Na de crisis komt de klap – de mentale impact van een ransomware-aanval

Nu het aantal ransomware-aanvallen jaarlijks met 105% toeneemt, zou je verwachten dat we inmiddels alles weten over dit fenomeen. De kennis is namelijk enorm toegenomen over wie ransomware-aanvallen uitvoert, welke aanvalsmethoden worden gebruikt, hoe we onze apparatuur kunnen instellen om ransomware-aanvallen te voorkomen, hoe we systemen forensisch kunnen analyseren nadat een aanval heeft plaatsgevonden en hoe we onze omgeving zo snel en veilig mogelijk kunnen herstellen. De kennis over de zichtbare, tastbare impact van aanslagen, zoals de operationele impact en de financiële impact, is enorm toegenomen.

Maar hoe zit het met de menselijke kant van dit alles? Heeft ransomware een onzichtbare – misschien langdurige – impact op de betrokkenen? Wat is de mentale impact van ransomware-effecten, en misschien nog belangrijker, wat kunnen we doen om de negatieve effecten van ransomware-aanvallen op het welzijn van mensen te minimaliseren? Northwave – een geintegreerd cybersecuritybedrijf – heeft uniek onderzoek uitgevoerd om inzicht te krijgen in de mentale impact van ransomware-aanvallen. Dit onderzoek bestond uit drie delen en richtte zich op alle grote spelers die betrokken zijn bij ransomware-aanvallen. Allereerst hebben onze eigen medewerkers die ter plaatse ransomware-aanvallen komen bestrijden (ons Computer Emergency Response Team – CERT), vragenlijsten ingevuld. Ten tweede hebben we diepte-interviews gehouden met executives en IT-managers van bedrijven die het slachtoffer zijn geworden van ransomware. Ten derde vulden 315 medewerkers van diezelfde bedrijven een vragenlijst in, waaronder medewerkers die direct betrokken waren bij het reageren op de ransomware-aanval (30%), medewerkers die indirect betrokken waren of een ondersteunende rol hadden (30%) en medewerkers die niet rechtstreeks betrokken waren betrokken bij het reageren op de aanval (40%). Het resultaat van dit onderzoek vindt u in dit artikel.

Wat is ransomware?

Ransomware is een vorm van kwaadaardige software die uw computersystemen of bestanden versleutelt. Dit betekent dat u geen toegang hebt tot bestanden op uw servers en computers. Voor bedrijven betekent dit meestal dat ze belangrijke bedrijfsprocessen niet kunnen uitvoeren, omdat belangrijke (communicatie)systemen en bestanden onbereikbaar zijn. De cybercrimineel vraagt ​​een aanzienlijke som geld om de digitale sleutels te leveren die nodig zijn om weer toegang te krijgen tot uw gegevens. Tegenwoordig gebruiken criminelen verschillende andere methoden om bedrijven extra onder druk te zetten om het losgeld te betalen. Ze zullen niet alleen losgeld eisen, maar dreigen ook gevoelige gegevens te lekken op zogenaamde “leksites” die zich vaak op het Darkweb bevinden. Soms bellen criminelen ook medewerkers van het bedrijf voor nog meer druk of lanceren ze zelfs andere vormen van aanvallen zoals DDoS.

Als mensen denken aan de daders die verantwoordelijk zijn voor ransomware-aanvallen, zien ze vaak ‘de eenzame jongen op zolder’ voor zich. Dit is echter geen realistisch beeld meer. We zien dat ransomware-groepen zeer professioneel opererende organisaties zijn met veel expertise. Deze professionalisering betekent dat herstel van een aanval moeilijk en tijdrovend is. Bedrijven zijn meestal niet één of twee dagen offline, maar gemiddeld 23 dagen. Dit betekent dat het gemiddeld meer dan 3 weken duurt om basissystemen weer operationeel te krijgen. Tijdens deze lange periode van stilstand heerst er onzekerheid over de toekomst, niemand weet of het bedrijf zal kunnen overleven. Leidinggevenden op C-niveau zijn vaak gewend om onder zulke hoge druk te werken, veel van huis te zijn en ingewikkelde beslissingen te nemen onder onduidelijke omstandigheden. Maar anderen die bij het proces betrokken zijn, zoals leden van het IT-team of mensen die verantwoordelijk zijn voor crisiscommunicatie, zijn meestal niet gewend aan de enorme druk, verantwoordelijkheid en immense werkbelasting. Daarom is het niet moeilijk voor te stellen dat deze periode een grote impact zal hebben op de psyche van deze mensen.

