Ransomware. De IT sector heeft in geen jaren zoveel gevaren gekend. Maar wat kunnen we daar tegen doen?

“Als ik voor de branche zou mogen spreken denk ik dat de IT sector in jaren niet zo veel gevaren heeft gehad als de huidige tijd met ransomware. Dat heeft voor het grootste deel te maken dat de technologie wellicht de plek is waar het plaatsvind…”

~ Peter Rog

“Als ik voor de branche zou mogen spreken denk ik dat de IT sector in jaren niet zo veel gevaren heeft gehad als de huidige tijd met ransomware. Dat heeft voor het grootste deel te maken dat de technologie wellicht de plek is waar het plaatsvind…”

~ Peter Rog

Wat is Ransomware?

Voor de meeste wellicht allemaal bekend, maar ik ontkom er niet aan om nogmaals kort uit te leggen wat ransomware is. Alle data die je gebruikt binnen Outlook, Word, clouddiensten, Google, Youtube of Facebook komt altijd terug in een database of bestand op een server. Alles wat je op internet kunt doen is dus altijd ergens data op een server. De locatie van de data is soms bekend als het op je eigen server of computer staat en soms onbekend als je de betreffende dienst afneemt bij een externe partij. Wanneer een pc of laptop is geïnfecteerd met ransomware, wordt alle data versleuteld. Hierdoor is het alleen nog maar toegankelijk met een wachtwoord. De methode van versleuteling passen wij ook toe, maar dan om hardware te beveiligen. De data is alleen toegankelijk wanneer wordt ingelogd met het juiste account, gebeurt dit niet, dan kan de gebruiker niet bij data. Wordt een laptop dus gestolen en heeft de dief niet de beschikking over je inloggevens, dan is er ook geen toegang tot de data op de laptop. Vanuit de AVG wetgeving is dit verplicht, zodat verlies van persoonsgegevens bijna onmogelijk is.

Ransomware is exact dezelfde techniek, maar dan tegenovergesteld; de data wordt versleuteld door de aanvaller en alleen hij heeft de sleutel hiervoor. Als eigenaar ben je dus afgesloten van je eigen data en informatie. Tegen betaling wordt de sleutel verstrekt en daarmee is er weer toegang tot de data.

Oorzaak

Na de uitleg van ransomware komt over algemeen de vervolgvraag; Hoe komt het binnen? Op deze vraag is geen eenduidig antwoord, maar we kunnen wel een aantal oorzaken toelichten:

Thuiswerken

Thuiswerken is voor iedereen erg belangrijk. We zijn een flexibele economie en willen op verschillende momenten of locaties snel en makkelijk toegang tot de data om te kunnen werken. Deze werkwijze kan via Teamviewer, Remote Desktop, VPN of Office365 worden ingevuld zodat je makkelijk overal aan de slag kunt. Het gevaar is dat deze toegangen 24/7 beschikbaar zijn voor misbruik vanaf het internet en daardoor eigenlijk continue geprobeerd wordt in te loggen op hardware via één van deze kanalen. Wanneer het lukt zijn ze binnen en proberen ze de data zo snel mogelijk te versleutelen.

E-mail

E-mail is voor de aanvaller een middel om een bruggetje te slaan tussen hem en de data. Wanneer de gebruiker op een linkje klikt, op de verkeerde pagina inlogt of andere verkeerde actie uitvoert is de kans groot dat de aanvaller door deze gebruiker toegang krijgt tot de data en daarmee alles zo snel mogelijk versleuteld.

Wachtwoorden

Wachtwoorden zijn de derde en voor ons de meest gevaarlijke. Al jaren zijn wachtwoorden de enige manier op veiligheid te borgen tot een systeem. Met een wachtwoord krijg je toegang tot een bank, mailomgeving of VPN. Maar hoe veilig is dat wachtwoord, hoe vaak gebruik je hetzelfde wachtwoord en wat nou als je het wachtwoord ooit op de verkeerde plek intypt. Wie heeft het wachtwoord dan? Gebruik van enkel één wachtwoord noemen we ook wel 1-factor authenticatie (1FA). Er is maar één element nodig om jezelf toegang tot het systeem te verschaffen, namelijk het wachtwoord. 1FA is in 2020 eigenlijk uit den boze. Je moet ieder denkbaar systeem uitvoeren met 2FA (2-factor authenticatie) of 3FA (3-factor authenticatie). Wat is de beste beveiliging?

  • 1FA: Iets wat je weet – een wachtwoord
  • 2FA: Iets wat je hebt – een sms op een telefoon
  • 3FA: Iets wat je bent – verificatie met gezicht, vingerafdruk of iris.

2FA kent iedereen van zijn bank. Je moet inloggen met gebruikersnaam en wachtwoord. Maar om acties uit te voeren moet je zaken bevestigen met een pasje of via een app. Dit is de 2de authenticatie factor.  De reden dat 3FA, je iris en/of vingerafdruk, nog niet actief door banken worden gebruikt heeft vooral te maken met gebruiksvriendelijkheid.

Voorkomen is beter dan genezen. Maar hoe?

Bovenstaand zijn drie scenario’s die allemaal andere type beveiligingen nodig hebben om een aanval te voorkomen.

Thuiswerken

Thuiswerken kan enkel worden beveiligd door ervoor te zorgen dat alle hardware, software, antivirus, firmwares, accesspoints, routers en VPN devices altijd up-to-date is. Daaroverheen leggen we extra lagen beveiliging een aanval of misbruik tot een minimum te beperken. Denk hierbij aan een IP filter, zodat je alleen verbinding kunt maken naar een pagina of VPN vanaf Nederlandse providers. Of …… Dit zijn geen heiligmakende middelen als je ze los implementeert, maar wanneer gecombineerd zorgen ze voor een extra beveilliging.

