Alle data weg – wat je kunt doen om dit te voorkomen

In de media duiken regelmatig berichten op van (overheids)organisaties die al hun data kwijt zijn door een aanval van hackers. Voorbeelden zijn de Universiteit Maastricht en de gemeente Lochem in 2019 en de gemeente Hof van Twente in 2020. Wat kunt u doen om zo’n ransomware-aanval te voorkomen? In dit artikel krijgt u tips die concreter zijn dan risicoanalyses en standaarden als de Baseline Informatiebeveiliging Overheid (BIO), ISO27001/2 en NEN7510.

Bij zogenaamde ransomware-aanvallen maken hackers informatie onleesbaar door deze te versleutelen. Tegen betaling van losgeld beloven de criminelen de ‘gegijzelde organisatie’ een sleutel te leveren, waarmee de gegevens weer leesbaar kunnen worden gemaakt. Zo’n horrorscenario wilt u uiteraard voorkomen. Maar hoe? Daarvoor is het zaak eerst bij uzelf te rade te gaan. Hackers blijken namelijk vaak op een verrassend eenvoudige manier bij organisaties binnen te dringen…

Is een ransomware-aanval te voorkomen?

Hackers gaan over het algemeen bedrijfsmatig te werk: ze kiezen de zwakste slachtoffers uit. Het is dus belangrijk dat u beter beveiligd bent dan andere organisaties. Ter vergelijking: het Politie Keurmerk Veilig Wonen verkleint de kans op een inbraak van een woning met 90%, terwijl een inbreker – al dan niet met grof geweld – ook in een gecertificeerde woning wel binnen komt. Weerbaarheid loont dus. En daarvoor kunt u ook eenvoudige maatregelen nemen. Ook moet u zich realiseren dat u, zelfs als de hackers binnen zijn, het ergste – verlies van data én de back-up – kunt voorkomen. Het is dan ook echt een misvatting dat alleen grote organisaties zich kunnen verweren tegen ransomware-aanvullen.

Hoe dringen hackers binnen?

Een veelgebruikte methode om toegang tot de interne systemen van een organisatie te krijgen, is het zogenaamde phishing. Daarin worden medewerkers van een organisatie verleid om een kwaadaardige bijlage van een e-mail of een website te openen. Deze introduceert malware, kwaadaardige software, die hackers toegang geeft tot de interne systemen. Een andere variant is dat de medewerker via phishing wordt verleid om zijn gebruikersnaam en wachtwoord in te voeren op een scherm dat lijkt op een authentiek scherm van de eigen organisatie. In werkelijkheid is dit scherm van de hackers, die de informatie vervolgens gebruiken om zelf in te loggen op de interne systemen.

Een andere methode is dat hackers toegang krijgen tot de virtuele werkplekken met het Remote Desktop Protocol (RDP). Dit protocol wordt gebruikt om vanuit een andere locatie, bijvoorbeeld vanuit huis, verbinding te maken met de systemen van de organisatie. In RDP-software blijken regelmatig kwetsbaarheden te zitten. Kwaadwillenden lijken in meerdere gevallen via deze kwetsbaarheden binnen gedrongen te zijn door het stelen en/of gokken van wachtwoorden van medewerkers. Dit is mogelijk als mensen achtwoorden gebruiken die voor de hand liggen (bijvoorbeeld: organisatienaam123) en de organisatie geen tweefactorauthenticatie gebruikt.

Hoe zijn hackers te dwarsbomen?

U kunt de hierboven genoemde hackmethoden dwarsbomen door:

• medewerkers goed voor te lichten over phishing en over het gebruik van sterke wachtwoorden;
• anti-spam- en malware-filters voor e-mail te gebruiken;
• malware-/virusscanners op de pc’s van medewerkers te installeren;
• de toegang na enkele niet-geslaagde inlogpogingen te blokkeren;
• het gebruik van tweefactorauthenticatie in te voeren, waarbij tijdens het inloggen naast het wachtwoord een tweede unieke code moet worden gebruikt. Deze kan bijvoorbeeld via sms of een authenticator-app aan de medewerker worden gestuurd.
• medewerkers alleen toegang te geven tot interne systemen, zoals RDP, nadat deze eerst in een beveiligd netwerk (een zogenaamd VPN) is ingelogd met tweefactorauthenticatie;
• ervoor te zorgen dat alleen de toegangspoorten voor VPN en publieke websites toegankelijk zijn op publieke ip-adressen van de organisatie;
• beveiligingsupdates van servers, netwerkcomponenten en pc’s voor alle gebruikte software (dus niet alleen voor Windows) direct te installeren.

