stopbord met tekst: ransomware

Vijf tips van de cyberonderhandelaar

05 november 2024 - 15:304 minuten leestijdActueelSecurity & AwarenessCybersec Netherlands
William Visterin
William Visterin

Boek ‘Onderhandelen in het duister’ van Geert Baudewijns

Je bent gehackt en de hackers eisen een losgeld. En dan bel je Geert Baudewijns, wiens job het is om wereldwijd te onderhandelen met hackers naar aanleiding van een ransomware-aanval. Baudewijns geeft op woensdag 6 november een keynote presentatie op Cybersec Netherlands.

1. Losgeld betalen is meestal onvermijdelijk

‘Mijn belangrijkste taak is om de som van het losgeld naar beneden te krijgen. Want betalen zul je bijna altijd’, is de stelling van Geert Baudewijns. Sommige organisaties betalen principieel geen losgeld. Meestal hebben overheidsorganisaties dit beleid, uit ethische principes. ‘Op basis van de zogenaamde wall of shame van ransomware-groepen zien we dat zeven op de tien slachtoffers betalen. Zodra je betaalt, verdwijn je in principe van zo’n wall.’

Maar soms is het simpelweg een praktische overweging. ‘De meeste bedrijven hebben hun data sneller gerecupereerd na betaling van het ransomeware-losgeld, dan dat ze hun eigen restore zouden uitvoeren’, stelt hij. En intussen ligt het bedrijf plat. ‘Vaak is het zo: ‘als je niet betaalt, bestaat de kans dat je failliet gaat.’

2. Losgelden gebaseerd op omzetcijfers

Losgelden die hackers vragen (en die zo goed als altijd in bitcoins moeten worden vereffend) zijn meestal gebaseerd op omzetcijfers.  Voor grote organisaties loopt dat flink op. ‘Voor een kleiner bedrijf, van zo’n dertig tot honderd werknemers, moet je doorgaans rekenen op vijftigduizend tot honderdvijftigduizend euro.’

Maar omzetcijfers zeggen weinig over winst. ‘Waardoor sommige bedrijven door zo’n bedrag wel degelijk in de problemen komen’, stelt hij. ‘Winstcijfers zijn overigens moeilijker te vinden, maar als hackers die hebben, zit je als onderhandelaar in een moeilijke positie. Want dan weten hackers hoeveel een bedrijf echt kan betalen.’

3. Publiceren van data is geen ramp

Wat veel bedrijven de schrik op het lijf jaagt, is dat hackers dreigen om bedrijfsdata te publiceren. Vaak een onterechte bekommernis, vindt Baudewijns. Want hackers kunnen die bedrijfsdata niet zomaar op internet plaatsen, met als risico om geïdentificeerd te worden. En dus gaan die vertrouwelijke data op het darknet, en daar zijn ze simpelweg al veel moeilijker op te sporen. ‘Bovendien gaat het op het darknet ook veel trager om gegevens te downloaden.’

Meer zelfs: het publiceren van die bedrijfsdata is een onderhandelingstactiek. ‘Als ik de klant ervan kan overtuigen om de gegevens desnoods te publiceren, sta ik sterker als onderhandelaar tegenover de hackers’, stelt hij.

4. Meer dan losgeld: vier doeleinden van de onderhandeling

Bij elke onderhandeling – die gemiddeld zowat anderhalve week duurt – stelt Baudewijns zichzelf vier doelen. ‘Eén de prijs voor de klant zo laag mogelijk houden, dat spreekt voor zich. En twee: de juiste sleutels krijgen om de gegevens te decrypteren, die van de belangrijkste data eerst.

Maar de andere doeleinden zijn mogelijk zelfs nog belangrijker. ‘De belangrijkste is namelijk te weten komen of en welke data de hackers precies hebben gestolen en gekopieerd, zodat de klant beter kan inschatten wat het risico is’, vertelt hij. ‘En vier, ook behoorlijk cruciaal: op papier krijgen via welke weg de hackers de weg naar binnen vonden, zodat we die zwakheden in het systeem kunnen beveiligen.’

5. Reken op een trage heropbouw

Veel mensen denken dat zodra de encryptiesleutels binnen zijn, alles snel weer normaal zal worden. ‘Maar zo werkt het niet’, merkt de onderhandelaar op. ‘De software die de hackers gebruiken om te versleutelen, gebruikt de volledige kracht van de server. De decryptiesoftware echter, werkt maar met tien procent van de kracht van de server. Dat duurt dus veel langer’, stelt hij.

Data ontsleutelen is maar één deel van het verhaal. ‘Bovendien moet je het netwerk ook helemaal weer opnieuw opbouwen, anders zit de hacker in geen tijd weer bij je binnen.’

Onderhandelen in het duister – Een toponderhandelaar getuigt over zijn jacht op cybercriminelen
Geert Baudewijns
Lannoo
240 pagina’s
ISBN 9789401498319

Cybersec Netherlands

Op de vakbeurs Cybersec Netherlands is vanzelfsprekend volop aandacht voor het veiliger maken van bedrijven en instellingen. De beurs wordt georganiseerd op 6 en 7 november in Jaarbeurs Utrecht. Meld je hier voor het programma-overzicht en een gratis toegangskaart. Een impressie? Bekijk hier de video-opnames van Cybersec Netherlands 2023.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Geef een reactie

    Footer