Ransomware: laat je niet gijzelen door software
Bijna alle specialisten zijn het erover eens: geen enkele IT-bedreiging is vandaag zo pertinent voor bedrijven als ransomware of gijzelsoftware. Hoe zwaar is de impact van ransomware precies? Is losgeld betalen een goed idee? En helpt het om je ertegen te verzekeren?
Er zijn vandaag heel wat IT-bedreigingen, maar geen enkele die er zo boven uitsteekt als ransomware. “Qua economische impact, qua vernietigingskracht of qua volume is er vandaag niks wat met ransomware kan wedijveren”, zegt John Shier, Senior Security Advisor bij het beveiligingsbedrijf Sophos. “Dat wordt nog versterkt door het feit dat ransomware vaak gebruikmaakt van andere soorten cybercrime, zoals botnets, phishing en virussen om zijn werk te kunnen doen. Het is een soort zwart gat dat alle andere bedreigingen aanzuigt.”
Veel bedrijven snappen ondertussen wel dat ransomware een enorm probleem is, maar steken nog te vaak de kop in het zand. Een gemiddelde recovery-operatie kost een bedrijf nochtans bijna anderhalf miljoen dollar, zo becijferde Sophos. “Voor veel ondernemingen blijft het puur een afweging van risico’s versus kosten”, zegt Shier. “Een bedrijf dat niet veel machines aan het internet heeft hangen, wil vaak geen budget vrijmaken voor cyberbeveiliging omdat ransomware een risico is dat ze bereid zijn om te nemen. Het wordt pure wiskunde: als we platliggen, verliezen we zoveel omzet, zal het zoveel kosten om extra resources in te zetten. Dan zijn we zoveel kwijt aan consultants en IT-specialisten om alles weer op poten te krijgen. Is dat bedrag aanvaardbaar, dan gebeurt er niks.”
Toch mag de impact van ransomware ook niet te snel weggewuifd worden. Gemiddeld kost het ongeveer een maand om na een aanval weer volledig operationeel te zijn, blijkt uit een enquête van Sophos. Bijna 9 op de 10 ondervraagde bedrijven gaven ook aan dat ze na een aanval klanten en/of omzet waren kwijtgeraakt. Ook opvallend: bedrijven blijken steeds vaker bereid om de criminelen losgeld voor hun data te betalen. “Daar zien we een stijging van liefst 750 procent tegenover vorig jaar”, zegt Shier. “Betalen is natuurlijk de beste manier om te zorgen dat ransomware nooit meer weggaat. Met het losgeld ontwikkelen cybercriminelen immers nieuwe en betere vormen van ransomware.”
Qua premie mag je voor een gemiddelde cyberverzekering uitgaan van twee à drie keer een goede autoverzekering, een goede 3000 à 4000 euro per jaar.
Een betere manier om het risico in te dijken, is door je te verzekeren. Koen Druyts, van de gespecialiseerde verzekeringsmakelaar Cybercontract, ziet de vraag naar cyberpolissen explosief stijgen. “Het aantal verdubbelt ongeveer elk jaar”, zegt hij. “De verhoogde aandacht voor het fenomeen en het feit dat het steeds vaker voorkomt zijn daar natuurlijk debet aan.”
Van alle contracten die Druyts afsluit, verwacht hij dat er bij zo’n 15 procent binnen het jaar schade zal optreden. “Daardoor werden premies een stuk duurder en verzekeraars veel strenger in hun eisen voor de klant. Vaak wordt er ook gesnoeid in bestaande klantenportefeuilles en sommige verzekeraars hebben de markt ondertussen zelfs alweer verlaten: te veel risico.”
De gemiddelde schade die Druyts ziet schommelt flink, zegt hij. “De bulk van de claims liggen in totaal op 150.000 à 250.000 euro. Al zijn er ook uitschieters boven het miljoen. Qua premie mag je voor een gemiddelde cyberverzekering uitgaan van twee à drie keer een goede autoverzekering, zo’n 3000 à 4000 euro per jaar dus. Voor dat bedrag ben je verzekerd voor dataverlies, verlies van resources, bedrijfsonderbrekingen. Maar ook bijvoorbeeld voor reputatieschade of sancties van de Privacycommissie.”
Een verzekering is zeker nuttig, maar moet vooral ook het sluitstuk zijn van een goede preventie, benadrukt Druyts. “Preventie bestaat uit een combinatie van attitude, technologie en beleid. Attitude wil zeggen dat IT-gebruikers hun eigen gedrag moeten wijzigen en bijvoorbeeld alerter worden voor phishing of nauwkeuriger moeten omgaan met wachtwoorden. Technologie slaat op heel je technische beveiligingsinfrastructuur. En beleid heeft te maken met interne richtlijnen en regels. Bijvoorbeeld: als je data hebt die niet absoluut op je netwerk moeten staan, zorg er dan ook voor dat dat niet gebeurt. Met die combinatie kom je al een heel eind.”