Vroeg of laat loopt iedereen risico om slachtoffer te worden van ransomware. Of je nu een productiebedrijf bent, een (lokale) overheidsinstelling of een zorginstelling. De voorbeelden zijn legio. De nadelen zijn gekend: van downtime tot reputatieschade. Maar hoe kan een strategisch business-continuïteitsplan ervoor zorgen dat de schade beperkt blijft en je business weer snel on track is?
‘Ja, maar ons netwerk is goed beschermd met de beste tools. Ons overkomt dit niet.’ Een veelgehoorde quote. Maar een goed securitybeleid is meer dan de tools. Elke organisatie zou een business continuity procedure (bcp) moeten hebben. Dat is een bescherming en een plan van aanpak tegen alle mogelijke crisissen: een staking, een technische storing door natuurramp of een pandemie. En it speelt daarin een belangrijke rol. It is steeds vaker het kloppend hart van een onderneming. De business hangt af van applicaties, dus wie zijn business wil beschermen, moet zijn apps beschermen.
Business continuitypProcedure
Hoe pak je dat best aan? Eerst kijken wij naar de business van de klant. Daarbij trachten we de mogelijke financiële impact te berekenen van een ransomwareaanval. Je hebt de directe kosten van de downtime – gemiddeld zeven dagen – en de indirecte kosten. Denk hierbij aan de reputatieschade en de moraal van de eigen werknemers dat naar beneden gaat. En dan heb je uiteraard ook de kosten na de aanval: heropstart, analyse, extra bescherming, gemiste orders…
Het doel van zo’n plan is de tijd tussen de downtime en de heropstart van de business zo kort mogelijk houden. Belangrijk is om hier de nodige bewijsmaterialen te vinden en te bewaren om die te kunnen analyseren. Net als in tv-serie ‘CSI’, ook daar komt eerst een speciaal team alle sporen ter plaatse gedetailleerd in kaart brengen vooraleer het lijk van de crime scene te verplaatsen.
Geen it-project
Er zijn enkele uitdagingen te overwinnen bij het opstellen van een bcp. Niemand begint graag over disaster recovery. Het vergt veel tijd, het is soms complex en het managen ervan is niet evident. Het wordt nog te vaak gezien als een it-project, terwijl het een businessproject is. Die awareness in de organisatie – en de bestuurskamer – krijgen, is een werk van de lange adem. Zo’n project begint wel vaak via de it-dienst, maar het is belangrijk dat de business-eenheden en het c-level van meet af aan zijn betrokken. Een externe ‘vertaler’ kan het gesprek tussen it en business faciliteren.
In een bcp moet je een antwoord vinden op drie vragen:
- Wat zijn de business-eisen? Wat is nodig om de business draaiende te houden?
- Wat is de bestaande situatie? Waar zitten de eventuele gaps?
- Wat is de te volgen roadmap en welke oplossingen zijn er voorhanden?
In onze aanpak leggen we de focus op de belangrijkste kritieke apps, waarbij we nagaan wat 24 uur downtime van elk deze apps zou kosten. Voor elke gap. Ook checken we hoeveel data je mag verliezen en kleven we daar een rating op (Tier 1 is heel belangrijk, dus de hersteltijd hiervan moet zo klein mogelijk zijn). Dit is een belangrijke oefening voor een bedrijf. Iedereen vindt zijn app en tools de belangrijkste, maar dit objectief overzicht geeft een duidelijk financieel beeld van het belang van elke gebruikte tool.
De volgende stap is de gap-analyse die het verschil aangeeft tussen wat de business vraagt en wat it vandaag kan leveren. Die gaps kunnen per app verschillen naar grootte en belangrijkheid.
Met deze data kan je acties definiëren om die gaps aan te pakken. Dat hoeven daarom niet altijd it-gerelateerde items te zijn. En je hebt uiteraard quick wins die je vrij snel kan implementeren. Vervolgens kan je een roadmap opstellen waarin je de acties op korte termijn, middellange en lange termijn definieert en er een prioriteit aan toekent. Met deze objectieve en cijfermatige analyse kan je als it-afdeling ook sneller de bestuurskamer overtuigen van het belang. Het is ook pas na deze analyse dat je aan technologische oplossingen kan beginnen te denken. Cruciaal in zo’n bcp is dat je moet kunnen testen wat de gevolgen zijn van een aanpassing.
