Home Security Zo kunnen publieke sector-organisaties zo snel mogelijk herstellen na een ransomware-aanval

Zo kunnen publieke sector-organisaties zo snel mogelijk herstellen na een ransomware-aanval

79

Begin februari verscheen een waarschuwing voor een oude kwetsbaarheid in VMWare ESXi die actief misbruikt werd om ransomware aanvallen uit te voeren op ESXi-systemen. Inmiddels is duidelijk dat ruim 18.000 VMware systemen hiermee met succes zijn aangevallen. Ook veel overheidsorganisaties maken gebruik van VMware systemen, maar staan sowieso aan veel dreigingen bloot, door hun omvang, het grote aantal gebruikers en het grote aantal met internet verbonden apparaten. En de dreiging wordt alleen maar groter want ransomware-aanvallen blijven zich ontwikkelen.

Ondanks de inspanningen van cybersecurityteams, blijkt telkens weer dat het lastig is om vastberaden aanvallers buiten de deur te houden. Daarom is het voor overheidsorganisaties cruciaal dat er een strategie is om de gevolgen van cyber- en ransomware-aanvallen te beperken. Deze strategie dient deel uit te maken van hun cybersecurityplannen en is onderdeel van de eerste fase van het herstel, als alle andere cybersecuritymaatregelen al hebben gefaald.

Hier zijn vijf aandachtspunten op het gebied van cybersecurity voor overheidsorganisaties.

1. Implementeer een programma voor het beheer van dreigingen en kwetsbaarheden

Aanvallers bereiden hun aanvallen goed voor: ze leren over de organisatie om zo hun kansen in te schatten. Vaak proberen ze te achterhalen tot welk bedrag een verzekeraar de schade door een aanval vergoedt, wat de essentiële activiteiten zijn en aan welke partijen – zoals gemeenten of specifieke groepen burgers – de diensten worden verleend. Dit wordt allemaal gedaan om bij een aanval zo veel mogelijk schade aan te richten.

Gewapend met al deze informatie maken de aanvallers een plan van aanpak om het betalen van losgeld af te dwingen. Het is daarom essentieel dat ook publieke organisaties zelf zich zo goed mogelijk informeren en voorbereiden. Blijf op de hoogte van actuele cyberincidenten die verschillende regio’s, bedrijfstakken en groepen ontwrichten en blijf op de hoogte van aanvallen waarvan de kans het grootst is dat die uw organisatie treffen – denk aan ransomware en zero-day kwetsbaarheden. Deze achtergrondinformatie kan interne en/of externe teams helpen met de voorbereiding op cyberdreigingen. Zo kunnen medewerkers voorgelicht worden over waar ze op moeten letten en hoe ze eventuele problemen het beste kunnen aanpakken.

2. Voorkomen is beter dan genezen

Bij elk security-incident is er een ‘voor’, een ‘tijdens’ en een ‘na’. Om de impact van de laatste twee zo veel mogelijk te verzachten, is het belangrijk om inzicht te hebben in en voorbereid te zijn op de gebeurtenissen die juist aan een aanval voorafgaan. Om snel op een aanval te kunnen reageren en om de beveiliging van de organisatie te versterken, kan een aantal stappen worden overwogen. Zorg voor een goede systeemhygiëne met behulp van een goed gedefinieerd, actief patchbeheerprogramma. Implementeer multi-factorauthenticatie en zorg ervoor dat de admin inloggegevens alleen bekend en toegankelijk zijn voor de mensen die deze ook echt nodig hebben. Zorg voor consistente logging in verschillende omgevingen. En implementeer tot slot een snel analyseplatform voor logdata, voor snelle zoekopdrachten en eventcorrelatie. Hiermee kunnen indicaties van potentiële aanvallen wellicht geïdentificeerd worden, nog voordat de aanval volledig is ingezet. Potentiële indicatoren zijn bijvoorbeeld e-mailadressen van afzenders waarvan bekend is dat ze malware versturen of kenmerken van malwarebestanden die op systemen zijn geplaatst.

