Om organisaties in staat te stellen zich tegen ransomware-aanvallen te wapenen, zijn door het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en het Computer Emergency Response Team voor Europese instanties (Cert-EU) in februari een aantal minimale best practices vastgesteld.
Door genoemde organisaties is geconcludeerd dat de dreiging van ransomware flink is toegenomen. Dat dit niet alleen het geval is voor grote organisaties blijkt ook uit een recent rapport van BlackBerry. Dit rapport wijst namelijk uit dat het mkb/kmo in toenemende mate doelwit is van ransomware-aanvallen. Daarnaast blijkt uit dit rapport dat cybercriminelen bij deze aanvallen meer samenwerken en vaker sprake lijkt te zijn van de uitbesteding van aanvallen. Wat houden de door Enisa en Cert-EU vastgestelde veertien minimale best practices in?
Best practices
- Gebruik multi-factorauthenticatie (mfa) voor alle applicaties die op afstand toegankelijk zijn en gebruik hierbij smart cards en fido2-beveiligingssleutels (en niet met sms-codes of automatische telefoontjes);
- Sta medewerkers niet toe om voor meerdere accounts hetzelfde wachtwoord te gebruiken, gebruik mfa waar mogelijk, stimuleer het gebruik van wachtwoordmanagers en houd in de gaten waar eventueel welke inloggegevens zijn gelekt;
- Houd software up-to-date en implementeer patches zo snel als mogelijk;
- Beperk zoveel als mogelijk de toegang tot systemen en netwerken door derde partijen en pas hierop strakke controles toe;
- Versterk de cloud-omgevingen en pas waar mogelijk scheidingen op die omgevingen toe;
- Review de backup-strategie en voldoe minimaal aan de 3-2-1-voorwaarde: minimaal drie complete backups, waarvan twee lokaal opgeslagen op verschillende media en één op een andere locatie; maak bovendien meer dan drie backups van kritische data; breng bovendien de recovery time objective (rto*) ] en recovery point objective (rpo*) van systemen in kaart, zorg dat de backup-strategie hier bij aansluit en test herstelprocedures periodiek; en zorg dat medewerkers data op de juiste omgevingen (en dus niet lokaal) opslaan;
- Gebruik géén standaard-inloggegevens en schakel protocollen uit die geen mfa gebruiken of enkel zwakke autorisatiesmogelijkheden bieden;
- Segmenteer netwerken;
- Verzorg trainingen voor it-medewerkers zodat ze op de hoogte zijn van interne processen en beleid;
- Versterk de beveiliging van de e-mailomgeving door onder andere de toepassing van gateways en antispam filtering;
- Organiseer awareness-activiteiten zodat medewerkers zich meer bewust worden van ransomware, waaronder phishing, en weten wat ze bij vermoedens hiervan moeten doen;
- Beschermen web-omgevingen tegen ddos-aanvallen door gebruik te maken van een content delivery network of van beschikbaarheidsfuncties van cloudplatformen en automatiseer de mogelijke toepassing van noodherstel;
- Blokkeer of beperk de internettoegang voor kwetsbare servers of andere apparaten die (ondanks de beveiligingsrisico’s alsnog) binnen de organisatie worden gebruikt;
- Zorg ervoor dat de organisatie over procedures beschikt om, indien relevant, snel contact op te kunnen nemen met relevante organisaties op het gebied van cyberweerbaarheid, zoals voor Nederland het Nationaal Cyber Security Centrum (NCSC).
Op de hoogte blijven
Bovenstaande betrof een weergave van de minimale best practices die worden aanbevolen door Enisa en Cert-EU. De ontwikkelingen op cyber securitygebied gaan echter snel. Om op de hoogte te blijven van recente ontwikkelingen, verdient het daarom aanbeveling om regelmatig informatie over dreigingen e.d. te bekijken die bijvoorbeeld wordt verschaft vanuit organisaties als het NCSC en het recentelijk opgerichte Nederlands Security Meldpunt.
Rto en rpo
De rrecovery time objective (rto) is de hoeveelheid tijd die het mag kosten om een systeem bij een verstoring weer werkend te krijgen, waarbij wordt gekeken naar de verstoring van het bedrijfsproces en de impact van de verstoring op andere systemen, bronnen en ondersteunde bedrijfsprocessen.
