Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

Zorgen over ransomware

Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.
Een veelgestelde vraag bij computerbeveiliging is: waarom zouden ze ons moeten hebben? Wij zijn toch niet interessant? Het fenomeen 'ransomware' toont haarscherp aan hoe irrelevant die vraag is.
Zorgen over ransomware

Ransomware is een vorm van kwaadaardige software (‘malware’) met een verdienmodel op basis van losgeld. Er zijn een aantal manieren waarop slachtoffers gedwongen worden losgeld te betalen. De meest voorkomende op dit moment is dat alle bestanden op een computer worden versleuteld (‘encrypted’) en dat er losgeld betaald moet worden voor de sleutel. Er wordt daarom ook wel gesproken over ‘cryptoware’.

Blokkade en losgeld

De ene na de andere organisatie wordt getroffen door ransomware. De kranten staan er vol mee. Het betreft slachtoffers uit allerlei sectoren, uit grote en kleine organisaties. De reden van die diversiteit? Simpel: het maakt de aanvaller helemaal niet uit wie het slachtoffer is. De aanvaller is eropuit om het slachtoffer te blokkeren en losgeld te vragen om die blokkade weer op te heffen. Dat kan je in principe bij iedereen proberen en zo wordt ransomware dan ook verspreid: als een ‘opportunistische’ aanval in tegenstelling tot een ‘gerichte’ aanval.

Zorgsector kwetsbaar

Toch blijkt er wel enig verschil te zijn in de mate waarin sectoren middels ransomware worden aangevallen: de zorg is een bovengemiddeld interessant doelwit. Waarom? Omdat het blokkeren van werkzaamheden tot extreme problemen leidt, situaties waarin ‘elke seconde telt’. De kans dat een slachtoffer in de zorgsector omwille van de continuïteit bereid is een losgeldsom te betalen, is daarom, zo denkt de aanvaller, bovengemiddeld hoog.

Blacklist helpt niet

Voor veel mensen komt het succes van ransomware als een verrassing. Ondanks de aanwezigheid van antivirussoftware is ransomware blijkbaar in staat veel slachtoffers te maken. Nu heeft dat niet zozeer te maken met het fenomeen ransomware op zichzelf, maar met de manier waarop malware zich de afgelopen jaren heeft ontwikkeld. Antivirussoftware beschikt over een lijst met bekende computervirussen, een ‘blacklist’. Dus wat doe je als je een virus wilt verspreiden? Zorgen dat je niet op die lijst staat. Klinkt als een intensief proces en dat is het ook. Maar virusschrijvers zijn ontwikkelaars en dus is dat proces de afgelopen jaren geautomatiseerd. Inmiddels worden verspreidingstools op de zwarte markt aangeboden die ervoor zorgen dat malware telkens uniek is: Exploit-kits. Een vorm van ‘cybercrime-as-a-service’ waar miljarden in omgaan. Het gevolg: elk slachtoffer van malware ontvangt tegenwoordig een unieke variant van die malware. Daar sta je dan met je kilometerslange blacklist.

Trojaans paard

Het procedé wordt al een poosje gebruikt. Maar lange tijd kwam malware vooral voor in de vorm van een ‘Trojaans paard’: een programmaatje dat meekomt met een onschuldig ogend bestand, en zich daarna stilletjes op een computer nestelt. Vervolgens steelt het ongemerkt gegevens zoals wachtwoorden en creditcardnummers. Dit verdienmodel is ook zeer succesvol geweest en heeft dus ook heel veel slachtoffers gemaakt. Het verschil met ransomware is dat de slachtoffers van Trojaanse paarden wellicht nooit hebben gemerkt dat ze slachtoffer waren.

Beveiligingsadviezen

Als de vraag gesteld wordt hoe de beveiliging tegen ransomware moet worden aangescherpt, dan is het grootste deel van het antwoord een herhaling van de adviezen die al jaren in algemene zin worden gegeven in de strijd tegen malware.

1. User Awareness – In een ‘real-life’-voorbeeld konden wij vaststellen dat veel mensen in de valstrik van een phishing-mail trappen. Ook ransomware komt vaak eerst via e-mail tot ons. De beste preventie is die e-mails te blokkeren of anders te zorgen dat de ontvanger ze herkent als phishing en er niet op klikt. Het is daarom belangrijk om werknemers herhaaldelijk te trainen in het herkennen van risico’s bij gebruik van internet.
Kunt u phishing-mails herkennen? In deze leuke, gratis quiz van Intel krijgt u 10 voorbeelden van e-mails voorgelegd waarbij u moet kiezen of het phishing is of niet. De gemiddelde score is 65 procent goed. Succes!

2. E-mail- & webscanning – Ook als uw medewerkers volledig ‘aware’ zijn, is er kans dat ze in de vallen van een aanvaller trappen. Phishing-mails komen, met name door een betere spelling, steeds betrouwbaarder over, ook in het Nederlands. Daarom is het goed om aanvullende maatregelen te treffen voor het geval men er toch in trapt.
Naast het scannen van inkomende e-mail op verdachte patronen is het tegenwoordig ook zeer belangrijk om het webverkeer te controleren. Een standaard firewall biedt die functie niet, dus is er iets extra’s voor nodig. Het voordeel is dat bekende, schadelijke websites met behulp van actuele ’threat intelligence’ kunnen worden geblokkeerd.

3. Endpoint-beveiliging – Het is duidelijk dat antivirussoftware alleen niet opgewassen is tegen moderne malware. Security-fabrikanten bieden daarom uitgebreide pakketten met functies aan, die samen ‘Endpoint Protection’ worden genoemd. De meeste organisaties beschikken al over licenties voor die uitgebreidere pakketten, maar gebruiken ze niet effectief. Een kort belletje met uw adviseur kan inzicht opleveren in de gemiste kansen en extra mogelijkheden.

4. Rechten in het netwerk – Ransomware op één computer is vervelend, maar als door die infectie ook nog eens bestanden in het netwerk worden versleuteld, is de impact niet te overzien. Denk daarom goed na hoeveel rechten medewerkers hebben op mappen in het netwerk en beperk het recht om bestanden aan te passen zo veel mogelijk.

5. Back-ups! – Als onverhoopt dan toch een ransomware-variant uw netwerk bereikt en bestanden versleuteld raken, is het zaak om zo snel mogelijk weer verder te kunnen. Natuurlijk is het betalen van losgeld een onverstandige zet. Daarom is het cruciaal om back-ups te hebben en deze ook te testen. Er zijn veel pijnlijke voorbeelden van organisaties die tijdens een incident merkten dat hun back-ups niet werkten. Als manager moet u vragen om onomstotelijk bewijs dat die tests regelmatig succesvol worden uitgevoerd.

Meer blogs van Remmelzwaal

Erik Remmelzwaal schrijft regelmatig op Zorgvisie.nl over beveiligingskwesties in de zorg.
Lees ook zijn andere blogs

Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.