Met de benoeming van een minister van Digitale Zaken krijgt cybersecurity de aandacht die het hard nodig heeft. Het kabinet heeft het versterken van cybersecurity en het vergroten van de weerbaarheid opgenomen als topprioriteiten voor de komende jaren.
Het voornemen van organisaties en de overheid om meer te investeren in cybersecurity is een grote stap in de goede richting. Het is nu aan de wetgevers om concrete wet- en regelgeving te creëren die de belangrijkste uitdagingen aanpakt. Denk aan het identificeren en beperken van grote cyberaanvallen, waaronder ransomware, gegevensdiefstal en het melden van een inbraak of datalek. Hoewel er nog concrete regels moeten worden opgesteld, benadrukken recente aanvallen hoe belangrijk het is om informatie over cyberaanvallen te delen. Bijvoorbeeld gegevens over de kwetsbaarheden van entiteiten waartoe aanvallers toegang hadden en hoe de dreiging werd beperkt en bestreden.
Concrete wetgeving zal ook helpen om bruikbare informatie over dreigingen breed te verstrekken om nieuwe ransomware en andere dreigingen af te wenden. Daarnaast kan het de noodzaak voor tools voor gegevensbeheer en -herstel benadrukken, zowel voor de beveiliging van informatie als voor het behoud ervan.
Meldplicht
Er valt veel te zeggen voor de invoering van een wet die het melden van cyberaanvallen en ransomware-betalingen verplicht stelt. Meldplicht helpt niet alleen bij het analyseren en bestrijden van cyberaanvallen, het zorgt er ook voor dat ransomware een topprioriteit voor de directie wordt. Het allerbelangrijkste is misschien nog wel dat een meldplicht de dialoog op gang brengt over hoe het best actie is te ondernemen. Zonder goede rapportage zijn we niet in een goede positie om betere manieren te bedenken om onszelf tegen ransomware te beschermen. Ook kunnen we zo niet anticiperen op wat komen gaat. Je kunt iets immers niet adequaat beschermen als je niet over de juiste informatie beschikt. Dit is waar een robuuste strategie voor gegevensbescherming om de hoek komt kijken.
Elke organisatie die met een cyberaanval wordt geconfronteerd, zou informatie moeten verstrekken over de getroffen informatiesystemen, netwerken of apparaten, over de kwetsbaarheden die zijn uitgebuit en de beveiligingsmaatregelen die zijn genomen. Dat is nog niet alles: ook de tactieken, technieken en procedures die bij het incident zijn gebruikt en de informatie waartoe onbevoegden toegang zouden hebben gehad, moeten worden gedeeld.
Dankzij deze maatregelen is er vroegtijdig kritische dreigingsinformatie te delen, waardoor andere organisaties hun softwaresystemen kunnen versterken en patchen om een succesvolle aanval te voorkomen. Een mooie bijkomstigheid is dat ze strategiediscussies op gang kunnen brengen over hoe de huidige schade als gevolg van de inbreuk is te beperken.
In een tijd waarin it-omgevingen – met organisaties die een mix van multi-cloud, hybride cloud en traditionele on-premises technologie nastreven – steeds complexer worden, nemen oplossingen voor gegevensbeheer en -bescherming alleen maar in importantie toe.
Kloof
Volgens het ‘Veeam Data Protection Trends Report 2022‘ rapporteert 84 procent van de organisaties in de Benelux een kloof tussen veroorloofd dataverlies bij een uitval versus backup-frequentie van die gegevens. Nog eens veertien procent van de respondenten in de Benelux geeft aan dat er helemaal geen back-up van hun gegevens wordt gemaakt. Nu ransomware-aanvallen steeds vaker voorkomen, is het zaak om data niet alleen te backuppen maar ook volledig te kunnen herstellen.
Hoewel een meldplicht it-leiders van waardevolle informatie kan voorzien over waar aanvallers toeslaan en wat hun doelwitten mogelijk zijn, moeten organisaties nog steeds voorzorgsmaatregelen treffen om ervoor te zorgen dat hun data beschermd zijn en hersteld kunnen worden in het geval van een inbraak. Voor wie het slachtoffer is geworden van een ransomware-aanval, kan het betalen van losgeld of het vertrouwen op bestaande back-ups onvoldoende zijn om de schade te beperken.
Volgens genoemde studie was – na een geslaagde aanval – gemiddeld gezien 29 procent van de verloren data van organisaties in de Benelux onherstelbaar. Driekwart was helemaal niet in staat om ten minste een deel van de verloren data te herstellen. Een best practice die een organisatie kan toepassen om deze uitdagingen het hoofd te bieden, is de 3-2-1-1-0-regel. Deze houdt het volgende in:
- Zorg ervoor dat er drie kopieën van belangrijke gegevens worden bewaard;
- Bewaar ze op tenminste twee verschillende soorten opslagmedia;
- Eén van deze kopieën bevindt zich op een externe locatie;
- Eén s air-gapped, offline of onveranderbaar;
- Er zijn nul fouten aanwezig na geautomatiseerde back-up-tests en verificatie van de herstelbaarheid.
De frontlinie en de verdediging wordt versterkt door het delen van waardevolle informatie over dreigingen en bruikbare inzichten over ransomware-actoren. Organisaties die de werkelijke impact van ransomware achterhouden, belemmeren gezamenlijke inspanningen op nationaal en regionaal niveau die bedrijven veilig houden. Deze samenwerkingen vormen de basis van het algehele succes van een land in de strijd tegen ransomware-aanvallen.
Transparant
Er zijn goede redenen om meldplicht van ransomware in te voeren, zodat organisaties transparant kunnen communiceren over hun inspanningen om de impact van aanvallen van cybercriminelen in Nederland (en daarbuiten) te verkleinen. Het wordt dus tijd dat overheden de urgentie hiervan inzien, en dat organisaties stappen nemen om hun data te beveiligen, zodat de schade van een geslaagde cyberaanval beperkt wordt.
(Dit artikel is tot stand gekomen in samenwerking met Rick Vanover, senior director product strategy bij Veeam.)
Is Ronald Ooms toevallig werkzaam bij VEEAM? Zo ja, dan is deze opinie in strijd met de regels omdat er wel heel nadrukkelijk naar eigen producten gewezen wordt. En dat is jammer want 3-2-1-1-0 is niet een erg bijzondere oplossing als we kijken wat andere back-up leveranciers doen, veel van hetzelfde terwijl vergeten wordt dat de back-up nog altijd een sluitpost is omdat er functioneel weinig mee te winnen valt. Kortom, het is vooral een feestje voor de afdeling IT welke niet alleen een tekort heeft aan budget maar ook aan mensen.
Aangaande het delen van waardevolle informatie over dreigingen en bruikbare inzichten over ransomware-actoren is het misschien een goed idee om er 180 graden anders naar te kijken, wat doet een organisatie pijn? Het gaat tenslotte om afpersing en misschien ben ik te cynisch maar als 90% van de datalekken voortkomt uit de vergeten kopie welke we een back-up noemen zoals we nu ook weer zien met de Uber-files dan is de olifant in de hoek data waarvan we eigenlijk niet de waarde weten.
Het lijkt me politiek dan naïef om via wetgeving transparantie proberen te bewerkstelligen in een dreiging van buitenaf terwijl de bestuurlijke boemerang om het hacktivisme van een openbaring via de back-up van binnenuit gaat doordat we lokkenluiders ondanks beloften nog altijd niet beschermen.