Wat te doen om ransomware te voorkomen?

Home » Wat te doen om ransomware te voorkomen?

Wat te doen om ransomware te voorkomen?

Onderstaande artikel is in samenwerking met Lars van van Beek MSc RE CISA (Manager IT Audit bij HLB Blömer) geschreven en gepubliceerd.

maandag 22 november 2021

In de afgelopen tijd is het aantal informatiebeveiligingsincidenten fors gestegen. Waren het in het verleden vooral de grotere bedrijven die slachtoffer werden, inmiddels zijn ook veel MKB’ers geconfronteerd met ransomware. Als bestuurder of manager kun je er moedeloos van worden, is er dan niets te doen om dit te voorkomen? Gelukkig wel en het hoeft niet eens veel te kosten!

Ransomware is malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. In extreme gevallen blokkeert de ransomware de toegang tot het IT-systeem door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Gezien het destructieve karakter van ransomware-aanvallen is het vaak moeilijk om de logbestanden te herstellen en te achterhalen wat er daadwerkelijk is gebeurd. Hackers kunnen intellectueel eigendom of persoonsgegegevens hebben gestolen, waarbij zij ransomware inzetten om hun echte bedoelingen te verbergen.

Het lijkt ook niet meer uit te maken in welke branche een bedrijf actief is of hoeveel medewerkers het heeft. Elk bedrijf is tegenwoordig afhankelijk van goedwerkende informatiesystemen en dus een interessant doelwit. De schades zijn behoorlijk, naast de schade van het niet operationeel zijn van je bedrijf, wordt er vaak ook tienduizenden euro’s aan losgeld geëist om informatiesystemen weer beschikbaar te maken.

Als bestuurder of manager kun je er moedeloos van worden, is er dan niets te doen om dit te voorkomen? Gelukkig wel en het hoeft niet eens veel te kosten!

Wij geven 6 tips om ransomware te voorkomen:

Tip 1: Realiseer dat ook jouw bedrijf risico loopt om slachtoffer te worden

Informatiebeveiliging zou vandaag de dag onderdeel moeten zijn van de periodieke risico assessment die je uitvoert voor je organisatie. Als bestuurder of manager kun je in kaart brengen welke informatiesystemen essentieel zijn voor jouw bedrijfsvoering, hoe lang je zonder deze systemen kunt en wat je kunt doen om het risico op een incident te verlagen.

Met onderstaande 5 vragen maak je daarmee een goede start. Let op: het is geen volledige lijst, dus vul aan waar nodig:

Welke informatiesystemen (servers/werkplekken/websites/applicaties) zijn essentieel voor je bedrijfsvoering?
Hoe lang kun je het bedrijf operationeel houden zonder deze informatiesystemen?
Welke klanten, partners en/of toeleveranciers zijn afhankelijk van jouw informatiesystemen?
Hoe zorg je ervoor dat medewerkers zich bewust zijn van het belang van goede informatiebeveiliging?
Ben jij je ervan bewust dat informatiebeveiliging veel verder gaat dan IT? Mensen en processen zijn minstens zo belangrijk.

Tip 2: Zorg voor inzicht in apparatuur in je netwerk

Om te weten wat je moet beschermen, moet je eerst weet wat je allemaal hebt. Na het beantwoorden van voorgenoemde vragen weet je welke informatiesystemen cruciaal zijn voor de bedrijfsvoering, maar je weet nog niet welke apparaten allemaal aan je netwerk gekoppeld zijn. Dat is ook niet zo eenvoudig, want netwerken zijn al jaren geen veilige statische omgevingen meer. Door ontwikkelingen als bring your own device, thuiswerken, cloud adoptie en zogenaamde ‘Shadow IT’ kunnen netwerken veel meer apparaten bevatten dan je denkt. Zorg er dus voor dat regelmatig in kaart gebracht wordt welke apparatuur er aan je netwerk gekoppeld is. Dit kan gratis handmatig gedaan worden, bijvoorbeeld met een tool zoals Nmap, maar ook door in te loggen op je router of firewall.