De tijdlijn van de mentale impact van een ransomware-aanval

We zien dat de mentale impact van ransomware-aanvallen zich in grofweg drie fasen voordoet, die in totaal ongeveer de eerste week na de aanval, de eerste maand na de aanval en het eerste jaar na de aanval beslaan.

Fase 1: week 1 – crisis

Tijdens de eerste week van een ransomware-aanval ligt vaak de hele business stil. Het is crisis, chaos. IT, management en het Northwave CERT werken 12-16 uur per dag, ook in de weekenden. Op dit moment voelt het herstel voor de meeste teamleden haalbaar, omdat de adrenaline door ieders aderen stroomt. De druk is echter enorm. Zoals een IT-manager in ons interview zei: “Ik denk dat we alle fasen van het rouwproces hebben doorlopen. Ik schopte bijna een glazen deur eruit”.

Mensen voelen hulpeloosheid, medewerkers zijn gemotiveerd om te helpen, maar weten niet hoe en waar te beginnen. Vaak komen schuldgevoelens voor, omdat ‘we dit hadden moeten zien aankomen’ en ‘we hadden meer moeten doen om dit te voorkomen’. Wat misschien wel het meest voorkomt, is het gevoel van bezorgdheid. Niet in het minst over de werkzekerheid, aangezien het senior management zich afvraagt ​​wie de schuldige is.

De stress, de onregelmatige schema’s en junkfood zullen veel lichamelijke klachten tot gevolg hebben. Dit omvat hoofdpijn (44% van de medewerkers die direct betrokken zijn bij het oplossen van de aanval en 48% van de CERT-teamleden), nek- en rugpijn (30% van de medewerkers die direct betrokken zijn en 34% van de indirect betrokkenen) en slaapproblemen (63 % direct betrokken medewerkers, 52% indirect betrokken medewerkers en 52,4% CERT-teamleden). Ook IT-directeuren en managers noemden in interviews hoge bloeddruk, in één geval zelfs met een hartinfarct tot gevolg. Deze symptomen benadrukken de noodzaak van regelmatige pauzes. Pauzes nemen en tijd hebben om te ontspannen worden door de meerderheid (86%) van de CERT-teamleden als zeer belangrijk beschouwd.

Vaak worden deze eerste symptomen van psychische problemen genegeerd: mensen bevinden zich in de crisismodus, dus besteden ze weinig aandacht aan de impact die de crisis kan hebben op hun welzijn. Toch zien we ook de eerste gevallen van uitval: twee op de negen IT-managers meldden dat ze IT-personeel naar huis moesten sturen omdat ze er helemaal doorheen zaten. Degenen die achterbleven, begonnen op verschillende manieren  om te gaan met de situatie, IT-directeuren en managers vonden troost in eten of drinken, en sommigen beginnen zelfs weer te roken.

Dit was nog maar de eerste week en het is voorbij niet voorbij.

Fase 2: eerste week tot eerste maand – van crisis naar incident

Na de eerste week zien we dat de eerste basisfunctionaliteiten weer online komen, maar de meeste kernprocessen zijn nog steeds niet actief of gaan handmatig. Het IT-team is nu niet alleen verantwoordelijk voor het herstellen van alle systemen van de aanval, maar ook voor het leveren van ondersteuning aan de IT-systemen die weer draaien.

