08/10 Gijzelsoftware
In Nederland is elke dag een bedrijf het slachtoffer van cybercriminelen. Ze leggen het systeem plat en eisen soms tonnen losgeld. Uit schaamte en vrees voor reputatieschade geeft een directie meestal geen ruchtbaarheid aan de gijzeling. Deze site dook in een duistere onderwereld.
Artikel uit het AD dd. 25 september 2021; auteurs: Wout van Arensbergen en Richard Clevers; Foto's: Mark Reijntjes.
Hoewel ransomware volgens experts is uitgegroeid tot een pandemie, haalt slechts een klein deel van het enorme aantal aanvallen met gijzelsoftware het nieuws. Dat blijkt uit onderzoek door deze site. In veel gevallen belt een slachtoffer liever een discreet cybersecuritybedrijf dan aangifte te doen.
Opgeteld werden de noodnummers van zeven toonaangevende cybersecuritybedrijven dit jaar al meer dan 250 keer gebeld, zo leert een inventarisatie. Daarnaast zijn er slachtoffers die elders hulp zoeken, of het incident alleen proberen op te lossen. Experts die tijdens het maandenlange onderzoek hun verhaal deden, bevestigen dat het gemiddeld elke dag wel raak is.
In de wereld van gijzelsoftware verkeren bedrijven geregeld in blinde paniek, terwijl de daders zich in het buitenland onaantastbaar wanen. Wie zijn deze criminelen? Hoe komen ze ermee weg? En hoe kan het dat veel bedrijven zo kwetsbaar zijn voor ransomware?
1. Opeens werkt niets meer en ligt je bedrijf plat
Het is stil aan de andere kant van de lijn. Rogier aarzelt. Wil hij hier wel over praten? Alleen als hij anoniem kan blijven, besluit hij. De aanval op zijn bedrijf is nog maar een paar dagen geleden, als we hem opbellen. ,,We zijn nog volop aan het puinruimen’’, klinkt het. Alles lag plat. Het mailverkeer. Het hele computersysteem. Zelfs de robots in het magazijn waren niet meer in beweging te krijgen. De 350 medewerkers van het entertainmentbedrijf van Rogier zaten van het ene op het andere moment met de handen in het haar. Niets werkte meer.
Deze site kwam Rogier (niet zijn echte naam) op het spoor na onderzoek op het dark web, het minder toegankelijke deel van internet. Op de plek waar zoekmachines je niet brengen, plaatsen cybercriminelen volop informatie over hun slachtoffers. Zo ook over het bedrijf van Rogier.
Op maandagochtend, 26 juli, valt op de vijf vestigingen van zijn bedrijf ineens alles stil. Lang duurt het niet voor duidelijk is wat er aan de hand is. Op het gehackte computersysteem wordt een Engelstalig berichtje gevonden. ‘We hebben alle informatie op je servers versleuteld. We hebben meer dan 1 terabyte van al je data tot onze beschikking’.
Betalen moet hij. En snel ook. Als hij de toegang tot zijn eigen gegevens terug wil, kan hij bij de criminelen een toegangscode kopen. Rogier probeert er nog onderuit te komen en schakelt een cybersecuritybedrijf in. Dat bedrijf onderzoekt de alternatieven voor betaling van losgeld. Zijn er bijvoorbeeld back-ups waarop kan worden teruggevallen? In het geval van Rogier blijken die óók versleuteld door de criminelen. Betaling lijkt al snel de enig overgebleven optie. ,,Zonder computersysteem weet je niet wat je moet uitleveren. Je weet niet waar je spullen staan. Je bent blind. Alles is met elkaar verknoopt en je kunt nergens meer bij.” Dus betaalt Rogier zijn plaaggeesten. Terwijl hij door coronamaatregelen van de overheid al anderhalf jaar in de hoek zit waar de klappen vallen.
Wereldwijd
Welkom in de ontluisterende wereld van de ransomware. In goed Nederlands: gijzelsoftware. Een wereld waarin een verhaal als dat van Rogier aan de orde van de dag is, zo blijkt uit maandenlang onderzoek van deze site. Zelf begreep hij dat zijn afpersers dezelfde dag nog drie andere bedrijven te grazen namen: in Libanon, Denemarken en Engeland. Maar je hoeft niet de hele wereld over om meer slachtoffers te vinden.
