Steeds meer ransomware-aanvallen zijn gericht op publieke instellingen. In Nederland wordt om de tien dagen melding gemaakt van een dergelijk incident door een ministerie, gemeente of andere overheidsinstantie. Ransomware stelt publieke instellingen voor een duivels dilemma: de gegevens van burgers verliezen of geld van de belastingbetaler kwijtraken. Wat kunnen publieke instellingen doen om te zorgen dat ze geen van beide hoeven te doen?
Ransomware kan alleen effectief worden bestreden als publieke instellingen in staat zijn om hun bedrijfskritische applicaties en data binnen enkele minuten na een aanval te herstellen. Op deze manier blijven burgers toegang houden tot belangrijke overheidsdiensten en is de hoeveelheid dataverlies na herstel van een ransomware-aanval beperkt. Back-upoplossingen en firewalls bieden op zichzelf namelijk geen uitkomst. De publieke sector heeft een uitgebreide oplossing voor business continuity (bc) en disaster recovery (dr) nodig, die snelle recovery point objectives (rpo’s) en recovery time objectives (rto’s) mogelijk maakt. Het probleem is dat veel bc/dr-oplossingen gebruikmaken van losstaande, vaak lastig te beheren producten met beperkte functionaliteit.
Daarnaast zijn de te behalen rpo- en rto-tijden met deze producten achterhaald en betreft het veelal uren in plaats van minuten. Maar als er onverhoopt een calamiteit plaatsvindt, zijn het juist de eerste paar minuten die de doorslag geven. Overheidsinstellingen moeten in staat zijn om direct van aanvallen te herstellen in plaats daar uren aan kwijt te zijn. Bovendien moeten gegevens zo volledig mogelijk worden hersteld.
Publieke sector in het digitale tijdperk
In dit tijdperk van digitale transformatie slaan publieke instellingen enorme hoeveelheden cruciale data op. Dit stelt hen in staat om de burgers die zij vertegenwoordigen effectiever te bedienen. Duizenden mensen melden zich dagelijks met hun DigiD aan om hun adres te wijzigen, hun belastingaangifte te doen of een declaratie in te dienen bij de collectieve zorgverzekering van hun gemeente. In deze digitale wereld is het onbestaanbaar dat overheidsinstellingen gebruikmaken van onvolledige back-ups die twaalf tot 24 uur geleden zijn gemaakt.
Het kost uren om dit soort back-ups te herstellen. Bovendien gaan alle gegevens die werden gegenereerd sinds het maken van de laatste back-up op het moment van de aanval verloren. Publieke instellingen en burgers worden daarmee geconfronteerd met downtime die zij zich niet kunnen veroorloven, en belangrijker nog, met ernstig gegevensverlies.
Een andere hindernis die ict-afdelingen bij overheidsinstellingen in de strijd tegen ransomware-aanvallen moeten overwinnen is het feit dat hun traditionele omgeving is opgebouwd uit geïsoleerde eilandjes van technologie. Elke afdeling binnen de organisatie beschikt vaak over haar eigen back-officeprocessen, ict-systemen, processen, datacenters en netwerken. Deze geïsoleerde manier van werken kan resulteren in onnodige dataduplicatie en een onderbenutting van servers en opslagcapaciteit.
Hetzelfde geldt voor bc/dr-functionaliteit. Ransomware-aanvallen zullen zich waarschijnlijk niet op slechts één afdeling richten, en ongecoördineerde herstelmethoden kunnen in het geval van een incident voor nog meer verwarring en schade zorgen.
Ict-afdelingen in de publieke sector hanteren maar al te vaak een eenzijdige en geïsoleerde kijk op de beveiliging. Ze richten zich simpelweg op de detectie en preventie van malware en indringers en concentreren zich op individuele afdelingen. Er is een meer uitgebreide en holistische aanpak nodig die alle afdelingen omspant. Deze moet zijn gebaseerd op een drieledige strategie: detectie van incidenten, indringerpreventie en een snel herstel van data en applicaties zoals SAP, Oracle of SQL zodra er zich een aanval voordoet. Een dergelijke aanpak maakt het mogelijk om voor onderbroken overheidsprocessen te zorgen.
Malware ontwikkelt zich voortdurend
Bescherming tegen virussen vormt uiteraard de eerste verdedigingslinie. Dit blijkt in de praktijk echter steeds moeilijk te realiseren, omdat malware zich voortdurend ontwikkelt. De manier waarop bedrijven hun data beschermen wordt tegenwoordig ingegeven door de acties van cybercriminelen. Dat zou ook moeten gelden voor het herstellen van gegevens na een aanval. Werken op basis van back-ups is tijdrovend en gaat vaak gepaard met verouderde data.
Met de juiste dr-processen en ondersteunende technologieën die direct toegang bieden tot data als er een virus door de verdediging heen glipt, kunnen de gevolgen effectief worden ingedamd. Een geavanceerde bc/dr-oplossing kan overheidsinstellingen helpen om van een storing of virus te herstellen door hun virtuele machines in een paar minuten tijd ‘terug te spoelen’ naar een tijdstip voordat de storing of infectie optrad. Dit maakt het ook mogelijk om de gevolgen van een ransomware-aanval te neutraliseren. De downtime wordt daarmee drastisch gereduceerd.
Voldoen aan de eisen van richtlijnen
De verplichting om na het optreden van een calamiteit te voldoen aan de interne en externe richtlijnen legt extra druk op de publieke sector. Dit is het gevolg van de uiterst gevoelige aard van de informatie die overheidsinstellingen in hun beheer hebben. Het niet naleven van deze richtlijnen of het niet voldoende snel herstellen van gegevens kan resulteren in vervelende sancties. Vanuit economisch oogpunt is het daarom zinvol om organisatiebreed te investeren in bc/dr, zodat dat de gegevens van burgers beschermd blijven en cruciale overheidsdiensten toegankelijk blijven.