Vroeg of laat loopt iedereen risico om slachtoffer te worden van ransomware. Of je nu een productiebedrijf bent, een (lokale) overheidsinstelling of een zorginstelling. De voorbeelden zijn legio. De nadelen zijn gekend: van downtime tot reputatieschade. Maar hoe kan een strategisch business-continuïteitsplan ervoor zorgen dat de schade beperkt blijft en je business weer snel on track is?
‘Ja, maar ons netwerk is goed beschermd met de beste tools. Ons overkomt dit niet.’ Een veelgehoorde quote. Maar een goed securitybeleid is meer dan de tools. Elke organisatie zou een business continuity procedure (bcp) moeten hebben. Dat is een bescherming en een plan van aanpak tegen alle mogelijke crisissen: een staking, een technische storing door natuurramp of een pandemie. En it speelt daarin een belangrijke rol. It is steeds vaker het kloppend hart van een onderneming. De business hangt af van applicaties, dus wie zijn business wil beschermen, moet zijn apps beschermen.
Business continuitypProcedure
Hoe pak je dat best aan? Eerst kijken wij naar de business van de klant. Daarbij trachten we de mogelijke financiële impact te berekenen van een ransomwareaanval. Je hebt de directe kosten van de downtime – gemiddeld zeven dagen – en de indirecte kosten. Denk hierbij aan de reputatieschade en de moraal van de eigen werknemers dat naar beneden gaat. En dan heb je uiteraard ook de kosten na de aanval: heropstart, analyse, extra bescherming, gemiste orders…
Het doel van zo’n plan is de tijd tussen de downtime en de heropstart van de business zo kort mogelijk houden. Belangrijk is om hier de nodige bewijsmaterialen te vinden en te bewaren om die te kunnen analyseren. Net als in tv-serie ‘CSI’, ook daar komt eerst een speciaal team alle sporen ter plaatse gedetailleerd in kaart brengen vooraleer het lijk van de crime scene te verplaatsen.
Geen it-project
Er zijn enkele uitdagingen te overwinnen bij het opstellen van een bcp. Niemand begint graag over disaster recovery. Het vergt veel tijd, het is soms complex en het managen ervan is niet evident. Het wordt nog te vaak gezien als een it-project, terwijl het een businessproject is. Die awareness in de organisatie – en de bestuurskamer – krijgen, is een werk van de lange adem. Zo’n project begint wel vaak via de it-dienst, maar het is belangrijk dat de business-eenheden en het c-level van meet af aan zijn betrokken. Een externe ‘vertaler’ kan het gesprek tussen it en business faciliteren.
In een bcp moet je een antwoord vinden op drie vragen:
- Wat zijn de business-eisen? Wat is nodig om de business draaiende te houden?
- Wat is de bestaande situatie? Waar zitten de eventuele gaps?
- Wat is de te volgen roadmap en welke oplossingen zijn er voorhanden?
In onze aanpak leggen we de focus op de belangrijkste kritieke apps, waarbij we nagaan wat 24 uur downtime van elk deze apps zou kosten. Voor elke gap. Ook checken we hoeveel data je mag verliezen en kleven we daar een rating op (Tier 1 is heel belangrijk, dus de hersteltijd hiervan moet zo klein mogelijk zijn). Dit is een belangrijke oefening voor een bedrijf. Iedereen vindt zijn app en tools de belangrijkste, maar dit objectief overzicht geeft een duidelijk financieel beeld van het belang van elke gebruikte tool.
De volgende stap is de gap-analyse die het verschil aangeeft tussen wat de business vraagt en wat it vandaag kan leveren. Die gaps kunnen per app verschillen naar grootte en belangrijkheid.
Met deze data kan je acties definiëren om die gaps aan te pakken. Dat hoeven daarom niet altijd it-gerelateerde items te zijn. En je hebt uiteraard quick wins die je vrij snel kan implementeren. Vervolgens kan je een roadmap opstellen waarin je de acties op korte termijn, middellange en lange termijn definieert en er een prioriteit aan toekent. Met deze objectieve en cijfermatige analyse kan je als it-afdeling ook sneller de bestuurskamer overtuigen van het belang. Het is ook pas na deze analyse dat je aan technologische oplossingen kan beginnen te denken. Cruciaal in zo’n bcp is dat je moet kunnen testen wat de gevolgen zijn van een aanpassing.
Backup als verdedigingsbastion
Bedrijven beslissen soms om de gevraagde ransomware wel te betalen. Als de recovery bijvoorbeeld te lang zou duren of als óók de backup geëncrypteerd is. Of als ze niet weten welke documenten er geëncrypteerd zijn en welke niet.
Let wel, wanneer je de ransomware betaalt, blijf je dit systeem voeden.
Om dit te vermijden, is een gezonde mix van security-componenten nodig, maar de backup is cruciaal in dit verhaal. Het is het laatste bastion waarop je moet kunnen vertrouwen, want het biedt antwoord op de bovenstaande redenen.
Met een rechtstreekse launch vanop de backup heb je een instant recovery en een korte recoverytijd. Immutability is een systeem waarbij files die op de backup belanden, niet meer zijn aan te passen. Zo ben je er zeker van dat die data veilig zijn en niet geëncrypteerd. Om te weten wat wel en niet geëcrypteerd is, moet je werken aan een betere visibility. En dat kan het best in de back-up waar alle data samenkomen. Door de backups te analyseren – zijn er verschillen met gisteren, zijn er bestandsnamen veranderd of grote hoeveelheden data verplaatst? – kan je dit op een efficiënte manier achterhalen. De tijdswinst voor een it-team is enorm en ook de recovery gaat sneller.
Je backup als onneembare burcht is de fundering van een goed bcp. Zonder deze basis moet je zelf niet aan andere security-oplossingen beginnen.
Wim De Meyer, business developer bij Orange Cyberdefense.