Ransomware is een machtig wapen. Akelig effectief. Hackers zoeken een gat in de beveiliging van je computersysteem of verleiden je op een mailtje met een besmet linkje te klikken. Zodra ze binnen zijn, versleutelen ze de toegang en is het spel op de wagen. Wie weer bij zijn eigen gegevens en systemen wil, moet ransom (losgeld) betalen. In cryptovaluta doorgaans, want die zijn voor de ontvanger het meest anoniem.
Uit cijfers die het Nieuw-Zeelandse securitybedrijf Emsisoft op verzoek van deze site opdiepte, blijkt dat vorig jaar naar schatting tienduizend Nederlanders op deze manier gepakt werden. De consument is het vaakst het haasje, maar de echte melkkoeien voor criminelen zijn vandaag de dag vooral bedrijven en instellingen. Bij hen valt het meest te halen. Dat ransomware zo doeltreffend is, komt door onze afhankelijkheid van computersystemen. Toen huisinrichtingsgigant Mandemakers door gijzelsoftware getroffen werd, konden er tijdelijk geen meubelen worden geleverd. Toen transportbedrijf Bakker te grazen werd genomen, lag er geen kaas in de schappen van Albert Heijn. En toen de Universiteit van Maastricht slachtoffer werd, lagen zelfs de koffiemachine en de vriezer eruit. Kortom: denk niet dat ransomware alleen een virtueel probleem is.
Cybersecuritybedrijven hebben er hun handen vol aan. Een stuk of twaalf van hen hebben teams die acuut te hulp schieten bij een ransomware-aanval. Hoe vaak de telefoon rinkelt, willen zij uit concurrentieoverwegingen niet afzonderlijk vermelden. Maar opgeteld werden de noodnummers van zeven toonaangevende cybersecuritybedrijven dit jaar naar schatting meer dan 250 keer gebeld, blijkt uit een optelsom van deze site. Met andere woorden: minstens elke dag wordt wel ergens een Nederlands bedrijf plat gelegd door ransomware. Om nog maar te zwijgen over slachtoffers die überhaupt geen hulp zoeken, of bij een minder bekend ict-bedrijf aankloppen.
De aanvallen nemen hand over hand toe, zeggen tientallen betrokkenen en deskundigen. Corona wakkerde het gevaar alleen maar aan, melden verschillende cybersecuritybedrijven in wereldwijde rapporten. Vanuit provisorische werkkamertjes op zolder maken mensen online contact met de bedrijfssystemen van hun werkgever. Criminelen weten gaten in de beveiliging van zulke thuiswerkcomputers feilloos te vinden.
Machinegeweren
Hoe kan het dat ransomware nog niet tot nationale crisis is gebombardeerd? Als buitenlandse criminelen elke dag Nederlandse bedrijven zouden binnenstormen met machinegeweren om ze geld af te troggelen, zou het land te klein zijn. Nu dat digitaal toch echt de realiteit is, blijft het betrekkelijk stil. De verklaring schuilt vermoedelijk in de grote onzichtbaarheid van het probleem. Zeker, slachtoffers als Mandemakers en de Universiteit Maastricht haalden het nieuws. Maar het overgrote deel van de cybergijzelingen verdwijnt in de doofpot. Vrijwel iedereen die we tijdens ons onderzoek spreken zegt het: er is een enorme vrees voor reputatieschade. Wie getroffen wordt door een cyberaanval is bang voor wat de buitenwereld denkt. Dat de beveiliging niet op orde was, bijvoorbeeld.
Criminelen weten van die angst steeds handiger gebruik te maken. Bij de meeste ransomware-aanvallen stelen zij tegenwoordig ook data: klantgegevens of bedrijfsgeheimen. Om de druk op te voeren luidt vrijwel standaard het dreigement: als je niet betaalt, zetten we alles online. Double extortion heet dat in criminele vaktermen.
