Ransomware. Het domineert al sinds een aantal jaar de krantenkoppen over de hele wereld. Iedere sector is er ooit weleens in aanraking geweest, ook de financiële sector. Ondanks dat deze sector zich nu over het algemeen meer bewust is van de gevaren van ransomware-aanvallen, hebben toch veel bedrijven nog steeds geen goed idee van wat ze moeten doen als ze worden aangevallen.
Door: Sander Kerkhoffs
Volgens onderzoeksbureau Gartner kunnen de kosten van recovery en de resulterende downtime in de nasleep van een ransomware-aanval tien tot vijftien keer hoger zijn dan het losgeld zelf. Maar toch ligt op dit moment de focus op preventie in plaats van herstel. Het is tijd voor een mentaliteitsverandering. Maar hoe herstellen bedrijven snel en efficiënt van een ransomware-aanval? En nog belangrijker, hoe voorkomen ze ‘herinfectie’?
Uitbetalen is niet de uitweg
Als de bedrijfsvoering van financiële instellingen is platgelegd door een ransomware-aanval, rijst de grote vraag: betalen of niet. De realiteit is echter dat je, zelfs na betaling, niet gegarandeerd al je data terugkrijgt, omdat hackers sommige gegevens kunnen achterhouden of slechts delen ervan kunnen teruggeven.
Daarnaast lopen bedrijven ook het risico om slachtoffer te worden van de groeiende dreiging van ransomware met dubbele afpersing. Zo blijkt uit onderzoek van Zscaler’s ThreatLabz unit dat het aantal ransomware-aanvallen met dubbele afpersing met bijna 120 procent is toegenomen. Zelfs na betaling kan het dagen of zelfs weken duren voordat alle activiteiten weer zijn opgestart. Van degenen die ransomware betaalden, was slechts 16 procent in staat om al hun gegevens te herstellen. Betalen is dus niet de uitweg.
> LEES OOK: Ruim tweeduizend bedrijven in 2021 de dupe van ransomware
Gevoelige data
De financiële sector is een van de grootste sectoren die zich bezighoudt met gevoelige gegevens (onder andere PCI-DSS). Voor de bedrijven binnen deze sector wordt de beveiliging van deze gegevens al maar complexer doordat bedrijfskritische datasets snel groeien en meer verspreid raken binnen een organisatie. Reden genoeg voor bedrijven om te investeren in een solide cybersecuritystrategie. Die is niet langer nice-to-have, maar een must-have.
Het meesterplan
Dus, hoe creëer je een cyberrecoveryplan? Bedrijven binnen de financiële sector moeten allereerst een gedetailleerd draaiboek opstellen waarin de meest bedrijfskritische applicaties, bestanden en systemen binnen het bedrijf worden bepaald. Het draaiboek moet richtlijnen bieden voor het verzamelen van informatie en het ontcijferen van de gebruikte technologieën en technieken. Op deze manier kan ransomware namelijk worden geanalyseerd en begrepen. Het draaiboek moet daarnaast een focus hebben op detectie, analyse en snel herstel zonder herinfectie mogelijk te maken.
> LEES OOK: Leren van een ransomware-aanval
Ransomware in quarantaine plaatsen
De echte sleutel tot het voorkomen van herinfectie is het detecteren van de ransomware en het in ‘quarantaine plaatsen’ van de ransomware via een geïsoleerde herstelzone. Door middel van selectief herstel op bestands-, object- en applicatieniveau kan een bedrijf zijn belangrijkste applicaties herstellen in een geïsoleerde omgeving, ze opschonen en herstellen, en de services die ze ondersteunen opnieuw opstarten, vóórdat ze teruggaan naar de productieomgeving. Beveiligingsteams moeten hiervoor samenwerken om alle sporen van het ransomware-incident uit te wissen, zodat de ransomware-aanval later niet herhaald kan worden.
Kans op ransomware-aanval neemt toe
De realiteit is helaas dat de kans op ransomware-aanvallen tegenwoordig significant toeneemt. Juist daarom moeten financiële bedrijven er altijd vanuit gaan dat er een inbreuk kan of gaat plaatsvinden. Op deze manier zijn ze voorbereid op wat mogelijk gaat komen, én weten ze dus ook precies wat er moet gebeuren na ‘infectie’. Betalen is hierbij niet de enige uitweg. Een strategisch plan, het meesterplan, waardoor een bedrijf goed kan herstellen van een ransomware-aanval is tegenwoordig essentieel. Het is de realiteit van het vermijden van herinfectie.
Sander Kerkhoffs, VP Noord en Centraal Europa bij Rubrik
Volg Security Management op LinkedIn