Ransomware-aanvallen zijn voor cybercriminelen in de meeste gevallen zeer succesvol. Data wordt met de dag waardevoller, dus als bedrijfssystemen vergrendeld worden door ransomware, zit er voor organisaties niets anders op dan het betalen van losgeld om weer toegang te krijgen tot hun applicaties en bedrijfsgegevens en over te gaan tot de orde van de dag.
Niemand weet precies hoeveel organisaties hebben toegegeven aan de eisen van cybercriminelen zonder dat aan de grote klok te hangen. Maar duidelijk is dat steeds meer bedrijven slachtoffer worden van ransomware. Volgens Trend Micro zijn er in februari in de Benelux zelfs meer ransomware-infecties aangetroffen dan in de laatste zes maanden van 2015 en is de Benelux een favoriet doelwit van de cybercriminelen.
Duivels dilemma
Organisaties die ten prooi vallen aan ransomware staan voor een duivels dilemma. Ze moeten alles op alles zetten om al hun systemen zo snel mogelijk weer in de lucht te krijgen. De keuze is dus om het losgeld op te hoesten en hun bedrijfsprocessen te hervatten, of een periode van onzekerheid, bedrijfsonderbreking en downtime doorstaan terwijl hun systemen worden hersteld. Veel organisaties verkeren in de veronderstelling dat zij over de juiste beveiligingsoplossingen beschikken, maar gaan voorbij aan het feit dat ict-aanvallen een steeds geavanceerder karakter krijgen. Een simplistische visie die erin bestaat om ‘virussen buiten de deur te houden’ levert hooguit schijnveiligheid op.
Organisaties kunnen het juk van ransomware alleen afschudden als ze over de mogelijkheid beschikken om bedrijfskritische applicaties en data in een paar minuten tijd te herstellen. Traditionele back-upoplossingen en firewalls bieden die mogelijkheid niet. Bedrijven hebben uitgebreide oplossingen voor bedrijfscontinuïteit (BC) en disaster recovery (DR) nodig die voorzien in consistente en complete herstelprocessen, onderhoudsarm zijn en de efficiëntie vergroten.
Het probleem is dat veel BC- en DR-strategieën zijn gebaseerd op losstaande oplossingen met beperkte functionaliteit. Veel organisaties in sterk gereguleerde sectoren beschikken reeds over een back-upproces. Dit is nodig om aan de standaardeisen van audits te kunnen voldoen. Maar als er een incident optreedt, zijn de eerste minuten cruciaal. Bedrijven moeten in staat zijn om hun systemen en data in dit uiterst korte tijdsbestek te herstellen en niet in paar uur tijd. Alle gegevens moeten bovendien zo compleet mogelijk worden hersteld. Het herstel van onvolledige back-ups die 24 uur eerder zijn gemaakt kan uren in beslag nemen. Bedrijven kunnen daarmee te maken krijgen met downtime die zij zich niet kunnen permitteren en, erger nog, hadden kunnen voorkomen.
Kortzichtige kijk op beveiliging
Veel organisaties hanteren een te kortzichtige kijk op de beveiliging. Ze concentreren zich volledig op het buitenhouden van indringers. Een uitgebreidere aanpak is gebaseerd op drie pijlers die het mogelijk maken om de organisatie veilig te houden voor de onophoudelijke stroom van nieuwe bedreigingen waarmee ze worden geconfronteerd. Deze drieledige aanpak omvat de detectie van aanvallen en indringerpreventie, aangevuld met de mogelijkheid om bedrijfskritische data en systemen zoals SAP- en Oracle-applicaties en SQL-databases snel te herstellen en daarmee ononderbroken bedrijfsprocessen te waarborgen.
Met de juiste DR-processen en ondersteunende technologieën die directe toegang tot data bieden, is het mogelijk om de schade aanzienlijk te beperken als er onverhoopt een virus door de beveiliging glipt. Geavanceerde DR-platforms kunnen kostbare bedrijfsonderbrekingen voorkomen door organisaties de mogelijkheid te bieden om bestanden, applicaties en mappen te herstellen tot een seconde voordat ze werden beschadigd, verwijderd of geïnfecteerd. Dit maakt het mogelijk om ransomware te neutraliseren en in luttele minuten terug te keren tot de orde van de dag.
Antivirustechnologie vertegenwoordigt weliswaar een eerste verdedigingslinie, maar is onvoldoende om de steeds geavanceerdere malware een halt toe te roepen. Het herstellen van back-ups is vaak een tijdrovend proces, en back-ups bevatten bovendien vaak verouderde gegevens. Geavanceerde DR-oplossingen bieden bedrijven daarentegen de mogelijkheid om te herstellen van een incident door hun virtuele machines ‘terug te spoelen’ naar een tijdstip waarop de ransomware-infectie nog niet bestond. Dit maakt een einde aan de noodzaak om losgeld te betalen en maakt het mogelijk om alle bedrijfsprocessen in een paar minuten tijd in de lucht te krijgen zonder kostbare downtime.
