Ransomware is als een kunstroof: voorkomen onmogelijk

  1. 7 feb 2020
  2. 0 reacties

Rembrandt

Organisaties nemen cyberdreigingen steeds serieuzer. En dat mag ook wel, zo blijkt uit een recent onderzoek van Allianz. Incidenten op het gebied van cyberveiligheid, zoals datalekken en ransomware-aanvallen, staan dit jaar wereldwijd het hoogste op de lijst met bedrijfsrisico’s. De Cyber Security Raad adviseert publieke instanties nu dan ook om tien procent van het IT-budget aan beveiliging te spenderen.

Het is alleen de vraag of meer geld de juiste oplossing gaat zijn. Het gaat er namelijk niet om hoeveel je investeert in security, maar hoe je die investeringen inzet. Een toenemend aantal bedrijven sluit daarom een verzekering af tegen cybercrime. Vaak gebeurt dit pas nadat het kwaad al is geschied. En dat is letterlijk mosterd na de maaltijd: je hebt al schade geleden en probeert de kosten van die schade een volgende keer te voorkomen. Daarnaast ben je waarschijnlijk dagen - al dan niet weken - offline en is het maar afwachten in hoeverre de verzekering al het losgeld met terugwerkende kracht (maar ook in de toekomst) vergoedt.

Om te begrijpen hoe je je wel zou moeten wapenen tegen deze vorm van cybercrime, kun je ransomware-hackers vergelijken met kunstrovers. Deze beroepsdieven houden er een vreemde tactiek op na die vergelijkbaar is met de tactiek van ransomware-aanvallers. Eerst iets van je afnemen om dit vervolgens aan jou (of zelfs anderen) te slijten; na de diefstal verkopen ze jouw schilderij weer aan je terug. Datzelfde principe geldt ook bij cybercrime. Filip Verloy, Field CTO EMEA bij Rubrik, deelt drie maatregelen om een cyberaanval te voorkomen.

Maatregel 1: maak jezelf onaantrekkelijk

Ransomware-aanvallen kun je nooit helemaal voorkomen, net als de diefstal van een schilderij. Wanneer een dief maar hard genoeg zijn best doet, dan is elk kunstwerk in principe te ontvreemden. Daarmee sta je als kunsteigenaar machteloos. Wat je wel kunt doen, is de kans zo klein mogelijk maken dat cybercriminelen jouw organisatie uitkiezen als doelwit. Denk aan een pand met drie beveiligingssystemen; dat zal minder snel worden uitgekozen dan het pand ernaast met een verweerd slot.

Zorg dus voor een goed slot op al jouw bestanden. Aangezien ransomware-aanvallen vaak eerst worden uitgevoerd op back-upsystemen, is het belangrijk om deze onder de loep te nemen, te beschermen en te versleutelen. Back-ups periodiek overhevelen van de ene naar de andere locatie is ook niet zaligmakend. Als je er dan niet op tijd bij bent, dan hevel je de ransomware alleen maar over van de ene locatie naar de andere.

Maatregel 2: monitor wanneer er aan je data wordt gesnuffeld

Cybercrime is een soort wapenwedloop tussen de good guys en de bad guys. Soms liggen de ethische hackers voorop, de andere keer de boeven. Deze wedloop wordt telkens tijdelijk gewonnen door degenen die het slimst te werk gaan, het beste gereedschap in handen hebben en het hardst hun best doen. En waar cybercriminelen tools hebben om zwakke plekken te vinden en aanvallen uit te voeren, kun je als organisatie (of ethisch hacker) gebruikmaken van technologie om er achter te komen wanneer je een doelwit dreigt te worden, zodat je op tijd actie kunt ondernemen.

Dankzij machine learning kunnen beveiligingssystemen tegenwoordig namelijk ongewoon gedrag detecteren in de back-up bestanden. Zoals gezegd vallen veel ransomware-aanvallen namelijk eerst back-up systemen aan. Als er plots veel veranderingen te zien zijn in het file-systeem, dan krijg je een melding en kun je de nodige maatregelen nemen.

Maatregel 3: maak gegijzelde data onbruikbaar

Versleutel jouw back-ups. Hackers kunnen op deze manier jouw bestanden niet inzien. Vergelijk het met het bekrassen van een Rembrandt: deze wordt hierdoor onaantrekkelijk voor de dief om opnieuw aan jou of iemand anders te slijten. Daardoor wordt jouw back-up, oftewel jouw onbruikbare kunstwerk, een minder interessant doel voor hackers en kunstrovers.

Als je wel doelwit wordt; zorg voor snel herstel

Moller-Maersk, het grootste containervervoersbedrijf ter wereld, werd in 2017 slachtoffer van kwaadwillende software. Na onderhandelingen met de daders verloren ze het vertrouwen dat het ooit helemaal goed zou komen. Het kostte het bedrijf ongeveer tien dagen om de basis van de IT-structuur opnieuw te bouwen, terwijl zij probeerden ‘het normale werk’ er niet onder te laten lijden (er was geen goede back-up voorhanden). Geschat verlies: 300 miljoen dollar.

De grootste schadepost van een ransomware-aanval is daarmee lang niet altijd het losgeld dat wordt geëist; als een IT-systeem dagenlang uit de running is, lopen de kosten mogelijk op tot een veelvoud van het bedrag van de ransom. Of zoals Lewis Woodcock, hoofd cybersecurity van Moller-Maersk het zei: “Bedrijven moeten niet alleen naar preventieve beveiliging kijken, maar vooral ook naar snelle ‘recovery’ na een aanval. Zij die daar een goede balans in vinden, hebben een betere kans tegen toekomstige aanvallen.”

Helemaal voorkomen dat je het doelwit wordt van ransomware is dus onmogelijk. Wat je daarbij wel kunt doen, is het hackers zo moeilijk mogelijk maken en ervoor zorgen dat de dagelijkse gang van zaken binnen je organisatie zo min mogelijk wordt verstoord als je wel getroffen wordt door een aanval. Daarom kun je beter jouw data onaantrekkelijk maken, zodat deze niet wordt gestolen. Zo kun je die dure verzekering zelf links laten liggen.