Voorkomen is beter dan genezen

KennisBite #46 | 17 februari 2022
Gehackt? Wat nu?
Presentatie: Barbera Menten en Pim van Dun (Fox-IT)

Een KennisBite over de gevreesde ‘hack’. Want het is niet de vraag of je gehackt wordt, maar wanneer je gehackt wordt. We doen veel om dat te voorkomen, heeft dat eigenlijk wel zin? Ja, zegt Barbera, dat heeft wel degelijk zin. Het gaat er immers altijd om wanneer detecteren we iets en welke actie kunnen we daarop nemen?
Wat moet je doen als je gehackt bent? Hoe ziet ransomware eruit? In deze KennisBite stelt Barbera Menten vragen aan Incident Handler Pim van Dun. Want hoewel je in geen enkel opzicht 100% beschermd kan zijn tegen een aanval, kun je de impact wel zoveel mogelijk minimaliseren door kennis met elkaar te delen.

Hoe groot is eigenlijk de kans dat je gehackt wordt?
Volgens Pim neemt die kans elk jaar exponentieel toe. We vertrouwen steeds meer op digitale systemen en aan de andere kant is digitale criminaliteit nog behoorlijk lonend. De pakkans is bijna nul, het vereist enige kennis maar geen hoogstaande, en er ontstaat een soort maatschappelijke acceptatie dat het betalen van losgeld ‘okee’ is (zie ook dit artikel).

Wat is ransomware?
Dat is het versleutelen van de bestanden op je netwerk, de sleutel is in handen van de bad one (hacker) die daar losgeld voor vraagt. WannaCry was een van de eerste ransomware aanvallen (in 2017). Het ging als een soort van virus door de netwerken en gijzelde bestanden, die tegen betaling van losgeld konden worden vrijgekocht. Het fenomeen is nooit meer verdwenen en volgens Pim zit er bij de hackers niet zozeer een gedachte achter ‘wie’ aangevallen wordt, maar veel meer daar ‘waar’ het lukt. Het netwerk waar zich een kwetsbaarheid in bevindt is de klos. Is de hacker eenmaal binnen dan wordt bekeken of er zonder al te veel ingewikkelde manoeuvres wat te halen valt. Daar komen overwegingen als de mate van het effect bij kijken en daarmee de kans dat het slachtoffer gaat betalen.

Hoe snel kan Fox-IT in geval van een hack daadwerkelijk helpen, is er een wachtlijst?
Maak je gebruik van een vooruitbetaalde retainer (soort SLA) dan staat het Incident Response team 24/7, 365 dagen per jaar voor je klaar. Je krijgt dan, als je belt omdat er iets aan de hand is, altijd een professional aan de lijn, die de eerste stappen met je doorneemt. Daarna kan er een breder onderzoek gedaan worden.
Fox-IT wil niets liever dan iedereen helpen die een beroep op hen doet in geval van calamiteit, maar door de toename van incidenten is daar niet altijd aan te voldoen.

Is een cyberverzekering zinvol?
Dat kan zinvol zijn, let wel goed op de kleine lettertjes. Vaak eist de verzekeraar al heel veel preventieve maatregelen en mogelijk een raamovereenkomst met partijen zoals Fox-IT, zodat er in geval van een incident snel en juist gehandeld kan worden. Ook kunnen er eisen aan de detectie worden gesteld, net zoals bij een brandverzekering de brandmelders een voorwaarde zijn. Verder is er meestal sprake van een uurlimiet, bijvoorbeeld voor de eerste 48 uur en valt niet alles te verhalen. Aldus Barbera.
Pim denkt dat vooral de premies heel snel zullen stijgen. Natuurlijk is er dekking, dat verschilt uiteraard per verzekering, maar als de incidenten blijven toenemen zoals dat nu het geval is, zal de premie hard stijgen en het dus minder rendabel worden.
Redactie CorpoNet: je zou de preventieve maatregelen, die een verzekeraar vraagt, als stok achter de deur kunnen gebruiken. Maar na deze kennissessie kun je als organisatie ook het onderwerp hoger en meer prominent op de agenda zetten.

