Er lijkt een trend gaande waarin steeds meer grote organisaties slachtoffer worden van gerichte ransomware-aanvallen. Nederlandse voorbeelden zijn onder andere de aanval op de Universiteit Maastricht in december 2019, en wetenschapsfinancier NWO in februari 2021. Om het risico op cyberaanvallen te verkleinen en de cyberweerbaarheid te verhogen, kunnen organisaties risicotaxaties (laten) uitvoeren. Vanwege de continue ontwikkelingen rondom ransomware-aanvallen en de ernstige gevolgen van dien heeft het Nationaal Cybersecurity Centrum (NCSC) behoefte aan een onderzoek naar de specifieke risicofactoren die een rol spelen bij dergelijke aanvallen.

Als achterliggend probleem wordt gezien dat op beleidsniveau binnen middelgrote en kleine organisaties, zowel privaat als semipubliek, te weinig middelen vrijgemaakt worden voor cybersecurity omdat het risico onderschat wordt. Vanuit de ICT-afdeling is vaak het besef dat er meer gedaan moet worden aan cybersecurity, maar het is voor hen lastig het management hiervan te overtuigen. Beleidsmakers moeten dus bewust worden gemaakt van de risico’s die de organisatie loopt en de kosten van een ransomware-aanval. Er is een beeld dat vooral organisaties die steeds afhankelijker worden van ICT zich onvoldoende bewust zijn van de risico’s. Daarbij gaat het niet alleen om risico’s voor één specifieke organisatie, maar zijn er ook duidelijke ketenafhankelijkheden: een storing bij één partij zorgt voor andere effecten in de keten.

Dit onderzoek heeft als doel het in kaart brengen en kwantificeren van factoren die ransomware-aanvallen beïnvloeden. Om welke factoren gaat het en zijn deze te kwantificeren? Een tweede doelstelling is het bieden van inzicht in de mogelijkheden tot bewustwording onder de doelgroep. De doelgroep bestaat uit bestuurders van middelgrote en kleine organisaties, zowel in de publieke als private sector. Zij moeten zich bewust zijn van de kans van optreden en het risico van ransomware-aanvallen. Daarnaast zouden zij ook inzicht in de risicofactoren moeten krijgen.

Het onderzoek beantwoordt de volgende onderzoeksvragen:

1. Welke risico’s brengen ransomware-aanvallen met zich mee?
2. Hoe zien ransomware-aanvallen er tegenwoordig uit en welke instrumenten worden hierbij ingezet?
3. Welke soorten partijen zijn bij deze aanvallen betrokken?
4. Welke interne en externe factoren dragen bij aan ransomware-risico’s voor een organisatie?
5. In hoeverre zijn deze factoren kwantificeerbaar?
6. Met welk instrument kunnen beleidsmakers in middelgrote en kleine organisaties bewust worden gemaakt maken van de risico’s van ransomware?
7. Wat zijn belangrijke factoren voor bedrijven en organisaties om met het instrument aan de slag te gaan?

Voor de uitvoering van dit onderzoek is gebruik gemaakt van verschillende methoden: literatuuronderzoek, verkenning van bestaande risicotaxatiemodellen, verkenning van cybersecurityverzekeringen, interviews, casestudies van getroffen organisaties in Nederland en validatiesessies. In dit onderzoek wordt getracht de meest actuele situatie te schetsen van de vraagstukken die hier spelen.