Een groot misverstand is dat cybersecurity enkel een probleem is dat it aangaat. Elke inbraak, of deze nu veroorzaakt wordt door ransomware of een ander type aanval, is een continuïteitsprobleem.
Er bestaan twee soorten bedrijven: zij die al eens gehackt zijn en zij die niet weten dat ze gehackt zijn. Gezien de onvermijdelijkheid van ransomware moeten organisaties hun verdediging ontwerpen met een focus op gegevensherstel. Terwijl it hier een fundamenteel onderdeel van is, omvat een continuïteitsplan ook aspecten als het herstellen van data en applicaties. Het opnemen van deze kritieke factoren bepaalt grotendeels of een dergelijke strategie succesvol is of niet.
Creëer een continuïteitsstrategie
In plaats van technologie te zien als het eindspel (waarbij het draai om het succes of de mislukking van cybersecurity) moeten we het bekijken in de bredere context van een continuïteitsstrategie. Er moet veel gebeuren voor en na het punt waarop we antivirussoftware en firewalls gebruiken om aanvallen te identificeren en af te slaan, of backup- en herstel-oplossingen gebruiken om data te herstellen. De eerste stap is een duidelijk beleid ontwikkelen over hoe organisaties moeten reageren op een cyberaanval. Dit omvat het testen van de besluitvorming van bedrijfsleiders om er zeker van te zijn dat zij voorbereid zijn om de organisatie door een aanval te leiden. Het beschrijven van worst-casescenario’s en het creëren van een best practices-script komt hierbij goed van pas.
Hoewel het ‘Veeam Data Protection Trends Report 2022‘ laat zien dat drie van de vier organisaties recent een ransomware-aanval hebben meegemaakt, lijken cyberinbraken vaak als een verrassing te komen. Een aanval is geen alledaags scenario voor de individuele organisatie, maar cyberinbraken gebeuren overal ter wereld, aan de lopende band, elke dag. Dus voordat dit jou overkomt, moet je een strategie hebben met duidelijke regels, rollen en verantwoordelijkheden.
De eerste regel: betaal nooit losgeld. Dit zou niet eens als een optie gezien moeten worden. Breng in plaats daarvan de stappen in kaart die genomen moeten worden om gegevens te herstellen. Welke applicaties moeten het eerst terug online? Welke data moeten als eerst hersteld worden? Welke informatie is er nodig om alle stakeholders te informeren, inclusief medewerkers, klanten, partners, shareholders en media? Wie zijn de belangrijkste personen die geïnformeerd moeten worden over de inbraak? Is er een officieel document dat de stappen voor herstel beschrijft? Continuïteit is een zakelijke uitdaging, niet enkel een technologische.
Gebruik technologie om de organisatie te beschermen
Technologie is geen aparte silo en moet dus ook niet gezien worden als de enige bescherming tegen ransomware. Het is wel belangrijk dat er een goede technologische strategie wordt geïmplementeerd. Dit begint met de medewerkers en biedt iedereen best practice-richtlijnen om potentiële aanvallen te identificeren en digitale hygiëne toe te passen. Het testen van medewerkers in hun reactie op phishing-links en -e-mails is een goede manier om de boodschap over te brengen dat cybercriminelen niet altijd technologische hoogstandjes nodig hebben om binnen te komen. In deze fase gaat het erom dat de eerste verdedigingslinie – de medewerkers dus – zo solide mogelijk is.
Als al het andere faalt, vereist moderne ransomwarebescherming een geïntegreerde beveiligingsarchitectuur, van endpoints tot het netwerk en de cloud, om aanvallen te detecteren, te controleren en te verhelpen. Simpelweg zeggen ‘herstellen vanaf backups’ leidt echter vaak tot aannames over backup- en herstelmogelijkheden die onjuist blijken te zijn. Dit kan uiteindelijk leiden tot gegevensverlies. Om een worst-casescenario te voorkomen, is het essentieel om een plan te hebben met geverifieerde, geteste en veilige backups die snel zijn te herstellen. De backup-infrastructuur maakt deel uit van het algehele beveiligingsplan en kan de laatste optie zijn om gegevens te herstellen. Organisaties moeten daarom aan de 3-2-1-1-0-regel voldoen, die aanbeveelt dat er ten minste drie kopieën van belangrijke gegevens moeten zijn, op ten minste twee verschillende soorten media, met ten minste één off-site-kopie en één offline, air-gapped of onveranderlijke kopie, zonder onvolledige backups of fouten. Dat moet resulteren in nul fouten bij het herstel.
Robuust
Investeren in een robuuste back-up- en herstelstrategie is een essentieel onderdeel van een moderne dataprotectie-strategie. Organisaties moeten ervoor zorgen dat ze over de technologische capaciteiten beschikken om ransomware-aanvallen te identificeren, te beperken en te verhelpen. Dit houdt niet op bij technologie. Continuïteit is de verantwoordelijkheid van het hele bedrijf, met name het leiderschapsteam.
Omdat cyberaanvallen een aanzienlijke dreiging vormen voor de continuïteit, moeten organisaties zich hier zorgvuldig op voorbereiden: van het hebben van een gedetailleerd actieplan met duidelijke rollen en verantwoordelijkheden, tot het implementeren van de tools die nodig zijn om te voorkomen dat ransomware-aanvallen de organisatie schade toe brengen en processen om te herstellen mocht het onvermijdelijke gebeuren.
“Gezien onvermijdelijkheid van ransomware moeten organisaties hun verdediging ontwerpen met een focus op gegevensherstel.”
Ik begrijp het uitgangspunt van auteur maar wat als ik deze wijzig?
Laat ik beginnen met de klok die nooit gestolen wordt omdat iedereen er op kijkt. Als je het document niet kunt openen waar je mee bezig was dan gaan alle alarmbellen rinkelen. Vervelend maar er is een grote kans dat je tot een herstel komt doordat er een kopie is omdat je niet de enige was die aan het document werkte. En wat betreft een besluitvorming weten we meestal nog wat er gisteren speelde maar zijn we ook zeker over wat er een week, een maand of een jaar geleden speelde?
Wat betreft het fenomeen ‘referentiedata’ wordt een groot deel van de data eenmaal aangemaakt en niet meer gewijzigd alleen nog gelezen. En de kortste klap om dit soort data te beschermen is volgens mij naar een Write-Once-Read-Many media schrijven waarbij je met een vork kunt schrijven als je data en metadata van elkaar scheidt. Want voor de onweerlegbaarheid kun je bij schrijven een CRC berekenen.
Welkom in de wondere wereld van I/O waar je bij schrijven al iets kunt zeggen over het bewaren. Ik ben het eens met eerste zin alleen is het jammer dat het daarna toch weer om het feestje van de data gaat terwijl informatie de sleutel is.