Wat als hackers toch binnendringen?

Bij recente aanvallen zien we dat de hackers het netwerk en de systemen van het slachtoffer eerst onderzoeken en daarna in één keer toeslaan door álle data te versleutelen. Wees erop bedacht dat het onderzoeken en uitbreiden van de toegang in het hele netwerk vaak veel beter zichtbaar is en hierdoor de hackers makkelijker te traceren zijn dan op basis van de eerste toegang. Het is dan ook van essentieel belang dat loggegevens worden geanalyseerd, waaronder alarmsignalen op firewalls in het netwerk, op servers en pc’s van medewerkers.

Maar we hebben toch een back-up?

Helaas wissen hackers bij een ransomware-aanval vaak ook de back-ups die juist het herstel na zo’n aanval mogelijk maken. Ze zijn hiertoe in staat als de back-ups vanuit de operationele systemen benaderd en geschreven kunnen worden. Vroeger werden back-ups fysiek gescheiden van de operationele systemen door de tapes uit de systemen te halen en apart op te slaan – dit noemen we ook wel ‘off-line’. Tegenwoordig worden back-ups vaak via het netwerk op harde schijven gemaakt. Is dit bij uw organisatie het geval, dan is het vooral belangrijk dat het back-upsysteem slim is ontworpen. Zorg er daarbij voor dat het back-upsysteem gescheiden is van de andere systemen van de organisatie. Dit betekent: een aparte gebruikersadministratie, een gescheiden netwerk voor het back-upsysteem en separate werkstations voor toegang tot systemen. Verder mogen andere systemen geen gegevens wegschrijven op het back-upsysteem, maar leest het back-upsysteem gegevens uit de operationele systemen uit. Zo voorkomt u dat kwaadwillenden back-ups kunnen wissen of overschrijven als ze de operationele omgeving hebben gehackt.

Is het anders in de cloud?

Ja en nee. Een cloud-service-provider zal zeker een aantal van de bovengenoemde maatregelen nemen, zoals spam- en malware-filtering van e-mails. Maar bepaalde functionaliteiten, zoals tweefactorauthenticatie, moet de gebruikersorganisatie zelf aanzetten en inrichten. En het goed informeren en opleiden van medewerkers zal toch echt door de eigen organisatie moeten worden gedaan.

Maar je kunt toch ook gewoon betalen?

Aan het betalen van losgeld kleven morele bezwaren, zoals het financieren van criminaliteit. Maar ook als u losgeld betaalt, is het leed niet meteen geleden. Want hoe weet u zeker dat de hackers na het herstellen van de bestanden geen toegang meer hebben tot de systemen? De kans is reëel dat ze een achterdeurtje inbouwen, waardoor een nieuwe aanval mogelijk is. Houd er daarom rekening mee dat het na een aanval gebruikelijk is om de hele IT-omgeving opnieuw op te bouwen, ook als de gegevens weer leesbaar zijn. Betalen lost dus maar een deel van het probleem op.

Wat zijn de eerste stappen om een ransomware-aanval te voorkomen?

Om een ransomware-aanval te voorkomen, is het verstandig om eerst de door uw organisatie genomen basismaatregelen – die hierboven zijn beschreven – te controleren. Vervolgens is het zaak een externe expert mee te laten kijken. Spreekwoorden als ‘een frisse blik’, ‘twee zien meer dan één’ en ‘vreemde ogen dwingen’ zijn daarop van toepassing. Niet zelden denken organisaties hun maatregelen op orde te hebben, maar laat alleen al de publiek toegankelijke informatie van internetscanners iets anders zien. En die informatie is ook zichtbaar voor hackers… Daarnaast is er niet altijd gespecialiseerde beveiliging aanwezig in de eigen organisatie. En tot slot zijn externe experts soms beter in staat om de urgentie en mogelijkheden op management- of bestuurlijk niveau aan te kaarten.

Hoe nu verder?

De maatregelen die we in dit artikel beschrijven, zijn het spreekwoordelijke laaghangende fruit. Na het nemen van deze maatregelen is het zaak om toe te groeien naar een écht digitaal weerbare organisatie. Risicoanalyses en standaarden als de Baseline Informatiebeveiliging Overheid (BIO; voor overheden), NEN7510 (voor de zorg) en ISO27001/2 kunnen u hierbij helpen.

Voor meer informatie en voor het maken van een (vrijblijvende) afspraak kunt u contact opnemen met senior adviseur Julius Duijts via onderstaande gegevens.