Ransomware-aanval: zo ga je effectief om met de juridische aspecten
Wanneer een bedrijf getroffen wordt door een ransomware-aanval gebeurt er van alles. Bedrijfskritische bestanden zitten opeens achter slot en grendel, de hackers willen geld zien en klanten komen al snel verhaal halen. Kortom: het is crisis. Al deze druk zorgt er vaak voor dat een belangrijk onderdeel wordt vergeten - namelijk de juridische kant van het verhaal. Maar waar moet een bedrijf op juridisch gebied op letten bij een ransomware-incident? Deze vragen en meer besprak Lisa de Wilde, Business Unit Director Incident Response bij Computest met Rosalie Brand, Advocaat bij Kennedy Van der Laan en expert op het gebied van cybersecurity en gegevensbescherming.
Wat nu?
Het is raak. Een medewerker heeft per ongeluk op een phishing-link geklikt. Binnen de kortste keren zitten de IT-systemen op slot en staat het bedrijf stil. De organisatie is getroffen door een ransomware-aanval. Wat nu? “Vaak meldt een getroffen organisatie zich allereerst bij een IT- of cybersecurity-bedrijf, al dan niet op instructie van zijn verzekeraar,” aldus Brand. “Pas later, soms pas na dagen, nemen ze contact op met een juridisch adviseur. Dit terwijl er vanaf het begin zowel technische als juridische ondersteuning nodig is.”
“Juridische ondersteuning kan juist in deze beginfase essentieel zijn”, benadrukt Brand. “Wanneer vanaf het begin juridische ondersteuning is aangehaakt, worden fouten in de uitvoering van wettelijke en contractuele verplichtingen voorkomen. Zo zien we bijvoorbeeld organisaties die eigenlijk te proactief zijn en al binnen 12 uur een melding bij de toezichthouder hebben gedaan, terwijl je hier 72 uur de tijd voor hebt. Al deze haast zorgt er vervolgens voor dat informatie aan de toezichthouder wordt gestuurd die nog onzeker is of zelfs achteraf niet blijkt te kloppen. Dan heb je vervolgens wat uit te leggen. Ook zien we het tegenovergestelde: bedrijven die pas veel te laat in actie komen, waardoor afspraken met klanten, zoals het meldtermijn bij een datalek, niet wordt nagekomen. Dit zit hem met name in de voorbereiding, want wanneer de contracten niet meer toegankelijk zijn door de ransomware-aanval, is het lastig te achterhalen wat de afspraak ook alweer was.”
Meldplicht
Een datalek moet bijna altijd gemeld worden aan de Autoriteit Persoonsgegevens. Maar wat is een datalek? Brand legt uit: “De term datalek is eigenlijk wat verwarrend. Het gaat namelijk niet alleen om situaties waar data gestolen is of op straat komt te liggen. Ook wanneer er bijvoorbeeld geen data is gestolen, maar wel blijkt dat een cybercrimineel in het systeem is geweest, toegang had tot de data en de data versleuteld heeft met ransomware, speken we van een datalek en is er dus ook mogelijk een meldplicht.”
Belangrijk is wel dat de melding alleen gedaan mag worden door een partij die hiertoe bevoegd is. Wanneer een organisatie niet verantwoordelijk is voor de data, maar deze alleen verwerkt voor een ander zijn ze verplicht om het lek bij de klant te melden in plaats van de toezichthouder. Denk hierbij bijvoorbeeld aan een IT-leverancier. Er komt dus aardig wat nuance kijken bij de meldplicht.
Om hier goed mee om te gaan geeft De Wilde een aantal tips mee: “Zorg dat je weet welke plichten je richting welke partijen hebt, ook wanneer je IT-omgeving versleuteld is door een ransomware-aanval. De kans dat je binnen 24 uur weer bij je gegevens kan is nihil. Als dan blijkt dat je binnen 24 uur contact met je klanten op moest nemen, ben je al te laat. Dus zorg dat je die afspraken ergens op papier hebt staan en deze in een bureaulade legt. Ook is het raadzaam een assetlist en een netwerktekening te printen.”
Een goede voorbereiding is het halve werk, ook volgens Brand: “Het is goed om je eigen gegevens op papier te hebben, maar zorg ook dat je het wettelijke kader scherp hebt. Een financieel bedrijf heeft bijvoorbeeld andere meldplichten dan een ziekenhuis of een digitale dienstverlener. Daarnaast is het ook goed om je crisisplan in een simulatie te oefenen. Dan kom je er snel achter of je alles paraat hebt, van telefoonnummers tot conceptbrieven.”