Hoe herken ik eigenlijk dat mijn organisatie getroffen is? Wanneer moeten we Pim bellen?
Pim: Tja als je ‘s morgens je computer opstart en je ziet een mededeling op je scherm ‘Al je bestanden zijn versleuteld’ dan is dat een redelijk goeie indicatie om mij te bellen 😉 Verder moeten we het volgens Pim vooral aan de afdeling security overlaten. Als eindgebruiker is het wel zinvol om ongeregeldheden, zaken die anders gaan dan ‘normaal’ te melden. En stel dat je in een onbewaakt ogenblik op een ‘raar’ mailtje hebt geklikt, zeg dat alsjeblieft, deel het met de security officer. Die kan door het totaaloverzicht de ernst van de situatie beter inschatten.

José Kremers (Lefier) stelt een vraag over de cloud. ‘Nu we meer en meer vanuit de cloud werken is het dan logisch dat de grote spelers aldaar de cyberbeveiliging garanderen? De kennis van woningcorporaties is immers woningen verhuren.’
Pim constateert eenzelfde beweging bij de aanvallers, ook zij verplaatsen zich naar de cloud. Hij onderzoekt met grote regelmaat aanvallen, op bijvoorbeeld Azure en die zijn er genoeg. Want zo zegt hij, die omgevingen zijn nu eenmaal enorm gebruiksvriendelijk, ook voor hackers. Dus hij adviseert dezelfde mate van beveiliging als op de on-premise systemen.
Daar is José het niet helemaal mee eens, hij gaat ervan uit dat de kennis bij partijen als Microsoft vele malen groter is dan die vanuit de budgetten van woningcorporaties. Waardoor het voor hackers moeilijker wordt
Pim bevestigt dat databeveiliging in de cloud inderdaad makkelijker te managen is, maar (!) de impact bij een geslaagde aanval is velen malen groter. Daarnaast is ook het configureren van de cloud mensenwerk, waarbij menselijk fouten gemaakt zullen worden. Dat zien Pim en zijn collega’s ook, de menselijke fouten waaroverheen gekeken wordt zijn de zwakke schakels. Natuurlijk zorgt Microsoft voor het uptodate houden van de systemen, maar jij/de organisatie blijft zelf verantwoordelijk voor de beveiliging van de eigen cloudomgeving.

Hans Ebels (Nijestee) vraagt zich af wat Pim gaat doen als je hem belt vanwege versleutelde bestanden?
Pim: Allereerst probeer ik bij je te achterhalen welke ransomware het betreft, al kunnen we in 99 van de 100 gevallen er weinig tot niets meer aan doen. Volgende vraag is zijn er back-ups en ‘leven’ die nog? Is dat niet het geval, dan is de vraag: wat is dan nu je plan? Hans moet hier om glimlachen en vraagt zich hardop af wat in het geval van aanwezige werkende back-ups dan de toegevoegde waarde van Fox-IT is?
Nou, zegt Pim, de aanvaller is op een bepaald manier je netwerk binnengekomen, je snapt zelf de gevolgen van de back-ups terugplaatsten, maar de ‘route’ (die je niet onderzocht hebt) openlaten. En als er geen back-ups bereikbaar zijn dan helpt Pim je met een strategische aanpak om zo snel mogelijk je netwerk weer op een veilige manier op te bouwen. Zelfs als je bereid bent te betalen om er zo snel mogelijk vanaf te zijn, is het absoluut zinvol er een deskundige bij te halen. Om inzicht te krijgen in hoe de aanvaller(s) binnen is gekomen en die toegang dus te dichten.

