Ransomware is een frontale aanval op de bedrijfscontinuïteit. Het doel is immers om jouw organisatie compleet stil te leggen zodat er losgeld geëist kan worden voor het weer vrijgeven van de gegijzelde systemen! Nu ransomware-aanvallen steeds ‘gewoner’ worden, is er dus alle reden om deze dreigingen op te nemen in jouw risk-management. Met een gedegen draaiboek. In deze blog kijken we wat daarvoor nodig is.
Routine
Een crisis kan door van alles ontstaan. Een brand, een overstroming, grootschalige stroomuitval… Waarschijnlijk heeft jouw organisatie daar draaiboeken voor. Je weet dus wat er moet gebeuren als – oneerbiedig gezegd – de nood aan de man komt. Je weet welke noodvoorzieningen er zijn, wat de medewerkers moeten doen, wie de leiding heeft over het crisismanagement.
En het blijft niet bij draaiboeken. In de meeste organisaties wordt er ook geregeld geoefend. Als het brandalarm afgaat, grijpen de medewerkers hun spullen en verlaten ze het pand via de dichtstbijzijnde uitgang. Dat is routine, en zo hoort het ook.
Raar
Heel anders ligt dat bij ransomware-aanvallen. Er zijn maar weinig organisaties die daar een draaiboek voor hebben ontwikkeld en dit regelmatig in de praktijk toetsen.
Raar is dat. Want de gevolgen kunnen minstens zo ernstig zijn als van de bovengenoemde gevaren. Veel organisaties hebben namelijk weken nodig om te herstellen van ransomware. Ondertussen ligt de productie stil en moet er dure expertise worden ingehuurd om de schade te herstellen. Om maar te zwijgen over losgeld voor de criminelen.
Misschien denken veel CEO’s dat ransomware hun nooit zal overkomen. Of ze willen de gevolgen niet onder ogen zien. Maar de praktijk is tegenwoordig dat haast elke organisatie er vroeg of laat mee te maken krijgt. En – gelukkig – dat zo’n aanval met adequaat risk-management goed kan worden tegengegaan.
Spanningen
Net als een brand moet je een ransomware-aanval in de kiem smoren. Dat doe je onder andere door bedreigde systemen te isoleren van de rest van het netwerk en van internet.
Dat klinkt gemakkelijker dan het is. Want hoe gaat het in de praktijk? Een of meer medewerkers merken dat er iets raars gaande is. Ze kunnen bijvoorbeeld niet meer bij bepaalde bestanden. Ze moeten dan weten dat ze dit snel moeten melden, en bij wie.
Die instantie moet vervolgens in staat zijn om de situatie goed in te schatten. Ook als die situatie snel verandert. En ze moet de bevoegdheid hebben om bedreigde systemen af te sluiten van het net. Zelfs als dat betekent dat hele afdelingen worden stilgelegd. Nog voordat de aanval daar merkbaar is.
Je kunt je voorstellen dat dit behoorlijke spanningen oproept. Een brand is snel waar te nemen, maar ransomware merk je pas op als het te laat is. Een afdelingsmanager die bezig is om targets te halen, zal allicht gaan protesteren: weten jullie wel zeker dat het ransomware is? Is het geen fout van IT? Ondertussen blijft de ransomware zich verspreiden.
Oefenen
Dat soort situaties voorkom je met protocollen en draaiboeken. Goede communicatie moet misverstanden voorkomen. En er mag geen twijfel bestaan over wie op dat moment welke bevoegdheden heeft.
Dat lukt echter alleen als erop geoefend is. Allereerst op managementniveau! Crisissimulaties kunnen buitengewoon leerzaam zijn: mensen moeten plotseling gaan samenwerken vanuit andere verhoudingen. Sommigen vertonen onverwachte daadkracht. Anderen gaan twijfelen over de bevoegdheden die ze opeens in de schoot geworpen krijgen. Die twijfel mag er niet meer zijn als het menens wordt.