Het in kaart brengen kan ook dagelijks geautomatiseerd tegen een lage vergoeding, bijvoorbeeld door CyberSterk of het Guardian360 platform in te zetten. Vaak kan de IT-dienstverlener ondersteuning bieden in het verkrijgen van dit inzicht.

Tip 3: Systemen en software updaten

Softwareleveranciers zorgen tegenwoordig doorlopend voor updates voor jouw applicaties en systemen. Veel mensen zien dit vooral als een hinderlijke onderbreking van het arbeidsproces. Je moet de updates installeren en vaak ook programma’s of apparaten opnieuw opstarten. Toch is het enorm belangrijk om updates en veiligheidspatches consequent uit te voeren. Cybercriminelen zijn namelijk continu op zoek naar kwetsbaarheden in software systemen en weten heel goed hoe ze die ene organisatie of persoon moeten vinden die zich onhackbaar waant en nog niet over de actueelste updates beschikt.

Op het internet zijn bekende kwetsbaarheden voor veelgebruikte software systemen eenvoudig te vinden voor iedereen en daardoor ook makkelijk te misbruiken door criminelen. Bijvoorbeeld via de Common Vulnerabilities and Exposures (CVE) index die continu geüpdatet wordt op https://cve.mitre.org. Deze index kan je kosteloos raadplegen en zo op de hoogte blijven van kwetsbare plekken in jouw IT-omgeving. Het raadplegen kost dan misschien wat extra tijd, maar de schade die je ermee kunt voorkomen is enorm groot. Ook hier geldt dat het in kaart brengen van deze zwakke plekken ook dagelijks geautomatiseerd kan worden uitgevoerd tegen een lage vergoeding, bijvoorbeeld door CyberSterk of het Guardian360 platform in te zetten.

Tip 4: Zorg voor een goed authenticatie- en wachtwoordbeleid

Bij veel organisaties is het authenticatie- en wachtwoordbeleid niet voldoende ingericht. Medewerkers gebruiken korte en eenvoudig te raden wachtwoorden om toegang te krijgen tot toepassingen en bedrijfskritische of privacygevoelige informatie. Wachtwoorden worden hergebruikt voor meerdere applicaties, of worden gedeeld met collega’s en gezinsleden. Omdat het tegenwoordig een eitje is om zwakke wachtwoorden geautomatiseerd te genereren en te proberen, hebben cybercriminelen een kwetsbaar wachtwoord zo geraden.

Zorg er daarom voor dat je medewerkers werken met sterke wachtwoorden die lastig te kraken zijn. Maak het voor hen zo eenvoudig mogelijk dat wachtwoorden in een veilige password manager opgeslagen worden, zodat medewerkers gemakkelijk unieke wachtwoorden kunnen gebruiken. En maak van multifactor authenticatie een must. Zelfs als gebruikersnamen en wachtwoorden dan in verkeerde handen vallen, krijgt de aanvaller geen toegang tot je IT-omgeving zonder het gebruik van nog een extra authenticatiemiddel. De kosten voor multifactor authenticatie zijn in veel gevallen minimaal: Google authenticator en Microsoft Authenticator kunnen bijvoorbeeld gratis gebruikt worden.

Ook adminrechten voor een netwerkdomein zijn vaak een heikel punt. Neemt een cybercrimineel de werkplek over van een gebruiker die beheerrechten binnen het netwerk heeft? Dan kan hij overal bij en kinderlijk eenvoudig alle systemen versleutelen. Zorg er dus voor dat adminrechten altijd goed afgeschermd zijn en gebruik deze alleen als het echt nodig is.

