Ransomware: voorkom dat u het volgende slachtoffer wordt

De afgelopen dagen hebben we gemerkt dat Suriname vatbaar is voor ransomware-aanvallen. AZP, het Academisch Ziekenhuis Paramaribo, is hierover in de publiciteit getreden en krijgt nu zoveel mogelijk hulp van andere Surinaamse bedrijven om er weer bovenop te komen.

Een ransomware-aanval kan heel ingrijpend zijn. Alle servers, gegevens en zelfs backups hiervan kunnen “gegijzeld” worden: alles wordt versleuteld, niemand kan er meer bij. Wat rest is een bericht waarin om “losgeld” wordt gevraagd, meestal te betalen in bitcoin, een digitale vorm van betalen waarbij de ontvanger anoniem blijft. De daders blijven zo anoniem. Intussen ligt de betreffende organisatie stil, bedrijfsprocessen die afhankelijk zijn van computers stoppen onmiddellijk.

Wie doet zoiets?

De eerste vraag is altijd: wie heeft ons dit aangedaan? Het is verleidelijk en menselijk om gelijk bekende kringen na te lopen: wie kennen we die dit zou kunnen? Wie heeft iets tegen ons? Bij ransomware is het antwoord over het algemeen: een cybercrimineel ergens in het buitenland waar u nog nooit van heeft gehoord, en die ook niet bekend is met uw organisatie. 

Hoe werkt een ransomware-aanval?

Een medewerker in uw organisatie heeft zeer waarschijnlijk een email ontvangen met een bijlage of een link naar een (gehackte) website. Uit nieuwsgierigheid en nietsvermoedend heeft die medewerker de bijlage geopend of de website bezocht, en zo de kwaadwillende software gedownload en geactiveerd. Vanaf dat moment is uw organisatie overgeleverd aan maatregelen die u hopelijk al klaar heeft staan en hopelijk effectief zullen blijken om uw organisatie te behoeden voor de ellende die AZP is overkomen.

Wat kan mijn organisatie doen om geen slachtoffer te worden?

Niet op de link klikken, of die bewuste bijlage niet openen is het meest effectief. Maak ruimte voor educatie van uw medewerkers. Zorg voor bewustzijn van de gevaren, op continue basis, met een continue awareness campagne. Overweeg een “rijbewijs” voor computergebruik: wie achter de computer werkt, moet eerst een training doen en slagen. Want: with great power comes great responsibility.

Er is altijd een kans dat toch iemand een ransomware-bijlage opent. U bent, om het voortbestaan van uw organisatie te borgen, daarom verplicht verder te gaan met uw maatregelen. Denk hierbij aan:

  1. Een kwalitatief goede malware/virusscanner, die goed wordt onderhouden (altijd up to date)
  2. Beperken van toegangsrechten van medewerkers, ook ICT-ers, tot het hoognodige.
  3. Up to date houden van al uw software, gebruik legale licenties, verwijder onnodige software
  4. Backups, minimaal twee verschillende, op twee verschillende locaties opgeslagen. Minimaal één backup mag nergens op zijn aangesloten, zodat de ransomware er niet bij kan. Denk aan externe USB-schijven, ontkoppeld, of, voor grote hoeveelheden data, backuptapes.
  5. Afspraken maken over detecteren en melden van ransomware en wat hierna te doen. U heeft nu nog de tijd om rustig na te denken. Beslissingen genomen in een panieksituatie zijn meestal niet de meest verstandige. 
  6. Oefen het scenario periodiek “droog”, zogenaamde tabletop exercises zijn een gebruikelijke en effectieve methode hiervoor.

Wat is de rol van de directie hierin?

Voorkomen van ransomware is een zaak van de gehele organisatie. De ICT-afdeling alleen kan het niet altijd voorkomen, hooguit de schade beperken. Daarom heeft de directie een belangrijke rol te vervullen:

  1. Maak ondubbelzinnig duidelijk dat het menens is met de maatregelen. Ondersteun uw ICT-afdeling hierin – maar vraag wel duidelijke uitleg over het hoe en waarom van de maatregelen.
  2. Geef zelf het goede voorbeeld: houd u aan de afgesproken maatregelen en spreek medewerkers erop aan als u merkt dat zij zich er niet aan houden.
  3. Zorg ervoor dat de ICT-afdeling in staat wordt gesteld om met prioriteit te werken aan de nodige maatregelen, zoals hierboven genoemd. Dat kan betekenen dat soms andere zaken een lagere prioriteit moeten krijgen.
  4. Neem geen genoegen met mondelinge rapportage over de maatregelen. Vraag om bewijs dat gebruikers niet op gevaarlijke bijlagen klikken, bewijs dat backups werken, bewijs dat backups offline zijn, vraag hoeveel data uw organisatie in het ergste geval kwijt zal zijn. En stuur zo nodig bij als de rapportage daar aanleiding toe geeft.
  5. Doe mee met de tabletop exercises, het “droog oefenen” voor de dag dat de ransomware-aanval realiteit wordt. U heeft niet alleen een rol in deze oefeningen, het is ook belangrijk dat u met eigen ogen waarneemt in hoeverre uw organisatie voorbereid is op het ergste.
  6. Maak van cybersecurity een standaard agendapunt op managementteam-vergaderingen.

Expertise beschikbaar in Suriname

Mocht u hulp nodig hebben, er is in het ledenbestand van de ICT Associatie Suriname expertise beschikbaar die u van dienst kan zijn bij het voorkomen van ransomware. Bent u eenmaal slachtoffer geworden, dan zult u helaas terug moeten vallen op dure buitenlandse expertise, omdat wij in Suriname (gelukkig) niet vaak genoeg met grote succesvolle aanvallen in aanraking komen om hier veel ervaring in op te bouwen – al lijkt dat helaas nu snel te veranderen.

Wilt u daar hulp bij, maak dan contact via het emailadres hello@ict-as.sr.