Dwalend over het dark web, blijkt dat geen loos dreigement. Inderdaad zijn van allerlei bedrijven de meest uiteenlopende gegevens te vinden. In de krochten van het internet stuiten we op een waarschuwing aan een Amerikaanse ceo. Als hij niet betaalt, worden expliciete foto’s getoond, schrijft de bende in een bericht. Een paar muisklikken verder blijkt dat hij de eisen niet heeft ingewilligd. Poedelnaakt staat de topmanager op leeftijd op een strand. We komen ook id- en rijbewijzen tegen van diëtiste Heather en haar collega’s van een ziekenhuis uit de Amerikaanse staat Nevada en het detacheringscontract met uurtarief van een onderzoekster van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) – een bekend ransomwareslachtoffer. Allemaal bedrijven en organisaties waarvan cybercriminelen de beveiliging wisten te kraken.
Verder surfend treffen we opnieuw een gedupeerd Nederlands bedrijf dat niet in de publiciteit kwam. ,,Ik zit er niet op te wachten dat onze naam wordt genoemd. Concurrenten kunnen met het verhaal aan de haal gaan”, klinkt het aan de telefoon wederom. Ook nu is anonimiteit een voorwaarde voor een gesprek.
Het was Hemelvaart toen het bedrijf, actief in de hygiënesector, getroffen werd, vertelt de man aan de telefoon. Niet toevallig, denkt hij. Vaak kiezen criminelen een rustig moment, zodat er weinig mensen zijn om in te grijpen.
Achteraf kun je zeggen dat de beveiliging niet optimaal was. ,,We waren bezig om naar de cloud te gaan. Dan investeer je niet meer in je oude systemen. Vergelijk het met een verhuizing; dan ga je de kozijnen van je oude huis ook niet meer schilderen.’’ Dankzij een offline back-up kon dit bedrijf onder de betaling van losgeld uitkomen. Toch moest er een weekend lang, ook in de nachten, worden doorgewerkt om die back-up te installeren. De kosten? ,,Ongeveer een ton. Ik hoorde van anderen dat dat nog relatief weinig is.’’
Omzetverlies
Dat klopt. Het Nederlandse cybersecuritybedrijf DataExpert staat vooral mkb’ers van 25 tot 2000 man personeel bij en becijferde de gemiddelde totale schade na een ransomware-aanval op 330.000 euro. Grotere bedrijven verliezen gemiddeld wel 730.000 euro, rapporteert het Engelse beveiligingssoftwarebedrijf Sophos. Ook als er géén losgeld betaald wordt, heb je nog altijd kosten voor herstel- en beveiligingsmaatregelen. Daarnaast is er omzetverlies, want doordat alles stilvalt kan er geen productie worden gedraaid.
Om de druk op slachtoffers verder op te voeren, breiden aanvallers hun wapenarsenaal uit. Ze dreigen nu ook om websites plat te leggen als er niet betaald wordt. Of slachtoffers worden opgebeld. De Amerikaanse FBI waarschuwde daar onlangs voor. Ook Rogier met zijn entertainmentbedrijf kreeg twee telefoontjes. De criminelen bedreigden hem niet, maar brutaal waren ze wel. ,,De toon was heel zakelijk. Ze zeiden onder meer dat ik gebruik had gemaakt van slechte ict’ers en daarom nu op hun diensten was aangewezen. Ik zou dankzij hen de rest van mijn leven niet meer gegijzeld worden. Toen ik betaald had, vroeg ik in één van die gesprekken hoe ze me eigenlijk gehackt hadden. ‘Now you are talking about new business’, zeiden ze. Als ik dat wilde weten moest ik 50.000 euro betalen. Consultancykosten, noemden ze dat.’’
2. Russische criminelen met protserige Lamborghini’s
Maak kennis met Maksim Yakubets (34). Vijf miljoen dollar beloning staat er op zijn hoofd. Zo veel geld heeft Amerika er voor over om de man met de bijnaam ‘Aqua’ te pakken. De geboren Oekraïner staat al een tijd op de most wanted-lijst van de FBI. Hij oogt op de opsporingsfoto’s als een vlotte zakenman: in een zwart pak en keurig lichtblauw overhemd, met bril en fris kapsel. Maar Yakubets is een van de grootste cybercriminelen ter wereld. Hij leidt de bende Evil Corp. Volgens Amerika heeft die groep door te hacken en bankgegevens te stelen het afgelopen decennium minstens 100 miljoen dollar buitgemaakt bij bedrijven en onderwijsinstellingen in wel veertig landen. Rusland – waar hij inmiddels woont – weigert de man uit te leveren. Sterker nog: het vermoeden bestaat dat de crimineel ook voor de Russische veiligheidsdienst FSB werkte.