Boetes en andere gevolgen
Organisaties die met gevoelige informatie omgaan, zoals instellingen in de gezondheidszorg en de financiële, juridische en publieke sector, komen na een incident onder steeds grotere druk te staan van toezichthouders en de publieke opinie. Niet-naleving van de interne of externe regelgeving en het onvermogen om gegevens snel te herstellen kunnen resulteren in torenhoge boetes en andere nare gevolgen.
Elke organisatie, groot of klein, kan het slachtoffer worden van een ransomware-aanval. Bedrijven die over een uitgebreide BC/DR-strategie beschikken, zullen echter in staat zijn om snel en moeiteloos de controle te herwinnen over hun bedrijfskritische ict-infrastructuur en applicaties. Met directe toegang tot data en het vermogen om snel en eenvoudig bedrijfskritische bestanden, data en applicaties te herstellen kunnen zij de angel uit ransomware-aanvallen halen. En dat is niet alleen goed nieuws voor de ICT-organisatie, maar ook voor het management.
Bij restore en partial recovery van een SAP production database zoals de auteur hier beschrijft gaan transactiegegevens verloren. Orders etc. moeten dan opnieuw worden geboekt. Naarmate er meer tijd verstreken is tussen de hack en de ontdekking ervan, kan een Disaster Recovery weleens erg kostbaar worden of uiteindelijk geen valide optie zijn.
Aardig artikel als een reminder dat je goed moet blijven nadenken over… in dit geval data security. Edoch, ik mis het gegeven dat men wat security betreft pas een stap kan zetten als zich een ‘geval’ heeft voorgedaan om doelgericht te kunnen anticiperen, en daar zit hem nu net de kneep. Je bent wat dat betreft altijd een stapje te laat.
Voorkomen beter dan genezen
als we even wel zijn, in weerzin van ype en commercie, te willen inzien dat al dat hijgerig hypen, al die apps, het eruit gooien van gedegen, edoch soms wat duurder personeel, het inhuren van menig stagiair en de steeds geringere beschikking verder door belasting uithollen, is mijn garantie dat we pas aan het begin staan van een incidenten hausse.
Een Hausse die steeds grotere impact krijgt juist doordat er zaken worden verwaarloosd, veronachtzaamd en, door gebrek aan gedegen E2E kennis en ervaring, er allang hele grote gaten zitten in de IT ICT keten.
Daar kunnen we natuurlijk mooi over heen kijken roepende dat als je maar ‘de regeltjes’ volgt, je het wel buiten de deur kan houden. Eerlijkheid gebied te stellen dat ignorentie, incompetentie, bagatelliseren en vooral heel veel commercieel hypen, debet zullen zijn aan die toename.
Ongeacht wie welke oplossingsrichting hier zal benoemen, je bent wat up to date security betreft, altijd een stap te laat. Zodat we het maar weten.
Een stukje uit de oude doos, we schrijven 1970:
http://nsarchive.gwu.edu/dc.html?doc=2800105-Document-01-Defense-Science-Board-Task-Force-on
http://arstechnica.com/security/2016/04/flashback-declassified-1970-dod-cybersecurity-document-still-relevant/
Belangrijkste conclusie: beveiliging is onvoldoende indien het alleen maar rust op software oplossingen hiervoor.
Nog vragen?
Duidelijk stuk. Het duidt een probleem aan waar pas over nagedacht wordt als het te laat is. Veel bedrijven merken pas hoe groot de schade (imago, verloren tijd en orderdata) is als het daadwerkelijk te laat is. In Nederland heb ik persoonlijk het idee dat veel bedrijven denken dat ze het goed (genoeg) voor elkaar hebben en er dus niet (meer) in hoeven te investeren. Iemand die zich specialiseert in security wordt nog altijd gezien als een vervelende zeurpiet. “te lastig, te pietluttig, te complex” en vooral daardoor ook “te duur”
en duur? daar doen we niet aan…. pas als het te laat is. en het nog veel meer kost. dan gaan we er over nadenken.
Een voorlichtingsbijeenkomst met vragenuurtje doet wonderen.
Duidelijke voorbeelden geven van Phishingmails, hoe een vervalste website te herkennen is enz. enz.
Zo doe je wat aan de zwakste schakel, de gebruiker. En . . . steek als ICTer ook eens de hand in eigen borst, ook ICTers zijn gebruikers.