Hackers zijn meedogenloos bij het kiezen van hun targets. Organisatiegrootte blijkt geen beslissende factor en ook bedrijven in essentiële sectoren worden niet gespaard. Goede beveiliging is dan ook essentieel. Om weerbaar te zijn en de bedrijfscontinuïteit te waarborgen moet je als organisatie voorbereid zijn op het slechtste scenario. Wat doe je als het helemaal misgaat? En hoe dan te herstellen?
De Nederlandse politie registreerde in het eerste kwartaal van 2021 al meer dan 3.800 gevallen van cybercriminaliteit. Dat is bijna een verdubbeling ten opzichte van hetzelfde kwartaal van vorig jaar. Het werkelijke aantal incidenten ligt waarschijnlijk een stuk hoger, omdat er nog altijd veel aanvallen niet worden gerapporteerd. Zo was iets meer dan de helft van de Nederlandse organisaties in het afgelopen jaar slachtoffer van gijzelsoftware.
Een succesvolle cyberaanval kan de bedrijfsvoering stilleggen, mogelijk voor dagen, weken of zelfs permanent. Zonder het juiste plan en de juiste oplossing kunnen inspanningen voor herstel hiaten in gegevens achterlaten, tijdrovend, arbeidsintensief en duur worden. En zelfs als een bedrijf zijn gegevens kan herstellen, kan de reputatieschade blijvend zijn, waardoor klanten afhaken of het merk wordt vermeden.
Cyberbeveiliging: de eerste verdedigingslinie
Hackers en hun aanvallen worden steeds geraffineerder en nemen vormen aan van een georganiseerde miljardenbusiness, die inkomsten genereert voor grote groepen criminelen. Een cyberaanval mag voor elk type onderneming geen verrassing meer zijn. Hoewel het niet mogelijk is alle aanvallen te stoppen, is het opstellen van een uitgebreid plan voor informatiebeveiliging en rampenscenario van groot belang om risico’s te minimaliseren en cyberweerbaarheid te creëren op de lange termijn. Met dit doel werd het Cybersecurity Framework door het Amerikaanse agentschap National Institute of Standards and Technology (NIST) ontwikkeld. Dit flexibele en universele kader helpt organisaties inzicht te krijgen in de best practices die zij moeten gebruiken om hun aan cyberbeveiliging gerelateerde risico’s te beheren, waarbij deze kernfuncties centraal staan:
- Identificeren;
- Beschermen;
- Opsporen;
- Reageren;
- Herstellen.
NIST heeft deze functies geïdentificeerd omdat het ‘de vijf primaire pijlers zijn voor een succesvol en holistisch cyberbeveiligingsprogramma’. Ze helpen organisaties om hun beheer van cyberbeveiligingsrisico’s eenvoudig op een hoog niveau uit te drukken en beslissingen op het gebied van risicobeheer mogelijk te maken.
Niet-veerkrachtige oplossing
Veel organisaties doen hun best op het gebied van de eerste vier pijlers, maar als malware door hun verdediging heen komt, hebben ze moeite met herstel. Deze laatste stap is kritischer dan ooit tevoren. Als een backup van een dag of zelfs een week oud moet worden hersteld, betekent dat gegevensverlies en meer tijd en kosten voor herstelwerkzaamheden. Geen enkel bedrijf kan zich zo’n niet-veerkrachtige oplossing veroorloven.
Applicatiestack
De sleutel is een oplossing die altijd aan staat, met voldoende granulariteit om te herstellen naar een punt in de tijd precies voordat de aanval plaatsvond, zonder tijdgaten. De beste tool is een oplossing die gebruikmaakt van continuous data protection en waardevolle gegevens in realtime beschermt. Met slechts enkele muisklikken worden alle gegevens binnen enkele seconden hersteld. Daarnaast moeten bedrijven op zoek gaan naar een leverancier die precies bijhoudt wat essentieel is en wat niet: of het nu gaat om een paar bestanden, virtuele machines of een volledige applicatiestack.