3. Aanvallen worden complexer: versterk de databescherming

Bij cybersecurity is het voorkomen van aanvallen slechts de helft van het werk. Datasecurity strategieën moeten niet alleen gaan over de periode voorafgaand aan een aanval, ze moeten ook een concreet plan van aanpak bieden voor herstel na een incident. Het implementeren van een multi-tier datasecurity- en herstelarchitectuur is een uitstekende manier om veerkracht en duurzaamheid in te bouwen in een herstelstrategie. Gelaagde back-up architecturen maken gebruik van verschillende logische en geografische locaties om te voorzien in uiteenlopende back-up- en herstelbehoeften. Een dergelijke architectuur helpt ook om de beoogde doelstellingen voor de hersteltijd te behalen. Op deze manier helpen ze organisaties om na een aanval zo snel mogelijk weer aan de slag te gaan. Dit is essentieel voor de publieke sector, want het borgen van de beschikbaarheid en continuïteit van diensten hebben prioriteit aldus het NCTV.

4. Data uit de publieke sector is extra waardevol

Data zijn erg waardevol en publieke organisaties worden (net als bedrijven) steeds afhankelijker van data voor het ontwikkelen en aanbieden van nieuwe diensten die het leven van burgers moeten verbeteren. In de zorgsector stimuleert de overheid bijvoorbeeld de inzet van e-health, maar ook andere grote maatschappelijke problemen zoals klimaatverandering kunnen met data beter worden aangepakt. Data zijn zelfs zo belangrijk dat in 2023 de Data Governance Act – het veilig en eenvoudig delen van data binnen Europa – in werking gaat. Data wordt dan ook steeds vaker gezien als van algemeen maatschappelijk belang, Nederland erkent dit en heeft een strategie ontwikkeld om data te beschermen door de vele organisaties in het land met elkaar te verbinden op het gebied van databescherming. 

5. Overweeg snapshots om ransomware-aanvallen te weerstaan 

Voor zowel publieke als private organisaties is de mogelijkheid om data te herstellen na een succesvolle ransomware-aanval cruciaal. Dit houdt in het gebruik van snapshots en back-ups voor snel herstel.

Snapshots bevatten een complete kopie van data en de systeemstatus en worden regelmatig opgeslagen. Hiermee kan een organisatie zeer fijnmazig een vorige configuratie herstellen. Het maken van een snapshot heeft een minimale impact op de beschikbaarheid van productiesystemen. Met behulp van snapshots kan data snel worden hersteld. Over het algemeen worden snapshots ongeveer twee maanden door organisaties bewaard, dus zijn er voldoende mogelijkheden voor herstel.

Geavanceerde software voor data storage kan onveranderlijke snapshots maken om de data van een organisatie te beschermen – een snapshot die niet verwijderd, gewijzigd of versleuteld kan worden door ransomware. In het geval van een aanval kan een indringer misschien nog steeds toegang krijgen tot de data, maar kan hij de snapshots niet verwijderen of versleutelen omdat ze vergrendeld en beschermd zijn. Het resultaat is geen of een minimale verstoring en de mogelijkheid om snel te herstellen, zonder losgeld te betalen.

Goede cybersecurity in de publieke sector begint met veerkracht en flexibiliteit

Aangezien cyberaanvallen voortdurend evolueren, moeten organisaties ook voortdurend hun cybersecurityaanpak en -tools herevalueren. Het is essentieel dat organisaties in de publieke sector hun organisatie veerkrachtig en flexibel te maken en te houden. Door kritieke IT-infrastructuur toekomstbestendig te maken en een moderne strategie voor datasecurity te implementeren met effectieve processen om applicatiedata te beschermen, kunnen organisaties een optimale aanpak opstellen voor back-up en herstel.

Marco Bal, Principal Systems Engineer, Pure Storage

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in