De stilte voor de ransom. We zien niet alles, zegt ESET
Een systeem functioneert een lange tijd probleemloos en iedereen krijgt er vertrouwen in. Bijna altijd ondermijnt dit stilletjes de waakzaamheid die het systeem in eerste instantie vlot liet functioneren. Plots begeeft het systeem het – juist op het moment dat iedereen die erbij betrokken was, zou gedacht hebben dat het in prima staat verkeerde. Maar stabiliteit kan ook destabiliserend werken. Dit patroon wordt in zes woorden samengevat: “Rust zaait de kiemen van chaos”. Dit is zeer duidelijk en met bijna klinische regelmaat te zien op de financiële markten, maar omdat het verweven is met de menselijke psychologie, wordt ook cybersecurity er zeker niet door gespaard.
Een bedrijf dat nog niet gehackt werd, is geneigd zijn beveiliging als voldoende te beschouwen. Dit wordt stilzwijgend versterkt: als er niets mis is gegaan, dan zijn de verdedigingsmechanismen uitstekend.
Het gebrek aan een zichtbaar incident kan echter verschillende dingen betekenen. Een bedrijf met een vlekkeloze reputatie heeft wellicht prima verdedigingsmechanismen. Maar misschien betekent het enkel dat de organisatie tot nu toe de aandacht van kwaadwillenden wist te ontlopen.
Dit roept vragen op: Is de omgeving zo veilig mogelijk ingericht tegen alles wat er vandaag in omloop is? Zijn de beveiligingsmaatregelen wel toereikend? Veel organisaties beantwoorden de tweede vraag denkend dat ze de eerste al hebben beantwoord. Ze grijpen terug op compliance-raamwerken, hoewel die niet per se controleren of de maatregelen efficiënt zijn tegen de aanwezige dreigingen. Een bedrijf kan dus én voldoen aan de regelgeving én kwetsbaar zijn.
Nog meer valkuilen
De beveilingsstatus van een organisatie is eenvoudig te meten en het geeft een goed gevoel. Worden de inloggegevens van een medewerker via darkweb-marktplaatsen verhandeld, of kan de EDR-tool van een organisatie onder bepaalde omstandigheden onschadelijk worden gemaakt door een gemakkelijk verkrijgbare ‘anti-tool’, is moeilijker te beoordelen zonder te kijken naar zaken waar veel organisaties gewoon niet aan denken.
De mens heeft de neiging te vertrouwen op voor de hand liggende informatie. Men verzamelt alle beschikbare informatie en bouwt daarmee een schijnbaar samenhangend verhaal. Wat er ontbreekt wordt niet opgemerkt, het beeld voelt compleet aan en het vertrouwen is verdiend, ongeacht de omstandigheden. Dit is WYSIATI (What You See Is All There Is).
Veel beslissingsnemers denken niet na over de risico’s: indien iets niet meetbaar is, doet het er niet toe. Het tegenovergestelde ligt echter vaak dichter bij de waarheid en het onderliggende probleem heeft de status van een drogreden gekregen.
In zijn 2025 Data Breach Investigations Report, laat Verizon zien dat bij 54% van de ransomware-slachtoffers hun domeinen al in minstens één infostealer-logboek of op een illegale marktplaats waren verschenen vóór de aanval. De toegangsgegevens circuleerden al en soms had de inbreuk dus al plaatsgevonden, zelfs als alles in orde leek.
Dergelijke blinde vlekken treffen vooral bedrijven waarvan de beveiliging er niet in slaagt de gedragssporen van aanvallers te signaleren, zoals o.a. pogingen om beveiligingsprocessen uit te schakelen. Om hieraan te verhelpen, moet men wat zichtbaar is veranderen en gebruik maken van de juiste tools, die niet alleen bevestigen dat er controles aanwezig zijn, maar het ook melden als er iets verdachts in de omgeving gebeurt.
Als het vertrouwen aan diggelen is
Een ransomware-aanval is een incident die de bedrijfscontinuïteit ernstig bedreigt en verstrekkende gevolgen heeft. Toen in 2024 Change Healthcare het slachtoffer werd van een ransomware, duurden de gevolgen voor ziekenhuizen en apotheken maanden. Het incident trof bijna de hele Amerikaanse bevolking. De kosten werden geschat op 3 miljard US$. Een dergelijke aanval op Jaguar Land Rover in 2025 veroorzaakte vergelijkbare financiële schade.
IBM schat de gemiddelde kosten van een datalek op ongeveer 5 miljoen US$D, inclusief downtime, herstel en de daaruit voortvloeiende schade. Specifiek voor zorginstellingen ligt het gemiddelde op bijna 10 miljoen US$. Deze cijfers houden geen rekening met niet-verlengde klantcontracten of de plotse stijgingen van verzekeringspremies.
De schade stapelt zich op in de loop van maanden en jaren, zeker als gestolen gegevens op een speciale lek-site terechtkomen. De gelekte contracten, e-mails en persoonsgegevens zijn voer voor vervolgaanvallen, zoals phishing en fraude met zakelijke e-mail.. Klanten en partners gaan vragen stellen en beveiligingsmedewerkers moeten er rekening mee houden dat de gegevens slechts een deel zijn van wat de criminelen willen ‘adverteren’.
Discipline is alles
Naast de juiste tools en mensen, berust duurzame beveiliging op de gewoonte om te observeren en zich aan te passen. Dit alles is gebaseerd op het zich bewust zijn van wat er in de dreigingsomgeving gebeurt. Constant waakzaam zijn, zelfs zonder zichtbare en acute dreiging, is duur. Alert blijven voor gebeurtenissen die niet dreigend aanvoelen is moeilijk voor mensen, en de neiging tot zelfgenoegzaamheid verloopt zo geleidelijk dat het zelden een bewuste keuze is.
Daar de dreiging nooit stilstaat, kan de verdediging dat ook niet. Dreigingsinformatie, die een schat aan signalen over actieve campagnes levert, is de ruggengraat van dat bewustzijn. Dit is wat beveiligingstools kunnen omzetten in detecties en waarschuwingen, zodat de beveiliging tijdig kan ingrijpen. Zonder deze informatie kan de kloof tussen wat een organisatie denkt over haar beveiliging en wat daadwerkelijk waar is, steeds groter worden tot de kloof, op een dure manier door cybercriminelen wordt gedicht.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
