Cybercrime en ransomware: ben jij voorbereid?

Geplaatst door CorporatieMedia op
 

Twee van de snelst groeiende risico’s van de huidige tijd: cybercrime en ransomware. Is een hack of lek te voorkomen? Waar let je op in preventie en wat doe je áls je gehackt bent?

Het Nationaal Cyber Security Centrum (NCSC - onderdeel van het Ministerie van Justitie en Veiligheid) geeft het al aan in haar jaarlijkse rapportage over 2021: cyberaanvallen tasten het zenuwstelsel van de maatschappij aan. Helaas heeft een aantal collega-corporaties daarover mee kunnen praten in het afgelopen jaar. En dat zullen zeker niet de laatsten zijn, vermoed ik.

Het NCSC gaat in haar rapportage ook in op een aantal oorzaken: de digitale en fysieke wereld zijn sterk verweven geraakt en minder goed van elkaar te onderscheiden. Sterker nog: er zijn nagenoeg geen processen meer die geen digitale component hebben.

Daarnaast waarschuwt het NCSC dat de digitale dreiging zich zal blijven ontwikkelen. Dat is ook niet zo gek; het is voor velen big business. En dan zijn corporaties (overigens net als gemeenten) absolute bonusklanten, om meerdere redenen. Ten eerste: een corporatie heeft veel gegevens in huis. Daar kan je ze prima mee afpersen. Ten tweede kun je die gegevens vervolgens weer gebruiken voor identiteitsfraude. Ten derde: corporaties hebben financiële middelen. Overigens spreekt het NCSC al jaren over de ‘professionalisering van de criminele dienstensector’.

Zijn ransomware en cybercrime te voorkomen?
Op de vraag ‘Zijn ransomware en cybercrime te voorkomen?’ is het korte antwoord is: nee. Net als dat een inbraak zelden volledig te voorkomen is. Maar je kan wel veel doen om de kans zo klein mogelijk te maken of de impact van een aanval zo klein mogelijk. Eigenlijk is het elementair risicomanagement.

De kans verkleinen: preventie en detectie.
Laten we beginnen bij de zaken waar we direct invloed op hebben: de techniek. Als laaghangend fruit kunnen we snel een aantal zaken inregelen. MFA (Multi Factor Authenticatie) is een must en wachtwoordeisen zijn snel aangescherpt. Acht karakters kan eigenlijk niet meer, twaalf karakters zijn inmiddels wel de standaard. Aandacht voor accounts met speciale rechten, zoals admin-accounts is essentieel. Beperken van de mogelijkheid om in te kunnen loggen vanuit het buitenland voorkomt ook mogelijke schade.

Een back-up en recovery waren nog nooit zo belangrijk. Regel de back-ups goed in, maar zorg ook dat deze niet gewijzigd of aangepast kunnen worden en bewaar ze buitenshuis – of in ieder geval offline. En waar het jaarlijks testen van de recoveryprocedure meestal een check was voor de accountant, is het nu essentieel om dit periodiek te doen. Het inrichten van een proces voor volledige uitwijk is nu ook een echte must.

Preventie
Dan de mens: awareness is key. Omdat één van de aanvalsvectoren van hackers (spear-)phishing en andere manieren van social engineering betreft, is het van groot belang om collega’s bewust te maken van de risico’s van dergelijke aanvallen, hoe ze deze kunnen herkennen en wat ze moeten doen. Denk hierbij aan een mix van middele zoals een bewustzijnscampagne, trainingen, phishingcampagnes en noem maar op.

Detectie
Uit onderzoek blijkt dat hackers vaak al lang in systemen zitten en daardoor back-ups kunnen manipuleren en rustig op zoek gaan naar informatie die geld waard is. Plus dat ze graag op verschillende plekken achterdeurtjes openzetten. Je wilt dus zo snel mogelijk een signaal krijgen dat er wat aan de hand is. Kies dus voor een goed Intrusion Detection System (IDS) of laat je systemen aansluiten op een SOC/SIEM (Google maar voor uitleg of bel ons gerust). En zorg dat je incidentproces op orde is. Maak goede afspraken met je leverancier.

Die leveranciers spelen een grote rol in de huidige IV-infrastructuur van corporaties. Ze zijn essentieel voor de bedrijfsvoering. Maak (dus) goede afspraken met de leveranciers en daag hen uit op het gebied van informatiebeveiliging. Twee weten meer dan één en zo kun je elkaar scherp houden waar het gaat om maximaal effectieve security. Spreek in contracten het recht op een audit af en gebruik dat ook op een zinvolle manier.

Microsoft 365 maakt bij steeds meer organisaties haar intrede. De nieuwe standaard als het gaat om digitaal (samen) werken. SharePoint, OneDrive, Teams, Outlook en Office: alles in één. En met duizenden configuratiemogelijkheden. Maar is het nu veilig geconfigureerd? En wat kan je met het security dashboard en compliance manager? Verdiep je erin en tref de juiste maatregelen.

De impact verkleinen: business continuity management en cyber response
Het signaal snel krijgen is 1, snel handelen is 2. Weet wat je moet doen en doe het snel. Zorg voor een adequate business continuity-strategie, waarbij je hebt uitgewerkt wat de belangrijkste applicaties zijn en welke (recovery)-maatregelen je hebt getroffen. Ook de IT-calamiteitenorganisatie leg je hierin vast. Maak daarnaast een cyber response plan, waarin de response op meerdere scenario’s staan uitgewerkt inclusief een volledige rolverdeling en escalatieladder.

Onderdeel van het cyber response plan is natuurlijk ook het herstel. Zorg dat je goede afspraken met je leveranciers hebt. Train met elkaar de scenario’s: van table top-tests tot en met red teaming. Het éénmaal per jaar terugzetten van de back-up is anno 2022 echt onvoldoende. Ben je goed getraind, dan gaat het herstel ook sneller.

Hierboven beschrijf ik een aantal tips en zaken. Wel een disclaimer: het is niet zo dat je veilig bent als je enkel deze tips hebt opgevolgd. Er is veel meer mogelijk en te doen. Een goede risicoanalyse, weten wat je aan informatie in huis hebt, voldoende tijd en aandacht van een security officer (ook interim) is essentieel.

Bron: Audittrail via Aareon, Foto: Audittrail