Ook op de werkvloer moeten mensen getraind worden om adequaat te reageren in de strijd tegen ransomware. Bijvoorbeeld door verdachte mailtjes en websites tijdig te herkennen en te melden. Net als de crisissimulaties zal die training maatwerk vragen, aangepast aan het opleidingsniveau en de inhoud van het werk.
Detectie en response
Veel hangt af van het incident- en crisismanagement. Dat zijn de mensen die het gevaar moeten herkennen, afremmen, isoleren en stoppen. Met de juiste tools – bijvoorbeeld voor monitoring van het netwerk – kunnen ze dat veel sneller.
Hun belangrijkste wapen is afsluiting van jouw bedrijfsnetwerk. Liefst alleen bedreigde delen. Dat laatste is mogelijk wanneer het netwerk is opgedeeld in logische segmenten. Bewakingscamera’s hebben bijvoorbeeld hun eigen segment, evenals de financiële afdeling.
Hulptroepen
Voor doorsnee-IT’ers is dit geen gewone situatie. Ransomware verandert ook gestaag, evenals de tactieken van de criminelen. Al snel komt dus het moment waarop er hulptroepen moeten worden ingeschakeld.
Die komen van een Computer Emergency Response Team. Zo’n CERT is 24/7 bereikbaar, al zal het – afhankelijk van jouw contract – enkele uren duren voor het daadwerkelijk kan gaan helpen. Ondertussen moeten jouw mensen de aanval dus zo veel mogelijk vertragen.
Preventie
Je ziet het: een ransomware-aanval afslaan is niet simpel. Bovendien kunnen de gevolgen zeer ernstig zijn. De logische conclusie is dat je de kans op een aanval moet verkleinen. Goed risk-management omvat daarom ook preventie.
Die begint bij de laptops en mobiele devices van jouw medewerkers. Software voor Endpoint Detection and Response (EDR) moet malware zo vroegtijdig mogelijk stoppen.
Verder goed autorisatiemanagement. Dit betekent dat mensen èn machines niet meer rechten hebben op het netwerk dan nodig is voor hun takenpakket. Een verkoopmedewerker hoeft niet bij de financiële systemen te kunnen komen. En een printer mag geen koppeling hebben met een fileserver. Zo beperk je de schade wanneer er bijvoorbeeld een wachtwoord is gestolen.
Een ander krachtig middel is multifactor-authenticatie (MFA). Gebruikersnaam en wachtwoord kunnen gemakkelijk uitlekken. Daarom moet je iets extra’s verplicht stellen om in te loggen: bij voorkeur een authenticator-app op de smartphones van jouw medewerkers. Dan moet elke inlogger dus iets weten én iets hebben, namelijk die smartphone.
Let op: elk systeem is zo veilig als de implementatie. Er zijn MFA-producten die mensen onder sommige omstandigheden laten inloggen zonder de extra factor. Dat biedt in de praktijk weinig zekerheid en dus veel risico.
Back-up
De laatste hoop is altijd de back-up. Het is dus zaak dat je zorgt dat die hoop niet vergeefs is! Want het komt regelmatig voor dat criminelen niet alleen de werkbestanden, maar ook de back-up hadden versleuteld. Of zelfs gewist.
Moderne back-upsystemen maken dat gelukkig onmogelijk, net als het schuifje op de oude diskettes. Zelfs het handmatig weggooien van een oude back-up wordt beveiligd: het moet door meerdere partijen worden goedgekeurd en dan zit er vervolgens een wachttijd van 24 uur tussen.
Maar een goed product moet aan méér eisen voldoen. Berucht is de ransomware-aanval op Maersk: de backup was intact, maar zo onoverzichtelijk dat het weken duurde voor de rederij met hulp van externe experts alles weer op orde had. Met een modern product kan dat in uren of minuten.
Conclusie
Het zal duidelijk zijn dat er veel komt kijken bij de verdediging tegen ransomware. Het is een uitdaging voor jouw IT’ers, afdelingsmanagers en andere medewerkers. En ook voor jezelf.
Maar zonder een goed draaiboek wordt de leercurve bij een echte aanval wel heel steil.
