In het afgelopen jaar waren er regelmatig berichten in het nieuws dat buitenlandse ziekenhuizen werden getroffen door ransomware. Zo zijn ziekenhuizen in Amerika, Canada en Duitsland in 2016 al slachtoffer geworden. Ook in Nederland maakt men zich zorgen over ransomware in ziekenhuizen. Zo ernstig zelfs, dat er kamervragen over werden gesteld en beantwoord.
In de brief met de antwoorden op de kamervragen is veel aandacht voor het feit dat een infectie met ransomware de informatiebeveiliging doorbreekt. Minister Schippers schrijft: “Of bij ransomware een datalek moet worden gemeld, hangt af van de ernst van het datalek.” Dat is vreemd, omdat de Autoriteit Persoonsgegevens hierover in zijn richtsnoer Meldplicht Datalekken absoluut geen ambiguïteit laat bestaan. Hierin staat: “Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren (ransomware) of te versleutelen (cryptoware). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging.” Hiermee wordt exact voldaan aan de definitie van een datalek en zou melding hiervan dan ook altijd moeten plaatsvinden.
Minder dan 1 procent
Het feit dat een infectie met ransomware moet worden gemeld aan de Autoriteit Persoonsgegevens lijkt een extra reden om de situatie koste wat het kost te willen voorkomen. Maar datzelfde zou moeten gelden voor alle andere malware, die immers ook als datalek moet worden gemeld. Volgens schattingen vanuit de antivirus-industrie maakt ransomware minder dan 1 procent van alle malware uit. Toch lijkt de angst voor ransomware veel groter dan voor andere malware. Dit ligt waarschijnlijk aan de onmiddellijke impact die ransomware heeft op ondernemingen, vooral in de zorg. Veel malware heeft tot doel om de rekenkracht van de besmette PC in te zetten in een botnet, onder andere voor DDoS-aanvallen en de verspreiding van spam en malware. Hoewel dit kwalijke zaken zijn, ondervindt de rechtmatige eigenaar van de PC er niet direct nadeel van. Dus zelfs als de malware na verloop van tijd gevonden wordt, gaan er geen grote alarmbellen rinkelen. De malware wordt eenvoudigweg verwijderd en het is ‘back to business’. Bij ransomware geldt dat niet: de impact is onmiddellijk en groot. Alle activiteiten moeten worden gestaakt – in een ziekenhuis kan dat een kwestie zijn van leven of dood – totdat het probleem is opgelost.
Afpersbaar
Het oplossen van het probleem is erg lastig. Het betalen van het losgeld lijkt een oplossing, maar dat is het niet. Enerzijds omdat het de misdaad lonend maakt, wat de prikkel verhoogt voor criminelen om nog meer ransomware maken. Anderzijds omdat het vaak niet helpt. In sommige gevallen worden de gegevens na het betalen van het losgeld niet vrijgegeven. Wat ook voorkomt, is een tijdelijke vrijgave van de bestanden. Slim van de criminelen: een betalend slachtoffer heeft immers al getoond dat hij afpersbaar is. Na de betaling worden de bestanden weliswaar vrijgegeven, maar een stukje van de malware blijft achter op het systeem. Na enkele maanden worden de bestanden opnieuw versleuteld, en wordt opnieuw losgeld gevraagd. Het ontsleutelen van versleutelde bestanden zonder de bijbehorende encryptiesleutel is nagenoeg onmogelijk. Bestanden die ten prooi zijn gevallen aan ransomware moeten in de praktijk dan ook als verloren worden beschouwd.
Als het genezen van het probleem geen optie is, dan rest er één andere optie: voorkomen. Om een netwerk optimaal te beschermen tegen ransomware, moeten alle zeilen worden bijgezet: van het dagelijks maken van back-ups tot het optimaal configureren van zowel Windows als de professionele beveiligingssoftware. Dat kost veel tijd en moeite. Maar: minder tijd en moeite dan een infectie met ransomware met zich meebrengt.
Kijk voor meer informatie op de website van G DATA www.gdata.nl.
Danielle van Leeuwen is Communicatiemanager G DATA Benelux
