De meeste organisaties hebben het risico op ransomware intussen wel op de radar staan. Terwijl dat natuurlijk een goede zaak is, moeten we ook vaststellen dat het aantal aanvallen en de schade van ransomware een ongezien niveau hebben bereikt. Vaak horen we van getroffen bedrijven dat ze wel wisten dat de impact van een aanval ernstig kon zijn, maar dat de reële gevolgen zelfs hun stoutste dromen overtreffen. De reden? Hun business was onvoldoende voorbereid om te herstellen van zo’n rampscenario.
In een recent rapport over databescherming en ransomware recovery stelt liefst 85% van de bedrijven dat ze in de voorbije twaalf maanden minstens één keer door ransomware zijn geraakt. In 49% van de bedrijven zijn hackers twee tot drie keer over de vloer gekomen. En in 17% van de gevallen was het zelfs vier keer of vaker prijs. Het zijn duizelingwekkende statistieken die één ding duidelijk maken: elke organisatie moet ervan uitgaan dat ze in de zeer nabije toekomst met een cyberaanval te maken zullen krijgen.
Nog meer focussen op de ransomware zelf is niet de oplossing. Bedrijven fixeren zich nu al zodanig op dat ene concept dat ze de rest van het plaatje niet meer zien. Niet alleen zijn er nog veel schadelijkere methoden dan ransomware die de weg vrijmaken voor een succesvolle en verwoestende aanval. Vaak zijn hackers bij een aanval al maanden tot jaren ongestoord in de systemen van het bedrijf aan het rondneuzen voor ze de ransomware loslaten. Om ons degelijk voor te bereiden, moeten we eerst begrijpen welke mechanismen er aan een aanval met ransomware voorafgaan.
Een ongenodigde gast in je systeem
Eigenlijk is de ransomware-eis slechts het laatste stukje in de aanvalscyclus. Het is het ogenblik waarop de aanvallers uit de schaduw treden en zichzelf zichtbaar maken. Zonder dat je het weet is de kans groot dat hackers ook op dit moment aan het meekijken zijn in de systemen van je organisatie. Bovendien hebben niet alle cyberaanvallers de intentie om ransomware uit te sturen. Zolang ze niet opvallen, kunnen ze gevoelige informatie bekijken en stelen, wat voor de business nog meer schade kan veroorzaken dan het betalen van ransom in ruil voor versleutelde data of systemen.
Een typische aanval begint met een observatiefase waarbij hackers op zoek gaan naar interessante doelwitten in je organisatie. Vervolgens sturen ze phishing uit om toegangspunten te creëren. Die kunnen ze zelf gebruiken, maar evengoed doorverkopen aan andere cybercriminelen die op hun beurt via interne kanalen phishing verspreiden om zo nog meer toegang en privileges te versieren. Net zoals wij hen niet zien, weten ook de hackers nog niet waar ze zich precies bevinden. Alsof ze door een donker hotel lopen en geleidelijk aan ontdekken waar zich de receptie, de keuken en de liften bevinden. Onderweg nemen ze machines over en schakelen ze zoveel mogelijk securitymechanismen uit.
Ondertussen zijn we al minstens enkele maanden verder en voelen de hackers zich steeds meer thuis in je organisatie. Voor ze al dan niet overgaan tot het versturen van ransomware hebben ze in elke fase van de aanval al malware toegevoegd. Zeker je back-ups krijgen veel aandacht, aangezien je organisatie deze kan gebruiken om snel te herstellen en op die manier ook eventuele ransom-eisen kan omzeilen. Na een aanval moet het grondig opkuisen van die malware ook de hoogste prioriteit krijgen, omdat hackers langs deze weg snel kunnen terugkeren om je organisatie nog een tweede keer te treffen.
Wees voorbereid op elke ramp
Kunnen we dan niets doen om de impact van een cyberaanval te beperken? Hoewel er geen magische oplossing bestaat, moeten we in elk geval de weerbaarheid van de organisatie vergroten. En daarvoor zou elk bedrijf over een sterk rampenplan moeten beschikken. Dat we hier in het verleden niet zozeer mee bezig geweest zijn, valt best te begrijpen als je weet dat veel rampen (zoals een zware overstroming) slechts één keer in de honderd jaar voorkomen. De kans op een cyberaanval is echter veel groter. Net zoals elke andere ramp vraagt zo’n aanval om sterk crisismanagement met duidelijke communicatie en een crisisteam dat snel beslissingen kan nemen.
Een goed cyberrecoveryplan focust daarom niet alleen op de IT-afdeling en de technologische component van de organisatie, maar ook op de twee andere ingrediënten die deel uitmaken van de succesformule van een modern bedrijf: mensen en processen. In een digitale maatschappij moeten we de cohesie tussen deze drie pijlers uitbreiden. Enkel zo kan het bedrijf z’n veerkracht echt vergroten en snel herstellen na om het even welke ramp of tegenslag, inclusief een aanval met ransomware.
Het wordt erger voordat het beter wordt
We sluiten deze bedenking af met goed en slecht nieuws. Het slechte: ransomware heeft z’n hoogtepunt voorlopig nog niet bereikt. Zoals het eerdergenoemde rapport uitwijst, volgen we een trend waarbij de situatie eerst erger moet worden vooraleer er beterschap kan optreden. Het goede nieuws is dat er uiteindelijk wel een ommekeer zal aankomen. Wellicht over een tweetal jaar zullen bedrijven veerkrachtig genoeg zijn, omdat ze geleerd hebben uit het verleden en weten welke stappen ze in een rampscenario moeten zetten.
Natuurlijk zullen cyberaanvallen altijd chaos blijven veroorzaken, maar met een sterk rampenplan kunnen we die chaos enigszins controleren en verzekeren dat data gerecupereerd kan worden. Voorwaarde is wel dat we de geromantiseerde sfeer rond cybercrime wegwerken en de ernst van de situatie erkennen. Nog al te vaak wordt cybercrime in de eerste plaats gezien als een onderwerp dat net zoals een thriller spannend is om over te lezen, maar beseffen we niet genoeg dat hackers criminelen zijn die veel mensen schade berokkenen. Ransomware is daarom een snoeiharde vorm van misdaad die we met z’n allen samen voor eens en altijd moeten bestrijden.
Dit is een ingezonden bijdrage van Edwin Weijdema, Field CTO EMEA bij Veeam Software & Lead Cybersecurity Technologist.