Ransomware is voor een bedrijf net zo gevaarlijk als een brand. Maar heeft uw organisatie er een draaiboek voor klaarliggen? Zo’n calamiteitenplan kan voor u als IT’er een wereld van verschil maken wanneer criminelen toeslaan.
Brandje geblust
Het brandalarm gaat af! In no time ziet u BHV’ers in hun hesjes over de gang hollen. Maar u weet al wat u moet doen: alles laten liggen en via de dichtstbijzijnde uitgang naar buiten! Net als de andere medewerkers.
Even later is iedereen veilig. Wanneer de brandweer met loeiende sirenes arriveert, hebben de BHV’ers het brandje al geblust.
Tevreden gaat iedereen weer naar binnen. De oefeningen van de afgelopen jaren waren niet voor niets. Het draaiboek heeft gewerkt.
Crisis
Hoe zou dat gaan bij een ander groot gevaar: ransomware? Een medewerker meldt iets vreemds: hij kan niet meer bij de bestanden op een bepaalde server. U probeert het zelf ook eens en inderdaad: alle bestanden op de server blijken versleuteld te zijn. Ransomware!
Wat nu? Terwijl de adrenaline door uw aderen begint te gieren, besluit u dat er niets anders opzit: om de ransomware te stoppen moet alles op slot. U zegt uw mensen dat ze binnen een kwartier het hele bedrijfsnetwerk moeten stilleggen.
Snel typt u een mailtje, gericht aan alle medewerkers. De tekst rammelt, maar snelheid is nu cruciaal.
Binnen een minuut gaat de telefoon. Het is de CEO zelf! Geen gemakkelijk mens…
Hij vraagt of u gek bent geworden. Het netwerk afsluiten? Nu meteen? Uitgerekend in de drukste week in het jaar? Vanwege een probleempje op een server? Geen sprake van!
Geschrokken gebaart u naar uw mensen dat ze nog even moeten wachten. Het wordt een moeilijk en lang gesprek.
En terwijl u wanhopig probeert de CEO te overtuigen, verspreidt de ransomware zich gestaag over het bedrijfsnetwerk.
Draaiboek
Dit scenario kan bij veel bedrijven gemakkelijk realiteit worden. Want er zijn nog maar weinig organisaties die een draaiboek hebben voor het omgaan met ransomware-aanvallen. Als het dan misgaat, moet iedereen improviseren. In een race tegen de klok!
Dat geldt niet alleen voor u, maar ook voor de business-managers en de gewone medewerkers. Niemand weet wat er aan de hand is of hoe hij op moet treden. Hoe voorkomt u zulke chaos?
Onder andere ISO 27001/27002 kan hier handvatten bieden. Deze standaard beschrijft welke controls een solide draaiboek voor security-incidenten moet bevatten. Enkele voorbeelden:
- Waar mensen een incident kunnen melden;
- Hoe het wordt geanalyseerd en gelogd;
- Wie welke taken en verantwoordelijkheden heeft;
- Welke berichten er moeten worden uitgestuurd, en naar wie;
- Welke maatregelen worden genomen om verspreiding te voorkomen;
- Hoe de schade wordt hersteld.
Emergency-response
Met name het rapportage gedeelte wordt vaak over het hoofd gezien. Maar het is wezenlijk. Niet alleen voor u, om overzicht te krijgen en achteraf de juiste veranderingen door te voeren. Maar ook voor de hulptroepen.
Want net als bij brand de brandweer wordt gebeld, zo kunt u bij een ransomware-aanval de hulp inroepen van een Computer Emergency Response team (CERT). Malware opsporen en verwijderen is immers een specialisme dat voortdurende bijscholing vergt. Als u goede, overzichtelijke informatie kunt leveren, kan het CERT meteen aan de slag.
Oefenen
Een andere overeenkomst met brand is uiteraard dat het draaiboek moet worden geoefend. Regelmatig en op alle niveaus! Voor het management en de IT zijn er crisissimulaties. Daar leert iedereen wat er mis kan gaan en wie dan de bevoegdheid krijgt om specifieke besluiten te nemen.
De gewone medewerkers op hun beurt moeten ransomware en andere verdachte zaken leren herkennen. Zodat ze er niet in trappen, maar juist meteen aan de bel trekken.
Goed gereedschap
Om zelf adequaat te kunnen reageren heeft u de juiste software nodig. Die geeft u meteen zicht op de situatie: waar de dreiging vandaan komt en wat voor links er zijn tussen verdachte zaken op het netwerk. Alles vanaf één console, met intuïtieve software. Zo gaat er geen tijd verloren aan coördinatieproblemen.
Vervolgens moet u de malware kunnen isoleren. Liefst door niet het hele netwerk af te sluiten, maar alleen bepaalde segmenten. De beveiligingscamera’s hoeven immers niet gekoppeld te zijn aan de financiële afdeling, en zo zijn er veel meer logische scheidingen.
Preventie
Met netwerksegmentatie komen we meteen ook bij de preventiemaatregelen. Want ook hier geldt: voorkomen is beter dan blussen. Als u ransom- en andere malware de pas af wilt snijden, is het buitengewoon raadzaam om de volgende zaken goed te regelen:
- Autorisatie: medewerkers én systemen mogen niet meer rechten hebben dan nodig is voor hun functie. Dat beperkt de risico’s bij een hack.
- Multifunctie-authenticatie (MFA): een wachtwoord is al lang niet meer genoeg. De beste aanvulling is een authenticatie-app op de smartphones van de medewerkers.
- Endpoint-detectie en -response (EDR): deze moderne software op de laptops herkent verdachte gebeurtenissen, zelfs als het om malware gaat die nog niet bekend is.
- Back-up: als het dan toch uit de hand loopt, moet u kunnen reken op een back-up die niet is gewist of versleuteld door de criminelen. En die back-up moet binnen enkele minuten of hoogstens uren teruggezet kunnen worden.
Maar dat alles hoeven we u waarschijnlijk niet uit te leggen? U heeft dit allemaal geregeld, toch?
Hoe houdt u ransomware buiten de deur?
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.