Liefst 70 procent van de bedrijven die slachtoffer zijn geworden van een ransomware-aanval hebben betaald om van het probleem af te zijn. De helft betaalde meer dan 10.000 euro en 20 procent zelfs meer dan 40.000 euro, zo laat een recent onderzoek van IBM zien. Bijna 6 van de 10 gaf aan dat ze bereid zijn ook in de toekomst te willen betalen om data te herstellen.

Als jouw organisatie behoort tot degenen die losgeld willen betalen, is het een goed idee om een strategie te formuleren voor de onderhandelingen met de aanvallers voordat de noodzaak ertoe urgent wordt.

Plan vooruit

"Alle bedrijven zouden zich moeten voorbereiden op een ransomware-scenario", zegt Chris Pierson, de chief security officer en jurist bij Viewpost, een bedrijf dat voorziet in online elektronisch betalen van facturen.

De strategie zou minimaal de financiële en operationele impact van ransomware moeten omvatten, net als de schade aan de bedrijfsreputatie. Elke beslissing in het wel of niet betalen van losgeld moet worden genomen in samenspraak met bedrijfsjuristen, de securitymanager, de financiële directeur, IT en PR, zegt Pierson.

Afhankelijk van de schaal van de potentiële schade zou je kunnen overwegen juridische experts van buiten erbij te betrekken, en mogelijk forensische experts en PR-teams.

"Hopelijk heb je al die mensen van tevoren goed in kaart gebracht en samen met hen mogelijke scenario's doorlopen, zodat je niet iedereen vanaf nul moet informeren terwijl je midden in een crisis zit", voegt hij eraan toe.

Wees voorbereid op een prijsschok

Een denkfout die bedrijven kunnen maken tijdens de voorbereiding van dergelijke plannen is aan te nemen dat ransomware-aanvallen nog steeds draaien om het binnenhalen van enkele dollars of euro's, terwijl het vaker gaat om bitcoins - en daarmee kan je je schade veelal juist beperken.

Cybercriminals die erin slagen je handelsgeheimen, IP of andere cruciale bedrijfsinformatie in handen te krijgen, kunnen makkelijk hun eisen opschalen naar honderdduizenden euro's. En soms zetten ze er meer druk op door te dreigen die data openbaar te maken, of het aan concurrenten te verkopen.

Matt Kesner, CIO bij Fenwick & West, zegt dat zijn advocatenkantoor de mogelijke implicaties van een grote ransomware-infectie heeft overwogen en wat het zou doen als er zich eentje voordoet. Hoewel er nog geen consensus bestaat over de juiste reactie heeft het bedrijf wel alvast wat voorzorgen genomen.

Zo heeft het relaties aangeknoopt met een financiële instelling die handelt in bitcoin, de voorkeursmunt van digitale afpersers. "We hebben ook een bedrag vrijgemaakt waarvan de directie denkt dat de CIO of CSO kan uitgeven zonder verdere autorisatie als een succesvolle ransomware-aanval zich voordoet", zegt Kesner. "Boven dat bedrag zullen we wel opnieuw toestemming moeten vragen."

Bereken de kosten van niets doen

Een van de sleutels naar een succesvolle onderhandeling op het moment dat hackers je data gijzelen is dat je een exact idee hebt hoe veel het zou kosten als je niet ingaat op de eisen, zegt Moty Cristal, CEO van NEST Negotiation Strategies, een Israëlische firma die onderhandelingsdiensten aanbiedt in allerlei gijzelingszaken.

Als je kijkt naar je Best Alternative To a Negotiated Agreement (BATNA) moet je de potentiële schade berekenen die de aanvallers kunnen aanrichten aan je data, je diensten, je service, je infrastructuur en je reputatie als je niet ingaat op hun eisen, zegt Cristal.

Wat anders is dan een 'echte' gijzeling, waarin je een redelijk inzicht hebt met wie je onderhandelt, is dat je nu met iedereen te maken kan hebben, en van overal vandaan. "Ze kunnen zitten in een appartement in Rusland, Wit-Rusland, China of India. Ze zien geen risico of bedreiging en de kansen dat je ze tot fouten kan verleiden zijn klein", zegt Cristal.

