010 52 49 133 info@process2it.nl

Ransomware: wat nu? Zo beperk je de schade en voorkom je herhaling

Cyberaanval op Frans ziekenhuis

Ransomware-aanvallen zijn allang geen ver-van-je-bed-show meer. Ook mkb-bedrijven worden dagelijks getroffen: bestanden worden versleuteld, systemen liggen plat en medewerkers kunnen niet meer werken. Ondertussen tikt de teller van de afpersers rustig door.

Toch gaat het echte verschil niet alleen over de techniek, maar vooral over de voorbereiding. In dit artikel lees je:

  • wat ransomware precies is (in normale mensentaal);
  • wat je direct moet doen als je getroffen bent;
  • welke rol MFA, offline back-ups en disaster recovery spelen;
  • waarom een incident response-plan en de meldplicht datalekken belangrijk zijn;
  • en hoe je voorkomt dat je twee keer dezelfde dure les moet leren.

Wat is ransomware en waarom is het een risico?

Ransomware is een vorm van malware die bestanden of hele systemen versleutelt. De crimineel belooft – tegen betaling – een sleutel waarmee je de boel weer kunt ontgrendelen. Soms dreigen ze ook om data te publiceren als je niet betaalt.

In de praktijk zie je vaak dit patroon:

  • Een aanvaller krijgt toegang (bijvoorbeeld via phishing, een gestolen wachtwoord of een lek in een systeem).
  • Hij kijkt rond, verzamelt inloggegevens en schakelt beveiliging uit waar mogelijk.
  • Hij versleutelt zoveel mogelijk data en systemen in één keer.
  • Je krijgt een “ransom note”: betalen, of je raakt data kwijt / die komt op straat te liggen.

De vraag is dan niet alleen: “hoe komen we hieruit?”, maar vooral: “hoe zorgen we dat dit niet nog een keer gebeurt?”

Stap 1: Ransomware ontdekt – wat moet je direct doen?

Als je vermoedt dat je met ransomware te maken hebt, is snelheid cruciaal. De eerste reflex is vaak paniek, maar een te wilde reactie kan meer schade veroorzaken.

1.1. Beperk de verspreiding

  • Haal waar mogelijk de netwerkkabel uit verdachte systemen (fysiek loskoppelen is soms sneller en veiliger dan netjes afsluiten).
  • Schakel wifi uit op apparaten waarvan je denkt dat ze besmet zijn.
  • Laat systemen waarop je nog géén rare dingen ziet, voorlopig met rust: die heb je straks nodig voor onderzoek en herstel.

1.2. Niet zomaar overal op klikken

  • Klik niet op “betalingslinks” of verdachte websites van de afpersers.
  • Download geen willekeurige decryptietools; dat kan de situatie verergeren.

1.3. Schakel hulp in

  • Neem direct contact op met je IT-partner of beheerder.
  • Informeer directie en eventueel HR: dit is geen puur technisch issue, maar een bedrijfsrisico.

Heb je nog geen vaste IT-partner, dan ben je eigenlijk al te laat – maar ook dan is het verstandig zo snel mogelijk expertise in te schakelen.

Stap 2: Moet je losgeld betalen?

De grote vraag bij ransomware is vaak: “moeten we betalen?” Juridisch en praktisch is dat een mijnenveld.

Belangrijke punten:

  • Betalen is geen garantie dat je data terugkomt. Criminelen zijn geen serviceorganisatie.
  • Soms is de sleutel die je krijgt onvolledig of werkt hij maar deels.
  • Je houdt het verdienmodel van de aanvaller in stand: het blijft lonend om anderen aan te vallen.
  • In sommige gevallen loop je risico op juridische complicaties, bijvoorbeeld rondom sancties of het faciliteren van criminaliteit.

De beste positie is altijd:

“We hebben een goede back-up en een plan. We zijn niet afhankelijk van de afperser.”

