“Schaam je niet als je gehackt bent. Praat erover!”, zei digital detective Gina Doekhie onlangs tegen ICT-vakblad Computable. Gehackte ondernemers durven er vaak niet over te praten, bang als ze zijn om de schlemiel van de sector te worden. Hoewel cyberrisico’s aan de orde van de dag zijn, en ook ransomware-aanvallen voorkomen in alle vakgebieden en op alle niveaus, blijkt steeds weer dat getroffen ondernemers doen alsof hun neus bloedt.
Overheidsdienst DTC (Digital Trust Center) waarschuwde sinds vorig jaar al ruim drieduizend individuele bedrijven voor dreigingen en kwetsbaarheden maar kan geen gedupeerde ondernemer naar voren schuiven voor een interview. Jammer, want met de uitwisseling van ervaringen komt iedereen een stap verder. En dat is hard nodig. Wat kunt u doen om te voorkomen dat u getroffen wordt? Hierbij een aantal praktische handvaten.
Bluf
De naam ransomware is een samenvoeging van ransom (losgeld) en software. Het is kwaadaardige software die gebruikt wordt voor afpersing. Aanvallers gijzelen data van burgers, bedrijven en instellingen en gebruiken drukmiddelen om hen te laten betalen. De gijzeling zelf bestaat meestal uit versleutelen (ofwel ‘op slot’ zetten) van gegevens en uploaden van gestolen data als extra drukmiddel.
Denk bijvoorbeeld aan uploaden van klantgegevens, de nieuwe bedrijfsstrategie of vertrouwelijke informatie over een aanbesteding. De ontsleutelcode wordt soms tegen betaling aangeboden (let op: geen garantie). Werkt de gedupeerde ondernemer niet mee? In dat geval kan dreigen met publicatie van gestolen informatie effectief zijn. Hoe cool je als ondernemer ook bent, daar word je nerveus van.
Volgens branchevereniging Cyberveilig Nederland is ransomware op dit moment de meest voorkomende vorm van cybercrime wereldwijd. Recente Nederlandse aanvallen troffen Universiteit Maastricht (december 2019), Hof van Twente (december 2020), Senzer (maart 2021), Mandemakers Groep (juni 2021) en Hoppenbrouwers Techniek (juli 2021).
De aanvallers van Hoppenbrouwers Techniek eisten 50.000 dollar losgeld in Monero, een cryptovaluta. Dat bleek achteraf pure bluf te zijn. Er was geen data ontvreemd. Ook dat kan een strategie zijn van hackers. Hoppenbrouwers liet zich overigens niet overbluffen en betaalde geen losgeld.
Proefbestandje ontsleutelen
Digitaal onderzoeker Willem Loman van recherchebureau Hoffmann heeft eens in zoveel tijd bedrijven uit de bouw als klant. Volgens Loman dergelijke bedrijven het IT-beheer er vaak “maar een beetje bij.” Ze zien IT als bijzaak en als kostenpost. Te vaak wordt twee factor authenticatie (2FA) met een gebruikersnaam en wachtwoord niet toegepast (gemakshalve wordt hetzelfde algemene wachtwoord gebruikt voor verschillende applicaties).
Ook updates doorvoeren gebeurt lang niet altijd consistent. En back-ups zijn niet altijd beschikbaar, ook niet met een cloud-abonnement, want Microsoft maakt, volgens Loman, standaard geen back-ups.
Loman: “Bij een ransomware-aanval zien we in grote en kleine bedrijven steeds dezelfde problemen. Bedrijven kunnen dagen, weken of maanden van de bedrijfsgeschiedenis kwijt zijn als ze geen back-up hebben. Stel je dat eens voor. Het is een ramp voor kleine aannemers als de financiële administratie en planning niet up-to-date zijn. Ze weten niet eens welke leveranciers op de bouwplaats komen.”
“Al snel wordt het een zooitje en zitten hun werknemers met de armen over elkaar in de schaftkeet. En wat te denken van informatie over marges en prijzen bij een aanbesteding? Als bedrijf krijg je een behoorlijke knauw als die informatie wordt gestolen en op straat komt te liggen. De overheid zegt: niet betalen. Maar wat als het voortbestaan van je bedrijf in gevaar is? Wij constateren dat de kans groot is dat je data terugkrijgt als je betaalt. Vaak zijn hacker ook best wel bereid voorafgaand aan de betaling een proefbestandje te ontsleutelen.”
