De voorbije jaren haalden verschillende cyberaanvallen op Belgische organisaties de actualiteit. Vaak gaat het daarbij niet alleen om stilgelegde systemen, maar ook om gestolen gevoelige data en druk om losgeld te betalen.
Voor organisaties die getroffen worden door ransomware ontstaat dan onvermijdelijk dezelfde moeilijke vraag: betaal je losgeld of niet? Overheden raden duidelijk af om te betalen, maar in de praktijk is die beslissing zelden zwart-wit. Wanneer systemen stilliggen, gevoelige data mogelijk gelekt worden en klanten of medewerkers geraakt zijn, komt een organisatie terecht in een complexe crisis waarin technologische, juridische en strategische factoren samenkomen.
Kan de organisatie haar systemen voldoende snel herstellen via back-ups? Werden er effectief gevoelige gegevens gestolen? Zijn de aanvallers mogelijk gelinkt aan gesanctioneerde organisaties waardoor betalen illegaal wordt? En vooral: biedt betaling überhaupt enige garantie dat het probleem opgelost raakt?
Net daarom wordt ransomware-onderhandeling vandaag beschouwd als een gespecialiseerde discipline binnen incident response en crisisbeheer.
Onderhandelen met cybercriminelen is een gestructureerd proces
Veel mensen denken bij ransomware-onderhandelingen aan een geïmproviseerde chatconversatie met cybercriminelen. In werkelijkheid verloopt dit veel professioneler en gestructureerder.
Voordat er überhaupt over betaling wordt gesproken, proberen incident responders eerst de aanvallers correct te identificeren. Dat is essentieel, omdat sommige ransomwaregroepen banden hebben met gesanctioneerde staten of criminele organisaties. In zulke gevallen mag er juridisch gezien geen betaling plaatsvinden en moet alle communicatie onmiddellijk worden stopgezet.
Daarnaast wordt onderzocht wat exact werd buitgemaakt. In ongeveer 98% van de ransomware-incidenten worden vandaag ook data gestolen. Daardoor draait een aanval allang niet meer alleen om versleutelde systemen, maar evenzeer om reputatieschade, mogelijke GDPR-gevolgen en druk vanuit klanten of partners.
Onderhandelaars vragen daarom eerst bewijzen op van de gestolen data. Ze analyseren of de informatie werkelijk gevoelig of waardevol is. Want organisaties onderschatten soms niet alleen de impact van een aanval — ze overschatten ze onder druk soms ook. Wanneer blijkt dat de aanvallers geen relevante data in handen hebben, wordt meestal aangeraden om niet te betalen.
Wanneer de gestolen informatie wel waardevol blijkt, proberen gespecialiseerde onderhandelaars het geëiste bedrag aanzienlijk te verminderen. Daarbij speelt ervaring een grote rol. Sommige ransomwaregroepen weigeren elke toegeving, terwijl andere bereid zijn om hun eisen fors te laten zakken. In bepaalde gevallen wordt uiteindelijk minder dan 10% van het oorspronkelijke bedrag betaald.
Uit onderzoek van Arctic Wolf blijkt dat professionele onderhandelingen ransomwarebetalingen gemiddeld met 67% kunnen verminderen. Wanneer ook incidenten worden meegerekend waarbij betaling volledig vermeden wordt, loopt die besparing zelfs op tot 94%.
Cybercriminelen werken steeds professioneler
Wat ransomware extra gevaarlijk maakt, is dat veel cybercriminelen vandaag functioneren als echte bedrijven. Ze specialiseren zich, werken samen met andere groepen en verfijnen voortdurend hun methodes op basis van eerdere successen.
Ook hun aanvalstechnieken evolueren snel. Sommige groepen focussen zich tegenwoordig uitsluitend op datadiefstal zonder systemen nog te versleutelen. Voor hen verlaagt dat het risico om ontdekt te worden, terwijl de druk op slachtoffers groot blijft.
Daarnaast worden de intimidatietechnieken agressiever. In uitzonderlijke gevallen werken ransomwaregroepen zelfs samen met lokale criminele netwerken om slachtoffers fysiek onder druk te zetten. Dat gaat van intimidatie aan woningen tot expliciete bedreigingen om betalingen sneller af te dwingen.
Dat onderstreept meteen waarom discretie en operationele veiligheid cruciaal zijn tijdens ransomware-onderhandelingen.
Tegelijk blijft één realiteit altijd overeind: cybercriminelen blijven onbetrouwbare gesprekspartners. Zelfs wanneer losgeld betaald wordt, bestaat er geen enkele garantie dat gestolen data effectief verwijderd worden. In sommige gevallen doken gegevens later opnieuw op bij andere afpersingspogingen.
Goede voorbereiding blijft de beste verdediging
Hoewel onderhandelen soms noodzakelijk wordt, blijft voorkomen uiteraard beter dan genezen.
Een sterke back-upstrategie blijft essentieel. Back-ups moeten niet alleen frequent worden gemaakt, maar ook getest en offline bewaard worden. Organisaties die hun systemen zelfstandig kunnen herstellen, staan veel sterker wanneer ze geconfronteerd worden met ransomware.
Daarnaast helpt het om gevoelige data standaard sterk te versleutelen. Wanneer gestolen gegevens onbruikbaar blijken, verliezen ze grotendeels hun waarde voor aanvallers.
Minstens even belangrijk is een degelijk incident response-plan waarin ook ransomware- en losgeldscenario’s expliciet opgenomen zijn. Rollen, escalatieprocedures, juridische afwegingen en communicatie moeten vooraf duidelijk vastliggen.
Ook preventie blijft cruciaal. Multi-factor authenticatie, endpoint security, continue monitoring en opleidingen voor medewerkers blijven fundamentele bouwstenen van cybersecurity. Meer dan de helft van alle security alerts gebeurt bovendien buiten de kantooruren, wat aantoont hoe belangrijk 24/7 monitoring geworden is.
In veel gevallen kunnen aanvallen nog tijdig worden gestopt vóór ransomware effectief wordt uitgerold of grote hoeveelheden data worden buitgemaakt.
Niet betalen blijft het uitgangspunt
De recente cyberincidenten in België tonen hoe moeilijk beslissingen rond ransomware geworden zijn. Het algemene advies blijft om geen losgeld te betalen aan cybercriminelen. Maar uiteindelijk ligt die beslissing altijd bij de getroffen organisatie zelf. Wanneer onderhandelingen toch noodzakelijk worden, mogen ze nooit improvisatie zijn. Ze moeten benaderd worden met dezelfde expertise, voorbereiding en structuur als elke andere kritieke bedrijfsbeslissing.
