Om organisaties in staat te stellen zich tegen ransomware-aanvallen te wapenen, zijn door het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en het Computer Emergency Response Team voor Europese instanties (Cert-EU) in februari een aantal minimale best practices vastgesteld.
Door genoemde organisaties is geconcludeerd dat de dreiging van ransomware flink is toegenomen. Dat dit niet alleen het geval is voor grote organisaties blijkt ook uit een recent rapport van BlackBerry. Dit rapport wijst namelijk uit dat het mkb/kmo in toenemende mate doelwit is van ransomware-aanvallen. Daarnaast blijkt uit dit rapport dat cybercriminelen bij deze aanvallen meer samenwerken en vaker sprake lijkt te zijn van de uitbesteding van aanvallen. Wat houden de door Enisa en Cert-EU vastgestelde veertien minimale best practices in?
Best practices
- Gebruik multi-factorauthenticatie (mfa) voor alle applicaties die op afstand toegankelijk zijn en gebruik hierbij smart cards en fido2-beveiligingssleutels (en niet met sms-codes of automatische telefoontjes);
- Sta medewerkers niet toe om voor meerdere accounts hetzelfde wachtwoord te gebruiken, gebruik mfa waar mogelijk, stimuleer het gebruik van wachtwoordmanagers en houd in de gaten waar eventueel welke inloggegevens zijn gelekt;
- Houd software up-to-date en implementeer patches zo snel als mogelijk;
- Beperk zoveel als mogelijk de toegang tot systemen en netwerken door derde partijen en pas hierop strakke controles toe;
- Versterk de cloud-omgevingen en pas waar mogelijk scheidingen op die omgevingen toe;
- Review de backup-strategie en voldoe minimaal aan de 3-2-1-voorwaarde: minimaal drie complete backups, waarvan twee lokaal opgeslagen op verschillende media en één op een andere locatie; maak bovendien meer dan drie backups van kritische data; breng bovendien de recovery time objective (rto*) ] en recovery point objective (rpo*) van systemen in kaart, zorg dat de backup-strategie hier bij aansluit en test herstelprocedures periodiek; en zorg dat medewerkers data op de juiste omgevingen (en dus niet lokaal) opslaan;
- Gebruik géén standaard-inloggegevens en schakel protocollen uit die geen mfa gebruiken of enkel zwakke autorisatiesmogelijkheden bieden;
- Segmenteer netwerken;
- Verzorg trainingen voor it-medewerkers zodat ze op de hoogte zijn van interne processen en beleid;
- Versterk de beveiliging van de e-mailomgeving door onder andere de toepassing van gateways en antispam filtering;
- Organiseer awareness-activiteiten zodat medewerkers zich meer bewust worden van ransomware, waaronder phishing, en weten wat ze bij vermoedens hiervan moeten doen;
- Beschermen web-omgevingen tegen ddos-aanvallen door gebruik te maken van een content delivery network of van beschikbaarheidsfuncties van cloudplatformen en automatiseer de mogelijke toepassing van noodherstel;
- Blokkeer of beperk de internettoegang voor kwetsbare servers of andere apparaten die (ondanks de beveiligingsrisico’s alsnog) binnen de organisatie worden gebruikt;
- Zorg ervoor dat de organisatie over procedures beschikt om, indien relevant, snel contact op te kunnen nemen met relevante organisaties op het gebied van cyberweerbaarheid, zoals voor Nederland het Nationaal Cyber Security Centrum (NCSC).
Op de hoogte blijven
Bovenstaande betrof een weergave van de minimale best practices die worden aanbevolen door Enisa en Cert-EU. De ontwikkelingen op cyber securitygebied gaan echter snel. Om op de hoogte te blijven van recente ontwikkelingen, verdient het daarom aanbeveling om regelmatig informatie over dreigingen e.d. te bekijken die bijvoorbeeld wordt verschaft vanuit organisaties als het NCSC en het recentelijk opgerichte Nederlands Security Meldpunt.
Rto en rpo
De rrecovery time objective (rto) is de hoeveelheid tijd die het mag kosten om een systeem bij een verstoring weer werkend te krijgen, waarbij wordt gekeken naar de verstoring van het bedrijfsproces en de impact van de verstoring op andere systemen, bronnen en ondersteunde bedrijfsprocessen.
De recovery point objective (rpo) is dan de hoeveelheid tijd die verloren mag zijn gegaan wanneer het systeem weer beschikbaar wordt (aan de hand van de meest recente backup).