Tijger als huisdier
In elk geval vermaakt Yakubets zich in Rusland prima. Naast enkele opsporingsfoto’s zijn er vooral plaatjes te vinden van de cybercrimineel naast zijn protserige Lamborghini, voorzien van kleurrijke prints. Het is één van de vele sportbolides uit zijn collectie, waarmee hij graag door het drukke verkeer scheurt. Op de nummerborden van de auto’s waarin hij en zijn bendeleden rijden staat ‘Bop’, Russisch voor ‘dief’. Een huisdier heeft Yakubets ook: een tijger. Op zijn tonnen kostende bruiloft met een zakenvrouw traden bekende Russische artiesten op. Het hele plaatje ademt onaantastbaarheid.
Onaantastbaar. Voor een deel is dat ook het beeld dat van ransomwarebendes ontstaat tijdens een gesprek in een politiebureau in Den Bosch. Het is moeilijk om de criminelen in de kraag te vatten, doen politiespecialisten Marijn Schuurbiers en Matthijs Jaspers uitgebreid uit de doeken.
Officieel zegt de politie geen exacte cijfers over aanhoudingen te kunnen delen, omdat in vrijwel alle ransomwarezaken meerdere landen en politiediensten betrokken zijn. Maar dat in honderden zaken vrijwel geen arrestaties zijn verricht, wordt niet ontkend.
Uitleveren
Zo gek is dat ook niet, als je Marijn Schuurbiers, leider van het landelijke Team High Tech Crime (160 medewerkers), hoort praten. Om een ransomware-aanvaller op te sporen moet je vaak in meerdere landen informatie opvragen. Officiële rechtshulpverzoeken duren soms lang. Een officier van justitie vertelt dat hij al negen maanden op antwoord uit Hongkong wacht. Schuurbiers: ,,En als het je dan uiteindelijk lukt om één persoon te vinden die de aanval gepleegd heeft, is het de vraag of hij wordt uitgeleverd. Rusland levert bij wet überhaupt geen onderdanen uit. Dat vraagt om andere oplossingen; wachten tot verdachten gaan reizen, of toch gewoon met het betreffende land in gesprek gaan over vervolging in eigen land, hoe ingewikkeld dat soms ook is.”
Tussen januari 2019 en juni dit jaar deden 375 Nederlandse slachtoffers (vooral bedrijven, maar ook enkele particulieren) aangifte van ransomware-aanvallen, blijkt na een duik in de politiecijfers. Dat het werkelijke aantal gedupeerden veel hoger ligt, staat vast. De aangiftebereidheid is laag, erkent Matthijs Jaspers, specialist publiek-private samenwerking. Ondernemers handelen de aanval liever achter gesloten deuren af. Daarnaast denken ze vaak dat aangifte doen tijdrovend is en willen ze zo snel mogelijk weer aan de slag. Jaspers: ,,Wij zeggen: maak je in elk geval bij ons bekend. Je kunt ook alleen een melding doen.”
De politie is wel degelijk enorm actief in de strijd tegen ransomware, blijkt uit het gesprek. Specialisten bij de politie bestuderen het werk van bendes. Wat is hun werkwijze? Welke servers gebruiken ze? Wie zijn de tussenpersonen? Om ze vervolgens het leven zuur te maken, bijvoorbeeld door servers uit de lucht te halen. Of door hun VPN-service – die ze gebruiken om anoniem te blijven – om zeep te helpen.
Vele deskundigen beamen dat de Nederlandse politie dat goed doet. Een huzarenstukje was bijvoorbeeld de ontmanteling van Emotet. Dat was schadelijke software die binnendrong op de computers van onwetende gebruikers. Via hun adresboeken vond en besmette het ook de computers van hun contacten. Zo verspreidde het zich als een olievlek over de wereld. Begin dit jaar kon de Nederlandse politie Emotet de das om doen door, in samenwerking met buitenlandse collega’s, servers uit de lucht te halen. Daarmee werd een gigantische slag geslagen. Prompt daalde over de hele wereld het aantal phishingmails. Schuurbiers: ,,Emotet was een infectiefabriek die bijna een miljoen slachtoffers per jaar maakte.’’