E-mail

E-mail is een risico dat nooit volledig technisch kan worden beveiligd. Het risico is namelijk de gebruiker die, vaak onbewust, een fout maakt en daarmee een deur openzet voor de aanvaller. Hier is opleiding, bewustwording en de inrichting van procedures i.c.m. technische hulpmiddelen de oplossing. De gebruiker moet begrijpen wat risico’s zijn en kan daarbij geholpen worden door de software die een melding geeft dat er wellicht iets bijzonders aan de hand is.

Wachtwoorden

Wachtwoorden  en 2fa zijn zaken die in heel veel systemen kunnen worden geactiveerd. Soms kosten ze geld, soms zijn de minder “handig” voor de gebruikerservaring, soms worden ze nog steeds niet aangeboden, maar veel vaker zijn ze gewoon niet geactiveerd. De meest recente aanval op de Universiteit Maastricht kwam ook als we de berichten moeten geloven, door het ontbreken van 2FA (Zie: Cyberaanval Universiteit Maastricht). Werken met e-mail, of dit nou Gmail, Office 365 of een andere oplossing is, zonder 2FA is wat mij betreft absoluut not done en één van de grootste veiligheidsrico’s die er is.

Wat kunnen back-ups in een Ransomware situatie voor je betekenen

Nu krijgen ook wij vaak te horen dat een goede back-up een vereiste is en dat je daarmee het probleem oplost. Dat was tot 2020 inderdaad een goede oplossing, echter nu niet meer! Wanneer de aanvaller de data versleuteld en jou afsluit tot toegang kun je met een goede back-up bijvoorbeeld terug naar een versie van 1 uur geleden, gisteren of voor het weekend. Dat is afhankelijk van het moment dat de aanvaller binnen was en dat de versleuteling van je data was begonnen. Daarmee heb je je data weer terug en verlies je wellicht 1 uur of 2 dagen productie. Uiteraard heel vervelend, maar je kunt wel verder. Toch?

Sinds de laatste weken doen de aanvallers iets nieuws en dat zorgt voor een geheel nieuw gevaar. Wat de aanvaller doet? Ze kopiëren de data naar een eigen server! Dat doen ze nadat ze binnen zijn gekomen en voordat ze je data versleutelen. Met deze kopie kunnen ze een nieuwe vorm van betaling vereisen. Namelijk dat je moet betalen om publicatie van de data op internet te voorkomen. De back-up is dus enkel de oplossing om ervoor te zorgen dat de productie niet tot stilstand komt. Het is niet meer de oplossing om te voorkomen dat je moet betalen.

Rol van Wizzbit

Kunnen wij alles beveiligen? Ik hoop dat je door het lezen van de drie voorbeeld ziet dat het niet volledig onze verantwoordelijkheid mag zijn. Je mag van Wizzbit als professionele dienstverlener verwachten dat we het maximale doen om alle elementen aan te stippen en in te richten naar een gewenste maatstaf. Echter is dat zeker niet de enige oplossing. Even een aantal tips;

  1. Zorg voor een IT dienstverlener die je helpt en ondersteunt maar vooral beveiliging zeer serieus neemt. Ga hierover in gesprek en vraag hoe zij het hebben geregeld. Want je IT dienstverlener kan immers ook overal bij! De hardware, software en clouddiensten zijn tegenwoordig zo complex en risicovol dat er voor alle IT oplossingen ook vanuit beveiligingsoogpunt moet worden nagedacht.
  2. Ga zelf na of alle portals 2FA actief hebben. Verzekeraars, HR, CRM, ERP, Websites, WordPress, Gmail, Office365, Digid, ze hebben het eigenlijk allemaal wel beschikbaar. Veel stellen het alleen nog niet verplicht. Zorg daar zelf voor en activeer het!
  3. Archiveer data die je niet gebruikt. De AVG wetgeving zegt dat je alle data die je hebt enkel mag hebben als je dit nodig hebt. Deze beweging zorgt ervoor dat je oude data gewoon moet archiveren en in de kluis moet leggen of gewoon verwijderen. Mocht er dan een inbraak zijn, dan is hetgeen wat is buitgemaakt tot een minimum beperkt.
  4. Train en bespreek de risico’s met alle mensen binnen je bedrijf. Dit onderdeel is voornamelijk het opstellen van processen zodat een hack, backoverschrijving, linkje, mailtje of telefoontje op de juiste wijze wordt afgehandeld. De bekende CEO fraude (een mail naar de financiële verantwoordelijke vanuit de directe dat er even 5000 euro moet worden overgemaakt) mag niet werken als er correcte procedures zijn rondom transacties, overboekingen of goedkeuringen.

Persoonlijke noot

Bovenstaand laat hopelijk zien dat iedereen een aandeel heeft in het tegengaan van dit soort aanvallen te kunnen weerstaan. Persoonlijk voel ik de druk om te komen tot de beste beveiliging bij al onze relaties en uiteraard onze eigen IT omgeving. Wij zijn continue bezig om alle facetten te onderhouden, onderzoeken en te updaten om de risico’s kenbaar te maken en te bespreken. Maar, er is geen heilige oplossing, enkel een kat en muisspel dat 24/7 wordt gespeeld en steeds complexer wordt. Dus geen tijd om stil te zitten maar door met updaten.