Daarnaast is een sterke security-cultuur belangrijk. Denk aan het regelmatig trainen van medewerkers voor phishing, stimuleren van het gebruik van sterke wachtwoorden met behulp van een wachtwoordmanager en natuurlijk het gebruik van multi-factor authenticatie. Toch slagen cybercriminelen er dagelijks in om systemen van organisaties binnen te dringen en belangrijke data te stelen of te versleutelen. Het is daarom ook van groot belang om te weten welke stappen je moet nemen als je organisatie te maken krijgt met ransomware. Snel handelen is cruciaal om de schade te beperken, je systemen te herstellen en hiervan te leren voor toekomstige aanvallen.

1. Isoleer het apparaat, maar schakel het niet uit

Op het moment dat je ontdekt dat een cybercrimineel een succesvolle cyberaanval heeft uitgevoerd en ransomware heeft geïnstalleerd, is het belangrijk om het apparaat, bijvoorbeeld je laptop of een server, af te sluiten van het netwerk waarmee het is verbonden. Zo voorkom je dat ransomware zich verder verspreidt in je organisatie. Schakel het apparaat niet uit. Dit om forensisch onderzoek mogelijk te maken, de ransomware te onderzoeken en ook de schade te kunnen vaststellen. 

2. Schakel de hulp in van cybersecurity-specialisten

Schakel zo snel mogelijk professionele hulp in. Er zijn diverse cybersecurity-bedrijven die gespecialiseerd zijn in ransomware-aanvallen. Of het nou gaat om het forensisch werk om te achterhalen wat de oorzaak is, het onderhandelen met cybercriminelen, het ontsleutelen en herstellen van gegevens en je omgeving of het informeren van de juiste instanties. Heb je zelf geen of te weinig cyber security-expertise in huis, dan is het verstandig om een partnership af te sluiten met een partij die je met raad en daad bijstaat als je getroffen bent door een ransomware-aanval. Uiteraard kan je dit van tevoren regelen, maar ook tijdens een aanval kan je deze partijen nog inschakelen voor hulp. 

3. Maak melding van het incident bij de juiste instanties

Aanbieders van kritieke diensten, zoals energiebedrijven en ziekenhuizen, moeten een ernstige ransomware-aanval melden bij de Rijksinspectie Digitale Infrastructuur (RDI) en het Nationaal Cyber Security Centrum (NCSC) als deze de dienstverlening bedreigt. Voor digitale dienstverleners, waaronder veel Visma-bedrijven, is melding bij de RDI en het Computer Security Incident Response Team voor Digital Service Providers (CSIRT-DSP) noodzakelijk. Dit volgt uit de Wet beveiliging netwerk- en informatiesystemen (Wbni), gebaseerd op de Europese NIS-richtlijn, die binnenkort wordt opgevolgd door de strengere NIS2-richtlijn. Verder moet bijna elke ransomware-aanval, waarbij persoonsgegevens zijn betrokken, binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens wegens een datalek.

4. Doe altijd aangifte bij de politie

Het gaat om (cyber)criminaliteit, En dus is het enorm belangrijk dat je na een ransomware-aanval altijd aangifte doet bij de politie. De politie zal de aangifte opnemen en een onderzoek starten en ondersteuning en advies geven. Door alle meldingen van cyberaanvallen krijgt de politie een completer beeld van de cybercrime die in Nederland plaatsvindt. Wanneer een cybercrimineel of misschien wel een complete ransomwarebende wordt opgerold, dan helpen alle aangiftes het Openbaar Ministerie ook om tot voldoende bewijsmateriaal te komen voor het opstellen van een (zwaardere) strafeis.