Bovenop
Toch blijven ze verschijnen: ransomwaregroepen met namen als Conti, DarkSide en REvil/Sodinokibi. Laatstgenoemde was volgens ransomwarebestrijder Coveware goed voor een losgeldopbrengst van 100 miljoen dollar in de eerste helft van 2021. Soms verdwijnt er een groep van het toneel, even snel verschijnt er weer een nieuwe groep. Allemaal hebben ze hun zaken goed georganiseerd. Hester Somsen, plaatsvervangend hoofd van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, zit er met haar neus bovenop. ,, Er zijn al statistieken die zeggen dat er meer geld in omloop is bij cybercrime dan bij de drugsgerelateerde criminaliteit’’, zei ze onlangs, in de podcast Cyberhelden. De totale buit van alleen al ransomwarebendes bedroeg vorig jaar zo’n 350 miljoen dollar, becijferde crypto-expert Chainalysis.
Dat al die groepen Oekraïens of Russisch zijn, lijkt onwaarschijnlijk. De Europese politieorganisatie Europol wijst erop dat er in het verleden ook Roemenen en Polen werden gepakt voor ransomware. De beruchte aanval met WannaCry-software die in 2017 wereldwijd ruim 200.000 computers trof, was waarschijnlijk afkomstig uit Noord-Korea. Tegelijkertijd zijn er volgens politieman Schuurbiers aanwijzingen dat voormalige Sovjetlanden een voorname rol spelen. ,,Veel fora die cybercriminelen gebruiken, zijn Russischtalig. En in sommige ransomware is een mechanisme ingebouwd dat zorgt dat bedrijven waar een cyrillisch toetsenbord is geïnstalleerd, niet worden aangevallen.”
Veelgehoorde suggestie is dat de Russische overheid hackers met rust laat, zo lang ze in eigen land geen slachtoffers maken. Heeft het voor Nederlandse slachtoffers dan wel nut om aangifte te doen bij de politie? Jazeker, zegt Jaspers. Om haar verstorende werk te doen, heeft de politie zoveel mogelijk informatie nodig. En soms wordt er een bedrijf gered door gestolen data in beslag te nemen. Deskundigen loven het werk van de politiespecialisten, maar vinden dat er extra mankracht nodig is. Naast het landelijk Team High Tech Crime hebben ook de regionale politie-eenheden cyberteams, met hun eigen specialiteit. Ransomware is de specialiteit van de eenheid Oost-Brabant, maar dat cyberteam is niet volledig bezet. De recherchechef in die regio, Toine van Loenhout, ziet dat er wel degelijk interesse is van zij-instromers. ,,Zij vinden het spannend en betekenisvol werk.” Maar zij zouden nog te vaak afhaken omdat selectie en opleiding een jaar duren en omdat de bedrijfsvoering van de politie niet flexibel genoeg is.
3. De bestrijding: cybersecuritybedrijven moeten soms al ‘nee’ verkopen
Op zijn auto zit geen sirene. Joost Gijzel beweegt zich anoniem door het verkeer. Maar voor zijn klanten telt bijna letterlijk elke seconde, als Gijzel en zijn team van cybersecuritybedrijf DataExpert (onderdeel van it-groep Interstellar) onderweg zijn. Als je bedrijf plat ligt door ransomware, zie je de kosten als een op hol geslagen energiemeter oplopen. Noem Gijzel en zijn team maar digitale brandweerlieden, al heten ze officieel een Computer Emergency Response Team (CERT). Ze schieten te hulp als – veelal ontredderde – ondernemers het piketnummer bellen. Een stuk of twaalf cybersecuritybedrijven in ons land hebben zo’n team. In de auto’s van Gijzel en zijn mensen bergen vol apparatuur. Een tas met een of twee laptops, een paar kisten vol materiaal om systemen te analyseren, harde schijven en heel veel kabels en adapters.