Backup als verdedigingsbastion
Bedrijven beslissen soms om de gevraagde ransomware wel te betalen. Als de recovery bijvoorbeeld te lang zou duren of als óók de backup geëncrypteerd is. Of als ze niet weten welke documenten er geëncrypteerd zijn en welke niet.
Let wel, wanneer je de ransomware betaalt, blijf je dit systeem voeden.
Om dit te vermijden, is een gezonde mix van security-componenten nodig, maar de backup is cruciaal in dit verhaal. Het is het laatste bastion waarop je moet kunnen vertrouwen, want het biedt antwoord op de bovenstaande redenen.
Met een rechtstreekse launch vanop de backup heb je een instant recovery en een korte recoverytijd. Immutability is een systeem waarbij files die op de backup belanden, niet meer zijn aan te passen. Zo ben je er zeker van dat die data veilig zijn en niet geëncrypteerd. Om te weten wat wel en niet geëcrypteerd is, moet je werken aan een betere visibility. En dat kan het best in de back-up waar alle data samenkomen. Door de backups te analyseren – zijn er verschillen met gisteren, zijn er bestandsnamen veranderd of grote hoeveelheden data verplaatst? – kan je dit op een efficiënte manier achterhalen. De tijdswinst voor een it-team is enorm en ook de recovery gaat sneller.
Je backup als onneembare burcht is de fundering van een goed bcp. Zonder deze basis moet je zelf niet aan andere security-oplossingen beginnen.
Wim De Meyer, business developer bij Orange Cyberdefense.
Het lijkt me, maar corrigeer me als ik het fout heb, dat backups alleen een oplossing bieden indien deze backups niet al met ransomware besmet is.
Het lijkt me dat ‘herstel door restore’ snel te omzeilen is door de ransomware pas na x weken/maanden te activeren waardoor het zeker teveel tijd en geld gaat kosten om een restore te doen.
De organisaties achter ransomware aanvallen hebben er een zeker belang bij om de aanval te doen slagen. Als dat inhoudt dat er even moet worden gewacht, maar dat het geld daardoor met meer zekerheid binnenkomt…
CPT,
Ik corrigeer je niet maar wijs enkel op het feit dat er best veel aandacht is voor business continuity planning waarin de strategie van een back-up veelal als ‘last resort’ centraal staat. En de invulling van de back-up kent vele technische antwoorden waarbij een inzichtelijkheid van de datastromen aan de achterdeur je als bedrijf een strategische voordeel kan geven. En dan heb ik het niet alleen over de risico’s maar ook over de kosten want 70% van de organisaties is kwetsbaar voor een ransomware-aanval omdat ze voorspelbaar zijn in hun zuinigheid.
@Een oudlid,
Ik denk dat ik me niet duidelijk heb uitgedrukt. Een mooi business continuity plan is goed, nuttig en dient er zeker te zijn. Dat laat onverlet dat als de applicaties en/of data op een backup de besmetting al bevatten, een waterdicht continuity plan niet veel waarde toevoegt.
En dat is het punt dat ik in de spot wilde plaatsen.
CPT,
Ik snap je punt maar bij BCP breng je risico’s in beeld en bepaal je op basis daarvan maatregelen die je neemt, de back-up wordt als technische maatregel m.i. daarmee in een ander (spot)licht geplaatst. Datastream analyses bij zowel publieke als private organisaties leren dat zorg voor de data uitbesteed is maar dat degene die voor de data zorgen geen idee hebben van de business waarde. Gelijkertijd heeft de business geen benul van de volumes omdat KPI’s aangaande een herstel van de voordeur (services) om de toegang tot data gaan en daardoor blijft de olifant in de kamer onbesproken. Een plan voegt dus inderdaad niet veel waarde toe want papieren tijgers zijn makkelijk te temmen. Uiteindelijk geeft alleen *kuch* testen van de ‘sloepenrol’ zekerheid over de veerkracht die een organisatie heeft aangaande tegenslag maar vaak blijft dat een IT feestje omdat de business druk is.