Ransomware is een van de grote cybersecuritybedreigingen. Bijna dagelijks zien we bedrijven en instellingen er slachtoffer van worden. Hun data en systemen zijn versleuteld en onbruikbaar. Omdat er niet één echte oplossing tegen ransomware is, moet je het als organisatie zoeken in het vergroten van de digitale weerbaarheid en het versterken van de cybersecurityhygiëne. Het is nooit te laat om daar mee te beginnen.
Ransomware is een vorm van malafide software, malware, dat op een of andere manier op het netwerk van een organisatie wordt geplant. Een besturingssysteem dat niet up-to-date is, het klikken op een link in een fout mailtje (phishing) of het gebruiken van gestolen wachtwoorden zijn enkele veel gebruikte aanvalsmethoden. Pas na betaling van losgeld, dat in de miljoenen kan lopen, worden de sleutels vrijgegeven. Veel organisaties kunnen er inmiddels over meepraten, maar alleen de meest aansprekende namen komen in het nieuws. Onlangs moesten RTL Nederland en industrieconcern VDL Groep eraan geloven.
Herhaling
Organisaties die wel betalen, krijgen te maken met de kosten van het losgeld. Organisaties die niet betalen, krijgen te maken met de financiële gevolgen van het niet ter beschikking hebben van data. Je moet immers de getroffen infrastructuur opnieuw opbouwen. Dit kost tijd, en uiteindelijk ook veel geld, want je zult specialistische hulp moeten inschakelen. In alle gevallen moet je onderzoek doen naar de oorsprong van de aanval en moet je herhaling zien te voorkomen.
RTL betaalde uiteindelijk naar eigen zeggen 8.500 euro. Dit is een klein bedrag, er zijn organisaties die een veelvoud hiervan kwijt zijn. VDL Groep heeft wereldwijd veel last gehad van de problemen, wat een grote impact moet hebben op de resultaten. VDL heeft niet bevestigd dat het om ransomware ging. Daarbovenop moeten organisaties die getroffen worden door ransomware dit melden bij de Autoriteit Persoonsgegevens (AP). Wanneer de AP constateert dat je je zaken niet op orde hebt, bestaat de kans dat er een maatregel wordt opgelegd. Je kunt met ransomware dus drie keer ‘gepakt’ worden: je moet losgeld betalen, je bent een zekere tijd niet operationeel en er hangt een boete voor het lekken van data boven het hoofd.
Succesvol bedrijfsmodel
Hoe dan ook is het bedrijfsmodel achter ransomware dus nog altijd succesvol en moeten we er rekening mee houden dat we er niet snel vanaf zijn. Sterker, de aanvallen worden steeds geavanceerder. Cybercriminelen lijken meer de tijd te nemen om bij grote ondernemingen door te dringen tot bedrijfskritische systemen. Daar komt bij dat de pakkans klein is, wat voor een deel te maken heeft met het anonieme karakter. Je betaalt doorgaans met cryptocurrency, waarbij de ontvanger onbekend blijft.
Tegelijkertijd moeten we constateren dat het securitybeleid, waar met name grote bedrijven toch fors in hebben geïnvesteerd, niet toereikend is. Je zult nu echt moeten doorpakken met security. Niet alleen om cyberaanvallers buiten de deur te houden, maar ook om vreemd gedrag op je netwerken tijdig te detecteren.
Balans
Zoals gezegd, is er niet één allesomvattende tool die een eind maakt aan ransomware. Je moet je dan ook niet blind staren op ransomware. Het gaat er meer om hoe je cybersecurity, met bewustzijn en urgentie, integreert in het beleid van je organisatie. Dan gaat het niet alleen om technologie; het gaat net zozeer om je processen en mensen. Deze drie-eenheid moet in balans zijn en die balans moet je bewaken. Idealiter maak je iemand in je organisatie daarvoor verantwoordelijk of huur je een expert in. Deze functionaris kijkt eerst naar de primaire bedrijfsvoering en brengt mens, proces en techniek in kaart om zo een beeld te krijgen van de belangrijkste digitale risico’s. Vervolgens bepaalt de samenhang van deze drie factoren waar de prioriteiten liggen in de weg naar meer security-volwassenheid.
Toenemend bewustzijn
Hou bij dit assessment rekening met het feit dat de IT-infrastructuur complexer is geworden. De infrastructuur is steeds meer cloud, evenals vele bedrijfsapplicaties. Medewerkers werken veel thuis, weg van de veilig gewaande kantooromgeving. Dit vraagt bijvoorbeeld veel van de netwerkomgeving en vereist een herwaardering van de securitymaatregelen die je hierbij neemt. Hou hierbij rekening met het feit dat haast alle objecten in de organisatie met internet verbonden zijn, zelfs de koffieautomaat. Dit maakt de IT-omgeving erg kwetsbaar en daar moet je je tegen wapenen.
Het is ondoenlijk om deze complexe infrastructuur handmatig in kaart te brengen en te monitoren. Automatiseer dit soort taken en integreer security op deze manier in de bedrijfsprocessen. Security wordt zo meer vanzelfsprekend, zonder dat het de eindgebruiker in de weg zit. Het bewustzijn ten aanzien van security bij medewerkers groeit, en men zal eerder aan de bel trekken bij verdachte mailtjes. Zo creëer je als het ware vanzelf een balans tussen technologie, processen en mensen, en geef je een impuls aan je digitale weerbaarheid en sta je sterker met je security hygiëne. Of je ransomware buiten de deur houdt, is de vraag, maar het wordt in ieder geval een stuk lastiger om binnen te dringen.
(Auteur Jeroen Hentschke is propositie lead security & service intelligence bij Telindus.)