaties en dat alle werknemers worden getraind in hun rollen en verantwoordelijkheden tijdens een ransomware-aanval.
Losgeldbetalingen financieren cybercriminele operaties die zijn ontworpen om nog geavanceerdere methoden te infiltreren in kwetsbare bedrijven, waardoor cybercriminelen worden aangemoedigd om hun cybercriminele acties voort te zetten. Het betalen van losgeld verhoogt ook aanzienlijk het risico om een tweede doelwit te worden, hetzij door dezelfde cybercriminele groep, hetzij door anderen. Een losgeldbetaling door de organisatie, een onderhandelaar of verzekeraar kan vragen oproepen over de vraag of betaling wordt beschouwd als financiering van criminele groepen, terrorisme, gesanctioneerde organisaties, schurkenstaten en/of het overtreden van antiwitwaswetten (AML). Wat is de impact op de bedrijfsvoering als de organisatie geen losgeld betaalt? Wat is het niveau van vertrouwen om operaties met succes te herstellen als het losgeld niet wordt betaald? Het betalen van losgeld is een op risico’s gebaseerde beslissing. De verschillende risico’s moeten worden geëvalueerd voordat wordt besloten losgeld te betalen aan cybercriminelen, vooral wanneer er geen garantie is op een positief resultaat. Overheden raden om al deze redenen ten zeerste af om losgeld te betalen aan cybercriminelen. Vandaar het belang van een duidelijke ransomware-strategie en investeringen in detectie en afhandeling.
Ransomware vormt een kritieke dreiging die waakzaam toezicht van de raad van bestuur vereist. Door inzicht te krijgen in de aard van ransomware, de impact ervan en de noodzakelijke tegenmaatregelen om risico’s te beperken, kan het bestuur de weerbaarheid van de organisatie tegen dergelijke ransomware-aanvallen waarborgen. Deze aanpak beschermt niet alleen de activa van de organisatie, maar verbetert ook de reputatie en levensvatbaarheid op lange termijn. Het bestuur moet een cultuur van cyberbeveiliging bevorderen, prioriteit geven aan strategische investeringen en een robuust governancekader handhaven om de zich ontwikkelende ransomware-dreiging effectief te bestrijden. Door dit te doen, zullen ze niet alleen hun organisatie beschermen, maar ook hun fiduciaire verantwoordelijkheden vervullen en een veerkrachtige onderneming opbouwen die voorbereid is op de ransomware-uitdaging.
Ransomware is een verantwoordelijkheid op bestuursniveau. Bestuurders moeten de ransomware-dreiging serieus nemen en een toezichthoudende rol spelen bij het implementeren van proactieve en reactieve tegenmaatregelen. Bestuurders moeten ervoor zorgen dat het op de agenda voor bedrijfsrisico’s staat.
Checklist voor bestuurders om het ransomwarerisico aan te pakken
- Wanneer was de laatste keer dat het onderwerp “cybersecurity” werd besproken tijdens de bestuursvergadering – Het is normaal dat het management ook regelmatig updates over de maturiteit van cyberbeveiliging verstrekt aan de raad van bestuur en dat de raad van bestuur betrokken wordt bij strategische cyberbeveiligingsbeslissingen. Bestuurders dienen in bestuursvergaderingen na te gaan of cybersecurity regelmatig op de agenda staat en welke beslissingen er het afgelopen jaar zijn genomen rondom cybersecurity (zie notulen van de vergadering van het bestuur). Bestuurders zouden kunnen verwijzen naar een recente ransomware-aanval die in de media werd genoemd om de paraatheid van hun organisatie te bespreken als een soortgelijke ransomware-aanval zou plaatsvinden.
- Hoe wordt ransomware beoordeeld in het risicobeheer van ondernemingen? Gezien de regelmatige media-aandacht voor spectaculaire ransomware-aanvallen en de potentieel catastrofale impact voor ransomware-slachtoffers, moet dit risico worden geëvalueerd als onderdeel van het algehele bedrijfsrisicobeheer van een organisatie. Bestuurders moeten nagaan of het ransomware-risico is teruggevonden in het risicoregister van de onderneming, wanneer het voor het laatst is beoordeeld en door wie.
- Dekt de cybersecurityverzekering ook ransomware? Organisaties kunnen op zoek gaan naar extra bescherming tegen ransomware en andere cyberbeveiligingsrisico’s door een goede cyberbeveiligingsverzekering af te sluiten. Bestuurders moeten nagaan of er een goede cybersecurityverzekering is en of die ook ransomware dekt in de verzekeringspolis. Bestuurders moeten ook nagaan wat de verzekeringsmaatschappij zal doen wanneer de organisatie de verzekeringspolis activeert nadat ze het slachtoffer zijn geworden van een ransomware-aanval. Zal de verzekeringsmaatschappij een extern beveiligingsbedrijf aanstellen om technische eerste hulp te verlenen aan de organisatie? Zal er forensische analyse worden uitgevoerd? Welke schades worden (niet) gedekt door de cybersecurityverzekering?
- Wanneer was de laatste keer dat het Incident Response Plan/Playbook (IRP) van de organisatie werd getest en welke acties werden gedefinieerd op basis van de resultaten van de ransomware-test?
Elke organisatie moet voorbereid zijn op aanzienlijke IT-incidenten of cybercrises, ook wanneer er een ransomware-aanval plaatsvindt. Er moet een Incident Response Plan/Playbook zijn om de improvisatie tijdens een dergelijk IT-incident of crisis tot een minimum te beperken en de juiste beslissingen en acties door de juiste mensen mogelijk te maken. Op zijn minst moet ook het scenario van een ransomware-aanval in zo’n IRP worden vermeld en dit moet vooraf worden getest om de geldigheid voor en de gereedheid van de organisatie te controleren (onder andere in termen van proces, mensen, tools, leveranciers, partners en communicatie naar verschillende belanghebbenden).
Bestuurders moeten nagaan of er een Incident Response Plan/Playbook is, wanneer het voor het laatst is bijgewerkt en of ransomware ook wordt gedekt als een van de mogelijke IT-incidenten / crisisscenario’s.
Bestuurders moeten ook nagaan of het Incident Response Plan/Playbook daadwerkelijk is getest en wat de resultaten waren (“lessons learned”).
