Hoe je ransomware voorkomt

Terwijl in alle sectoren bedrijven geraakt worden door cybercrime, zijn zorginstellingen extra kwetsbaar. Ziekenhuizen beschikken immers over grote hoeveelheden persoonlijke data. Dit maakt hen een aantrekkelijk doelwit voor ransomware-aanvallen.
Buurman_Michiel450.jpg

Wanneer cybercriminelen de zorgdata van patiënten stelen, kunnen zij inzicht krijgen in persoonlijke informatie zoals bsn-nummers en de medische geschiedenis van de patiënt.
De Nederlandse Vereniging van Ziekenhuizen (NVZ) benadrukt het belang van een goede cyberstrategie. Volgens onderzoek van de vereniging eerder dit jaar werden in 2016 minstens tien Nederlandse ziekenhuizen getroffen door een ransomware-aanval. De NVZ is bezorgd over deze uitkomst en concludeert dat ziekenhuizen flink moeten investeren in hun systemen en cybersecurity.

Door kwetsbaarheden binnen belangrijke systemen kunnen threats, zoals ransomware, eenvoudiger binnendringen en serieuze schade aanrichten. Het is daarom belangrijk dat zorginstellingen investeren in hun cybersecurity en hun infrastructuur zodanig inrichten dat dit soort aanvallen voorkomen worden of de kans op een aanval tot een minimum beperkt wordt.
Onderstaand een aantal tips die de IT-afdeling kunnen helpen de systemen te beschermen tegen ransomware.

1.      Ontwikkel een awareness-programma voor eindgebruikers
Dit is belangrijk, aangezien elke organisatie of ziekenhuis zo sterk is als zijn zwakste schakel. Slimme eindgebruikers zorgen voor minder ransomware-incidenten.

2.      Evalueer/valideer backup-processen van de server
Maak back-ups van file servers die netwerken hosten van belangrijke afdelingen. Zorg ervoor dat de back-ups niet toegankelijk zijn voor eindgebruikers en bewaar ze niet in-house. Test de back-ups regelmatig om er zeker van te zijn dat de data op de juiste manier teruggezet kunnen worden.

3.      Evalueer wie toestemming heeft tot de netwerkdrive om mogelijke schade te verkleinen
Wijs een projectmanager aan die toestemming geeft aan gebruikers en hun toegang op mapped netwerkdrives bepaalt.
Implementeer het ‘least privilege-principe’ om de schade in het geval van een aanval te beperken.
Audit mensen met een bevoorrechte rol op de server en backup- en netwerkteams om hun toegang te kunnen onderbouwen.
Zorg ervoor dat beheerders normale beperkte accounts hebben naast hun bevoorrechte accounts. Dit laatste account hoort alleen gebruikt te worden wanneer dit echt nodig is.
Verwijder waar mogelijk automatische netwerkdrive mappings van beheerdersaccounts.
Zorg dat beheerdersaccounts geen e-mails kunnen ontvangen.

4.      Schakel macroscripts van MS Office die AD Group Policy gebruiken uit
Volgens Microsoft worden bij 98 procent van de aanvallen op Office macro’s gebruikt. Het uitschakelen van macroscripts voor MS Office stopt ransomware, zoals Locky. Maak macro’s alleen voor uitzonderingen of bepaalde afdelingen mogelijk.

5.      Evalueer de maandelijkse patch management-processen
Evalueer je patching processen en bekijk de mogelijkheden om roadblocks te verwijderen. Denk na over het inzetten van een advanced endpoint-product die aanvallen door het missen van patches en malware kan voorkomen.

6.      Evalueer de inkomende spam/malwarebeveiliging
Zorg ervoor dat het systeem zo is ingesteld dat potentieel gevaarlijke inkomende e-mails, naar aanbeveling van de serverprovider, geblokkeerd worden. Denk hierbij bijvoorbeeld aan het blokkeren van uitvoerende bestanden in bijlagen.

7.      Stel een next-generation firewall in om het ziekenhuisnetwerk te beschermen
Zorg ervoor dat de firewall automatisch bekende threats blokkeert door een threat feed in te stellen die uit zichzelf constant updates uitvoert.
Sandboxing is de beste manier om nieuwe varianten van ransomware te detecteren. Zorg ervoor dat de firewall sandboxing-mogelijkheden heeft zodat onbekende threats (url’s en uitvoerende bestanden) geblokkeerd kunnen voordat ze het endpoint bereiken.
Stel gebruikersinteractie in wanneer gebruikers naar websites willen gaan die niet gecategoriseerd zijn door de netwerkproxy of firewall (door bijvoorbeeld een ‘verder gaan’-knop in te bouwen). Vele niet-gecategoriseerde websites worden gebruikt in gerichte phishing-campagnes om malware te kunnen verspreiden.

8.      Zet advanced endpoint protection in om je endpoints te beschermen
Traditionele antivirussoftware is niet langer effectief genoeg tegen geavanceerde malware zoals ransomware, die zichzelf constant aanpassen om detectie te voorkomen. Endpoints hebben daarom beveiliging nodig die in staat is om processen te stoppen die kwaadaardige technieken uitvoeren, in plaats van dat deze slechts controleert op losstaande bekende kwaadaardige bestanden.
Whitelisten kan werken voor sommige organisaties, maar de meeste ziekenhuizen moeten honderden applicaties in hun netwerken goedkeuren. Voor de IT-afdeling is het daarom lastig om deze lijst te beheren. Malware-detectie die is gebaseerd op techniek is erg effectief en deze drukt niet te veel op het endpoint.

Bovenstaande suggesties verschillen van low-tech tot high-tech en variëren in kosten, maar ze helpen allemaal een ziekenhuisomgeving te creëren die bestand is tegen cyberaanvallen en ransomware en die zo min mogelijk handmatig beheerd hoeft te worden. Beslis voor uzelf welke combinatie van deze tips het beste is voor uw ziekenhuisomgeving en begin vandaag nog met het verbeteren van uw cyberstrategie.

Michiel Buurman is sales director Benelux at Palo Alto Networks

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.