Als jouw organisatie in het nieuws komt vanwege ransomware, is het goed mis. Het overkomt deze week de KNVB. De voetbalbond zit tot de nek in diefstal van veel gevoelige data. Je hebt voorafgaand aan een geslaagde hack de kans om schade zoveel mogelijk te voorkomen. In deze blog geven we 3 aanbevelingen, dus doe er je voordeel mee.
Waarom is dit groot nieuws? De KNVB is bepaald niet de enige organisatie die wordt getroffen door ransomware. Sterker nog, zo’n 85% van de organisaties heeft het afgelopen jaar te maken gehad met een aanval.
In dit geval is de aanval opvallend vanwege de omvang, de inhoud en de reactie.
Het eerste: er zijn heel veel gegevens gestolen, van een organisatie die tot de haarvaten is geworteld in de Nederlandse samenleving. Het treft niet alleen het bondskantoor in Zeist, maar tientallen voetbalclubs, sponsors en spelers in het betaalde voetbal.
Tweede: het zijn geen boodschappenlijstjes of corveeroosters die zijn gestolen. Het gaat om bijzonder gevoelige gegevens. Namen, adressen van jeugdspelers en trainers, clausules en salarissen van profvoetballers en makelaars, verslagen van KNVB-directievergaderingen en zelfs inhoudelijke details over tuchtzaken. Stel je voor wat de impact is als dit uitlekt.
Ransomware en de reactie
Er is dus nog niets uitgelekt. Want de KNVB heeft toegegeven aan de eis van de Russische hackers en heeft losgeld betaald. Dat is bijzonder, maar dat komt ongetwijfeld vanwege de aard van de gevoelige data. De bond, en wij snappen dat, wil koste wat kost voorkomen dat dit openbaar wordt.
Maar is het verstandig? Dat moet de toekomst uitwijzen, maar de KNVB wil het niet afwachten. Feit is dat er meestal niet wordt ingegaan op de eis.
Security-experts en beleidsmakers hebben dan ook kritiek op de betaling. Want wie garandeert dat de hackers na betaling niet alsnog alles op straat gooien? Je hebt te maken met criminelen. Wat is de waarde van hun uitspraken?
Daarnaast, zo zeggen ze, geef je het slechte voorbeeld. Door in te gaan op de chantage, geef je aan dat deze vorm van misdaad wel degelijk loont.
Bij de KNVB is het vooral achteraf gepraat. De gegevens zijn gestolen en de hackers hebben laten zien dat de data in bezit hebben. Het is momenteel damage control in Zeist. Dat geldt hopelijk niet voor jouw organisatie. Met deze 3 aanbevelingen laten wij je zien hoe je schade zo veel mogelijk voorkomt en wat je te doen staat.
De eerstvolgende aanval op jouw netwerk bepaalt het.
Zorg voor back-up. Een goede.
Misschien heb je nu al back-up voor je gegevens. Voldoet deze back-up aan de eisen? Je hebt robuuste back-up als deze onveranderlijk is, ofwel immutable.
Eenmaal uitgevoerd is de back-up een momentopname. Dit voorkomt namelijk dat hackers de gegevens achteraf kunnen muteren of stelen. We gaan er immers al van uit dat ze binnen zijn, en in meer dan 80% van de gevallen proberen ze dan ook achter de back-up aan te gaan. Als er dan uitsluitend eenrichtingsverkeer is naar de back-up omgeving toe, valt er niets te halen.
Zorg voor encryptie
Dat brengt ons bij de volgende eigenschap van goede back-up: encryptie. Wij hebben de screenshots gezien van buitgemaakte gegevens van de KNVB. Hackers hebben dus in ieder geval gedeeltelijk goed bruikbare gestolen gegevens.
Aumatics biedt encryptie aan die tot vandaag niet is gekraakt. Worden er gegevens gestolen, dan hebben hackers nog niets. Je kunt ze lekker laten eisen, terwijl je de boel weer op gang probeert te brengen.
Zorg voor de organisatie
Het herstel na een incident wordt resilence genoemd. Dat doe je niet zomaar. Het kost een organisatie gemiddeld drie weken om alles weer op gang te brengen. Dat kan langer duren, als je geen plan hebt liggen.
Het herstel gaat het snelst als je al een plan hebt liggen. Oefen je dit plan? Hoe vaak? En met wie? Allemaal vragen voor de afdeling IT, maar niet alleen voor hen.
Ook juristen of de afdeling Legal heeft hier een stem in. En de directie natuurlijk. Het gaat er namelijk ook om welke gegevens het eerst moeten worden teruggezet. En wie bijvoorbeeld op de hoogte moet worden gesteld van de diefstal. Dat vraagt om beleidsbeslissingen en deze zijn niet vrijblijvend.
Wij hebben de workflows voor je die de organisatie zo snel mogelijk weer op gang helpt, rekening houdend met alle wettelijke bepalingen.
Is dit het recept om buiten schot te blijven? Nee, want dat je ooit getroffen wordt door ransomware is onder normale omstandigheden bijna zeker. Een aanval moet niet lonen, omdat goed bent voorbereid, omdat de schade minimaal blijkt en omdat je niet hoeft in te gaan op chantage.
Heb jij het plan daarvoor liggen? Wij wel