Ransomware is een ware plaag en kan vergaande gevolgen hebben voor slachtoffers. Als bestanden worden versleuteld, kan de bedrijfsvoering ernstig verstoord raken en voor individuen kan het verlies van persoonlijke data een grote emotionele impact hebben.
Volgens het de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is er sprake van een explosieve toename van ransomware-aanvallen. Ook bij IBM zien we ransomware meer en meer opduiken. Uit een recent onderzoek van IBM blijkt dat ransomware de koploper is van alle cyberaanvallen. Maar liefst 21 procent van alle aanvallen in 2021 bestond uit een ransomware-aanval.
Geen garanties na losgeld
Wat is ransomware nu precies? Het is een variant van malware (kwaadaardige software) die de primaire bedoeling heeft om een systeem of zijn bestanden ontoegankelijk te maken en vervolgens losgeld te eisen om het systeem of de bestanden te herstellen. Na het betalen van het losgeld ontvangt de organisatie of persoon de decoderingssleutels of een decoderingsprogramma om de systemen weer toegankelijk te maken. Maar er is geen garantie. Er zijn incidenten gerapporteerd, waar na het betalen niets werd afgeleverd voor de decodering of dat de codering defect was.
Daarnaast zien we vaak het concept van dubbele afpersing. In dit geval dreigen cybercriminelen om vertrouwelijke gegevens te verkopen of openbaar te maken als er niet nog een keer losgeld wordt betaald. Bovendien is het erg lastig om ransomware te voorkomen omdat de aanvallen vaak inside aanvallen betreffen. Dergelijk aanvallen hoeven niet per se te worden uitgevoerd door interne medewerkers, maar kunnen ook worden opgetuigd door cybercriminelen vanuit de it-omgeving van werknemers. Sinds we steeds meer thuiswerken zien we een toename in deze aanvalstactiek. Insiders kunnen hun aanvallen en pogingen over een langere periode verspreiden. Dit biedt hen volop tijd om een aanvalsstrategie te plannen en uit te voeren, hun sporen uit te wissen en de overdracht van gegevens te verhullen voor beveiligingsoplossingen.
Van detectie naar herstel
Het is belangrijk bij ransomware om naast de nodige maatregelen om een aanval te voorkomen, ook de juiste voorbereidingen te treffen voor een daadwerkelijke ransomware-aanval. Snel kunnen handelen kan het verschil maken tussen een kleine of ernstige inbreuk. Om snel te handelen is een strategie cruciaal. Breng in deze strategie alle rollen en verantwoordelijkheden in kaart en stel een lijst op met alle interne en externe stakeholders die bij een eventueel incident betrokken zijn, inclusief hun contactgegevens en een beschrijving van taken. Op deze manier kan meteen worden begonnen met het uitvoeren van het recovery-proces voor elke getroffen it-service. Maak ook (offline-)backups en vergeet niet om deze regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data-inbreuk verminderen en het herstelproces versnellen.
Bescherm, detecteer, handel en pas aan
Alleen met een dataherstelstrategie is het mogelijk om losgeld betalen te voorkomen. Hoewel er geen standaard template is voor een dergelijke strategie, zijn er altijd drie ingrediënten nodig om een organisatie voor te bereiden op ransomware. Het eerste ingrediënt is het afschermen van gebruikers. Op deze manier kan voorkomen worden dat onbevoegde gebruikers data en systemen (onbewust) in gevaar brengen. Organisaties kunnen dit bijvoorbeeld realiseren door een toegangscontrole te implementeren met dubbele authenticatie. Deze stap zou deel moeten uitmaken van een zero trust-aanpak. Zero trust heeft als doelstelling bedrijven te beschermen tegen de risico’s van ransomware, bedreigingen van binnenuit en andere verstoringen.
