Het verhaal van de ezel en de steen – de lessen van een ransomware aanval

Door: Caroline Willemse

Waarom

Luister: André Hazes – Waarom – YouTube

Steeds vaker worden bedrijven aangevallen door cybercriminelen waarna zij pas weer bij hun gegevens kunnen komen nadat losgeld is betaald. Hoewel het betalen van losgeld wordt ontmoedigd, heeft een bedrijf vaak geen andere keus. Immers, de continuïteit van het bedrijf loopt ernstig gevaar als het niet meer kan beschikken over essentiële bedrijfs- en persoonsgegevens.

Je zou kunnen denken dat een bedrijf dat dit is overkomen, zijn lesje heeft geleerd. En dat andere bedrijven profiteren van het lesgeld dat dit bedrijf heeft betaald. Helaas, dat is niet zo. Vaak wordt op de oude voet doorgegaan. De steen blijft liggen en de ezel ploetert voort.

Wij denken dat het anders kan want een beetje ezel schopt die steen de eerste keer al in tweeën.

Wij zullen doorgaan

Luister: Ramses Shaffy – We zullen doorgaan (1975) – YouTube

Bedrijven die getroffen zijn door een ransomware aanval gaan vaak op dezelfde wijze door als voor de aanval. Dezelfde systemen, dezelfde inrichting, dezelfde mensen maar ook dezelfde fouten. Het is wachten op een volgende aanval met hetzelfde resultaat. Getroffen worden door een aanval is op zijn minst gezegd ‘balen’ en het kost veel geld om er weer bovenop te komen. Als dit lukt, is het zeer verstandig om zaken structureel te verbeteren.

Wat je zou (moeten) willen is dat het bedrijf na een geslaagde aanval zo snel mogelijk weer operationeel is en kan doorgaan zonder losgeld te betalen. Dat kan, maar dat moet wel georganiseerd worden. Gezien de bestaande (meestal complexe, daarover later meer) IT-structuur is dat wel een uitdaging. Het vraagt, naast een back-up van gegevens, om een blauwdruk van de architectuur en instellingen.

We zien namelijk dat bedrijven die wel een goede back-up hebben van hun gegevens, na een geslaagde aanval veel tijd en energie moeten investeren om hun systemen weer operationeel te krijgen. Zij verliezen veel tijd omdat servers aangekocht en vervolgens ingericht moeten worden.

Is dit alles?

Luister: Doe Maar – Is Dit Alles – YouTube

Middelgrote en kleine bedrijven besteden hun IT-beheer vaak uit. De IT-beheerder is meestal slechts een ‘veredelde’ werkplekbeheerder, terwijl het bedrijf denkt dat deze derde partij ‘alles’ doet. Heeft u als bedrijf een goed beeld wat dit ‘alles’ is? We zien vaak dat de verwachtingskloof tussen een bedrijf en de ingehuurde IT-beheerder pas zichtbaar wordt na een ransomware-aanval of een ander beveiligingsincident. Het bedrijf denkt dat de IT-beheerder alle nodige securitymaatregelen heeft getroffen terwijl  de IT-beheerder er alleen maar ervoor zorgt dat medewerkers van het bedrijf hun dagelijkse werk kunnen doen en zich niet bezighoudt met security en ook niet weet wat belangrijk is voor het bedrijf

Een bedrijf kan haar IT-beheer uitbesteden maar is zelf verantwoordelijk voor haar informatiebeveiliging. Hier moet beleid voor worden gemaakt en vervolgens moet worden vastgesteld dat het beleid wordt nagekomen. En hier zit een probleem voor het bedrijf. De kennis en ervaring ontbreekt (‘daarom hebben we het toch uitbesteed!’). Een oplossing is dat ook de security en compliance worden uitbesteed aan een deskundige partij, maar dan aan een andere partij dan de IT-beheerder. 