Gijzel is, zeg maar, de officier van dienst. Hij coördineert de hulp ter plaatse. Als eerste zet hij de managers van het getroffen bedrijf in een vergaderruimte bijeen. ‘Wat betekent het als je nu, per direct, twee weken dicht moet? Wat moet er technisch geregeld worden om de salarissen uit te kunnen betalen?’, zijn de eerste vragen die hij stelt. Ondertussen richten anderen zich op het redden van de bedrijfsgegevens. Het is zeer specialistisch werk dat 24/7 wordt uitgevoerd. In totaal kan het team van Gijzel zomaar 300 à 400 uur bezig zijn. Daar is de rekening ook naar. Die bedraagt gemiddeld tussen de 50.000 en 100.000 euro.
Peperduur
Sommige slachtoffers winden zich erover op dat ze na een misdrijf afhankelijk zijn van commerciële partijen. Hun klacht: bij een inbraak bel je de politie, maar bij een digitale gijzeling ben je aangewezen op een peperduur beveiligingsbedrijf. Voor veel mkb’ers een financiële aanslag. De beveiligers wijzen erop dat je bij een inbraak ook zelf de glaszetter moet bellen voor een ingetikte ruit. De politie zoekt alleen de daders.
Hoge rekeningen of niet; cybersecuritybedrijven hebben over klandizie niets te klagen. Soms is het zo druk dat er géén tijd is om nieuwe slachtoffers te helpen. Onder meer Northwave, Eye security, DataExpert en Tesorion bevestigen dat ze soms ‘nee’ moeten verkopen. Volgens expert Dave Maasland van beveiligingsbedrijf ESET zijn cybersecurityspecialisten schaars. Iedereen zit erom te springen. Hij ziet dat slachtoffers die nergens terecht kunnen, soms zelf de figuurlijke brand gaan blussen. Of ze kloppen aan bij IT-bedrijven die van ransomware weinig kaas hebben gegeten.
In het telefoongesprek met de gedupeerde ondernemer uit de hygiëne-industrie klinken woorden waar weinig op af valt te dingen: ,,Dit kan zo niet langer doorgaan’’, zegt de man. En vertwijfeld: ,,Als Russische tanks het land binnenrijden, wordt er toch ook ingegrepen? Het is een veelkoppig monster, die ransomware.” Op de een of andere manier, zegt de man, moet je de criminelen raken waar zij het het hardst voelen: in hun portemonnee.
De losgelddiscussie wordt in ons land al volop gevoerd. Sommige betrokkenen zeggen wat de getroffen ondernemer ook zegt: we moeten met z’n allen niet meer betalen. Hou je dat als land een tijdje vol, dan gaan de criminelen vanzelf een deurtje verder. Door wél te betalen, maak je de vijand sterker. Met de winst worden steeds weer nieuwe, slimmere aanvalsmethodes gekocht.
Faillissement
Makkelijk praten, brengen anderen daar tegenin. Soms is er simpelweg geen keuze. Sommige slachtoffers zijn alles kwijt, als ze niet betalen. Wat als je moet kiezen tussen betalen of een faillissement? Volgens Pim Takkenberg van beveiligingsbedrijf Northwave maken slachtoffers simpelweg een rekensom. ,,Je rekent uit hoe lang je uit de lucht bent als je niet betaalt en wat dat kost. En dat zet je tegenover het losgeld.”
We spreken Takkenberg op zijn kantoor in een hoge toren langs de A2. Hij biedt getroffen klanten aan om, indien nodig, met de aanvallers te onderhandelen over het losgeld. De communicatie met de aanvallers verloopt via een speciaal chatvenstertje. Vaak zegt de cybercrimineel na een voorstel van Takkenberg dat hij even met de baas moet overleggen. Het is net alsof je een keuken koopt.
Eenmaal tikte Takkenberg, namens een Nederlandse klant, ‘enkele miljoenen’ af. ,,Gemiddeld bedraagt het losgeld 0,5 tot 2 procent van de omzet.” ,,Zo’n 80 procent van de slachtoffers besluit uiteindelijk om te betalen”, zegt hij. Maar andere securitybedrijven zijn terughoudender en zeggen dat een veel kleinere klantengroep betaalt, variërend van 10 tot 33 procent. Sommigen adviseren standaard om geen cent – of bitcoin – over te maken.
