Hoe ga je het gesprek aan met criminelen die net een hele organisatie stil hebben gelegd? Voor oud-rechercheur Pim Takkenberg is dit gesneden koek. “Vroeger stonden de criminelen aan mijn bureau. Nu spreek ik hen online.” Hij geeft ons een kijkje achter de schermen bij het cybersecuritybedrijf Northwave.

“Ik heb vandaag piketdienst”, zegt Pim Takkenberg, general manager bij Northwave, voordat het interview start. “Dus het kan zijn dat we gestoord worden.”

En inderdaad, al binnen een half uur krijgt hij een bericht binnen. Hij typt dat zijn klant 2 bitcoins heeft overgemaakt. Dit is op dat moment zo’n 100.000 euro. Hij krijgt niet meteen een reactie terug. “Het is nog vroeg. Ook criminelen moeten nog even wakker worden.”

Hoe vaak voer je dit soort gesprekken met criminelen?
“Dagelijks. We worden dagelijks benaderd door organisaties die getroffen zijn door een ransomware-aanval. Hun hele proces ligt plat en ze hebben het verzoek gekregen om losgeld te betalen. Ze moeten de afweging maken of ze dat gaan doen.

Ons basisadvies is altijd om niet te betalen, tenzij er geen andere opties zijn. Dus als gehackte organisaties ons benaderen, kijken we altijd eerst of er back-ups beschikbaar zijn, hoe volledig die zijn en hoelang het duurt om die te herstellen zonder de sleutel te gebruiken die de crimineel in handen heeft.

De meeste ondernemers maken vervolgens razendsnel een rekensom. Dat kan bij wijze van spreken op de achterkant van een bierviltje. Ze rekenen uit hoeveel het hen kost als ze niet betalen. In het gunstigste geval betekent dit dat hun bedrijf een week stilligt. Maar meestal duurt het minimaal een maand voordat alles hersteld is. Als het schadebedrag groter is dan de hoogte van het losgeld, besluiten ze vaak om te betalen.

Bij overheidsinstellingen ligt dat anders. Zij willen vaak uit principe niet onderhandelen met criminelen. Toch zien we dat ook veel overheidsinstellingen besluiten om te betalen.

Van alle meldingen die we binnenkrijgen kiest zo’n 80% van de organisaties ervoor om losgeld te betalen.”

Wat is de trend die je daarin ziet?
“Dat dit percentage langzaam daalt. Dit komt enerzijds omdat bedrijven steeds betere back-ups maken. Anderzijds zien we dat de publieke opinie aan het keren is. Criminelen dreigen vaak om vertrouwelijke gegevens openbaar te maken als er niet betaald wordt. Voorheen was dit voor veel organisaties een belangrijke reden om te betalen. Nu doen ze dat steeds vaker niet, omdat het een principekwestie is geworden. Ze willen geen criminele organisatie sponsoren. Dat daardoor veel vertrouwelijke gegevens openbaar worden, nemen ze voor lief.”

Wat voor soort organisaties worden vaak gehackt?
“Alle soorten. Het maakt voor criminelen echt niks uit welke organisaties ze stilleggen. Ze scannen het hele internet af en kijken waar ze het gemakkelijkst binnenkomen.

Het maakt voor criminelen niks uit wat voor type organisatie ze stilleggen

Eenmaal binnen kijken ze wat ze kunnen platleggen, zoals de toegang tot e-mail, het hrm-systeem en bijvoorbeeld systemen die machines aansturen. En ze kijken hoeveel geld er in de organisatie omgaat, zodat ze weten hoeveel losgeld ze kunnen vragen. Meestal eisen ze zo’n 0,4 – 2% van de jaaromzet.”

Hoe gaan jullie vervolgens te werk?
“Als organisaties gehackt zijn doorlopen we altijd drie fases, namelijk containment, eradication en recovery. In vrijwel alle gevallen nemen we in de tweede en derde fase contact op met de aanvallers om informatie te verzamelen over wat ze hebben en wat ze willen.

We openen een communicatiekanaal, zodat we met hen kunnen chatten en vragen wat de vervolgstappen zijn. Meestal krijgen we als antwoord dat de organisatie moet betalen.

‘Zij sturen ons een testsleutel waarmee we toegang krijgen tot een deel van de informatie’

Vervolgens vragen we hen om te bewijzen dat zij de sleutel in handen hebben. Zij sturen ons dan een test-sleutel waarmee we toegang krijgen tot een deel van de informatie. Als het aan de orde is, vragen we ook om het bewijs van de data die gestolen is en gaan we onderhandelen over de hoogte van het losgeld. Pas als we alle drie deze elementen helder hebben, maakt onze klant de definitieve afweging om wel of niet te betalen.”

Hoe gaat zo’n onderhandeling in zijn werk?
“Vaak proberen we om zo snel mogelijk te schakelen, want hoe sneller criminelen hun geld kunnen krijgen hoe meer zij bereid zijn om met de prijs te zakken.

Het bedrijf dat we vanochtend geholpen hebben, werd bijvoorbeeld eerst geconfronteerd met een eis van 2,8 bitcoins. Na een onderhandeling zijn we op 2 bitcoins uitgekomen. Dat is zo’n 100.000 euro. Dat bedrag correspondeert met de omzet van het bedrijf en is dus een redelijk bod. Daarom hebben we betaald en verwacht ik dat we straks alle gegevens terugkrijgen.”

Dat is wel heftig. En dit maken jullie dus dagelijks mee?
“Ja.”

Wat kunnen organisaties doen om dit te voorkomen?
“Daar is geen snelle of eenvoudige oplossing voor. Om cybercriminelen tegen te houden is het belangrijk om organisatie-breed alle risico’s in kaart te brengen en maatregelen te nemen die daarbij aansluiten. Dat gaat verder dan alleen het nemen van technische maatregelen, zoals het maken van goede back-ups en het monitoren van de systemen. Om gewapend te zijn tegen cybercriminaliteit is het belangrijk dat de directie cybercriminaliteit als speerpunt gaat zien en erop toeziet dat er in de hele organisatie maatregelen worden genomen om cybercriminaliteit tegen te gaan.

Dit vraagt om een forse investering op het gebied van de organisatie (business), de techniek (bytes) en de mens (behaviour). De Cyber Security Raad concludeerde deze maand dat er een extra investering van 833 miljoen euro nodig is om Nederland te beschermen tegen de dreigingen van dit moment.”

En verwacht je dat er ooit een einde komt aan deze vorm van criminaliteit?
“Voorlopig niet, want voor criminelen is dit een efficiënte manier om snel veel geld te verdienen. Ik verwacht eerder dat het toeneemt omdat meer criminelen deze vorm van criminaliteit gaan ontdekken. En er zijn nog genoeg organisaties die hun cybersecurity niet op orde hebben, waardoor het gemakkelijk blijft om hier snel mee te scoren.”