Ransomware heeft een verwoestende impact op het bedrijfsleven. “Voor de meeste organisaties is dit nu cyberdreiging nummer 1, 2 en 3”, zegt Erno Doorenspleet, CTO van KPN Security. Toch zijn veel Nederlandse bedrijven niet goed beschermd. Waar ligt dat aan? En welke securitymaatregelen zijn absoluut cruciaal?
In 2021 werden talloze Nederlandse organisaties getroffen door gijzelsoftware. Van VDL en de Mandemakers Groep tot MediaMarkt en RTL Nederland: geen branche lijkt veilig. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid vormt ransomware inmiddels zelfs een bedreiging voor onze nationale veiligheid. “Helaas zijn er nog steeds bedrijven die de impact van een ransomware-aanval onderschatten”, stelt Doorenspleet. “Ze doen niet genoeg aan preventie en zijn niet goed voorbereid op een incident.”
Bent u ransomware-ready?
KPN Security helpt klanten bij het prioriteren van securitymaatregelen die de grootste risico’s op ransomware afdekken. “Eerst brengen we de risico’s in kaart. Op basis van diepgaande analyses bepalen we bijvoorbeeld in hoeverre een organisatie ‘ransomware-ready’ is. Veel grote bedrijven schakelen ons hiervoor in. Zij hebben al diverse maatregelen tegen ransomware getroffen en willen hun security door een onafhankelijke partij laten toetsen.”
Volgens de CTO blijkt soms dat zo’n bedrijf zijn zaakjes prima op orde heeft. “Met name in de financiële sector is het volwassenheidsniveau vrij hoog. Deze partijen hebben een doordachte strategie tegen ransomware en steken veel middelen in preventie, detectie en respons. Helaas geldt dat niet voor alle sectoren. Over het algemeen zijn Nederlandse organisaties nog onvoldoende weerbaar tegen ransomware. Met name het midden- en kleinbedrijf moet nog flinke stappen zetten.”
Security vaak geen prioriteit
Doorenspleet noemt een aantal verklaringen. “Soms is er niet genoeg budget voor cybersecurity. Ik merk ook vaak dat organisaties de risico’s onderschatten. Ze denken ten onrechte dat zij geen aantrekkelijk doelwit zijn. Er zijn ook veel bedrijven die hun IT-omgeving uitbesteden aan derde partijen. Zij verwachten dat de IT-dienstverlener de security voor hen regelt, terwijl dat niet altijd het geval is. Bovendien kan zo’n IT-partner zelf ook worden gehackt en zo zijn klanten blootstellen aan ransomware-aanvallen.”
Sommige organisaties hebben niet de expertise in huis om een solide IT-beveiliging in te richten. “Zij nemen ransomware serieus en hebben wel een aantal ad-hocmaatregelen getroffen. Maar er zit geen plan achter en de processen zijn niet goed ingericht. Als er een nieuwe kwetsbaarheid zoals Log4Shell wordt ontdekt, kunnen cybercriminelen daar direct misbruik van maken. Security is dan ook een continu verbeterproces op basis van de actuele risico’s. Daar ontbreekt het vaak aan.”
Universele aanpak bestaat niet
Maar hoe ziet een effectieve beveiliging tegen ransomware er dan concreet uit? “Elke organisatie heeft een ander risicoprofiel. Cybersecurity draait om het beschermen van de kroonjuwelen: de bedrijfskritische systemen en data. Binnen een ziekenhuis zijn dat bijvoorbeeld de medische apparatuur en de patiëntgegevens. Een retailer wil voorkomen dat de kassa- en voorraadsystemen door ransomware worden platgelegd. En een gemeente moet de continuïteit van de dienstverlening aan burgers waarborgen.”
Het selecteren van maatregelen is extra complex omdat er veel opties zijn. “Ransomware komt meestal binnen via phishing, bruteforce-aanvallen, malafide e-mailbijlages en kwetsbaarheden in software. Voor elke aanvalsvector zijn mitigerende maatregelen mogelijk. Ook maken we onderscheid tussen maatregelen in verschillende fases. Deze zijn gericht op het identificeren van risico’s, het beschermen van de IT-infrastructuur, het detecteren van aanvallen, het reageren op incidenten en het herstel.”
Basisbeveiliging tegen ransomware
Toch zijn er volgens Doorenspleet wel degelijk maatregelen die elke organisatie zou moeten treffen. “Security begint bij goede informatiebeveiliging. Zorg er in ieder geval voor dat uw systemen veilig geconfigureerd zijn en schakel overbodige functies uit. Dit wordt hardening genoemd. Hanteer daarnaast een strikt patch- en updatebeleid. Beperk de toegang tot systemen en data, zodat deze afgeschermd zijn van de buitenwereld. En maak gebruik van een moderne antivirusoplossing die malware tegenhoudt.”
Bij een ransomware-aanval wordt het netwerk eerst grondig verkend. De aanvallers proberen zoveel mogelijk systemen te besmetten voordat ze de ransomware activeren. “Daarom is het belangrijk om het netwerk goed te segmenteren. Door deze digitale branddeuren wordt het moeilijker om het gehele netwerk te compromitteren. Een andere cruciale maatregel is het maken van meerdere back-ups op verschillende locaties, in combinatie met een disaster-recovery-oplossing. Daarmee bespoedigt u het herstel.”
Wees voorbereid op het ergste
Verder adviseert Doorenspleet elk bedrijf om een incident-responseplan te maken. “Ga ervan uit dat u ooit slachtoffer wordt van ransomware. Belangrijke systemen zijn niet beschikbaar, uw bedrijfsvoering raakt ontregeld en de cybercriminelen eisen een fors geldbedrag. Hoe handelt u dan? Wat is uw beleid ten aanzien van het losgeld? Hoe ziet de herstelprocedure eruit? Hoe communiceert u met klanten en de media? Leg dit vast in een plan en oefen de afspraken regelmatig. Een goede voorbereiding scheelt enorm.”
Heeft u het vermoeden dat cybercriminelen binnen proberen te komen bij uw organisatie? Of erger nog: zijn een of meerdere systemen al besmet met ransomware? Dan belt u de digitale brandweer. “Specialisten analyseren de situatie en bepalen wat de beste manier is om de impact zoveel mogelijk te beperken. Als het incident onder controle is, doen ze aanbevelingen om herhaling te voorkomen. Een ransomware-aanval is ingrijpend, maar u staat zeker niet machteloos.”
Ransomware readiness scan
De ransomware readiness scan geeft extra bescherming tegen onder meer ransomware. Deze helpt je te onderzoeken in hoeverre jouw organisatie is voorbereid op een dergelijke aanval. Je ontdekt waar de zwakke plekken zitten en hoe je deze kunt aanpakken.