Een tijdje terug las ik een artikel waarin werd geclaimd dat hacken steeds lucratiever zou worden. In het artikel worden een aantal bronnen aangehaald waaruit dit ook zo blijkt te zijn. Dit heeft deels te maken met de groeiende vaardigheid van hackers maar ook net zo goed met de afhankelijkheid van data waar veel bedrijven mee te maken hebben. Recentelijk werd er nog door een partner van ons geschreven over de groeiende afhankelijkheid van leveranciers waar steeds meer bedrijven mee te maken krijgen. Dit past perfect in dat plaatje. Daarom besluiten steeds meer organisaties om losgeld te betalen. Iets dat ook zeker voer is voor een discussie. Want door te betalen beloon je eigenlijk de hackers. Dat is een slechte zaak. Maar moet je dan maar het risico lopen dat al je data op straat komt te liggen? Het is een lastig verhaal. Daarom deze week de HAN casus “losgeld betalen vs data op straat“.
“De gemiddelde som losgeld die bedrijven betalen bij ransomware stijgt flink. Waar het gemiddelde in 2019 nog op 115.123 dollar (zo’n 97.000 euro) uitkwam, was dat in 2020 312.493 dollar (zo’n 263.00 euro)” | onderzoek Palo Alto Networks
Eind vorige week, 3 september, kwam het bericht naar buiten dat de HAN mogelijk gehackt zou zijn. Hier werd meteen aan toegevoegd dat ze ook zouden worden afgeperst. Opmerkelijk te noemen dat dit hand-in-hand naar buiten werd gebracht. Vaak wordt hier niet meteen melding over gedaan omdat dit over het algemeen nog niet inzichtelijk is. In het bericht wordt verder gesteld dat er data van studenten en medewerkers in handen is gevallen van de hacker. Deze zou een, op dat moment, onbekend bedrag eisen.
Op de website van de Hogeschool wordt op dat moment gemeld dat het onderzoek in volle gang is. Tevens worden studenten op het hart gedrukt om alert te zijn op phishing. Goed advies natuurlijk. Het verdere verloop van deze casus is opvallend te noemen. Vaak wordt er in het geval van een mogelijke ransomware-aanval juist minimale informatie naar buiten gebracht. Je wilt tenslotte niet zwak overkomen en als je zegt ‘we zijn gehackt, en we kunnen niet meer bij onze data’, dat is nou niet bepaald sterk. Dus vaak wordt er een bericht naar buiten gebracht a la ‘we onderzoeken momenteel een technisch incident’. Zo kan er in alle rust gekeken worden naar de opties en koop je tijd voor jezelf. Het gaat tenslotte om data van derden (studenten en staf). Wanneer zij horen dat hun data 10.000 euro waard is zal er val alle klanten gepushed worden om te betalen. Dat is druk die je op dat moment niet kunt gebruiken.
Er werd door de hackers 10.000 gevraagd in ruil voor het vrijgeven van de data. Een paar dingen over dit bedrag. Allereerst, het is een laag bedrag. Zeker wanneer je in beschouwing neemt dat er plaintext wachtwoorden, e-mailadressen en veel meer op de lijst staan. Een goudmijn voor de gemiddelde fanatieke phisher. Ten tweede, een bedrag van 10.000 euro is in cybersecurity niet echt heel veel. Wat ik hiermee bedoel, een gemiddelde organisatie is jaarlijks meer kwijt aan adequate bescherming dan dit bedrag. En dat is het bruggetje dat ik even wilde maken. Na wat ‘onderzoek’ kwam ik namelijk het volgende tegen:
Op basis van wat hier staat is het een wonder dat de HAN niet eerder gehackt is. Daarnaast zou je dan toch denken dat ze die 10.000 euro wel kunnen missen want aan degelijke cybersecurity lijkt de afgelopen jaren niet veel te zijn uitgegeven. Dit klinkt misschien wat hard, maar het ziet er allemaal wat amateuristisch uit. Inmiddels is een externe partij ingehuurd om de boel te repareren en om, ongetwijfeld, de boel te beveiligen tegen toekomstige aanvallen. Ik deel even een beroepsgeheim met u. Dit gaat veel, veel meer kosten dan die 10.000 euro.
Dit zorgt ervoor dat ik me afvraag waarom de HAN gekozen heeft om niet te betalen. Al met al waren ze namelijk waarschijnlijk goedkoper uit geweest met minder imagoschade wanneer ze het losgeld hadden betaald. Het enige valide argument dat hier aangedragen kan worden (vinden wij) is dat het niet ethisch is om te betalen. Je beloont dan als het ware criminaliteit. Tegelijkertijd in het geval van de HAN lijkt het erop alsof hun deur wagenwijd openstond en er al jaren geen broodnodige reparaties waren uitgevoerd. In dat geval roep je het wel over jezelf af, zeker in de tijd waarin wij nu leven. En dan moet jij, in dit geval de onderwijsinstelling, op de blaren zitten. In plaats daarvan kies je ervoor om andere mee te nemen in je beschamende IT-security beleid en onschuldige slachtoffers te maken wiens data nu op straat ligt. Hoe ethisch is die keuze? Hier moeten we natuurlijk wel een kleine nuance aan toevoegen dat veel van hier geschreven staat op basis is van halve informatie. Mogelijk niet heel professioneel van onze kant, maar de ervaring leert..
Als er een rode draad is in al deze verhalen die we wekelijks lezen over ransomware is dat er een externe partij wordt ingeschakeld. Dit is logisch, nauwelijks opvallend toch? Nou wat opvallend is, is dat je nooit leest over bedrijven die preventief met cybersecurity aan de slag zijn gegaan. Dat is misschien flauw om te zeggen maar wij roepen het al jaren. Wees proactief in je cybersecurity, niet reactief. Dan is het al te laat, kost het 10 keer zoveel en is de schade al geleden. Hoe mooi zou het zijn om een keer te lezen “Bedrijf X investeert tijd en geld in sterk Cyber Security beleid. Hackers lopen zich stuk”
Wil jij voorkomen dat jullie organisatie de volgende headline wordt met daarin de woorden ‘data gelekt, mensen ontslagen of gebrekkige cybersecurity’? Neem dan even contact met ons op, wij laten je zien dat goede security niet duur of extreem complex hoeft te zijn. Meer weten? Meld je dan aan voor ons gratis webinar op 23 september om 10:00.
Automated page speed optimizations for fast site performance