De beste teambuilding: een ransomware-aanval volgens Veeam

Ransomware blijft organisaties wereldwijd teisteren. België ontspringt ook niet aan de dans van ransomware-groepen. Volgens Veeam hoeft zo’n aanval daarom niet altijd het einde van de wereld te betekenen voor een bedrijf.

Bij een eerste keer te lezen dat een ransomware-aanval de beste teambuilding is, stonden we zelf ook even verbaasd te kijken. Hoezo kan je een ransomware-aanval zien als de beste teambuilding ooit? Met die intrigerende insteek gingen we het gesprek aan met Edwin Weijdema, Global Technologist bij Veeam.

Weijdema is het centraal aanspreekpunt voor bedrijven die bescherming zoeken tegen een cyberaanval, of al slachtoffer zijn. “In dat laatste geval kom je eigenlijk midden in een soort van oorlogsgebied en dan zie je bepaalde kanten van mensen die je nog nooit hebt gezien.” Een aanval benoemen als een teambuilding is dan ook heel hard, geeft Weijdema toe.

Toch blijft hij ransomware-aanvallen als een teambuilding benoemen op evenementen. Dat trekt de aandacht, maar Weijdema kan ook uit eigen ervaring zeggen dat het niet verkeerd is om het die benaming te geven. Hij heeft al vaak gezien dat traditionele silo’s smelten als sneeuw voor de zon eens een ransomware-aanval treft.

Tijdens zijn loopbaan heeft hij ook het omgekeerde verhaal al meegemaakt, een ‘explosie’ benoemt Weijdema dat. Binnen die bedrijven beginnen collega’s met een beschuldigende vinger naar elkaar te wijzen. Op dat moment wordt hij dan ook ingeschakeld om alle neuzen weer in dezelfde richting te laten wijzen.

Een goede voorbereiding drukt de kosten

Een ransomware-aanval mag Weijdema dan voorstellen als een goede teambuilding, het financiële departement zal toch een goedkopere teambuilding verkiezen. “Ga voor het kostenplaatje uit dat het van 100.000 euro’s tot tientallen miljoenen loopt voor één ransomware-aanval.” Dat bedrag is de afgelopen zeven jaar flink de hoogte ingegaan: “In 2015 was er elke 120 seconden een aanval, nu in 2021 vindt er elke 11 seconden een aanval plaats. In 2015 was er wereldwijd 325 miljoen dollar schade door ransomware, in 2021 loopt dat op tot 20 miljard dollar schade.”

In 2015 was er elke 120 seconden een aanval, nu in 2021 vindt er elke 11 seconden een aanval plaats.
Edwin Weijdema, Global Technologist bij Veeam

De prijzen die Weijdema hier benoemt, wijzen niet alleen op het gevraagde ransom-bedrag. Hij telt er alle gevolgschade bij. Volgens hem kan het weken, maanden tot wel een jaar duren voordat een bedrijf volledig is hersteld van een ransomware-aanval. De vijf functies van het National Institute of Standard and Technology beschrijven de vijf pijlers die bedrijven moeten doorlopen om hun cybersecurity in orde te hebben: identificeer, bescherm, detecteer, reageer en herstel.

Volgens Veeam sluit het herstel het verhaal nog niet af. Er wordt daarom geopperd de zesde pijler rapportage toe te voegen. “Soms is dat verplicht vanuit de regelgeving, maar als bedrijf wil je dat eigenlijk altijd vastleggen.” Ondernemingen kunnen door de documentatie leren van elkaar en goede principes ontwikkelen die toepasbaar zijn voor, tijdens of na een ransomware-aanval plaatsvindt.

Herstelproces

In de vijfde pijler is het kwaad dus geschied en moeten bedrijven door heel wat malaise gaan om data te herstellen: “De back-up wordt eerst grondig bekeken en hopelijk goedgekeurd. Eens dat gebeurd is, geeft het bedrijf de back-up aan IT en die zet hem dan weer op een nieuwe omgeving. Dat hele proces kost natuurlijk ontzettend veel geld.”

Doordat niet langer alles on-premises wordt georganiseerd, is het bovendien nog een uitdaging om te weten op welke manier processen met elkaar communiceren. Bij een ransomware-aanval betekent dit een nog langere hersteltijd.

“Veeam heeft daar de Veeam Disaster Recovery Orchestrator voor.” Het is in feite de bedoeling dat bedrijven hiervoor nagaan welke systemen echt broodnodig zijn. Bij een aanval wordt het zo voor bedrijven mogelijk om snel die kritische systemen terug online te gooien.

“Hiervoor zag je dat er heel weinig interesse was in dit product, maar nu merken we dat de interesse enorm toeneemt door de stijging van het aantal aanvallen. Het scheelt natuurlijk enorm voor een bedrijf als alles geautomatiseerd is. Zonder automatisering moeten bedrijven alle processen handmatig doen.”

Werknemer staat centraal

“Ransomware werd voor lange tijd gezien als een probleem voor de IT-afdeling. Later zijn bedrijven erachter gekomen dat ransomware zo destructief is, als een aardbeving, en dus het volledige bedrijfsproces verstoort.” Bedrijven kunnen de kosten drukken door in te zetten op trainingen. Eens werknemers weten wat te doen als alle digitale wegen zijn afgesloten, heeft een ransomware-aanval veel minder desastreuze gevolgen.

