De voorbije jaren haalden verschillende cyber-aanvallen op Belgische organisaties de actualiteit. Vaak gaat het daarbij niet alleen om stil gelegde systemen maar ook om gestolen gevoelige data en druk om losgeld te betalen.

Voor organisaties die getroffen worden door ransomware ontstaat dan onvermijdelijk dezelfde moeilijke vraag: betaal je losgeld of niet? Overheden raden duidelijk af om te betalen maar in de praktijk is die beslissing zelden zwart/wit. Wanneer systemen stil liggen, gevoelige data mogelijk gelekt worden en klanten of medewerkers geraakt zijn, komt een organisatie terecht in een complexe crisis waarin technologische, juridische en strategische factoren samen komen.

Kan de organisatie zijn systemen voldoende snel herstellen via back-ups? Werden er effectief gevoelige gegevens gestolen? Zijn de aanvallers mogelijk gelinkt aan gesanctioneerde organisaties waardoor betalen illegaal wordt? En vooral: biedt betaling überhaupt enige garantie dat het probleem opgelost raakt?

Net daarom wordt ransomware-onderhandeling vandaag beschouwd als een gespecialiseerde discipline binnen incident response en crisisbeheer.

Onderhandelen met cyber-criminelen is een gestructureerd proces

Veel mensen denken bij ransomware-onderhandelingen aan een geïmproviseerde chat-conversatie met cyber-criminelen. In werkelijkheid verloopt dit veel professioneler en gestructureerder.

Voordat er überhaupt over betaling wordt gesproken, proberen incident responders eerst de aanvallers correct te identificeren. Dat is essentieel, omdat sommige ransomware-groepen banden hebben met gesanctioneerde staten of criminele organisaties. In zulke gevallen mag er juridisch gezien geen betaling plaats vinden en moet alle communicatie onmiddellijk worden stop gezet.

Daarnaast wordt onderzocht wat exact werd buit gemaakt. In ongeveer 98% van de ransomware-incidenten worden vandaag ook data gestolen. Daardoor draait een aanval allang niet meer alleen om versleutelde systemen maar evenzeer om reputatieschade, mogelijke GDPR-gevolgen en druk vanuit klanten of partners.

Onderhandelaars vragen daarom eerst bewijzen op van de gestolen data. Ze analyseren of de informatie werkelijk gevoelig of waardevol is. Want organisaties onderschatten soms niet alleen de impact van een aanval - ze overschatten ze onder druk soms ook. Wanneer blijkt dat de aanvallers geen relevante data in handen hebben, wordt meestal aangeraden om niet te betalen.

Wanneer de gestolen informatie wel waardevol blijkt, proberen gespecialiseerde onderhandelaars het geëiste bedrag aanzienlijk te verminderen. Daarbij speelt ervaring een grote rol. Sommige ransomware-groepen weigeren elke toegeving terwijl andere bereid zijn om hun eisen fors te laten zakken. In bepaalde gevallen wordt uiteindelijk minder dan 10% van het oorspronkelijke bedrag betaald.

Uit onderzoek van Arctic Wolf blijkt dat professionele onderhandelingen ransomware-betalingen gemiddeld met 67% kunnen verminderen. Wanneer ook incidenten worden meegerekend waarbij betaling volledig vermeden wordt, loopt die besparing zelfs op tot 94%.

Cyber-criminelen werken steeds professioneler

Wat ransomware extra gevaarlijk maakt, is dat veel cyber-criminelen vandaag functioneren als echte bedrijven. Ze specialiseren zich, werken samen met andere groepen en verfijnen voortdurend hun methodes op basis van eerdere successen.

Ook hun aanvalstechnieken evolueren snel. Sommige groepen focussen tegenwoordig uitsluitend op data-diefstal zonder systemen nog te versleutelen. Voor hen verlaagt dat het risico om ontdekt te worden terwijl de druk op slachtoffers groot blijft.

Daarnaast worden de intimidatietechnieken agressiever. In uitzonderlijke gevallen werken ransomware-groepen zelfs samen met lokale criminele netwerken om slachtoffers fysiek onder druk te zetten. Dat gaat van intimidatie aan woningen tot expliciete bedreigingen om betalingen sneller af te dwingen.

Dat onderstreept meteen waarom discretie en operationele veiligheid cruciaal zijn tijdens ransomware-onderhandelingen.

Tegelijk blijft één realiteit altijd overeind: cyber-criminelen blijven onbetrouwbare gesprekspartners. Zelfs wanneer losgeld betaald wordt, bestaat er geen enkele garantie dat gestolen data effectief verwijderd worden. In sommige gevallen doken gegevens later opnieuw op bij andere afpersingspogingen.

Goede voorbereiding blijft de beste verdediging

Hoewel onderhandelen soms noodzakelijk wordt, blijft voorkomen uiteraard beter dan genezen.

Een sterke back-up strategie blijft essentieel. Back-ups moeten niet alleen frequent worden gemaakt maar ook getest en offline bewaard worden. Organisaties die hun systemen zelfstandig kunnen herstellen, staan veel sterker wanneer ze geconfronteerd worden met ransomware.

Daarnaast helpt het om gevoelige data standaard sterk te versleutelen. Wanneer gestolen gegevens onbruikbaar blijken, verliezen ze grotendeels hun waarde voor aanvallers.

Minstens even belangrijk is een degelijk incident response-plan waarin ook ransomware- en losgeldscenario’s expliciet opgenomen zijn. Rollen, escalatieprocedures, juridische afwegingen en communicatie moeten vooraf duidelijk vastliggen.

Ook preventie blijft cruciaal. Multi-factor authenticatie, endpoint security, continue monitoring en opleidingen voor medewerkers blijven fundamentele bouwstenen van cybersecurity. Meer dan de helft van alle security alerts gebeurt bovendien buiten de kantooruren, wat aantoont hoe belangrijk 24/7 monitoring geworden is.

In veel gevallen kunnen aanvallen nog tijdig worden gestopt vóór ransomware effectief wordt uitgerold of grote hoeveelheden data worden buitgemaakt.

Niet betalen blijft het uitgangspunt

De recente cyber-incidenten in België tonen hoe moeilijk beslissingen rond ransomware geworden zijn. Het algemene advies blijft om geen losgeld te betalen aan cyber-criminelen. Maar uiteindelijk ligt die beslissing altijd bij de getroffen organisatie zelf. Wanneer onderhandelingen toch noodzakelijk worden, mogen ze nooit improvisatie zijn. Ze moeten benaderd worden met dezelfde expertise, voorbereiding en structuur als elke andere kritieke bedrijfsbeslissing.