To pay, or not to pay
Betalen wanneer je als bedrijf gehackt bent. Een lastige keuze met goede argumenten voor en tegen. Toezichthouders, zoals de Autoriteit Persoonsgegevens en Politie, raden het af en publieke organisaties volgen in de regel die lijn. Want wanneer er betaald wordt gebruiken criminelen het geld vaak weer om hun illegale praktijken te financieren en verder te ontwikkelen. Maar wanneer een organisatie ervoor kiest om niet te betalen, kan dit grote consequenties hebben. Bijvoorbeeld als er data gestolen is: die wordt dan vaak openbaar gemaakt op het darkweb, waar dan de burger of de klant uiteindelijk het slachtoffer van is.
“Men doet vaak nogal negatief over bedrijven die betalen. Maar soms is er gewoon geen beter alternatief,” aldus Brand. “Dat kan zijn omdat er geen back-ups beschikbaar zijn, of omdat er anders gevoelige informatie van mensen op straat komt te liggen.”
Wie is de zondebok
Wanneer een bedrijf is getroffen door een ransomware-aanval, ontstaat vaak de behoefte om de schuld ergens neer te leggen. Wie was er nou zo naïef om dat mailtje te openen en door te klikken? De Wilde: “Dit is doorgaans een vraag die meer kwaad doet dan goed. Het is belangrijk dat er geen angstcultuur ontstaat. Het is juist belangrijk dat medewerkers zich veilig voelen en direct aan de bel durven te trekken wanneer er iets misgaat. Zo kan je een hoop ellende voorkomen. Daarom hebben we het ook nooit over personen, maar over accounts. Criminelen richten zich vaak op admin-accounts zodat ze de meeste rechten binnen het systeem hebben. Maar het kan prima zijn dat ze via iemand anders dat account bemachtigen.”
Ook Brand zie de focus op de schuldvraag terug: “Ik zie dat nog steeds vaak naar de IT-beheerder wordt gekeken als verantwoordelijke. Dat is onterecht. De verantwoordelijkheid voor cybersecurity ligt op managementniveau.”
Communicatie is key
De juiste communicatie kan het verschil betekenen tussen een begripvolle klant en een schadeclaim. Maar communicatie kost ook weer tijd, en tijd is schaars in een crisis. De Wilde: “Zorg dat je van tevoren scherp hebt met wie je wil communiceren. Wat in de praktijk het beste werkt is om de 10 belangrijkste klanten op te bellen om uit te leggen wat er aan de hand is en dit op te volgen met een mail. Op deze manier voelt de klant zich gewaardeerd en heb je tegelijk op papier bewijs dat je ze gesproken hebt. Weet wel dat klanten in de eerste week dat de dienst niet werkt nog begripvol zijn, maar vanaf de derde week zijn de meeste mensen er wel klaar mee en wil men weer aan de slag. Als er geen goede back-ups zijn betekent dit dat je na drie weken nog steeds midden in een crisis zit.”
Brand sluit zich hierbij aan: “Open communicatie kan heel waardevol zijn in een incident. Waak er wel voor dat je alleen informatie deelt waar je zeker van bent. Sommige communicatie gaat te ver en kan daardoor op zichzelf weer schade of risico’s met zich meebrengen. Maak dus een weloverwogen keuze over de communicatie die past bij de onderneming. En lieg in ieder geval nooit.”
Schakel experts in
Er zijn weinig organisaties waarvoor ransomware-aanvallen dagelijkse kost zijn. Hierdoor ontbreekt het vaak aan de kennis en ervaring om een cybercrisis tot een goed eind te brengen. De Wilde: “Regelmatig denken partijen het zelf af te kunnen. Maar je weet nooit wat je niet weet. Experts kennen het verloop van een incident en weten precies wat er moet gebeuren. Door de organisatie samen met een expert voor te bereiden op een cyberaanval weet iedereen precies wat er moet gebeuren, ook op juridisch gebied.”
Brand: “Experts kunnen het verschil maken. Niet alleen omdat zij dagelijks met deze situaties te maken hebben, maar ook door de objectiviteit die zij meebrengen. De eigen IT-leverancier zal mogelijk niet helemaal transparant willen zijn over fouten die hij heeft gemaakt in de configuratie van het systeem of kritieke patches die hij niet heeft uitgevoegd, waardoor het incident is ontstaan of erger is geworden. Bepaal van tevoren welke partijen je zou willen inschakelen wanneer je plots slachtoffer zou zijn van een ransomware-aanval en maak vast afspraken met ze, zodat ze zeker weten beschikbaar zijn wanneer je ze nodig hebt.”
Do's and don'ts bij een ransomware-aanval
Do’s
- Kijk vanaf het begin naar de juridische kant.
- Ken je meldplichten en het wettelijk kader, ook wanneer je IT-omgeving versleuteld is.
- Oefen je crisisplan en bereid crisiscommunicatie voor.
- Schakel experts in.
Don’ts
- Overhaast een melding doen of juist niets melden.
- Focussen op wiens schuld het is.
- De verantwoordelijkheid voor cybersecurity bij IT leggen.
- Liegen over het incident.
Lisa de Wilde, Business Unit Director Incident Response bij Computest