“Ik begin altijd vanuit de mens, de mens gebruikt immers technologie en niet andersom. De oorsprong van het probleem bevindt zich dan ook altijd bij mensen. Zij zijn de eerste die een link of een aanvraag krijgen, waardoor het systeem besmet raakt en toegang wordt gecreëerd voor de hackers. Het is belangrijk daarom eerst met de mens te beginnen.”

Volgens Weijdema zijn de basisprincipes al in ieder mens aanwezig, het jammere is alleen dat we die principes in de digitale wereld eenvoudig over boord gooien: “In de fysieke wereld ga je van huis en doe je de deur op slot. Zo is het je aangeleerd en dat doe je altijd. Op kantoor daarentegen staat een laptop open en staat de koffiezet 50 meter verder, daar staan we gewoon op en halen we koffie, terwijl die laptop gewoon open en bloot staat.” Het is daarom een kwestie die mensen op te leiden om te leren dat dezelfde principes belangrijk zijn.

Technologische processen dienen als ondersteuning

Zoals ondertussen wel duidelijk mag zijn, schuift Weijdema de technologische processen naar de achtergrond. Hij benadert bedrijven als volgt: “Let op jullie mensen, let op jullie processen en daarna kijken we welke technologie erbij past om die mensen en processen te ondersteunen.”

Let op jullie mensen, let op jullie processen en daarna kijken we welke technologie erbij past om die mensen en processen te ondersteunen.
Edwin Weijdema, Global Technologist bij Veeam

Volgens dat motto is het dus nodig om de technologische processen beter te analyseren, eens de trainingen achter de rug zijn. Zo is het mogelijk om werknemers een meldingsknop aan te bieden, waardoor zij verdachte berichten onmiddellijk naar een bevoegd persoon kunnen doorsturen.

Niet langer een probleem van internationale merken

Volgens Weijdema is een bescherming tegen ransomware ook belangrijk geworden voor kmo’s. De reden daartoe vindt hij in de coronapandemie waardoor ieder bedrijf met technologie te maken heeft: een website om te bestellen en een geautomatiseerd proces voor de levering.

Kmo’s werken veel vaker samen met service-providers. “Dat is een goede zaak denk ik”, vertelt Weijdema. “Service-providers hebben meer IT’ers en kunnen kmo’s een degelijke bescherming aanbieden.”

Binnen de enterprisemarkt ziet Weijdema een ander verhaal: “Grote bedrijven kunnen hun eigen IT-dienst beheren. Die bedrijven raad ik dan toch nog altijd aan om een externe partner mee te laten kijken. Externen kunnen IT-beheerders mee in de gaten houden en vreemd gedrag melden. De beveiliging buiten het bedrijf laten enterprises vaak ook over aan een externe partner, maar dat verhaal verandert dan ineens voor de digitale beveiliging.”

Eigen verantwoordelijkheid

Bedrijven die de beveiliging uitbesteden, hebben volgens Weijdema vaak de verkeerde perceptie dat de externe partner dan ook verantwoordelijk wordt voor de data. Dat klopt niet. “Sommige bedrijven denken: ‘Ik trek naar de cloud, laad daar alles in op en dan is de cloud verantwoordelijk’. De verantwoordelijkheid rondom data blijft alleen altijd bij je organisatie zelf.”

Sommige bedrijven denken: ‘Ik trek naar de cloud, laad daar alles in op en dan is de cloud verantwoordelijk’. De verantwoordelijkheid rondom data blijft alleen altijd bij je organisatie zelf.
Edwin Weijdema, Global Technologist bij Veeam

Een goede back-up kan een bedrijf bij een ransomware-aanval heel wat ellende besparen. Met de 3-2-1 back-up regel weten bedrijven perfect wat een goede back-up inhoudt. “Drie kopieën, op twee verschillende media en de data niet centraal maar off-site bewaren”, benadrukt Weijdema. Veeam heeft aan die regels nog een nul toegevoegd. Weijdema legt uit waar dat voor staat: “Back-ups testen, dat moet altijd gebeuren.”

De 3-2-1 back-up regel is een bekend begrip geworden in de IT-wereld en ook cyberverzekeringen omarmen die regel. Weijdema vertelt dat cyberverzekeraars dat uit noodzaak deden. Een groot aantal verzekeringen zijn namelijk over de kop gegaan de afgelopen vier maanden, doordat het losgeldeisen niet langer kon betalen. Hackers viseerden namelijk graag bedrijven die een cyberverzekering hebben lopen. Zij keken hiervoor tot welk bedrag bedrijven verzekerd zijn en maken gebruik van die informatie.

“In veel gevallen zie je in de overeenkomst staan dat de 3-2-1 regel moet worden nageleefd. Hetzelfde als bij een brandverzekering, moet je maatregelen treffen. Dat is niet anders in de digitale wereld.”

Veeam ondersteunt bedrijven waarbij ransomware succesvol is binnengedrongen, maar biedt ook oplossingen aan om ransomware buiten de deur te houden. Wil jij je onderneming beter beschermen tegen ransomware, dan kan de ransomware prevention kit iets voor jou zijn. De bescherming valt 30 dagen lang gratis uit te testen.

Dit is een redactionele bijdrage in samenwerking met Veeam. Voor meer informatie over de oplossingen van het bedrijf, kan je hier terecht.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

De beste teambuilding voor een bedrijf: een ransomware-aanval