Bedrijven die een zogeheten cyberverzekering hebben, krijgen het betaalde losgeld vaak vergoed. Justitieminister Ferd Grapperhaus riep de verzekeraars al op om dat niet langer te doen. Maar uit navraag die deze site deed bij de verschillende aanbieders, blijkt dat de meeste – ondanks de oproep van Grapperhaus – nog steeds losgeld vergoeden. Inmiddels bekijkt de minister of hij dat de verzekeraars wettelijk kan verbieden, maar er is nog geen besluit genomen. Overigens: verzekeraars die de vergoeding schrappen, moeten op hun hoede zijn. In Frankrijk stopte verzekeraar Axa ermee, en prompt werd het zélf slachtoffer van ransomware. Kom niet aan het businessmodel van criminelen.
Niet lichtzinnig
Het Verbond van Verzekeraars zegt dat in de praktijk ‘niet lichtzinnig’ tot vergoeding van losgeld wordt overgegaan. De nadruk ligt op ‘preventie’. Zo moeten bedrijven die zich willen verzekeren verplicht hun systemen goed beveiligen, software periodiek updaten en ga zo maar door.
Inderdaad hebben bedrijven zelf de belangrijkste sleutel tegen ransomware in handen. Hun systemen moeten beter worden beveiligd. Dat klinkt obligaat, maar we horen het tijdens ons onderzoek overal. Bij politie en justitie. Bij experts. Bij slachtoffers, voor wie het al te laat is. Wie een beter slot op zijn voordeur zet, zal merken dat de criminelen liever naar de buren gaan. Zo werkt het in de cyberwereld ook. In Nederland staan nog veel te veel voor- en achterdeuren open.
De zoektocht naar openstaande deurtjes verloopt vandaag de dag volledig geautomatiseerd. Staat ergens een slecht beveiligde server? Dan wordt dat feilloos gedetecteerd. Zijn er ergens gemakkelijk te kraken wachtwoorden in gebruik? Grote kans dat je voor de bijl gaat. Daar kun je iets tegen doen. Wachtwoordenhacks kun je voorkomen met 2 factor-autorisatie; dat wil zeggen dat je naast een wachtwoord bijvoorbeeld nog een toegangscode nodig hebt die je via sms ontvangt. Maar veel bedrijven vinden dat maar gedoe.
Ook het maken van regelmatige back-ups is natuurlijk een vereiste. En die moeten niet online toegankelijk zijn. Grote bedrijven hebben inmiddels behoorlijk in cybersecurity geïnvesteerd. Mkb’ers laten nog veel liggen. Hun systemen zijn soms zo lek als een mandje, omdat ze denken dat ze geen doelwit zijn. ,,Een paar jaar geleden kon ik daar nog in meegaan, maar inmiddels overkomt hen wat grotere bedrijven jaren geleden overkwam”, zegt Michael Waterman, cybersecurity consultant van ict-specialist ACA IT-Solutions. Hij komt bedrijven tegen waar nog extreem verouderde Windows-versies draaien, die allang geen updates meer krijgen. In de top tien van meest misbruikte gaten in de beveiliging staan nog kwetsbaarheden uit 2006 en 2018. Software die niet up-to-date is, is als een voordeur die wagenwijd openstaat.
Updates
Cybersecuritygoeroe Ronald Prins, van Hunt & Hackett, ontvangt ons in zijn woonplaats Scheveningen. Bijna achteloos lepelt hij op hoe gehaaid de cyberdieven te werk gaan: ,,Elke tweede dinsdag van de maand maakt Microsoft bekend welke beveiligingslekken gedicht worden met een update. Dan zitten de criminelen al klaar om van die lekken nog vlug gebruik te maken.” Wie de update te laat installeert, is het haasje. Maar voortdurend updates installeren is voor sommige organisaties nog een hele klus.
We bezoeken een ziekenhuis in het zuiden van het land waar het hoofd van de ict-afdeling vertelt dat er zo’n 800 applicaties gebruikt worden, die allemaal updates nodig hebben. De afdeling ict telt 140 medewerkers van wie er zo’n 45 verantwoordelijk zijn voor de infrastructuur van hard- en software en daarmee direct met veiligheid bezig zijn. ,,,Om eerder dit jaar het netwerk vier uur plat te kunnen leggen, voor het vervangen van hardware en updaten van bijbehorende software, was een half jaar voorbereiding nodig. Sommige patiënten moesten naar andere ziekenhuizen en in de gangen werd met extra personeel fysiek gepatrouilleerd, want de alarmknopjes voor de patiënten werkten tijdelijk niet.’’
