Uit een wereldwijd onderzoek van Acserve blijkt dat 50% van het MKB ooit het doelwit is geweest van een ransomware-aanval. De kosten zijn enorm hoog: ongeveer 30% van de slachtoffers moest meer dan 100.000 dollar aan losgeld betalen, en 20% werd gechanteerd voor een bedrag tussen de 1 en 10 miljoen dollar. Het is gewoonis angstaanjagend.
Bedrijven zouden moeten beginnen met het ontwikkelen van een rampenherstelplanvoor ransomware. Laten we verder gaan en ons voorbereiden op ransomware-rampen.
In dit artikel
Fase 1: Stel een ransomware-rampherstelteam samen
Weten wie waarover de leiding heeft over wat kan uiterst nuttig zijn in chaotische situaties als deze.
Een Rampherstel-team bestaat doorgaans uit:
- Crisisbeheercoördinator – Wanneer een catastrofe toeslaat, moet je organisatie een verstandige crisisbeheercoördinator hebben om het plan te initiëren en het herstel te coördineren.
- Uitvoerend manager – Een rampenherstelplan heeft geen betekenis als leidinggevenden er niet op een kritiek moment hun handtekening onder kunnen zetten. Je hebt ze aan tafel nodig voor goedkeuring en toezicht.
- Bedrijfscontinuïteitspecialist – Deze persoon is verantwoordelijk voor je vangnetopties. Zij moeten ervoor zorgen dat je dagelijkse activiteiten zo snel mogelijk weer worden hervat.
- Beoordelings- en herstelvertegenwoordigers – De volledige infrastructuur moet in handen zijn van je IT- en beveiligingsexperts. Zij moeten het herstel op netwerken, servers, opslag en databases verzorgen.
Elk lid van het Rampenherstelteam moet duidelijk gedefinieerde rollen en een blauwdruk voor incidentenrespons hebben om paniek en verwarring te voorkomen. Het kan geen kwaad om de leden van het back-upteam een naam te geven en te trainen voor als de oorspronkelijke leden niet aanwezig zijn wanneer de ransomware toeslaat.
Fase 2: Protocollen voor respons op incidenten opstellen
Een incidentenresponsprotocol is een mooie naam voor een checklist voor rampenherstel. Je vraagt je misschien af: "Hoe weet ik wat er moet gebeuren als ik geen ervaring heb met ransomware?" Daarom plan je op basis van voorspellingen, waarschijnlijkheid en de ervaringen van andere slachtoffers.
Hoewel herstel hierbij een centrale rol speelt, is dat niet het enige dat je moet doen:
Inzicht in het bereik van de aanval
Eerst moet je je vijand leren kennen. Met wat voor soort losgeldaanval heb je te maken? Wat is het aanvalsgebied en begint het zich al te verspreiden?
Het informeren van de juiste autoriteiten
Het niet melden van een crimineel misdrijf is in veel landen illegaal. Tijdens de planningsfase moet je je gekozen raadvragen naar je wettelijke verantwoordelijkheden als slachtoffer van ransomware. In veel gevallen zal er een protocol zijn dat je moet volgen voor het informeren van de autoriteiten.
Samenkomen en communiceren
Tegen de tijd dat je een eerste onderzoek uitvoert en de politie informeert, zou je rampenherstelteam al samengesteld moeten zijn. Op dit punt moet je contact opnemen en de interne en externe belanghebbendeninformeren, van je PR- en juridische team tot je klanten en het bredere publiek.
Het realiseren van bedrijfscontinuïteit
In deze fase van het incidentenresponsplan moet je op je vangnet-systemen kunnen vertrouwen en ongehinderd de normale bedrijfsvoering kunnen hervatten. Dit is van cruciaal belang in sectoren zoals de gezondheidszorg en de financiële sector, waar zelfs een kleine stilstand ernstige gevolgen kan hebben.
Uitvoeren van een Rampenherstelplan
Het optimale rampenherstelplan moet je helpen herstel op een bijna nulpunt te bereiken, wat betekent dat je je systemen kunt herstellen naar een punt van vóór de aanval met minimaal gegevensverlies en minimale downtime.
Fase 3: Leg de volledige netwerkinfrastructuur vast
Rampenherstel is onmogelijk als je niet weet hoe alles was vóór de aanval. Daarom moet je momentopnamen van je netwerkinfrastructuur bewaren. Registratie en monitoring zijn essentieel voor een succesvolle respons, maar veel organisaties verzuimen daarin te investeren.