5. Communiceer zo snel als mogelijk met al je stakeholders

Het beperken en oplossen van schade wanneer je getroffen bent door een ransomware-aanval heeft natuurlijk topprioriteit. Maar net zo belangrijk is de communicatie met je belangrijkste stakeholders, zoals je klanten en medewerkers. Ook als je nog te weinig informatie hebt over de impact van het incident en wanneer het zal zijn opgelost, is het verstandig om toch al met de communicatie hierover te beginnen. Over het algemeen wordt het open en transparant communiceren over een security-incident als heel waardevol ervaren door de klanten. Vergeet ook zeker je eigen medewerkers niet. Zij staan in nauw contact met je klanten en moeten daarom goed geïnformeerd zijn over de actuele stand van zaken.

6. Betaal geen losgeld, ontsleutel je gegevens óf pak je back-up

Het antwoord op de vraag of je nou wel of geen losgeld moet betalen, is natuurlijk niet zo zwart/wit. De bedrijfscontinuïteit kan op het spel staan of nog erger; er zijn kritieke systemen geraakt waarbij er sprake is van fysiek gevaar. De verleiding om losgeld te betalen kan dan groot zijn. Haast je in ieder geval niet om te betalen maar start eerst een onderzoek. Misschien zijn er wel decryptietools beschikbaar. Koop in ieder geval tijd door met de criminelen in onderhandeling te gaan, waardoor je ademruimte hebt om de impact te achterhalen en de gegevens te ontsleutelen. Op de website ‘No more ransom’ staan veel sleutels die eerder zijn gebruikt om gekaapte bestanden te ontsleutelen, dus het is altijd de moeite waard om deze te raadplegen. Lukt dit niet, ga dan aan de slag met de recovery via je back-up. Een goede, offline backup van je gegevens is een must om de schade van ransomware tot een minimum te beperken. Het betalen van ransomware financiert direct criminele activiteiten. Zolang cybercriminelen losgeld kunnen blijven innen, blijft de cybercrime economie draaien. Daarnaast is het ook lang niet zeker dat de data hersteld kan worden na het betalen van het losgeld. Dit kan ook een signaal zijn voor de criminelen waardoor je een doelwit wordt voor toekomstige aanvallen of afpersing.

7. Bied je medewerkers nazorg aan

Een ransomware-aanval heeft niet alleen een technische en economische impact, maar kan ook zijn weerslag hebben op je medewerkers. Om te beginnen op die ene medewerker die een phishing-e-mail voor een echte aanzag en per ongeluk op het linkje klikte of een kwaadaardig bestand opende. Maar in het algemeen zit zowel de schrik als ook de woede er bij veel medewerkers goed in als hun organisatie getroffen wordt door een ransomware-aanval. Daarom is het belangrijk om zowel tijdens als na het incident te blijven communiceren en oog te hebben voor het menselijke welzijn van de medewerkers. 

Nazorg voor medewerkers na een ransomware-aanval is cruciaal voor het herstel van niet alleen de technische systemen maar ook van het menselijke welzijn en de weerbaarheid van de organisatie. Leren van een crisis met de hele organisatie zorgt ervoor dat je sterker en beter voorbereid uit een crisis kan komen. 

Bonus tip: vergeet niet om je beveiliging te verbeteren

Niet alleen het herstellen van de systemen is belangrijk, maar natuurlijk ook het versterken ervan. Denk aan het updaten van systemen naar de nieuwste versies, het trainen van medewerkers met de laatste best practices of het invoeren van extra beveiligingsmaatregelen. En natuurlijk evalueer je het crisisplan en update je deze met de nieuwe inzichten die je hebt opgedaan voor, tijdens of na de aanval. Zorg dat je dat crisisplan klaar hebt liggen (ook op papier!) voor een mogelijke volgende aanval, zodat je precies weet bij welke instantie je je moet melden en wanneer, je weet welke belangrijke stakeholders je moet bereiken en hoe, en waarin ook een communicatiestrategie is opgenomen zodat je tijdens de crisis kan terugvallen op templates en formats waar al over is nagedacht. En zorg vandaag nog voor een goede back-up-oplossing. Het oefenen van een crisis kan ook veel vertrouwen geven aan je medewerkers en is een goede voorbereiding voor een crisissituatie. Dit kan ook een hele leuke teambuildingsactiviteit zijn.