Er gaat geen dag voorbij of er is wel een bedrijf dat stilvalt omdat criminelen het computersysteem zijn binnengedrongen. Veel bedrijven denken dat ze zichzelf goed beschermd hebben, maar klopt dat wel? Experts luiden de noodklok. "De vraag die bedrijven zichzelf moeten stellen is: wat kan ik nog als al mijn IT platligt?"
Vorige week donderdag was het weer raak: VDL moest dagenlang de productie stilleggen door een aanval. Woensdag, een week later, zijn de problemen nog steeds niet helemaal verholpen. "Alle 105 bedrijven zijn in meer of mindere mate geraakt", zegt een woordvoerder van VDL tegen Nieuwsuur. "We hebben toen we signalen opvingen van een online-aanval, proactief al onze systemen uitgezet en van de buitenwereld geïsoleerd."
Bij een aanval met ransomware gijzelen criminelen op afstand een computer of een heel systeem, waardoor de gebruikers er niet meer bij kunnen. De aanvallers vragen losgeld om na betaling de systemen weer vrij te geven. Het gaat hierbij vaak om tonnen of miljoenen, en regelmatig betalen bedrijven dit bedrag omdat ze anders geen (snelle) oplossing hebben om in hun systeem te komen.
Die betalingen zijn de Nederlandse overheid een doorn in het oog: het ministerie van Justitie en Veiligheid zoekt nu naar manier om het te stoppen, bijvoorbeeld door verzekeraars te verbieden om losgeld te vergoeden.
'Grootste risico dat er is'
Bedrijven nemen nog veel te weinig maatregelen tegen ransomware, zeggen deskundigen. "Dit is misschien wel het grootste bedrijfsrisico dat er nu is", zegt Dave Maasland, cybersecurity-expert bij ESET. Hij vindt dat ransomware moet worden besproken in de "boardrooms van grote bedrijven".
Het is volgens Maasland gevaarlijk dat bedrijven zich vaak niet kunnen voorstellen dat zij slachtoffer kunnen worden van een online-aanval. "Deze criminelen hebben echt een manier gevonden om zo'n hele organisatie plat te leggen. We zien nu dat bedrijven erg kwetsbaar zijn door de verregaande automatisering van hun systemen."
Het is een digitale hartstilstand.
En hoewel bedrijven zich dan onkwetsbaar mogen wanen, het aantal grote aanvallen neemt toe.
Zo werd in december 2020 de gemeente Hof van Twente slachtoffer van een aanval waarbij haar bestanden werden versleuteld en servers werden vernietigd. In augustus van 2021 braken mensen vanuit het buitenland in op het systeem van het Gelre Ziekenhuis in Zutphen. Een maand later werd RTL Nederland geraakt door een aanval met ransomware. In diezelfde maand werden gegevens gestolen bij de Hogeschool Arnhem en Nijmegen.
Volgens Maasland proberen criminelen vaak je data in handen te krijgen niet eens zozeer om de data zelf, maar omdat ze weten dat je er als bedrijf niet zonder kunt. "Wat heb jij er als bedrijf voor over om binnen een dag weer online te zijn, zodat je systemen het doen?"
Een digitale aanval met ransomware is een "digitale hartstilstand" volgens Maasland. "De vraag die bedrijven zichzelf moeten stellen is: wat kan ik nog als al mijn IT platligt? En als het antwoord daarop is 'vrij weinig', is het echt tijd om nu in actie te komen."
'Arrestaties laten zien dat we wel wat kunnen doen'
Ransomware heeft zich razendsnel ontwikkeld: was het voor criminelen vroeger al heel wat om één computer plat te kunnen leggen, nu slagen ze er steeds vaker in met één druk op de knop het hele systeem van een bedrijf over te nemen.
De ongrijpbaarheid van het probleem wordt versterkt door de onzichtbaarheid van de daders. Wie zijn de mensen die ransomware-aanvallen uitvoeren en waar zitten ze?
Soms worden ransomware-criminelen opgepakt, zoals hier in Oekraïne:
Het oppakken van de daders is niet eenvoudig, en omdat het probleem zich snel verspreidt, lijkt het soms een druppel op een gloeiende plaat. Toch is het volgens Maasland belangrijk: "Arrestaties laten zien dat we wel wat kunnen doen."
De mensen die dit soort aanvallen uitvoeren, voelen zich vaak onschendbaar, denkt Maasland. "Ze zitten op afstand en het aantal arrestaties is zeer gering. Je ziet een bepaalde gelatenheid bij dit soort criminelen."
Maar uiteindelijk zit de oplossing toch vooral in het versterken van de beveiliging, zo ziet ook Maasland. "Als een bedrijf slachtoffer wordt van een ransomware-aanval, blijft er daarna meestal veel onduidelijk, omdat er geen informatie over naar buiten wordt gecommuniceerd. We zouden er juist veel van kunnen leren als een bedrijf die cyclus doorbreekt van mythe en mystiek en vertelt wat er nou precies is gebeurd."
Nieuwsuur maakte eerder deze YouTube-reportage over hoe een aanval met ransomware in zijn werk gaat: