Backupsystemen beschermen data tegen ransomware, diefstal en sabotage. Maar onthouden dat het gebruik van backups alleen niet zaligmakend is. Ofwel, backupsystemen hebben, betekent niet dat data volledig beschermd zijn.
Te midden van het toenemend aantal (snelle) aanvallen, kunnen de gevolgen van ondermaatse backups desastreus zijn. Zo bericht IBM in zijn rapport ‘Cost of a Data Breach’ dat wereldwijd de gemiddelde kosten van een datalek stegen met dertien procent op jaarbasis tot een recordbedrag van 4,3 miljoen dollar verlies. Organisaties in de VS werden het meest getroffen (gemiddeld verlies per breach: 9,4 miljoen dollar), en de gemiddelde duur van het identificeren en onder controle krijgen van een datalek duurde meer dan 275 dagen – gelijk aan een downtime van negen maanden.
Aanvallers opereren geavanceerd en maken daarbij gebruik van lastig te traceren ttp’s die kwetsbaarheden in backupsystemen misbruiken. Remote-access-backups zijn vaak afhankelijk van wachtwoordbeveiliging, en vanwege een slecht wachtwoordbeleid (of het ontbreken van tweefactorauthenticatie) zijn backupsystemen een gemakkelijk doelwit.
Data van organisaties zijn kwetsbaar wanneer er geen backups plaatsvinden op ten minste drie verschillende locaties. Deze 3-2-1-regel combineert cloud-, on-premises- en offline-kopieën om ervoor te zorgen dat data zijn te bewaren (zelfs als een online-backup wordt verstoord). Van alle vormen van backupsystemen zijn cloudbackups het kwetsbaarst. Organisaties zouden op hun beurt een on-premises backup moeten gebruiken die snel herstel op schaal kan stimuleren, vooral in gevallen waarin er een grote hoeveelheid kritieke data moet worden hersteld.
Houd er altijd rekening mee dat de herstelsnelheid van tevoren getest moet worden. Dit biedt een nauwkeurige barometer van hoelang het zal duren om gevoelige bestanden te herstellen na een inbreuk. Ter illustratie: het kostte de stad Atlanta zeven volle dagen om na een ransomware-aanval weer up and running te zijn. Bij een soortgelijke aanval op de gemeentelijke afdeling van Baltimore duurde het herstel zelfs langer dan zes weken. Totale kosten als gevolg van operationele downtime? Een slordige twintig miljoen dollar.
Reguliere post
Of het nu gaat om fysieke backupbestanden die (via de reguliere post) worden verzonden of online-backups die naar de cloud migreren: data die een organisatie verlaten, moeten te allen tijde worden versleuteld. Zonder decoderingssleutel hebben kwaadwillenden dan nog steeds niets aan de door hen ontvreemde data. Daarnaast moeten organisaties prioriteiten toekennen aan de drie basiscomponenten van effectief databeheer:
- Databescherming
Bescherm zowel primaire als secundaire gegevensback-ups actief tegen verlies, diefstal en corruptie met de mogelijkheid om gegevens snel te herstellen na een incident.
- Dataopslag
Creëer een goed gedefinieerde security-architectuur die de veilige opslag van databack-ups bevordert (zowel on-premises als in de cloud).
- Compliance
Zorg ervoor dat alle back-upsystemen en netwerkgebruikers continu een toegangsbeleid volgen dat in overeenstemming is met de geldende nalevingsvoorschriften.
Datacrash
Resumerend: backupsystemen zijn in eerste instantie nooit ontworpen om de strijd tegen onder meer ransomware aan te gaan – meer in het geval van een datacrash of bij het per ongeluk verwijderen van data. Maar nu cyberdreigingen onder meer gevoelige data in het vizier hebben, zijn niet een, niet twee maar minimaal drie back-uplocaties bittere noodzaak geworden. Geen abc’tje, maar een 1-2-3’tje.
(Auteur Johannes Ullrich is faculty fellow bij SANS Institute)
Goed advies. Als grote bedrijven of instellingen veel gegevens centraal willen of moeten opslaan, dan verzamelen ze ook onbedoeld data voor kwaadwillenden. Voor cybercriminelen zijn die data de pot vol met bitcoins. Verstoring van je dataprocessen wil voorkomen, dus moet je het hacken tegengaan door meerdere lagen van beveiliging. Maar een hack en ransomware aanval is nooit geheel te voorkomen vanwege slordige medewerkers, zero-day exploits en soms foute medewerkers. Dus kunnen bedrijven of instellingen hun data maar beter versleutelen. Immers “Zonder decoderingssleutel hebben kwaadwillenden dan nog steeds niets aan de door hen ontvreemde data”. Waarom bedrijven dat vaak nog steeds niet doen, is een raadsel, mede omdat niet alleen zij het slachtoffer kunnen worden, maar ook vele derden. Het versleutelen kost een beetje meer rekenkracht en encryptie software. Die software heb je sowieso nodig als je wel eens offline moet werken met USB sticks, laptops of tablets. Bovendien willen dieven ook wel eens PC’s en Mini Workstations meenemen; dus je moet alles kunnen versleutelen, tot en met slimme printers. Overigens, een onversleutelde back-up op een beveiligde plek bewaren, kan soms ook wel zo handig zijn voor specifieke doeleinden.
