Het komt regelmatig voor dat bedrijven in Nederland te maken krijgen met gijzelsoftware (ofwel ransomware). Ook als kleine ondernemer kun je hiermee te maken krijgen. Met relatief eenvoudige middelen kunnen bedrijven zich beschermen tegen dit gevaar.
“Schaam je niet als je gehackt bent. Praat erover”, zei digital detective Gina Doekhie onlangs in ICT-vakblad Computable. Het woord schaamte valt regelmatig in gesprekken over cybersecurity. Hoewel cyberrisico’s aan de orde van de dag zijn en ook ransomware-aanvallen voorkomen in alle vakgebieden en op alle niveaus, blijkt steeds weer dat getroffen ondernemers doen alsof hun neus bloedt. (Technisch dienstverlener Hoppenbrouwers Techniek vormt een uitzondering op de regel. Zie kader verderop).
Overheidsdienst DTC (Digital Trust Center) waarschuwde sinds vorig jaar al ruim drieduizend individuele bedrijven voor dreigingen en kwetsbaarheden, maar kan geen gedupeerde ondernemer naar voren schuiven voor een interview. Jammer, want met de uitwisseling van ervaringen komt iedereen een stap verder. En dat is hard nodig. Wat kunt u doen om te voorkomen dat u getroffen wordt? Hierbij een aantal praktische handvatten.
Bluf
De naam ransomware is een samenvoeging van ransom (losgeld) en software. Het is kwaadaardige software die gebruikt wordt voor afpersing. Aanvallers gijzelen data van burgers, bedrijven en instellingen en gebruiken drukmiddelen om hen te laten betalen. De gijzeling zelf bestaat meestal uit versleutelen (ofwel ‘op slot’ zetten) van gegevens en uploaden van gestolen data als extra drukmiddel. Denk bijvoorbeeld aan uploaden van klantgegevens, de nieuwe bedrijfsstrategie of vertrouwelijke informatie over een aanbesteding. De ontsleutelcode wordt soms tegen betaling aangeboden (let op: geen garantie). Werkt de gedupeerde ondernemer niet mee? In dat geval kan dreigen met publicatie van gestolen informatie effectief zijn. Hoe cool je als ondernemer ook bent, daar word je nerveus van.
Volgens branchevereniging Cyberveilig Nederland is ransomware op dit moment de meest voorkomende vorm van cybercrime wereldwijd. Recente Nederlandse aanvallen troffen Universiteit Maastricht (december 2019), Hof van Twente (december 2020), Senzer (maart 2021), De Mandemakers Groep (juni 2021) en Hoppenbrouwers Techniek (juli 2021). De aanvallers van Hoppenbrouwers Techniek eisten 50.000 dollar losgeld in Monero, een cryptovaluta. Dat bleek achteraf pure bluf te zijn. Er was geen data ontvreemd. Ook dat kan een strategie zijn van hackers. (Hoppenbrouwers liet zich overigens niet overbluffen en betaalde geen losgeld.)
Elke twee uur een back-up
Hoppenbrouwers Techniek werd op vrijdag 2 juli 2021 tegen het eind van de middag getroffen door een ransomware-aanval. Het bedrijf uit Udenhout, dat zich richt op elektrotechniek, beveiliging, werktuigbouwkunde en industriële automatisering, dacht goed beveiligd te zijn met dubbele authenticatie, adequaat patchmanagement en iedere twaalf uur een backup. Toch ging het mis.
IT-manager Marcel de Boer blikt terug: “De laatste back-up was van vrijdagmiddag 12:00 uur. Die bleek gelukkig niet versleuteld. Het slechte nieuws was dat al het werk van na 12:00 uur verloren is gegaan. Je moet je voorstellen dat er daarna nog facturen naar klanten zijn gestuurd, contracten naar onderaannemers en bestellingen naar leveranciers. Dat alles stond niet meer in het systeem en moest weer bij elkaar worden gesprokkeld. De hack heeft ons 400.00 euro gekost, toe te schrijven aan extra uren, stilstandschade en het inschakelen van externe bedrijven. Alle zakelijke laptops zijn voorzien van nieuwe antivirussoftware. Voor het gebruik van wachtwoorden hebben we na de hack strenge protocollen opgesteld. En de tijd voor de back-up van systemen hebben we verkort van twaalf naar twee uur.”
Proefbestandje ontsleutelen
Digitaal onderzoeker Willem Loman van recherchebureau Hoffmann heeft soms kleine aannemers en installateurs als klant. Volgens Loman doen kleinere bedrijven het IT-beheer er vaak “maar een beetje bij”. Ze zien IT als bijzaak en als kostenpost. Te vaak wordt tweefactor-authenticatie (2FA) met een gebruikersnaam en wachtwoord niet toegepast. (Gemakshalve wordt hetzelfde algemene wachtwoord gebruikt voor verschillende applicaties.) Ook updates doorvoeren gebeurt lang niet altijd consistent. En back-ups zijn niet altijd beschikbaar, ook niet met een cloudabonnement, want Microsoft maakt volgens Loman standaard geen back-ups.