Het netwerk van het ziekenhuis wordt continu gemonitord. ,,Als er iets opvalt, komt de piketdienst meteen in actie.’’ Er zijn meer grote bedrijven die hun netwerken laten monitoren. Wordt er vanuit Rusland ingelogd of op een ongebruikelijk tijdstip? Dan gaan de alarmbellen rinkelen.
Maar advocaat en hoogleraar ict- recht Lokke Moerel beklemtoont dat je niet van álle bedrijven kunt verwachten dat ze zelf zo’n trits maatregelen nemen. Moerel is lid van de Cyber Security Raad, het belangrijkste adviesorgaan dat het kabinet op dit gebied heeft. Dat de beveiliging van computersystemen het pakkie-an is van bedrijven zelf, is haar veel te gemakkelijk. ,,Dit stijgt zo ver uit boven wat je van het mkb kunt verwachten. Die moet je ontzorgen met standaard beveiligingsdiensten en een ‘helpdesk’ als een hack heeft plaatsgevonden.’’
Meldplicht
Voor een verbod op het betalen van losgeld is Moerel niet. Wel pleit ze, zoals meer Nederlandse experts, voor een meldplicht. Wie door ransomware getroffen wordt, moet zich bij de autoriteiten melden. Niet om een boete te krijgen voor gebrekkige beveiliging, maar simpelweg om nieuwe slachtoffers te voorkomen. Nu ransomware-aanvallen nog massaal in de doofpot gaan, ontbreekt het instanties vaak aan informatie om andere bedrijven te waarschuwen. Een mooi voorbeeld is de Universiteit Maastricht die wél informatie deelde over een ransomwareaanval. Met die gegevens werden aanvallen op vermoedelijk twee andere universiteiten voorkomen.
Op dit moment moeten bedrijven een lek met persoonsgegevens al wel melden bij de Autoriteit Persoonsgegevens (AP). ,,Die plicht geldt ook als je geen controle meer hebt over de gegevens, zoals bij gijzelsoftware”, aldus Aleid Wolfsen, voorzitter van de AP.
Wolfsen vermoedt echter dat lang niet alle bedrijven zich aan die wettelijke verplichting houden. Hij zou daar met de AP graag meer aan willen doen. Het verzwijgen van een datalek kan leiden tot boetes.
Gijzelsoftware is niet alleen vervelend voor de ondernemer, maar juist ook voor mensen wiens gegevens gelekt worden, beklemtoont Wolfsen. Zij hebben het recht van het lek te weten, zodat zij bijvoorbeeld wachtwoorden kunnen veranderen of alert kunnen zijn op oplichtingsmailtjes of appjes die zogenaamd van de gehackte organisatie komen.
Ook Wolfsen is voorstander van een algemene ransomware-meldplicht, waarmee de bestrijders van de gijzelsoftware hun voordeel kunnen doen.
In Amerika wordt al gewerkt aan een meldplicht, maar in Nederland laat justitieminister Grapperhaus via zijn woordvoerster weten nog niet met een voorstel tot invoering bezig te zijn.
Voor Rogier maakt het niet meer uit. Hij kreeg na de betaling van het losgeld binnen een uur de sleutel terug. Hij bedacht een slim excuus om veel minder dan het geëiste bedrag te betalen. ,,Ik zei dat ik onder bijzonder beheer van de bank stond en dus alleen iets kon betalen met toestemming van de bank. Daar schrokken ze al van terug. Ik zei dat ik een klein bedragje had waarover ik zelf kon beschikken. Daarmee namen ze genoegen. Het was 90 procent minder dan ze gevraagd hadden. Het blijft een drama, maar dat voelde toch als een kleine morele overwinning.”
Voor dit verhaal voerde deze site gedurende drie maanden enkele tientallen gesprekken met onder anderen vooraanstaande cybersecuritybedrijven, slachtoffers, onafhankelijke deskundigen, politie, justitie, ziekenhuizen, overheidsinstellingen en bedrijfsleven. Verder deden we onderzoek via het dark web en een reeks rapporten en (overheids)documenten die inmiddels over ransomware verschenen zijn.
