Vooraanstaande ict-beveiligers waarschuwen in de Volkskrant dat ransomware richting een nationale crisis gaat. Zij roepen de overheid op om bedrijven en instellingen te verplichten zich goed te beveiligen. Zeker nu ook aanvallen op het mkb de nationale veiligheid bedreigen.

De Volkskrant sprak met Job Kuijpers van Eye, Ronald Prins van Hunt & Hackett en Pim Takkenberg van Northwave. Allen zeggen het werk niet meer aan te kunnen, nu het ene na het andere bedrijf door ransomware wordt getroffen. Volgens Takkenberg kan je niet anders concluderen dan dat de nationale veiligheid in gevaar is en dat ransomware de welvaart in Nederland bedreigt. Meestal blijkt dat slachtoffers slecht voorbereid waren op een cyberaanval en dat zij zelden verzekerd zijn. Kuijpers: “Nog geen 5 procent van de mkb-bedrijven heeft een cyberverzekering, terwijl ze allemaal een brandverzekering hebben. En dat terwijl de kans op brand 1 op 8.000 is en de kans op een hack 1 op 8.”

Betalen of opnieuw beginnen
Basismaatregelen zijn volgens de experts vaak niet voldoende. De criminelen versleutelen vaak ook de back-ups. De enige opties zijn dan nog betalen of alles opnieuw opbouwen, wat vaak meer kost dan het losgeld. Kuijpers: “Beveiliging wordt aan de markt overgelaten. Als je dochter wordt ontvoerd, komt de politie direct. Maar als je data wordt gegijzeld moet je het zelf maar uitzoeken.” Prins ziet klanten vooral komen als het al te laat is. Takkenberg wordt liever ingeschakeld voor preventief advies. Vaak blijkt namelijk dat er geen goede back-ups zijn, dat er geen meertrapsverificatie plaatsvindt, dat updates niet of niet op tijd worden uitgevoerd en dat er geen goede monitoring plaatsvindt. Hij onderscheidt twee soorten criminelen: de uitvoerders van de ransomware en partijen die de technologie aanbieden. Soms betreft het uitgebreide, professionele organisaties met infanteristen die kwetsbaarheden zoeken, hackers die de ransomware verspreiden, onderhandelaars en zelfs een afdeling klantenservice.

Kritiek op de overheid
De laatste tijd worden systemen niet alleen versleuteld, maar dreigen de criminelen ook persoonsgegevens openbaar te maken, wat het slachtoffer een AVG-boete kan opleveren. Er wordt minder vaak via phishing-mails aangevallen. Volgens Kerkhofs zoeken de hackers naar kwetsbaarheden, zoals niet geüpdatete PC’s en software. De drie hebben veel kritiek op de overheid. Zoals het Nationaal Cyber Security Centrum (NCSC) dat alleen vitale bedrijven mag waarschuwen voor bekende kwetsbaarheden en dat ook nog eens vaak achter de feiten aanloopt. Kuijpers: “Niemand voelt zich verantwoordelijk voor het mkb. Het NCSC heeft geen mandaat en het Digital Trust Center van het ministerie van Economische Zaken is te vrijblijvend en heeft nauwelijks budget. Er zijn genoeg praatclubjes, maar nu moet er echt wat gebeuren.”