Gegevens zijn van onschatbare waarde voor het plannen van je herstelstrategie, en op meer dan één manier. Ze helpen je niet alleen sneller een ingestort netwerkinfrastructuur weer op te bouwen na de aanval, maar vertellen je ook veel over je essentiële en niet-essentiële systemen, zodat je deze kunt prioriteren.
Op die manier weten je rampenherstel-specialisten welke delen van de infrastructuur als eerste moeten worden hersteld om het bedrijf draaiende te houden. Als er systeemafhankelijkheden zijn, dan worden deze ook weergegeven in de verslagen. Wanneer je dit allemaal weet, dan maakt dit het verschil als je snel moet handelen.
Nog één ding: het vastleggen en monitoren van je netwerkinfrastructuur kan je helpen systeemkwetsbaarheden, die op de een of andere manier door de mazen van het net zijn geglipt, te identificeren.
Fase 4: Voer regelmatig gegevensback-ups uit
Back-up is een ENORME factor waarmee je rekening moet houden bij het maken van een rampenherstelplan voor ransomware. Er zijn nu drie hoofdtypen back-ups: volledig, incrementeel en differentieel:
| Wat is het? | Voor wie is het? | |
| Volledige back-up | Tijdens een volledige back-up wordt de volledige bibliotheek met bestanden en mappen in één keer naar een andere locatie gekopieerd. | kleine bedrijven met weinig veeleisende hoeveelheden aan gegevens. |
| Incrementele back-up | Bij een incrementele back-up wordt alleen een back-up gemaakt van de bestanden en mappen die sinds de laatste back-up zijn gewijzigd. | grote organisaties met aanzienlijke back-upbehoeften. |
| Differentiële back-up | Net als bij de incrementele back-up worden alleen de bestanden en mappen opgeslagen die zijn gewijzigd, maar dan sinds de laatste VOLLEDIGE back-up. | MKB-bedrijven met veel gegevens maar onvoldoende middelen om regelmatig volledige back-ups uit te voeren. |
Organisaties die de verschillende back-upopties overwegen, moeten nog een andere beslissing nemen: cloudopslag of locale back-up op locatie. Over het algemeen is het veiliger, eenvoudiger en goedkoper om je back-up en opslag in de cloud te plaatsen, vooral bij beheerde diensten.
Consistentie is meer dan alleen een back-uptype of -bestemming: consistentie is van cruciaal belang voor rampenherstel.
Een feilloos back-upschema houdt in dat je je gegevens zo vaak mogelijk opslaat. Voor sommige organisaties zijn continue incrementele back-ups zinvoller dan wekelijkse volledige back-ups. Dat hangt grotendeels af van de hoeveelheid gegevens die je produceert, je opslagcapaciteit en je back-upsysteem.
Back-upoplossingen op bedrijfsniveau moeten ook encryptie hebben. Dat plaatst een extra beveiligingslaag rondom je systemen en zorgt ervoor dat criminelen je gegevens niet kunnen lezen, verkopen of anderszins misbruiken, zelfs als ze deze in handen krijgen. Encryptie en back-ups moeten hand in hand gaan.
Fase 5: Stel cyberbeveiligingstechnologieën in
Cyberbeveiligingstechnologieën van de volgende generatie zijn up to date met ransomware-aanvallen, waardoor bedrijven die deze tijdig invoeren, een meer systematische benadering van de weerstand van gegevens kunnen ontwikkelen.
Met professionele tools voor gegevensherstel, zoals Wondershare Recoverit, kun je bijvoorbeeld snel je gegevens herstellen en voorkomen dat je het losgeld betaalt wanneer aanvallers inbreken.
Dit soort oplossingen vormen een essentieel onderdeel van de rampenherstelpuzzel, omdat ze gemakkelijk te gebruiken zijn tijdens een crisis en een hoog herstelpercentage hebben. Ze kunnen elke bestandsindeling herstellen vanaf elk opslagapparaat, ongeacht het bestandssysteem. Bovendien hebben ze geen herstelspecialist nodig.
Gegevensherstel met Wondershare Recoverit is een eenvoudig en stapsgewijs proces:
- Download eerst de app van de officiële website en installeer deze op de computer waarop je het herstel moet uitvoeren.