Het tweede ingrediënt is het beschermen van de data-kopieën, door het aanwenden van ‘safe-guarded copies’ (beveiligde kopieën). Wanneer er een kopie, snapshot of backup wordt gemaakt, dient er automatisch een onveranderlijke datakopie te worden gemaakt door een ‘airgap’ toe te passen, die de toegang tot kopieën verhindert voor malware of bedreigingen van binnenuit.
Het derde ingrediënt is de mogelijkheid om data voor alle workloads in minuten of uren te herstellen in plaats van dagen of weken. Het versnellen van de hersteltijd vereist de mogelijkheid om applicaties in een beveiligde omgeving te testen voordat de productie wordt hervat.
Daarnaast is het belangrijk om dreigingen, gecoördineerde aanvallen en datalekken vroegtijdig te detecteren en snel te reageren. Organisaties kunnen bijvoorbeeld geautomatiseerde ‘triggers’ implementeren om een beveiligde kopie te maken op basis van bepaalde bedreigingen. Denk hierbij aan inlogpogingen van onbekende ip-adressen, inlogpogingen buiten kantooruren en mislukte aanmeldingen.
Kortom, om u voor te bereiden op ransomware en bedreigingen van binnenuit is het verstandig om altijd de volgende factoren in uw achterhoofd te houden: beschermen, detecteren, handelen en aanpassen. Door uw cyberbestendigheid te vergroten, bent u beter voorbereidt en kunt u voorkomen dat organisaties gegijzeld worden in deze steeds groter wordende digitale wereld.
Een laatste advies: vergeet niet te testen. Voer regelmatig simulaties uit en test hoe goed het team reageert op dreigingen. Dit zal een groot verschil maken als u wordt getroffen door een cyberaanval.
Maar waarom is ransomware zo’n plaag?
Mijn eerste indruk is dat het relatief eenvoudig is – zoals met ILOVEYOU.TXT – doordat er nog altijd weinig aandacht is voor het fenomeen data, het eerste probleem blijkt vaak al het antwoord op de vraag hoe groot deze olifant in de hoek is. Beschermen, detecteren, handelen en aanpassen klinkt leuk maar het wat leert dat gemiddeld 40% van de data die een organisatie heeft geen waarde heeft en eigenlijk al eerder verwijderd had moeten worden. Maar ja, zolang het idee leeft dat opslag niks kost gooit de business niks weg en hebben we een probleem met het achterstallig onderhoud in het informatiebeleid.
Oja, de verantwoordelijkheid voor de back-up ligt bij de afdeling IT maar die schuift alleen maar met data waarvan niet alleen de waarde onbekend is maar ook vaak de eigenaar en daarmee blijft onduidelijk wie de informatie verantwoordelijke is. De opslag zelf kost (bijna) niks maar hoe zit het eigenlijk met zoiets als de governance cost?
Back-up software is tenslotte niet gratis, veel leveranciers hebben ontdekt dat een licentiemodel op basis van capaciteit lucratief is. Hoe dikker de olifant wordt hoe beter het is terwijl veel ‘data in ruste’ om een soort van archief gaat. Safe-guarded copies klinkt leuk maar Write Once, Read Many kun je relatief eenvoudig implementeren op dit soort data waardoor je niet alleen minder verplaatsingen hebt maar ook minder kosten. En misschien moet we daarom ophouden om over een back-up te spreken maar het beestje bij z’n naam noemen: datamanagement
En – het is een tip – misschien moeten we Information Lifecycle Management (ILM) weer aansluiten op het datamanagement zodat beschermen, detecteren, handelen en aanpassen vanuit van het informatiemanagement gaat? Als ik hoor dat er jaren werk verloren zijn gegaan dan vermoed ik dat ‘data in ruste’ ontoegankelijk is gemaakt en dat lijkt me een pijnlijk verlies als daardoor de bewijslast verloren is gegaan. Hoewel sommige bestuurders daar geen moeite mee hebben, ze zien sommige data graag verdwijnen zodat ze achteraf geen rekenschap meer hoeven te geven over hun handelen.