En precies daarom zijn MFA, offline back-ups en disaster recovery zo belangrijk.

Stap 3: MFA – voorkom dat gestolen wachtwoorden genoeg zijn

Veel ransomware-aanvallen beginnen met iets simpels: een gestolen of geraden wachtwoord. Bijvoorbeeld van e-mail, remote desktop of een beheeraccount.

Met Multifactorauthenticatie (MFA) maak je het de aanvaller een stuk lastiger:

  • N naast een wachtwoord is er een tweede factor nodig (authenticator-app, sms, token).
  • Ook als een medewerker per ongeluk zijn wachtwoord prijsgeeft via phishing, kan de aanvaller niet zomaar binnen.

Belangrijke plekken waar MFA eigenlijk verplicht zou moeten zijn:

  • E-mail-accounts (bijvoorbeeld Microsoft 365 / Exchange Online).
  • Remote toegang: VPN, Remote Desktop, cloudportals, beheerportalen.
  • Beheerdersaccounts en accounts met veel rechten.

Zonder MFA is elk wachtwoord dat ooit uitlekt direct een open deur. Met MFA heb je tenminste een extra slot.

Stap 4: Offline back-ups – je laatste redmiddel

Ransomware-aanvallers weten dat bedrijven back-ups hebben. Daarom proberen ze die ook te versleutelen of verwijderen. Een back-up die gewoon als netwerkschijf hangt, is dus geen echte reddingsboei meer.

4.1. Het 3-2-1-principe

Een solide back-upstrategie volgt vaak het 3-2-1-principe:

  • 3 kopieën van je data;
  • 2 verschillende typen opslag (bijvoorbeeld disk + cloud);
  • 1 kopie offsite of offline.

Belangrijk in de context van ransomware:

  • Zorg voor een back-up die niet automatisch overschreven kan worden door de aanvaller (bijvoorbeeld immutable of offline opslag).
  • Controleer of back-ups ook echt uitvoerbaar terug te zetten zijn (geen corrupte of onvolledige data).

4.2. Test je back-ups

Het is niet genoeg om “een back-up” te hebben. Je moet weten:

  • Hoe snel je een server of compleet systeem kunt terugzetten.
  • Tot welk moment je data intact is (uur geleden, dag geleden, week geleden).
  • Of rechten en instellingen na herstel nog kloppen.

Plan daarom periodieke hersteltests. Dat is misschien even werk, maar veel minder kostbaar dan een echte gijzeling zonder reddingsboei.

Stap 5: Disaster recovery – hoe snel ben je weer in de lucht?

Een ransomware-incident is meer dan een “IT-probleem”. Het raakt je hele bedrijf: productie, planning, klantenservice, facturatie, noem maar op.

Een disaster recovery-plan (DR-plan) beschrijft:

  • Welke systemen kritisch zijn;
  • Hoe snel die minimaal weer moeten werken (RTO – Recovery Time Objective);
  • Hoeveel data je maximaal mag verliezen (RPO – Recovery Point Objective);
  • Welke stappen je neemt bij een aanval:
    • systemen isoleren;
    • data herstellen;
    • systemen gecontroleerd weer online brengen.

Een goed DR-plan gaat niet alleen over techniek, maar ook over processen:

  • Kun je tijdelijk op papier werken?
  • Kunnen medewerkers thuis of elders taken overnemen?
  • Hoe informeer je klanten?

Zonder plan ga je tijdens een incident alles ad hoc uitvinden. En dat kost tijd, geld en zenuwen.

Stap 6: Incident response – wie doet wat als het misgaat?

Een aanval is geen moment om voor het eerst te bedenken wie er over security gaat. Met een simpel incident response-plan voorkom je chaos.