Loman: “Bij een ransomware-aanval zien we in grote en kleine bedrijven steeds dezelfde problemen. Bedrijven kunnen dagen, weken of maanden van de bedrijfsgeschiedenis kwijt zijn als ze geen back-up hebben. Stel je dat eens voor. Het is een ramp voor kleine aannemers als de financiële administratie en planning niet up-to-date zijn. Ze weten niet eens welke leveranciers op de bouwplaats komen. Al snel wordt het een zooitje en zitten de bouwvakkers met de armen over elkaar in de schaftkeet. En wat te denken van informatie over marges en prijzen bij een aanbesteding? Als bouwer krijg je een behoorlijke knauw als die informatie gestolen wordt en op straat komt te liggen. De overheid zegt: niet betalen. Maar wat als het voortbestaan van je bedrijf in gevaar is? Wij constateren dat de kans groot is dat je data terugkrijgt als je betaalt. Vaak zijn hackers ook best wel bereid voorafgaand aan de betaling een proefbestandje te ontsleutelen.”
Dit kunt u doen!
Idealiter zijn er na een digitaal incident voldoende (log)gegevens beschikbaar voor adequaat onderzoek. Daarvoor moet de basis in orde zijn, waarbij ondergenoemde punten van belang zijn.
• Training voor medewerkers om het bewustzijn te vergroten en een positieve cultuur op te bouwen waarin melden wordt beloond (en niet bestraft). De medewerkers worden zo een extra beschermlaag.
• Tweefactor-authenticatie (2FA) of multifactor-authenticatie (MFA) invoeren om ‘wachtwoordje raden’ of aanmelden met een gestolen wachtwoord tegen te gaan.
• Patchmanagement: een vaste systematiek om alle hard- en software upto- date te houden en aanvallen op verouderde versies te voorkomen.
• Kritieke processen en informatie in kaart brengen om de beveiliging te kunnen concentreren op de kroonjuwelen (welke dat zijn is voor iedere organisatie anders) .
• Netwerksegmentatie: loskoppelen van delen van het netwerk die niet met elkaar verbonden hoeven te zijn. Hackers die ‘binnen’ zijn, kunnen dan nog steeds niet overal komen.
• Access control: medewerkers alleen die rechten geven die ze voor hun werk nodig hebben.
• Netwerkmonitoring: loggen en analyseren van het netwerkverkeer, zodat afwijkende activiteiten snel worden gesignaleerd.
• Incident response plan: vooraf opstellen van procedures, acties en contacten om de schade bij een ‘geslaagde’ aanval te beperken.
• Offline back-up: minimaal één niet-overschrijfbare kopie op een gescheiden locatie.
Bron: Cyberveilig Nederland
Geautoriseerde toegang
Kortom: dichttimmeren wordt aanbevolen. Overheidsdienst Digital Trust Center (DTC) heeft een aantal basisprincipes opgesteld voor veilig (digitaal) ondernemen. Vooropgesteld dat er antivirussoftware is geïnstalleerd, begint het allemaal met inventariseren van kwetsbaarheden met een incident response plan. Dat klinkt misschien ingewikkeld maar het is niet meer dan goed nadenken over wat u gaat doen in het geval van een cyberincident. Welke eerste stappen gaat u zetten? Wie gaat u om hulp vragen? Maak een noodplan en bellijst. Kies vervolgens de meest veilige instellingen voor uw apparatuur, software en internetverbindingen. Leveranciers van apparatuur en software kiezen vaak voor standaardinstellingen. Alles wordt op ‘aan’ gezet. Voor installeren van nieuwe apparatuur en krijgen van internettoegang is dat handig. Maar als gebruiker wordt u kwetsbaar als u de standaardinstellingen niet wijzigt. De deur staat open voor onbevoegden.
Een belangrijk advies van DTC is het uitvoeren van updates. Producenten van apparaten en software zijn doorlopend bezig om producten door te ontwikkelen. Door middel van updates komen de nieuwste functionaliteiten bij de eindgebruiker terecht. Ook nieuw ontdekte kwetsbaarheden en betere beveiligingsmethodes worden via updates aangeboden. Installeer dus in elk geval de meest recente beveiligingsupdates. En tot slot: weet wie u (geen) toegang geeft tot welke data en services. Wat hebben uw medewerkers nodig om te kunnen werken? Deze zogenaamde geautoriseerde toegang (ofwel access control) is het nieuwe normaal. Door toegangsrechten per medewerker te bepalen, voorkomt u dat mensen binnen en buiten het bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk helemaal niet nodig hebben.
Discussie zien we graag op Aannemervak, maar wel met respect voor elkaar. Wij vragen daarom om onder volledige naam te reageren. Lees onze andere regels voor discussie hier. Met het plaatsen van een reactie verklaart u zich akkoord met deze regels.