Print:

Omgaan met de risico’s van ransomware: van preventie tot herstel, en van techniek tot mensen

Antonio Chan , Security Officer

LinkedIn profiel

Een goede combinatie van preventie, detectie en respons is essentieel om als organisatie adequaat om te gaan met de groeiende risico’s van ransomware. Wat zijn de trends, issues en do’s & dont’s? Security officer Antonio Chan deelt de ervaringen en best practices.

De tijd van ransomware aanvallen

Een doelgerichte aanval op de IT-systemen van een organisatie kan enorme schade veroorzaken. Bijvoorbeeld omdat het werk stil komt te liggen, en er persoons- en/of bedrijfsgegevens worden gelekt. Met alle gevolgen van dien voor de continuïteit en reputatie van de organisatie.

“Toen ik ruim twintig jaar geleden mijn loopbaan in de ICT startte, werden computervirussen gezien als een geintje. Je printer deed het niet meer, of er stonden allerlei gekke tekens in documenten op je computer. Tegenwoordig worden de systemen van organisaties volledig platgelegd door ransomware en andere aanvallen”, vertelt Antonio Chan, security officer met een jarenlange ervaring in ICT, security en dataprotectie.

Digitale wapenwedloop

Er heeft de afgelopen jaren een digitale wapenwedloop plaatsgevonden, met als gevolg dat hackers nu steeds effectievere tools in handen hebben om organisaties schade toe te brengen, zegt Chan. “Nationale veiligheidsdiensten zorgen voor achterdeurtjes in systemen, en hackers maken daar in toenemende mate gebruik van. Ze profiteren daarbij van de steeds kortere development lifecycle van software, die tot gevolg heeft dat codes minder veilig zijn dan je eigenlijk zou willen. Daardoor zijn systemen makkelijker te kraken en kunnen hackers steeds geavanceerdere aanvallen uitvoeren.” Met ransomware as a service is er een businessmodel ontstaan dat steeds meer organisaties en consumenten tot het potentiële doelwit maakt van een hack.

Slimme malware

De voortschrijdende digitalisering van de samenleving maakt het risico van cyberincidenten steeds groter, signaleert Chan, die werkte bij onder meer Air France-KLM, Staples, Maersk en TNT. “De technische ontwikkelingen zijn geweldig, maar brengen ook serieuze bedreigingen mee. De malware van tegenwoordig is zo slim dat je niet blindelings kunt vertrouwen op een antivirusscanner. Daar komt bij dat adequate beveiliging niet alleen te maken heeft met de systemen op kantoren, maar ook om de netwerken en applicaties van de gebruikte apparaten – van voertuigen tot smart watches.”

Betalen, of juist niet?

Bescherming tegen ransomware en andere malware vereist een integrale, goed doordachte aanpak die is afgestemd met de directie, het IT-team en de business. Dat is het uitgangspunt van de IIR-masterclass Ransomware: detectie, respons, preventie. Onder leiding van Brenno de Winter gaan de deelnemers aan de driedaagse training aan de slag met onder andere incident response beleid, een praktisch draaiboek en effectieve technische maatregelen.

Organisaties hebben te maken met advanced persistent threats, waarschuwt Chan. “Dat betekent dat reguliere antivirusprogramma’s niet voldoende zijn om ransomware tijdig te detecteren. Je moet de integriteit van systemen en apparaten continu controleren op basis van patroonherkenning en anomaliedetectie. Zorg daarnaast voor goede back-ups en een sterke compartimentering, zodat bij een aanval slechts een deel van de systemen uit de lucht raakt.”

Er zijn organisaties die na een ransomware-aanval het gevraagde losgeld betalen, omdat de operatie dan weer snel kan worden hersteld. Chan adviseert om dat niet te doen. “Het risico bestaat dat de systemen ook na de ontsleuteling geïnfecteerd blijven. Daders zijn meestal al maanden in de systemen aan het rondneuzen. Wie garandeert je dat er na het betalen van losgeld niet toch nog iets rondwaart?” Volgens experts van onder meer de FBI zal het betalen van losgeld de daders alleen maar verder aanmoedigen om door te gaan met pogingen om overheden en ondernemingen aan te vallen. Uit onderzoek van Kaspersky uit maart 2021 blijkt dat meer dan de helft van de consumenten die slachtoffer worden van ransomware het gevraagde losgeld betalen.