Denk aan:

  • Technische rol: wie stuurt IT / leverancier aan en beslist welke systemen uit of aan gaan?
  • Operationele rol: wie kijkt naar de impact op de bedrijfsvoering (planning, klanten, lopende projecten)?
  • Communicatie: wie praat met medewerkers, klanten en leveranciers?
  • Besluitvorming: wie hakt knopen door als er keuzes gemaakt moeten worden (bijvoorbeeld systemen langer uitlaten voor onderzoek vs. snel weer opstarten)?

Je hoeft geen dik handboek te schrijven, maar een compact scenario-document helpt enorm. Bijvoorbeeld: “Ransomware – eerste 24 uur” met concrete stappen.

Stap 7: Meldplicht datalekken – wanneer moet je melden?

Bij ransomware is er vaak sprake van een mogelijk datalek: kun je niet uitsluiten dat aanvallers data hebben ingezien of gekopieerd, dan heb je mogelijk een meldplicht op basis van de AVG.

Belangrijke vragen:

  • Staan er in de getroffen systemen persoonsgegevens (klanten, medewerkers, prospects)?
  • Is er toegang geweest tot die data, of is dat niet meer uit te sluiten?
  • Gaat het om gevoelige informatie (bijvoorbeeld financiële gegevens, BSN, gezondheidsinformatie)?

Moet je melden?

  • In bepaalde gevallen moet je het incident melden bij de Autoriteit Persoonsgegevens.
  • Soms moet je ook de betrokkenen informeren (bijvoorbeeld klanten of medewerkers).

Dit onderdeel hoort óók thuis in je incident response-plan. Niet alleen vanuit de wet, maar ook vanuit vertrouwen: klanten waarderen het als je transparant bent en maatregelen neemt.

Stap 8: Hoe voorkom je een volgende ransomware-aanval?

Helemaal uitsluiten kun je cyberrisico’s nooit, maar je kunt de kans én de impact wel drastisch verkleinen.

Belangrijke maatregelen:

  • Bewustwording en training
    Medewerkers leren phishing herkennen, verdachte bijlagen niet openen en weten wat ze moeten doen bij twijfel.
  • MFA overal waar het kan
    Vooral op e-mail, remote toegang, beheerdersaccounts en belangrijke cloudportals.
  • Up-to-date systemen
    Patchbeheer op servers, werkplekken en (web)applicaties. Geen “vergeten systemen” aan het internet.
  • Moderne endpointbeveiliging (EDR)
    Niet alleen klassieke antivirus, maar gedragsgebaseerde detectie en snelle isolatie van besmette systemen.
  • Netwerksegmentatie
    Zorg dat een aanvaller niet vanuit één gecompromitteerde pc meteen overal bij kan.
  • Sterk back-up en DR-beleid
    Met offline/immutable back-ups en regelmatig geteste herstelprocedures.

De rol van een IT-partner bij ransomware

Veel mkb-bedrijven hebben niet de tijd of kennis om dit allemaal zelf in detail te organiseren. Daar ligt precies de meerwaarde van een goede IT-partner.

Een IT-partner kan bijvoorbeeld helpen met:

  • het in kaart brengen van risico’s rond ransomware;
  • het inrichten van MFA, EDR en patchbeleid;
  • het ontwerpen en beheren van back-up en disaster recovery;
  • het opstellen van een praktisch incident response-plan;
  • begeleiding als er ondanks alles toch een incident plaatsvindt.

Wat kun je vandaag al doen?

Tot slot een paar praktische stappen die je letterlijk vandaag nog kunt zetten:

  • Controleer of MFA aanstaat op e-mail en remote toegang.
  • Vraag je IT-partner of IT-beheer:
    • “Hoe vaak testen we onze back-up?”
    • “Wat is onze RPO/RTO bij een grote storing of aanval?”
  • Leg in één A4’tje vast wie er in actie komt bij een ransomware-incident.
  • Plan een korte security- of cyberrisico-quickscan om te zien waar de gaten zitten.

Hoe beter je deze punten geregeld hebt, hoe groter de kans dat een ransomware-aanval een beheersbaar incident blijft – in plaats van een bedrijfscrisis.