De schade die een ransomware-aanval kan veroorzaken, is enorm. Organisaties die denken dat ze geen andere keuze hebben dan cybercriminelen losgeld te betalen, riskeren niet alleen hun geld kwijt te raken omdat er nooit de garantie is dat ze hun data terugkrijgen, ook hun reputatie komt in het geding. Immers, andere criminelen zullen de onderneming in kwestie zien als een potentieel makkelijk doelwit.
De beste bescherming tegen datalekken is natuurlijk preventie. Met backups – zowel on- als offline – zorg je er niet alleen voor dat ransomware minder schade veroorzaakt, maar in combinatie met de juiste securitysuites en awareness-training kun je infecties zelfs grotendeels uitsluiten. Als het gaat om security en databackups is er echter een groot verschil tussen wat wenselijk is en wat er werkelijk gebeurt. Elke organisatie is afhankelijk van connectiviteit en daardoor kwetsbaar voor cyberaanvallen.
Wat gebeurt er?
Bij een ransomware-aanval dreigen hackers informatie te publiceren van een organisatie of toegang tot het systeem permanent te blokkeren. Alleen als er losgeld wordt betaald, krijgt de organisatie weer toegang tot de computers en data. Afhankelijk van de manier waarop de verspreiders te werk gaan, zijn er bij ransomware meerdere varianten
Twee voorbeelden. Ransomlockers is een malwaretype dat ervoor zorgt dat je device op slot gaat, zodat je niet bij je data kunt en je daarmee dus niets meer kunt doen. Verspreiders vragen losgeld (soms noemen ze het een boete) om je device of data weer beschikbaar te stellen. CryptoLockers is een malwaretype dat ervoor zorgt dat je bestanden versleuteld worden. Vaak worden hierbij ook de originele bestanden verwijderd.
Bij het betalen van losgeld worden de bestanden ontcijferd en kun je ze weer gebruiken. Doordat de schade door langdurige bedrijfsuitval vaak groter is dan het bedrag dat gijzelnemers vragen voor het vrijgeven van systemen, kiezen organisaties er dikwijls voor om te betalen.
Beter dan genezen
Voorkomen is natuurlijk de beste oplossing. Bewustwording van de risico’s en investeren in een veilige infrastructuur zijn noodzakelijke stappen. Helaas is een waterdichte beveiliging tegen ransomware niet mogelijk, omdat altijd het gevaar bestaat van menselijke fouten. Vooral computernetwerken met veel verbindingen naar de buitenwereld zijn kwetsbaar voor hackers en vele daarvan zijn nog altijd niet veilig en relatief eenvoudig te hacken.
Vaak vindt een geslaagde aanval van een ransomware-verspreider plaats op twee verschillende manieren. De aanval begint bij een inbraak (hack) op de systemen óf een gebruiker van een netwerk klikt op een e-mail en laat daardoor een kwaadaardig programma los. In beide gevallen zijn de gevolgen meestal niet direct zichtbaar. Maar heeft een besmetting eenmaal plaatsgevonden, dan zal die zich razendsnel verspreiden en uiteindelijk het complete netwerk lamleggen.
Veel bedrijven en instellingen realiseren zich de risico’s van cybercrime nog altijd niet. De redenering lijkt te zijn: tot nu toe gaat het goed, dus waarom zouden we hier op dit moment veel geld aan spenderen? Pas als het misgaat, realiseren zij zich dat ze een solide en betrouwbaar datamanagement en disaster recovery-strategie nodig hebben.
Meer is beter
Door het vergroten van awareness van werknemers kunnen organisaties de risico’s sterk verminderen. Door te investeren in up-to-date it-infrastructuur kunnen ze kwetsbaarheden afdichten. Maar ook als aan deze voorwaarden wordt voldaan, is er altijd het risico dat een medewerker per ongeluk op een link klikt en ransomware activeert.
Veel aandacht dient daarom uit te gaan naar het minimaliseren van de gevolgen. Oftewel: welke procedure in werking treedt als er sprake is van een aanval. Allereerst dient zich dan de vraag aan: hoe veilig en compleet zijn de backups van onze bestanden?
Wie altijd een bruikbare kopie heeft om op terug te vallen, kan bedrijfsuitval door het stilvallen van systemen voorkomen. Een goede backup-strategie is gebaseerd op de stelregel dat er sprake is van verschillende bestanden en technieken. Wij hanteren als uitgangspunt de 3-2-1-regel. Deze regel wil zeggen dat van alle data drie kopieën worden gemaakt, op twee verschillende mediatypen, waarvan ten minste één kopie offsite: op een andere locatie. Ook zijn wij voorstander van een offsite backup, ofwel; air gapped backup.
Naast een kopie in de productieomgeving wordt een kopie op een lokale server gemaakt voor snelle restore, naast een aparte kopie op een drager die niet online toegankelijk is.
Restore vanuit de cloud
Door op verschillende media een veelheid van kopieën te creëren, verkleint de organisatie het risico dat ze niet kan terugvallen op een herstelpunt. Hierbij zal een bedrijf zich wel twee vragen moeten stellen: wat is het maximaal toelaatbare dataverlies (restore point objective, rpo), en hoe snel moet het systeem weer online zijn (restore time objective, rto)?
Hoewel veel bedrijven voor de air gap nog altijd computertape gebruiken, zien wij sinds enige tijd een sterke verschuiving naar de cloud. Hiermee verschuift de beveiliging wel deels naar de cloud-aanbieder. Dataopslag in een netwerkomgeving brengt in principe het risico mee dat ongenode gasten zich toegang verschaffen tot bestanden.
Onderschatting
Ransomware is een toenemend gevaar voor bedrijven en instellingen. Toch is er nog altijd sprake van onderschatting. En dat terwijl de praktijk laat zien dat veel organisaties na een succesvolle aanval soms weken nodig hebben om weer operationeel te worden. In de open digitale wereld van nu is het vrijwel onmogelijk om problemen te voorkomen. Maar door het risico op dataverlies en downtime te minimaliseren, kan een organisatie de financiële schade enorm beperken.