Bestuurders van kleinere organisaties onderschatten het gevaar van ransomware-aanvallen. Dat blijkt uit verkennend onderzoek dat Dialogic op verzoek van het WODC heeft gedaan. De onderzoekers pleiten voor een bewustwordingscampagne onder bestuurders.

Waar de ICT’ers van kleinere organisaties vaak wel het risico op en de gevolgen van ransomeware-aanvallen kennen, zijn de bestuurders zich daar vaak minder van bewust. Om ransomware-aanvallen tegen te gaan, is het belangrijk dat ook bestuurders van middelgrote en kleine organisaties beter begrip krijgen van hoe zij plaatsvinden en welke risicofactoren een rol spelen. Een bewustwordingscampagne kan daar mogelijk bij helpen.

Onder druk gezet
Ransomware is een specifieke cyberaanval. De kern van ransomware is dat het slachtoffer door de dader onder druk wordt gezet om iets tegen zijn of haar zin te doen. Meestal is dit het betalen van losgeld (ransom). Het onderzoek laat zien dat een ransomware-aanval doorgaans uit vijf stappen bestaat. De eerste is initial access: de aanvaller krijgt eerst toegang tot het systeem van het slachtoffer, vaak via een account van een medewerker. Dan volgt consolidatie toegang en positie. Nadat toegang is verkregen, probeert de aanvaller de toegang tot de systemen van het slachtoffer uit te breiden.

Chantage
De volgende stap is data-exfiltratie. Bij sommige aanvallen worden gegevens van het slachtoffer gestolen, waarna de aanvaller de dreiging van doorverkoop of publicatie van de data gebruikt als chantagemiddel.
Wat het meeste voorkomt is ransomware deployment. De ransomware-software wordt gebruikt om een grote hoeveelheid (liefst waardevolle) bestanden van een organisatie te versleutelen met een sleutel waarover alleen de aanvaller beschikt. Daarop volgen chantage en cash out. De aanvaller maakt kenbaar wat het slachtoffer moet doen om de aanval te stoppen en de gegevens terug te krijgen of publicatie tegen te gaan.

Risicofactoren
Uit het onderzoek komen verschillende interne en externe risicofactoren naar voren die de kans op een ransomware-aanval vergroten. Deze bestaan onder meer uit het niet hebben van een goede back-up, onvoldoende training van medewerkers en software die niet up-to-date is. Doordat organisaties steeds afhankelijker worden van ICT, neemt de impact van een aanval toe.

Bewustwording
Waar de betrokken ICT’ers binnen middelgrote en kleine organisaties veelal bewust zijn van het gevaar van ransomware-aanvallen, lijken bestuurders zowel het risico als de gevolgen te onderschatten. In het onderzoek komt naar voren hoe het bewustzijn van deze bestuurders kan worden vergroot. Een bewustwordingscampagne zou volgens de onderzoekers de volgende elementen moeten bevatten:

1. Confronterende feiten, zoals de gemiddelde schade die slachtoffers ervaren.
2. Bestuurders op prikkelende wijze bewustmaken van de eigen situatie. Wat zijn de gevolgen als alle gegevens openbaar worden, ICT middelen drie weken niet gebruikt kunnen worden, of er losgeld betaald moet worden ter grootte van 5 procent van de omzet?
3. Concrete handelingsperspectieven over hoe en wat een organisatie minstens op orde moet hebben om goed beschermd te zijn tegen ransomware-aanvallen.
4. Een persoonlijke boodschap gericht aan de bestuurders, waarin de inhoud van de campagne actief onder de aandacht wordt gebracht.
5. Sociale normen presenteren die bestuurders het gevoel geeft dat vergelijkbare organisaties ook stappen nemen om zich te beschermen tegen ransomware-aanvallen.