Om te herstellen naar het exacte punt van vóór een aanval, moeten bedrijven precies kunnen bepalen wanneer de aanval plaatsvond. Met de juiste disaster response (dr)-plannen en de juiste tools kunnen organisaties aan de hand van netwerk-, journaal- en iops (input/output operations per second)-statistieken het precieze moment bepalen waarop de ransomware actief werd en data van enkele seconden daarvoor herstellen. Bedrijven moeten er ook voor zorgen dat de oplossing hen in staat stelt snel een fail-over-test uit te voeren om te zien of ze het juiste tijdstip hebben. Als dat niet het geval is, kunnen ze gemakkelijk een fail-over uitvoeren naar een ander punt – en dat alles met minimale inspanning en hersteltijd.
Een verhaal van twee ransomware-aanvallen
Neem bijvoorbeeld Ten Cate, een multinationale textielonderneming met hoofdkantoor in Almelo, die tweemaal te maken kreeg met ransomware-aanvallen: de eerste keer vóór de implementatie van geavanceerde dr en backup en de tweede keer na de implementatie. De ervaring met het herstellen van ransomware in deze twee ervaringen laat de kracht zien van het gebruik van de nieuwste dr-oplossingen.
Bij de eerste aanval werd één van de productiefaciliteiten van Ten Cate getroffen door CryptoLocker en werden alle bestandsservers geïnfecteerd. Ten Cate maakte gebruik van klassiek schijfherstel, waarbij twaalf uur aan gegevens verloren gingen en waarbij het herstelproces ruim twee weken heeft geduurd. Na de implementatie van de geavanceerde dr-oplossing werden directories op een bestandsserver getroffen door een meer geavanceerde vorm van CryptoLocker. Dit keer ondervond Ten Cate slechts tien seconden gegevensverlies en konden ze zich in minder dan tien minuten herstellen.
Nu het aantal ransomware-aanvallen blijft toenemen en de pandemie de druk op veel organisaties opvoert, is het belangrijker dan ooit om de virtuele weerbaarheid te waarborgen. Hoewel organisaties de dreiging van een ransomware-aanval misschien niet kunnen stoppen, zal hun vermogen om succesvol bestanden en systemen te herstellen hen weerbaarder maken. Door de potentiële impact op de operatie bij voorbaat al te minimaliseren kunnen ze zorgeloos en toekomstgericht opereren.
Een prima verhaal over continuous data protection om de RPO van waardevolle gegevens zo laag mogelijk te houden alleen is niet alle data even waardevol. De eerste pijler van het Cybersecurity Framework van NIST begint met asset management wat betekent dat je de data assets classificeert, in dezelfde pijler zit ook goverance dus om de woorden van Reinoud Kaasschieter te gebruiken: Leve informatiemanagement!
Wettelijke verplichtingen over het bewaren en archiveren van documenten en dossiers betekent dat je moet kijken naar de bouwsteen in de tweede pijler van het Cybersecurity Framework van NIST welke om de processen en procedures gaat. Advies dat bedrijven op zoek moeten gaan naar een leverancier die precies bijhoudt wat essentieel is en wat niet betekent dat je de informatie governance uitbesteed, je laat daarmee de zorg voor de ‘kroonjuwelen’ aan een ander.
Natuulijk kun je een data asset analyse doen op basis van de metadata om zodoende inzichtelijkheid te krijgen over welke data gearchiveerd of weggegooid kan worden want archiveren op een bestandsserver is niet zo handig omdat er naast ransomware nog andere factoren zijn die de integriteit van de data bedreigen. Oja, de AVG geldt ook de back-up en het archief en het Cybersecurity Framework van NIST houdt geen rekening met Europese wetgeving.
Inderdaad een prima verhaal met op het eind een praktisch voorbeeld.
“Slechts tien seconden gegevensverlies en konden ze zich in minder dan tien minuten herstellen”
Als alles draait op basis van een IaaS-achtige, dan is daar het voordeel van de twijfel.
Maar in een organisatie met alleen SaaS-apps lijkt me dit nauwelijks realistisch.
Aan de andere kant… ik laat me graag bijpraten… wie pakt hem op?