Tip 5: Zet back-ups ook offsite en voer restore tests uit

Veel organisaties kiezen ervoor om hun back-ups binnen het netwerk te bewaren. Want dan kunnen medewerkers er snel bij. Niet verstandig, aangezien cybercriminelen die je netwerk binnendringen dan die back-ups eenvoudig mee versleutelen met de rest van je bestanden en systemen. Zorg er dus altijd voor dat je back-ups ook op een plek buiten je netwerk opslaat. Dat kan op de ouderwetse manier met tape, maar tegenwoordig ook op geautomatiseerde wijze. Houdt er wel rekening mee dat er geen permanente verbinding met de offsite locatie mag zijn, dat is misschien wat lastiger voor de systeembeheerders, maar dit ongemak betaalt zich terug doordat je geen losgeld voor je bestanden hoeft te betalen!

Daarnaast is het op zijn minst net zo belangrijk om de gemaakte back-ups periodiek te testen door een zogeheten ‘restore test’ uit te voeren. Wanneer je als laatste redmiddel terug moet vallen op je back-ups is het cruciaal om er zeker van te zijn dat deze ook werken. Het wordt geadviseerd om deze tests meerdere keren per jaar uit te voeren, ook voor de back-ups die offsite staan!

Tip 6: Segmenteer je netwerk

Het lijkt misschien lastig vanuit de moderne gedachte dat iedereen binnen je organisatie overal snel bij moet kunnen, maar cybercriminelen zijn je heel dankbaar als je het niet doet. Als je netwerk namelijk niet is opgedeeld in verschillende delen, is het voor hackers veel eenvoudiger om je complete IT-omgeving over te nemen en alle bestanden te versleutelen of te gijzelen. Segmentatie voorkomt dat ransomware zich als een lopend vuurtje door je hele netwerk verspreidt en alle IT-onderdelen tegelijk infecteert. Zorg ervoor dat medewerkers alleen bij de data kunnen die ze nodig hebben voor hun werk, dat vergt geen extra investeringen.

Daarnaast zorg je er ook nog eens voor dat bij een incident niet al je bestanden gelekt worden en je misschien niet eens melding hoeft te doen bij de autoriteit persoonsgegevens. Ook op dit vlak is jouw IT dienstverlener vaak in staat om te helpen van het realiseren van een goed gesegmenteerd netwerk. Zorg dat je interne back-up server ook in een gescheiden segment staat, ook een back-up server kan namelijk versleuteld raken!

Bonus tip: Creëer inzicht in inlogpogingen en netwerkverkeer

Heb je voorgaande tips geïmplementeerd? Dan ben je mogelijk toe aan het volgende niveau van beveiliging. Dit hangt natuurlijk wel af van je risico-inventarisatie (Tip 1) en hoeveel je nog wilt investeren.

Veel organisaties missen het vermogen en inzicht om criminelen en ransomware in een vroegtijdig stadium te detecteren. Ze merken bijvoorbeeld niet dat iemand vanuit het Oostblok, Zuid-Amerika of Azië 100 keer achter elkaar probeert in te loggen met verschillende gebruikersnamen en wachtwoorden. De oplossing: zorg voor goede logging tools en detectiesoftware. En nog belangrijker: gebruik die gereedschappen ook om op regelmatige basis na te gaan wat er allemaal gebeurt binnen je netwerk. Hoe eerder je verdachte activiteiten binnen je netwerk signaleert, des te eerder je ook kunt ingrijpen. Het vroeg detecteren van verdachte activiteiten beperkt de schade vaak al enorm en voorkomt dat je ransomware pas opmerkt als al je apparaten en bestanden versleuteld zijn. Ook hier geldt: de meeste relevante apparaten in je netwerk genereren al logs, je moet ze alleen wel gebruiken.

Bron: https://www.hlb.nl/actueel/wat-te-doen-om-ransomware-te-voorkomen

Auteur: Jan Martijn Broekhof MBA, Algemeen directeur Guardian360

Direct contact met een security-expert?

Wil je na het lezen van deze info overleggen met een security-expert? Wij helpen je graag! Neem contact op met onze security expert Frans Nieuwland via +31 85 006 11 70 of support@cybersterk.nl.