Op dit punt raakt de adrenaline op. Mensen zijn uitgeput. Toch blijft de druk toenemen. Druk ook vanuit het privéleven van mensen, omdat gezinnen niet begrijpen waarom mensen belangrijke gebeurtenissen zoals Kerstmis missen, alleen vanwege hun werk. Op dit moment geeft 48% van de CERT-teamleden aan zich schuldig te voelen ten aanzien van het privéleven. Een IT-manager geeft aan: “Ik moest me thuis opnieuw voorstellen aan mijn vrouw en kinderen omdat ik zulke lange dagen had gewerkt. Thuis was ik heel zenuwachtig.”

Ook is er druk van collega’s die niet direct betrokken zijn: waarom duurt het herstel zo lang? Waarom moet iedereen ineens nieuwe wachtwoorden maken en tweefactorauthenticatie gebruiken? Het IT-team zit nog tot over hun oren in de crisis, maar collega’s beginnen al vragen te stellen over reguliere projecten. Dit resulteert voor 60-75% van degenen die indirect of direct betrokken zijn bij de aanval in negatieve gedachten en piekeren. Van de werknemers die niet betrokken zijn bij de aanval, meldt ongeveer de helft te piekeren.

Tegen het einde van de maand is de hitte van de crisis af. Nu de meeste systemen in de lucht zijn, is Northwave vertrokken en staat het IT-team er alleen voor. De impact van de crisis wordt steeds duidelijker. Slaapproblemen (40%), hoofdpijn (29%) en vermoeidheid (57%) blijven spelen voor degenen die direct betrokken zijn bij het oplossen van de aanval. Bovendien geeft ongeveer een op de vier werknemers aan regelmatig intense emoties te voelen, zoals woede en verdriet. Twee van de negen geïnterviewde managers geven aan dat ze zo’n 7-10 kilo zijn aangekomen door tijdgebrek voor sport en ontspanning. Zoals een CIO zei: “Ik concentreerde me alleen op mijn werk, zelfs als ik vrij was, had ik niet de energie om hobby’s te doen. Als ik toch iets leuks deed, voelde ik me schuldig tegenover mijn werk, ik had nooit het idee dat het genoeg was”.

En het is nog steeds niet voorbij.

 

Fase 3: eerste maand tot eerste jaar – van incident naar project

Ruim een ​​maand na de hack herneemt de business zijn loop. Het IT-team werkt nog aan de lange staart van het herstel. Het is een project geworden – beveiligingsverbeteringen implementeren, de laatste systemen herstellen, andere migreren – het voelt alsof het nooit stopt. Van telefoontjes buiten kantooruren lijkt iedereen binnen het team nog steeds te schrikken, ‘is het weer gebeurd?’

Omdat het voor de meeste medewerkers weer business-as-usual is, beginnen ze de crisis te vergeten. We merken dat de sympathie voor het IT-team afneemt. Tegelijkertijd voelt het IT-team zich nog steeds uitgeput na weken van crisis en maanden van druk. En omdat de sympathie en het begrip van hun collega’s afneemt, hebben ze moeite om over hun ervaringen te praten, wat leidt tot meer verloop binnen IT-rollen. Deze langdurige effecten hebben een impact op de uitstroom: 18% van de direct betrokkenen bij de aanslag geeft aan te hebben overwogen of nog te overwegen om van baan te veranderen Opmerkelijk is dat we onze vragenlijst via de bedrijven zelf onder medewerkers hebben verspreid, dus mensen die mogelijk van baan zijn veranderd buiten het bedrijf zijn niet in de steekproef opgenomen. Bovendien meldt meer dan de helft van de managers en het IT-personeel in interviews dat meerdere medewerkers langdurig, maanden tot zelfs een jaar na de aanval afwezig zijn geweest van het werk.

De crisis is dus vervaagd, maar de onzichtbare impact blijft sporen nalaten, en deze sporen zijn ernstig. De aanval heeft blijvende gevolgen voor de manier waarop medewerkers naar de wereld kijken. Tweederde van de werknemers, inclusief degenen die niet bij de aanval betrokken waren, gelooft nu dat de wereld een zeer gevaarlijke plaats is. Zoals een IT-manager aangaf: “Ik ben veel wantrouwiger geworden ten opzichte van de buitenwereld. Het is een slechte plek”.