Hoe sterk is de eenzame fietser

Luister: Hoe sterk is de eenzame fietser Boudewijn de Groot 1973 – YouTube

We gaven net aan dat er een informatiebeveiligingsbeleid moet zijn. Dit beleid moet passend zijn bij de bedrijfsactiviteiten en de inherente risico’s. Als je als bedrijf goed bedenkt wat belangrijk is (zoals bedrijfsgeheimen, persoonsgegevens en wettelijke verplichtingen) dan kan dat benoemd worden in het beleid en kunnen ook de beveiligingseisen worden geformuleerd. Uitgesproken moet worden welke classificatie toegekend moet worden aan de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de gegevens en de uitkomst hiervan moet aansluiten op het niveau van beveiliging. Het beleid is een basisdocument om met de IT-beheerder in gesprek te gaan over wat de behoeften zijn en wat je van de IT-beheerder verwacht. Vervolgens kunnen met de IT-beheerder contractuele afspraken worden gemaakt over het nakomen van dit beleid. 

Bij het opstellen van het beleid en de contractuele afspraken kan een deskundige derde partij ondersteuning bieden. Deze derde partij kan vervolgens de rol van security en compliance invullen om te controleren of aan het beleid wordt voldaan.

Eenvoud

Luister: Het Goede Doel – Eenvoud – YouTube

Bedrijven hebben vaak een complexe IT-structuur. Er staat wat op eigen servers, er worden een paar SaaS-applicaties afgenomen en MS 365 wordt gebruikt. Hoe ingewikkelder het is, hoe duurder het beheer is en hoe groter de kans is dat zich ergens een kwetsbaarheid voordoet. En medewerkers worden gek van al die verschillende wachtwoorden.

Een bedrijf doet er goed aan om te werken naar eenvoud en ervoor te zorgen dat de architectuur en systeeminstellingen zodanig vastliggen dat ze op korte termijn repliceerbaar zijn.

Migratie naar de cloud ‘dwingt’ een bedrijf naar standaardisatie en dus eenvoud. Hoewel sommige bedrijven cloud nog steeds eng vinden, kan tegenwoordig gezegd worden dat het enger is om niet van de cloud gebruik te maken. De cloudproviders besteden’ by design’ miljarden aan beveiliging en compliance. Een groot voordeel is ook dat de beveiliging en compliance integraal kunnen worden opgepakt omdat bij de monitoring ook gegevensverwerkingen die on-premise of bij een andere cloudprovider plaatsvinden, ook kunnen worden meegenomen. De kosten zijn doorgaans zeer acceptabel en in ieder geval substantieel lager zijn dan de kosten die een bedrijf betaalt voor allemaal verschillende beveiligings- en monitortools. Mogelijk is een IT-beheerder zelfs niet meer nodig.

Zie blog ‘Een praktische aanpak voor het toepassen van IT-clouddiensten’.

Help

Luister: The Beatles – Help! – YouTube

Duthler Associates kan uw bedrijf ondersteunen als u zich zorgen maakt over de continuïteit van uw bedrijf. Wij kijken naar de huidige situatie en geven u inzicht in uw kwetsbaarheden. Hierbij geven wij aan op welke wijze u verbeteringen kunt aanbrengen.

Al u de overstap wilt maken naar een cloudomgeving kunnen wij u hierbij begeleiden door het riskmanagement op ons te nemen. Het is belangrijk om vóór de overstap al tot overwogen keuzes te komen en vast te stellen dat deze op een juiste wijze in een cloudomgeving worden toegepast. Ook bij de selectie van IT-partners kunnen wij u helpen en vervolgens bij het maken van duidelijke afspraken en het toezien op het nakomen van de afspraken. 

Als u al een tijdje in de cloud werkt, vraagt u zich misschien af of u veilig bent en hoe u de kosten beheersbaar kunt houden. Het opnieuw stellen van doelen kan tot meer effectiviteit en kostenreductie leiden.

Kortom, wij bekijken graag waar u met uw bedrijf staat en waar u heen wilt. Wij begeleiden u graag op uw reis naar uw doel en laten – als u dat wilt – pas los als uw bedrijf (weer) in zijn kracht staat.



Avatar foto
Author: Caroline Willemse
Caroline is hoofd risk- en compliancemanagement binnen Duthler Associates. Caroline helpt bedrijven en instellingen verder om het beste resultaat te halen. Neem gerust contact op met Caroline.