Chan benadrukt de noodzaak van een goede voorbereiding op de risico’s en gevolgen van ransomware. “In een business continuity plan moet de reactie op een ransomware-aanval duidelijk zijn gedefinieerd. Vergelijk een cyberaanval maar met een uitslaande brand. Je kunt je huis beveiligen met brandmelders, blussers en alarmsystemen, en zorgen voor externe back-ups van digitale data. Of sluit je alleen een brandverzekering af?”

Security in het DNA

Een sterk draagvlak voor preventieve maatregelen is volgens Chan een voorwaarde om goede maatregelen te nemen. “Een directieteam en Raad van Commissarissen moeten doordrongen zijn van de nut en noodzaak van cybersecurity. Het kan daarbij helpen om de betrokkenen in een simulatie te laten ervaren wat er allemaal gebeurt als er een incident optreedt.”

Een actuele uitdaging vindt Chan om de gedeelde verantwoordelijkheid voor security in het DNA van de organisatie te laten doordringen. “Een afdeling inkoop moet bij de aanschaf van een nieuw systeem goed doorvragen over de security requirements. De business moet de risico’s van ransomware, datalekken en andere issues meenemen in innovatieprocessen. En IT moet aangehaakt zijn, mandaat krijgen, ondersteunen en de regie voeren. Bijna elk initiatief van een organisatie heeft inmiddels een ICT-component. Ik hoop dat toekomstige generaties naast tekenen en muziek op school ook de basisbeginselen van IT leren. Zodat iedereen al vanaf de schoolbanken meekrijgt wat ICT aan mogelijkheden én risico’s meebrengt.”

Basishygiëne en human firewalls

Om in de drukte van alledag de focus vast te houden, geven standaarden en normen een praktische leidraad. “De 18 CIS Controls van het Center for Internet Security (CIS) zorgen voor basishygiëne, en besteden aandacht aan onder meer de assets van de organisatie, dataprotectie, dataherstel, incident response management en pentesten.” Afhankelijk van het ambitieniveau van de organisatie kan vervolgens worden doorgegroeid naar ISO-certificering en bijvoorbeeld het NIST Cybersecurity Framework.

Preventie is volgens Chan essentieel. “Zorg dat álle systemen up-to-date zijn: van de besturingssystemen tot applicaties en software. Let daarbij op dat ook Apple en Android kwetsbaar zijn, ook al denken mensen vaak dat de risico’s daar minimaal zijn. Zorg daarnaast voor een goede endpoint security. Patroonherkenning en behavioral analyses maken detectie mogelijk, maar dat moet ook adequaat worden ingericht. Je kunt meldingen van firewalls, servers en antimalwareprogramma’s centraal verzamelen, loggen, monitoren en analyseren. Met de juiste analyse kan er tijdig alarm worden geslagen over verdachte situaties.”

Preventie gaat veel verder dan techniek, benadrukt Chan. “Ransomware wordt steeds slimmer, en de aanvalspaden worden alsmaar complexer. Daardoor kunnen virusscanners een email met een verdachte weblink of bijlage niet meer goed ontdekken. De human firewall is dan de grootste kracht. Mensen leren om verdachte e-mails niet te openen – dat is misschien uiteindelijk de meest effectieve methode tegen ransomware.”

Alles weten over het adequaat voorkomen, ontdekken, beperken en herstellen van een ransomware-aanval of malware-infectie? Na de driedaagse masterclass Ransomware: detectie, respons, preventie gaat u naar huis met praktische handvatten.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure Ransomware: detectie, respons, preventie direct in uw mailbox.