- Selecteer vervolgens een locatie om het herstel te starten. Je kunt elke harde schijf of extern apparaat kiezen, een gecrasht systeemherstel uitvoeren of gegevens herstellen van NAS of Linux.
- De scan start automatisch. Wacht tot de app de scan heeft voltooid of pauzeer deze als het bestand of de map waarnaar je op zoek was, verschijnt. Je kunt de scan ook stoppen.
- Wanneer de scan is voltooid, kun je de resultaten filteren op bestandstype, grootte en tag, of een specifiek bestand of map zoeken op trefwoord.
- Dubbelklik op een bestand om er een voorbeeld van te bekijken voordat je het herstelt. Wanneer je besluit dat je het wilt behouden, klik je op de knop Herstellen.
- Kies een veilige herstelbestemming en klik op Opslaan om je gegevens op te halen.
- Als je dat niet nu wilt doen, dan kun jet u de scanresultaten voor een andere keer bewaren.
Andere cyberbeveiligingsoplossingen die tegenwoordig een must-have voor bedrijven zijn:
- Endpoint Detection and Response (EDR) – EDR-systemen monitoren en analyseren endpoint-activiteit om geavanceerde bedreigingen, waaronder ransomware-aanvallen, te detecteren en erop te reageren.
- Nieuwste generatie firewall (NGFW) – Firewalls zijn absoluut essentieel voor cyberbeveiliging. Ze bieden geavanceerde bescherming tegen bedreigingen door gegevensverkeer te inspecteren en schadelijke inhoud te blokkeren.
- Beveiligingsinformatie en gebeurtenisbeheer (EM) – EM-oplossingen verzamelen en analyseren beveiligingsinformatie door de gehele organisatie om ransomware-aanvallen te detecteren en erop te reageren.
- E-mailbeveiligingsgateway – E-mailbeveiligingsgateways detecteren en weren op e-mail gebaseerde bedreigingen, waaronder phishingpogingen en ransomware-payloads die worden verzonden via bijlagen en afbeeldingsnamen.
Fase 6: Testen en bijwerken van het Ransomware Rampenherstelplan
Veel organisaties in verschillende sectoren leren vroegtijdig hoe ze ransomware kunnen vermijden en verwijderen. Hoe komt het dan dat de aanvallen toch blijven toenemen?
Volgens sommige onderzoekers komt dit doordat veel van deze organisaties er niet in slagen hun rampenherstelplannen te testen en te verbeteren.
Testen is een cruciale maatregel tegen mislukking, omdat het laat zien waar je incidentenrespons tekortschiet. Daarnaast leert het je paraatheid en helpt het je een waakzame mentaliteit op te bouwen.
Fase 7: Train medewerkers op het gebied van ransomwarebedreigingen
Natuurlijk is training van cruciaal belang voor een succesvol rampenherstelplan voor ransomware. Medewerkers moeten voortdurend worden getraind in het herkennen en vermijden van ransomware en het melden van hun vermoedens aan het IT-beveiligingsteam.
Wat moet je je medewerkers leren? Er zijn diverse gewoontes die ze aan hun dagelijkse routine moeten toevoegen om beschermd te blijven tegen veelvoorkomende ransomware-bedreigingen:
- Phishing-pogingen leren herkennen en vermijden;
- Herkennen van verdachte bijlagen in e-mails;
- Geverifieerde en bekende downloadbronnen gebruiken;
- Het gebruiken van sterke wachtwoorden die niet gehackt kunnen worden;
- Het gebruik van encryptie en VPN bij gevoelige transacties;
- Niet delen van persoonlijke informatie online.
Conclusie
Het belang van het hebben van een rampenherstelplan voor ransomware kan niet genoeg worden benadrukt. Als je hulp nodig hebt bij het opzetten ervan, zoek dan de juiste mensen voor het incidentenresponsteam en wijs deze toe. Zij kunnen je helpen bij het ontwikkelen en handhaven van protocollen voor rampenherstel.
Vergeet niet dat cybersecurity een continu proces is. Je moet je systemen monitoren op kwetsbaarheden en bedreigingen en regelmatig back-ups maken. Gebruik tools voor gegevensherstel zoals Recoverit, begin met het trainen van je werknemers en test je plan zo vaak mogelijk.