De recovery point objective (rpo) is dan de hoeveelheid tijd die verloren mag zijn gegaan wanneer het systeem weer beschikbaar wordt (aan de hand van de meest recente backup).
Hallo Michelle,
Je 14 punten zijn de spreekwoordelijke open deur – of ramen – welke makkelijker geschreven zijn dan daadwerkelijk ingevoerd en uiteindelijk ook gehandhaaft. Wat je dan ook vaak ziet is dat het prachtig beschreven is maar in werkelijkheid niet gedaan wordt omdat er geen tijd of budget voor is. En ik kan punt voor punt de genoemde best practices doorlopen en voorbeelden vanuit de praktijk geven waar de gaten zitten, gaten die ik zelf gebruikt heb om ongeautoriseerd toegang te verkrijgen. Ik treed echter niet in detail maar uitgaande van de opdelingen in het beheer naar ‘eilanden’ betreffende de techniek en de processen blijft het wringen tussen beheerbaar en beheersbaar als we kijken naar zoiets als de infrastructuur en de (informatie)architectuur.
Laatste is interessant als we het omkeren door uit te gaan van de toegang tot informatie, hoe denk je deze bijvoorbeeld te kunnen beschermen als deze zich op een informatiedrager bevindt waarvan het eigendom niet tot de organisatie behoord? Versleuteling zou het antwoord kunnen zijn maar er gaan stemmen op om een ontsleutelplicht in te stellen. Het juridische kader hier is dan ook nogal diffuus als we overwegen dat versleuteling tot de strategische goederen behoord welke niet zomaar geëxporteerd mogen worden. Ook juridisch lastig is zoiets als de cloud, een fenomeen waar je niet aan voorbij kunt gaan. Het gebruik van een netwerk zoals Internet is tegenwoordig een voorwaarde doordat we organisatorisch zoiets als het nieuwe werken hebben waarbij de vraag over het eigendom van de informatiedrager (Shadow IT?) dan ook meer dan boekhoudkundig is.
Oja, hoe zit het eigenlijk met het eigendom van de informatie als we kijken naar nieuwe privacywetgeving? Of in dit geval met het recht op een mening want daarop zullen vast intellectuele rechten van toepassing zijn. En ook leuk zijn de clausules in arbeidscontracten maar hoe hard zijn deze eigenlijk? De juridische kaders wringen nog weleens als we kijken naar de civielrechtelijke procedures als het om de geheimhouding gaat van een doofpot, de papieren tijgers van beschrijven wat je uiteindelijk niet doet is een circus van juridische dompteurs waar uiteindelijk niemand meer vertrouwen in stelt.
@Oudlid Het is een hele kunst de open deuren in te trappen en vind het daarom een mooi en overzichtelijk lijstje. Als je deze punten afwerkt kom je een heel eind. Al weet je dat niets sluitend is in computerland en een ongeluk in een klein hoekje zit.
Louis,
De opsomming lijkt me een ‘copy & paste’ van best practices waarbij ik punt 15 van de audit mis, veel technische maatregelen van hardening zijn eenvoudig te controleren met een paar scripts. En punt 16 is het leermoment want het advies om onveilige protocollen niet te gebruiken is leuk maar applicaties dicteren vaak wat anders en vandaar dat ik wees op het verschil tussen de theorie en praktijk. Het openzetten van deuren en ramen kan een afgewogen risico zijn hoewel het steeds vaker een andere beheerentiteit is die zonder de consequenties te kennen dat besluit neemt.
Let wel, dat is nog allemaal techniek want principle of least privilege binnen het informatiebeleid gaat niet om de platformbeveiliging. Organisatorisch wees ik op zoiets als een screening want door gelaagdheid staat de achterdeur via bijvoorbeeld een export vaak nog open. Het zijn niet alleen de hackers die zich niet aan de regels te houden, hetzelfde geldt voor gebruikers die de olifantenpaadjes kennen. Punt 9 is een leuke als we kijken naar de wijze waarop de IT-afdeling omzeilt wordt als het om agile gaat, de slager die zijn eigen vlees keurt met DevSecOps gaat om tenslotte om die andere beheerentiteit.