Het is niet verrassend dat de aanval nog steeds een emotioneel beladen onderwerp is. De helft van de geïnterviewde IT-managers en CEO’s geeft aan het lastig te vinden om erover te praten; “Ik krijg weer de tranen in mijn ogen”. Zelfs maanden na de aanval vertoont ongeveer een op de zeven werknemers die direct of indirect betrokken waren bij de aanval symptomen die zo ernstig zijn dat ze boven de klinische drempel liggen waar professionele hulp bij traumaverwerking nodig is. Een IT-directeur verklaarde: “Dit is de ergste situatie waarin ik ooit ben geweest. Ik lijd aan een enorm schuldgevoel, dat tot op de dag van vandaag voortduurt”. Ook medewerkers in bedrijven die zijn aangevallen met ransomware zijn duidelijk over hun behoeften. Een op de vijf medewerkers geeft aan achteraf meer professionele hulp te willen hebben bij het verwerken van de aanval en een op de drie had graag meer kennis en concrete handvatten gezien om de mentale gevolgen van de aanval het hoofd te bieden.

Positieve effecten

Naast de duizelingwekkende negatieve effecten zijn er ook positieve effecten van ransomware-aanvallen. In veel gevallen kan de IT-afdeling eindelijk achterstallig beveiligingsonderhoud inplannen, omdat het bedrijf nu meer prioriteit geeft aan cyberbeveiliging. Sommige beveiligingsverbeteringen die al lang achterstallig waren, kunnen snel worden geïmplementeerd als onderdeel van het IT-herstel. En hoewel sommige collega’s weinig begrip hadden voor de stress van de IT-afdeling, waren andere collega’s tot steun en hielpen ze door snacks te brengen tijdens de lange dagen van de eerste weken van de crisis en te vragen hoe het met ze ging. Inderdaad, 44% van de geïnterviewden zei dat de samenwerking enorm was verbeterd, en een op de vijf werknemers die betrokken waren bij een ransomware-aanval geeft aan dat ze zich “dichter dan ooit” bij hun collega’s voelen. Zoals een IT-directeur zei: “aangevallen worden was een van de beste teambuildingactiviteiten die we ooit hebben gehad”.

Belangrijkste lessen

De onderzoeksresultaten benadrukken het belang van actieve betrokkenheid van hoger management bij herstel van zowel de zichtbare als de onzichtbare impact van ransomware-aanvallen.

  • Zorg in fase 1 voor regelmatige check-ins. Het is onmogelijk om een ​​marathon in sprinttempo te lopen, en een ransomware-aanval is een marathon. Zorg ervoor dat mensen regelmatig pauzeren en in ploegen werken. Mensen voelen zich verantwoordelijk, wat betekent dat sommige mensen moeten worden opgedragen om vrij te nemen. Kijk welke coping-mechanismen mensen gebruiken, want ongezonde coping komt veel voor.
  • Manage in fase 2 met beleid de werklast van het incident-team. Maak onderscheid tussen incident-gerelateerde werkzaamheden en reguliere taken. Zoek waar mogelijk extra mensen voor reguliere taken. Creëer een ritme met rust- en hersteltijd voor iedereen.
  • In fase 3: plan evaluaties. Het is zeer waarschijnlijk dat veel van degenen die betrokken zijn bij ransomware-aanvallen, psychische symptomen zullen ontwikkelen. Omdat de onderlinge band tussen collega’s is toegenomen, kan het een krachtig hulpmiddel zijn om een open omgeving te creëren waarin negatieve gevoelens regelmatig worden besproken. Mensen willen praten over wat er is gebeurd en wat het voor hen betekende, het faciliteren hiervan kan een enorme hulp zijn.

Op basis van de resultaten van het onderzoek zal Northwave een programma ontwikkelen om bedrijven te helpen zich voor te bereiden op de mentale impact van ransomware-aanvallen en om medewerkers te helpen sneller te herstellen van cyberincidenten, om de negatieve impact voor bedrijven zo veel mogelijk te minimaliseren.

In de week van 7 november publiceert Northwave een whitepaper met de complete uitkomsten van het onderzoek. Vraag hier uw exemplaar aan.