Nieuws

Voorkom ransomware: Hoe waarborg jij de bedrijfscontinuïteit?

Ransomware, ook wel gijzelsoftware genoemd, wordt gebruikt door hackers als chantagemiddel op het internet. Je systemen en data worden versleuteld. Deze zijn hierdoor niet meer toegankelijk en de hackers eisen een “ransom”bedrag om jouw data weer terug te krijgen.

In hoog tempo heeft de georganiseerde misdaad zich de ransomware eigen gemaakt en ransomware attacks naar een hoger niveau getild. Denk daarbij aan het aantrekken van specialisten op security gebied en een strak georganiseerd netwerk van “verkopers” en attackers met een uitstekende helpdesk. Ransomware is een bedreiging voor elke organisatie. Het verlies van data betekent voor vele organisaties het stilleggen van de bedrijfsvoering voor enkele dagen/weken of in sommige gevallen leidt dit zelfs tot het einde van hun bestaan. Het betalen van ransomware is voor de langere termijn ook geen optie. Het verergert het probleem en maakt misdaad lonend. 

De vraag is nu: wat kan ik hieraan doen en welke stappen zet ik als er toch een geslaagde aanval plaatsvindt? Met de vier effectieve en adequate stappen uit dit blog weet je hoe jij je zo goed mogelijk beschermt of van ransomware afkomt en de bedrijfscontinuïteit waarborgt. Lees snel meer over:

  1. Preventie
  2. Detectie
  3. Voorbereiding herstel
  4. Herstel procedure
  5. Uitwijktest

1.  Preventie

Zoals iedereen weet is voorkomen beter dan genezen. Zo ook met het bestrijden van ransomware. Preventie is de belangrijkste stap die je kunt zetten. Daarbij speelt genoeg kennis eigenlijk de hoofdrol. Neem daarom ook zeker bij het ontbreken van de juiste kennis een bedrijf in de arm dat gespecialiseerd is in IT-beveiliging. Enkele voorbeelden hiervan zijn Northwave, Fox-IT, Hunt & Hackett en nog veel meer. Zij gaan vervolgens aan de slag met de juiste inrichting van jouw beveiliging. Hoofdvraag bij het maken van dergelijk plan luidt: ‘Hoe te handelen in het geval van een ransomware-aanval?’. En bijkomende vragen:  

  1. Hoe kunnen we de IT systemen zo goed mogelijk beveiligen zodat de kans op een ransomware aanval geminimaliseerd wordt?
  2.  Hoe kunnen we dergelijke aanvallen zo snel en zo goed mogelijk detecteren?
  3. Hoe moeten we handelen als we toch getroffen worden?

Weet overigens dat de zwakste plek in de IT-verdediging nog steeds de mens is. Zorg ervoor dat de medewerkers daarom regelmatig een training volgen. Procedures, tools en andere middelen moeten up-to-date en 24/7 beschikbaar zijn! Tevens is het goed beveiligen van een IT-omgeving echt een specialisme en is het raadzaam om daar met een specialist naar te kijken.

2.             Detectie

Preventie is echter nooit helemaal waterdicht. Dat is logisch. Het doel van de preventie moet daarom ook zijn om het risico zoveel mogelijk te minimaliseren. Verschillende vervolgstappen zijn in dit geval nodig, zoals de detectie van ransomware. Mocht een aanval de preventie doorbreken, dan ontdekken goede detectiemiddelen deze in een vroeg stadium. Vervolgens kunnen er snel maatregelen worden genomen om schade te voorkomen of verminderen. 

De eerste stukjes ransomware die binnenkomen in jouw IT-omgeving, nemen vaak behoorlijk veel tijd in beslag om de omgeving goed te leren kennen. Waar staan welke data en systemen, met welke credentials heb ik welke rechten en hoe ziet het back-up proces eruit? Deze voorbereidende ransomware acties kunnen wel maanden duren. Met detectie tools kun je afwijkend gedrag signaleren en op basis daarvan doeltreffende maatregelen op de korte termijn nemen. Denk aan netwerk koppelingen verbreken, systemen uitzetten of andere snelle acties.

3.             Voorbereiding herstel

Mocht de ransomware-aanval met succes zijn uitgevoerd, dan is naast detectie een duidelijke plan van aanpak en een gedegen response van groot belang. Zorg daarom dat je altijd een DRP klaar hebt liggen, waarin stap voor stap staat beschreven hoe het herstel gaat plaatsvinden. Met dit scenario kunnen jullie de juiste stappen zetten. Denk bij het voorbereiden van het herstel van een ransomware-attack aan vragen als:

  • Welke keuzemogelijkheden zijn er (betalen of niet betalen, tijd winnen)?
  • Wat is er precies nodig om de data en systemen te herstellen (Hoe zijn mijn back-ups ingeregeld)?
  • Hoe kan een tijdelijke IT-omgeving worden opgezet en hoe lang gaat/mag dat duren?

Het is noodzakelijk dat de gehele herstelprocedure wordt beschreven en periodiek wordt getest.

4.             Herstelprocedure

Na een – helaas – succesvolle ransomware attack en met een goed plan op zak moeten zo snel mogelijk de data en systemen worden hersteld (ontsleuteld) of vervangen door back-up data. Helaas zijn er nog steeds organisaties die denken voor de snelste uitweg te kiezen: betalen. Echter is dit nooit een verstandige keuze. Je hebt nooit garantie dat je jouw data echt terug krijgt, je moet vaak hoge ransom bedragen betalen en tot slot houd je zo natuurlijk de cybercriminaliteit in stand. Kortom: een actie met grote gevaren, want dit kan het einde van een bedrijf betekenen. 

Wanneer de juiste back-ups beschikbaar zijn, is het mogelijk de omgeving opnieuw in te richten. De vraag luidt dan wel: kan/mag dat op de bestaande IT-apparatuur of is er (tijdelijk) extra hardware nodig? Of je nu betaalt of niet, de kans is heel groot dat de omgeving opnieuw moet worden opgezet. Dat kan het beste op tijdelijke omgeving totdat de nieuwe omgeving geïnstalleerd is of de oude omgeving volledig opgeschoond is. 

De tijd die nodig is om de data te herstellen is cruciaal en daarvoor is een optimale voorbereiding nodig. Zorg dat de back-ups, de (extra) hardware, de procedures en de kennis snel ter plaatse zijn.

5.             Uitwijktest

Als je een DRP (Disaster Recovery Plan) hebt opgesteld dan is het noodzakelijk om jouw DRP ook regelmatig te testen. Alleen door de testen kom je erachter of jouw plan ook vlekkeloos werkt in geval van een calamiteit. Dit kun je doen middels een uitwijktest.

Ransomware oplossen in de herstelfase? De calamiteitenverzekering biedt hier zekerheid van continuïteit!

Met de calamiteitenverzekering ben je vanaf €1,- per maand per core of vanaf €5,- per maand per terabyte verzekerd van een draaiende back-end. Wij zorgen ervoor dat jij altijd binnen 2-4 uur vervangende IT-apparatuur tot je beschikking hebt. 

Vooraf bespreken we de benodigde capaciteit. Deze zetten wij voor je klaar. In geval van calamiteit heb je dus direct alle vervangende systemen die je nodig hebt voorzien van de juiste software.

Neem contact op met onze IT-specialisten voor meer informatie. Zij helpen je graag jouw bedrijfscontinuïteit te waarborgen!

Blog; ransomware Cor