Onderhandelen met een hacker: hoe doe je dat eigenlijk?
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag: de aanval op de TU/e, en hoe cybersecurity-experts vaak handelen tijdens zo’n aanval.
Published on January 16, 2025
Alles wat nieuw is, is razend interessant! Dat is het motto van onze DATA+ expert Elcke Vels. Ze schrijft verhalen over AI en hoe dat onze maatschappij beïnvloedt, heeft een serie over cyber security en interviewt Nederlandse innovatie maestro’s. Ook onderzoekt ze in haar ‘What if…’ column intrigerende scenario's die afwijken van de status quo.
Afgelopen weekend werd de Technische Universiteit Eindhoven getroffen door een cyberaanval. Deze aanval staat niet op zichzelf. Vorig jaar werden onder meer de politie en defensie gehackt. Hoe gaan cybersecurity-experts eigenlijk te werk tijdens een aanval? En onderhandelen met hackers: hoe pak je dat aan? We vroegen het Patrick Jordens. Hij is directeur van de Trusted Third Party (TT3P): een Nederlands bedrijf gespecialiseerd in cybersecurity.
Patrick Jordens
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam.
Er heeft weer een cyberaanval plaatsgevonden bij een belangrijke Nederlandse organisatie. Ben je ervan geschrokken?
“Zeker. De cyberaanval op de universiteit laat duidelijk zien hoe ingrijpend zo’n aanval kan zijn. De universiteit heeft activiteiten moeten annuleren, lessen geschrapt en examens uitgesteld. Het is een verschrikkelijke situatie. Het systeem van een universiteit is omvangrijk en complex, dus het herstel ervan kan lang duren.”
Hoe gaan cybersecurity-experts te werk tijdens een aanval?
"Bij een cyberaanval wordt vaak een Incident Response Team (IRT) samengesteld, dat bestaat uit interne IT-specialisten en externe experts. De eerste stap is het beoordelen van de situatie: welke systemen zijn getroffen en welke bedreigingen zijn nog actief? Dit doen ze door het netwerk te monitoren en verdachte activiteiten in kaart te brengen.
Daarna volgt de isolatiefase. Getroffen systemen worden losgekoppeld van het netwerk om verdere schade te voorkomen, en er wordt een kopie gemaakt van de systemen voor diepgaande analyse. Hierbij onderzoeken de experts of er data is gestolen of gegijzeld en hoe de aanval precies heeft plaatsgevonden.
In sommige gevallen kiest de getroffen partij ervoor om de situatie te accepteren en verder te gaan. Andere bedrijven besluiten losgeld te betalen om hun systemen weer toegankelijk te maken of om hun data terug te krijgen. Deze keuze hangt vaak af van de ernst van de aanval.”
Hoe doe je dat eigenlijk, onderhandelen met hackers?
“Het onderhandelen met hackers is een complexe en zeer zenuwslopende zaak. Ik ga er regelmatig op in tijdens trainingen. Mijn eerste tip is: neem hackers serieus. Het is beter om geen leugens te vertellen. Zeg bijvoorbeeld niet dat je te weinig geld op je rekening hebt staan om een bedrag over te maken als dat niet het geval is. Vaak hebben ze je persoonlijke informatie, zoals bankgegevens, al in handen. Ze zien zichzelf vaak als serieuze zakenmensen die geloven dat ze een probleem oplossen: ’Wij hebben een zwakte gevonden in uw systeem. Betaalt u, dan helpen wij u weer op weg.’ Soms hebben hackers zelfs een helpdesk om slachtoffers te helpen een bitcoinrekening te openen, zodat ze bitcoins kunnen overmaken.
Een tweede tip is: probeer tijd te winnen. Hackers begrijpen vaak wel dat een bedrijf niet meteen een groot bedrag kan overmaken en zijn bereid mee te denken. Door tijd te winnen krijg je misschien je gegevens weer terug, of je systeem weer aan de praat.
Maar hoe je het ook wendt of keert, onderhandelen met een hacker blijft riskant. Vraag jezelf heel goed af of de gestolen data het waard is. Je houdt namelijk een verderfelijke industrie in stand door losgeld te betalen. Steeds vaker zien we bovendien dat hackers een organisatie onder druk zetten om te betalen, de gestolen data teruggeven na ontvangst van losgeld, maar vervolgens diezelfde data achter je rug om doorverkopen aan een derde partij. Dit fenomeen staat ook wel bekend als triple extortion.”
Heb je tips zodat bedrijven de impact van een hack kunnen minimaliseren?
“Er zijn een aantal dingen die je preventief kunt doen. Huur een expert in en denk gestructureerd na over je cyberveiligheid. Verder: bij een cyberaanval is het analyseren van logbestanden cruciaal. Zo kom je meer te weten over welke bestanden een hacker heeft ingezien bijvoorbeeld. Logbestanden moeten van tevoren wel zijn geactiveerd. Zorg er dus voor dat logging op al je systemen correct is ingesteld.
Daarnaast is een solide back-upstrategie onmisbaar. Maak regelmatig back-ups, bewaar deze op meerdere beveiligde locaties en voer tests uit om te controleren of je ze probleemloos kunt herstellen. Dit voorkomt dat je na een aanval afhankelijk bent van zeer kostbare recovery-specialisten.”
Een cybercrimineel doet zich voor als je partner en steelt geld: dit is social engineering
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag behandelen we social engineering.