Toegenomen dreiging ransomware
Door het Europees agentschap voor cyberbeveiliging (ENISA) en het Computer Emergency Response Team voor Europese instanties (CERT-EU) is geconcludeerd dat de dreiging van ransomware flink is toegenomen. Dat dit niet alleen het geval is voor grote organisaties blijkt ook uit een recent rapport van BlackBerry. Dit rapport wijst namelijk uit dat het MKB steeds vaker doelwit is van ransomware aanvallen. Daarnaast blijkt uit dit rapport dat cybercriminelen bij deze aanvallen meer samenwerken en vaker sprake lijkt te zijn van de uitbesteding van aanvallen. Om organisaties beter in staat te stellen zich tegen ransomware aanvallen te wapenen, zijn door ENISA en CERT-EU op 14 februari 2022 een aantal minimale best practices vastgesteld. In deze blog leest u wat deze best practices inhouden.
Best practices
- Gebruik Multi-factor-authenticatie (MFA) voor alle applicaties die op afstand toegankelijk zijn en doe dit bij voorkeur m.b.v. smart cards en FIDO2-beveiligingssleutels (en niet met sms-codes of automatische telefoontjes);
- Sta medewerkers niet toe om voor meerdere accounts hetzelfde wachtwoord te gebruiken, gebruik MFA waar mogelijk, stimuleer het gebruik van password managers en houd in de gaten waar evt. welke inloggegevens zijn gelekt;
- Zorg ervoor dat software up-to-date is en implementeer belangrijke patches zo snel als mogelijk;
- Beperk, zoveel als mogelijk, de toegang tot systemen en netwerken door derde partijen en pas hierop strakke controles toe;
- Harden Cloud omgevingen en pas, waar mogelijk, scheidingen op de omgevingen toe;
- Review de back-up strategie en zorg dat aan minimaal de volgende voorwaarden wordt voldaan:
- 3-2-1: Heb minimaal drie complete back-ups, sla daarvan twee lokaal op verschillende media op en één op een andere locatie;
- Maak meer dan drie back-ups van kritische data;
- Breng de Recovery Time Objective (RTO)[1] en Recovery Point Objective (RPO)[2] van systemen in kaart, zorg dat de back-up strategie hierbij aansluit en test herstelprocedures periodiek;
- Zorg dat medewerkers data op de juiste omgevingen (en dus niet lokaal!) opslaan.
- Gebruik géén standaard inloggegevens en schakel protocollen die geen MFA gebruiken of enkel zwakke autorisatiesmogelijkheden bieden, uit;
- Segmenteer netwerken;
- Verzorg trainingen voor IT-medewerkers zodat ze op de hoogte zijn van interne processen en beleid;
- Versterk de beveiliging van de e-mailomgeving (o.a. door de toepassing van gateways en antispam filtering);
- Organiseer awareness activiteiten zodat medewerkers zich meer bewust worden van ransomware, waaronder phishing, en weten wat ze bij vermoedens hiervan moeten doen;
- Beschermen web omgevingen tegen DDoS-aanvallen door gebruik te maken van een CDN (Content Delivery Network) of van beschikbaarheidsfuncties van Cloudplatformen en automatiseer de mogelijke toepassing van noodherstel;
- Blokkeer of beperk de internettoegang voor kwetsbare servers of andere apparaten die (ondanks de beveiligingsrisico’s alsnog) binnen de organisatie worden gebruikt;
- Zorg ervoor dat de organisatie over procedures beschikt om, indien relevant, snel contact op te kunnen nemen met relevante organisaties op het gebied van cyberweerbaarheid, zoals voor Nederland het Nationaal Cyber Security Centrum (NCSC).
Op de hoogte blijven van ontwikkelingen
Bovenstaande betrof een weergave van de minimale best practices die worden aanbevolen door ENISA en CERT-EU. De ontwikkelingen op cyber securitygebied gaan echter snel. Om op de hoogte te blijven van recente ontwikkelingen, verdient het daarom aanbeveling om regelmatig informatie over dreigingen e.d. te bekijken die wordt verschaft vanui organisaties als het NCSC en het recentelijk opgerichte Nederlands Security Meldpunt.
[1] De hoeveelheid tijd die het mag kosten om een systeem bij een verstoring weer werkend te krijgen, waarbij wordt gekeken naar de verstoring van het bedrijfsproces en de impact van de verstoring op andere systemen, bronnen en ondersteunde bedrijfsprocessen
[2] De hoeveelheid tijd die verloren mag zijn gegaan wanneer het systeem weer beschikbaar wordt (aan de hand van de meest recente back-up).
Geschreven door Michelle Wijnant, Legal Counsel IT, IE & Privacy