Geautoriseerde toegang
Kortom: dichttimmeren wordt aanbevolen. Overheidsdienst Digital Trust Center (DTC) heeft een aantal basisprincipes opgesteld voor veilig (digitaal) ondernemen. Vooropgesteld dat er anti-virussoftware is geïnstalleerd, begint het allemaal met inventariseren van kwetsbaarheden met een incident respons plan (zie kader). Dat klinkt misschien ingewikkeld, maar het is niet meer dan goed nadenken over wat u gaat doen in het geval van een cyberincident.
Welke eerste stappen gaat u zetten? Wie gaat u om hulp vragen? Maak een noodplan en bellijst. Kies vervolgens de meest veilige instellingen voor uw apparatuur, software en internetverbindingen. Leveranciers van apparatuur en software kiezen vaak voor standaardinstellingen (alles wordt op ‘aan’ gezet). Voor installatie van nieuwe apparatuur en het krijgen van internettoegang is dat handig. Maar als gebruiker wordt u kwetsbaar als u de standaardinstellingen niet wijzigt. De deur staat open voor onbevoegden.
Een belangrijk advies van DTC is het uitvoeren van updates. Producenten van apparaten en software zijn doorlopend bezig om producten door te ontwikkelen. Door middel van updates komen de nieuwste functionaliteiten bij de eindgebruiker terecht. Ook nieuw ontdekte kwetsbaarheden en betere beveiligingsmethodes worden via updates aangeboden. Installeer dus in elk geval de meest recente beveiligingsupdates. En tot slot: weet wie u (geen) toegang geeft tot welke data en services. Wat hebben uw medewerkers nodig om te kunnen werken? Deze zogenaamde geautoriseerde toegang (ofwel acces control) is het nieuwe normaal. Door toegangsrechten per medewerker te bepalen, voorkomt u dat mensen binnen en buiten het bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk helemaal niet nodig hebben.
‘Elke twee uur back-up’
Hoppenbrouwers Techniek werd op vrijdag 2 juli 2021 tegen het eind van de middag getroffen door een ransomware-aanval. Het bedrijf uit Udenhout, dat zich richt op elektrotechniek, beveiliging, werktuigbouwkunde en industriële automatisering, dacht goed beveiligd te zijn met dubbele authenticatie, adequaat patchmanagement en iedere 12 uur een back-up. Toch ging het mis.
IT-manager Marcel de Boer blikt terug: “De laatste back-up was van vrijdagmiddag 12:00 uur. Die bleek gelukkig niet versleuteld. Het slechte nieuws was dat al het werk van na 12:00 uur verloren is gegaan. Je moet je voorstellen dat er daarna nog facturen naar klanten zijn gestuurd, contracten naar onderaannemers en bestellingen naar leveranciers. Dat alles stond niet meer in het systeem en moest weer bij elkaar worden gesprokkeld. De hack heeft ons 400.00 euro gekost, toe te schrijven aan extra uren, stilstandschade en het inschakelen van externe bedrijven. Alle zakelijke laptops zijn voorzien van nieuwe anti-virussoftware. Voor het gebruik van wachtwoorden hebben we na de hack strenge protocollen opgesteld. En de tijd voor de back-up van systemen hebben we verkort van 12 naar 2 uur.”
Dit kunt u doen
Idealiter zijn er na een digitaal incident voldoende (log)gegevens beschikbaar voor adequaat onderzoek. Daarvoor moet de basis in orde zijn. Hierbij nog enkele tips:
-Netwerksegmentatie: loskoppelen van delen van het netwerk die niet met elkaar verbonden hoeven te zijn. Hackers die ‘binnen’ zijn, kunnen dan nog steeds niet overal komen.
– Netwerkmonitoring: loggen en analyseren van het netwerkverkeer zodat afwijkende activiteiten snel worden gesignaleerd.
– Incident response plan: vooraf opstellen van procedures, acties en contacten om de schade bij een geslaagde aanval te beperken.
– Offline backup: minimaal één niet-overschrijfbare kopie op een gescheiden locatie.
Bron: Cyberveilig Nederland
Auteur: Ton Verheyen