Inleiding
Ransomware is een groot probleem tegenwoordig. Het is het soort probleem waar je je op moet voorbereiden voordat je er daadwerkelijk mee te maken krijgt. Om je te kunnen voorbereiden is het noodzakelijk te begrijpen wat ransomware nu eigenlijk is.
In deze blog zal ik uitleggen wat ransomware is, hoe we ransomware kunnen detecteren en ons ertegen kunnen beschermen en hoe we van een ransomware incident kunnen herstellen. Het hele technische verhaal laat ik daarbij, voor zover mogelijk, voor wat het is. Laten we het vooral begrijpelijk houden. De onderliggende techniek behandelen we wel in andere, meer technische blogs. Voor de techneuten onder ons.
Wat is Ransomware?
Een helaas veelgehoorde term tegenwoordig. Vroeger spraken we over computervirussen, later over malware en nu ook over ransomware. De term ransomware bestaat uit 2 delen: ransom en (soft)ware. Ofwel: software die gebruikt wordt om iets te gijzelen. Data of hele systemen. Met als doel financieel gewin. De standaard benadering is dat data wordt versleuteld en daarmee onleesbaar wordt gemaakt voor de eigenaar. Om de data weer leesbaar te maken moet losgeld betaald worden. Is het losgeld betaald dan krijgt de eigenaar de sleutel om de data te ontsleutelen en weer leesbaar te maken. Althans, dat is het idee. In de praktijk wil dat nog wel eens anders uitpakken. De kwaadwillenden kunnen bijvoorbeeld ook vertrouwelijke data stelen en dreigen deze openbaar te maken, tenzij er betaald wordt. Of na betaling de sleutel niet geven.
Ransomware bestaat al vrij lang maar de afgelopen jaren is er een duidelijke verschuiving te zien van individuele doelen, personen, naar bedrijven. Omdat daar domweg meer te verdienen is en de kans groter dat er ook wordt betaald. Ransomware is een verdienmodel geworden dat wordt toegepast door criminele organisaties. Voor organisaties die door ransomware worden getroffen betekent het vaak een enorme impact omdat het bedrijfsproces er ernstig door verstoord wordt.
Een groot probleem bij ransomware in het algemeen is, wat gebeurt er als we losgeld betalen en we krijgen de sleutel niet? We hebben betaald maar kunnen toch niet bij onze data. Als we er vanuit gaan dat ransomware een verdienmodel is voor criminele organisaties is het in hun eigen belang de sleutel wél te geven. Anders komt hun reputatie in gevaar en zal niemand uiteindelijk meer losgeld aan ze betalen. Dat is niet goed voor het verdienmodel. En dus, hoe gek het ook klinkt, zijn er nu criminele ransomware organisaties met een goede reputatie. Ofwel, als je het losgeld betaald krijgt je ook de sleutel om je data weer terug te krijgen.
Bescherming: de stappen
Zoals al eerder gezegd: ransomware is een probleem waar je je op moet voorbereiden voordat je er daadwerkelijk mee te maken krijgt. Er wordt ook wel gezegd dat het geen kwestie is van of je ermee te maken krijgt, maar wanneer je ermee te maken krijgt. Voorbereiding is dus heel belangrijk. We kunnen hiervoor gebruik maken van een modellen zoals het Cybersecurity Framework van NIST, het National Institute of Standards and Technology in Amerika. Ook ISO 27001 kan gebruikt worden, met name vanuit het oogpunt van informatie beveiliging.
Het NIST model verdeelt de beveiliging tegen cyberbedreigingen in 5 fasen. Omdat het model generiek van opzet is kan het toegepast worden op verschillende vormen van cyberbedreigingen. Zoals ransomware. Het model is een continue proces, het landschap van cyberbedreigingen wijzigt immers ook continue.
Identity
Identificeren: inzicht op organisatorisch niveau met betrekking tot de risico’s die mensen, systemen, data en processen (assets) lopen in het geval van een ransomware aanval. Dit inzicht is bepalend voor de inspanningen die moeten worden geleverd deze te beschermen, en met welke prioriteit. Identificeren is erg belangrijk voor de overige fasen.
Protect
Beschermen: welke maatregelen kunnen we nemen om onze data, systemen, mensen en processen goed mogelijk te beschermen? Deze fase zorgt voor het voorkomen of beperken van de impact bij een eventuele aanval.
Detect
Detecteren: welke middelen kunnen we inzetten om beveiligingsincidenten te herkennen? Door incidenten tijdig te herkennen kan snel gehandeld worden op basis van de volgende fase.
Respond
Acteren: welke maatregelen moeten we nemen om de impact van een beveiligingsincident zoveel mogelijk te beperken? Vaak worden deze vastgelegd in procedures, welke zijn gebaseerd op een specifiek incident. Door het volgen van de juiste procedures kan de impact van een incident zoveel mogelijk beperkt worden.
Recover
Herstellen: welke handelingen zijn benodigd om de geleden schade zo goed mogelijk te herstellen na een beveiligingsincident? Deze worden ook weer vastgelegd in procedures en zorgen ervoor dat getroffen bedrijfsprocessen zo snel mogelijk hersteld worden.
Identificeren
De eerste fase legt de basis voor de overige fasen. In deze fase identificeren we onze ‘assets’ op organisatorisch niveau. Met assets bedoelen we in dit geval data, personeel, apparatuur, systemen en activiteiten die nodig zijn om de bedrijfsprocessen goed te laten verlopen. Voor de betreffende assets wordt een BIA (Business Impact Analysis) opgesteld. Dit helpt te bepalen hoe belangrijk bepaalde assets zijn voor de bedrijfsvoering en welke risico’s worden gelopen als deze assets niet meer werken zoals zou moeten, of zelfs volledig onbeschikbaar zijn. Denk hierbij bijvoorbeeld aan de volgende zaken:
- Applicaties en (online) platformen die in gebruik zijn, zowel intern als extern
- Communicatie en informatiestromen tussen assets
- Prioritering van bedrijfsprocessen en onderlinge afhankelijkheden
- Vastleggen van kwetsbaarheden van assets
- Vastleggen van ransomware risico’s en impact op bedrijfsprocessen
- Vastleggen van rollen en verantwoordelijkheden m.b.t. het voorkomen van ransomware incidenten en eventueel het reageren op en herstellen van ransomware incidenten
Het is ook erg belangrijk een beleid op te stellen voor cybersecurity waarin ook ransomware wordt benoemd. En de communicatie van dit beleid binnen het bedrijf zodat alle medewerkers ervan op de hoogte zijn en weten hoe ze moeten handelen in het geval van een ransomware incident.
Risico management kan ook als onderdeel van het identificeren worden benoemd. Uiteindelijk moet ook bepaald worden hoever we willen gaan, en tegen welke kosten, om ons te beschermen tegen ransomware. Dit betekent dat we ook afwegingen moeten maken welke risico’s we willen accepteren en welke zeker niet. Ook dat is onderdeel van de BIA. Op basis daarvan kunnen we vervolgens bepalen welke middelen er nodig zijn om ons te beschermen tegen ransomware. En de impact op de bedrijfsvoering bij een ransomware incident zoveel mogelijk te beperken.
Hiermee leggen we de basis voor de andere fasen in het cybersecurity model.
In de volgende blog behandel ik het beschermen tegen en detecteren van ransomware.