Let op, zorg ook voor het updaten van de encryptie software, want die software kan soms gekraakt worden. Ben benieuwd wat de invloed van NIS2 op dit gebied zal zijn.
Vanzelfsprekend moet je er ook voor zorgen dat je zelf wel van je data gebruik kan maken, niet alleen vanwege een mogelijke hack, maar ook vanwege een eventuele ramp. Dat kan door een goede back-up strategie voor de data en zeker ook van eigen systemen. Data terugzetten op schone schijven, kan heel snel gaan. Het opbouwen van een eigen data verwerkende omgeving kan dagen tot weken duren, zoals Johannes Ullrich aangeeft.
@Jaap van Belkum: het versleutelen van gegevens kan een belangrijke bijdrage leveren aan het vertrouwelijk houden van die gegevens, maar stelt ook eisen aan het beheer van bijbehorende sleutels, software en andere betrokken middelen (incl. deskundige mensen).
In feite ruil je met versleuteling een vertrouwelijkheidsrisico in voor een beschikbaarheidsrisico, en lang niet elke organisatie durft die transitie aan. Ook kant-en-klare oplossingen als Bitlocker vragen behoorlijk wat kennis om de bijbehorende risico’s goed te kunnen beheersen.
Bij ransomware is openbaarmaking (of verkoop aan derden) maar één van de risico’s. Dat je zelf geen toegang meer hebt tot gegevens en applicaties is vaak het eerste en grootste probleem. Openbaarmaking/verkoop speelt vaak pas nadat het slachtoffer heeft geweigerd om te betalen. Een betalend slachtoffer wil de crimineel niet straffen, tenslotte, want anders betalen zijn toekomstige slachtoffers niet meer.
Van versleutelde gegevens kan je prima een backup maken, maar elke inhoudelijke handeling vraagt het ontsleutelen van minstens een gedeelte. Een aanvaller die toegang heeft tot een bedrijfsnetwerk kan gewoon wachten tot een medewerker het ontsleutelen verzorgt. Versleuteling is nuttig voor het beveiligen van gegevens in rust, en helpt bij gegevenstransport, maar het is geen oplossing voor alles.
@Hans, geen toegang meer hebben tot gegevens en applicaties is doorgaans het eerste probleem na een hack, maar niet noodzakelijk het grootste probleem. Als men de ransomware criminelen betaalt en hun sleutel werkt, dan is het oponthoud niet meteen opgelost. Eventuele virtuele servers kunnen zijn verwijderd. Als de administratieve organisatie niet in orde was, dan ben je al gauw weken bezig om de infrastructuur op te bouwen.En in pakweg een derde van de gevallen zijn de teruggekregen data niet compleet. Bedrijven die snel kunnen omvallen, zoals bijvoorbeeld banken, hebben niet voor niets meer specialistische 24×7 oplossingen voor het vastleggen van transacties in gebruik.
Ook veel kleine bedrijven hebben zware beveiliging nodig, zoals advocatenkantoren. Beveiliging van de ledenadministratie van je zwemclubje is toch wat anders dan de beveiliging van een gevoelige cliëntendossiers.
Niet versleutelen van data of gehele schijven zorgt bij een hack voor double extortion. Er wordt een hogere afkoopsom geëist om grotere reputatieschade, soms boetes en mogelijk schadevergoedingen aan derden te voorkomen. Natuurlijk stelt het versleutelen “ook eisen aan het beheer van bijbehorende sleutels, software en andere betrokken middelen (incl. deskundige mensen)”. Maar als ICT’ers voldoende expertise hebben om het beheer van de ICT-infra te doen, dan kunnen de tech skills voor versleutelen er wel bij. De vraag is of de ICT’ers goed kunnen afstemmen met de gebruikers en dat is een kwestie van soft skills.
M.b.t. het kant-en-klare en gratis Bitlocker bij Windows Pro en Enterprise. De ervaring leert dat gratis niet in alle gevallen het goedkoopst is. Bitlocker is leuk voor de doe-het-zelver met een simpele kleine omgeving of voor een goede MS specialist die een complexe grote omgeving met een BitLocker-beheerbeleid kan beheren. Maar er zijn veel gebruiksvriendelijke alternatieven voor een klein prijsje.