Zijn er maatregelen die een hack kunnen voorkomen?
Natuurlijk aan de technische denk je het eerst, maar ook beleid, gesteund door de directie, op informatiebeveiliging is een aanbeveling van Pim. Denk daar als organisatie over na. Bepaal bijvoorbeeld gaan we betalen of niet, en in geval van calamiteit zijn er x personen beschikbaar et cetera. Uit dat stuk beleid extraheer je een plan, waarin je rollen en verantwoordelijkheden van medewerkers definieert in geval van een incident. Zo maak je een organisatie specifiek incident response plan. Het ziet eruit als een pyramide, bovenin beleid, dan plan & procedures en daaronder playbooks (werkinstructies). In de playbooks wordt stap voor stap uitgewerkt wat er gedaan moet worden bij welk incident. Bijvoorbeeld als iemand een phisingmail heeft ontvangen wordt stap voor stap beschreven wat er gedaan moet worden.
En aan de menselijke kant: trainen op bewustwording! Fox-IT heeft daarvoor een heuse academy (https://www.fox-it.com/nl/academy/). Uiteraard zijn er meerdere aanbieders. Tip: KennisBite #51 ‘De menselijke firewall’
En misschien een inkoppertje, maar Barbera zegt: weten jullie medewerkers wat ze moeten doen als ze een phisingmail ontvangen? En bij wie ze dit kunnen melden?

Samengevat
preventie – voorkomen dat er iemand binnen kan komen
detectie (want het gaat een keer fout) – wat is er gebeurd? (dit zou je ook kunnen uitbesteden – SOC/SIEM)
reactie – zorgen voor herstel (eventueel door middel van een raamovereenkomst met partij(en) die je hierbij kunnen helpen)

Hoe zit het eigenlijk met de schade van een ransomware aanval, blijft die altijd zichtbaar (imago schade)?
Pim denk dat het in het geval van imago schade wel meevalt, zolang je eerlijk en open bent over wat er is gebeurd. Natuurlijk speelt de mate waarin jouw organisatie zulke aanvallen probeert te voorkomen hierbij een grote rol evenals het bewustzijn binnen de organisatie dat je persoonsgegevens serieus beschermt. Als die zaken aantoonbaar goed geregeld zijn dan denkt Pim dat de imagoschade beperkt kan blijven.

Als 100% beveiligen niet haalbaar is, wanneer mag je dan tevreden zijn?
Barbera: een nulmeting doen en kijken welk cyber security level je hebt. Hoeveel bevindingen en aanbevelingen komen daar nog uit? Dat zou een goede meting kunnen zijn voor een tevreden gevoel of juist het bewustzijn dat er nog een hoop te doen valt.
Consultants van Fox-IT kunnen daar uiteraard bij helpen, met bijvoorbeeld een dreigingsanalyse.

Wanneer kies je ervoor toch te betalen, en is er ruimte voor onderhandeling?
Pim: aanvallers gaan tegenwoordig zover dat je nadat zij hun werk hebben uitgevoerd nergens meer bij kunt. De back-ups worden onklaar gemaakt en vervolgens versleutelen ze het hele netwerk. Dat maakt dat je bijna geen andere keus hebt dan te betalen.
Is er dan onderhandelingsruimte? Vaak wel, maar Pim raadt wel aan dat door mensen met ervaring te laten doen. Fox-IT doet dat niet zelf, zij kennen wel partijen die daarin gespecialiseerd zijn.
En garandeert de betaling dan dat je alles weer terugkrijgt? Dat vindt Pim een goeie vraag. De ironie wil dat deze ‘business’ valt of staat met vertrouwen. Als er bekend wordt dat een betaling niet tot vrijgeven van het netwerk heeft geleid, dan tast dat het businessmodel in negatieve zin aan. Dus ja, betalen werkt. Soms is er zelfs sprake van een Nederlandstalige helpdesk die je kunnen helpen bij het ontsleutelen.

Is een back-up op tape (die ergens in een beveiligde datakluis ligt opgeslagen) een goed idee?
Pim: Dat valt te zeggen … een volledig IT herstel vanaf tape kost enorm veel tijd (2-3 weken). Tape is een goeie oplossing voor zeer belangrijke data, maar dus veel minder voor een volledige back-up.

En toen was de tijd om. Maar de vragen blijven komen, daarom geeft Barbera haar emailadres aan de deelnemers en geeft ze aan bereid te zijn de kennis van Fox-IT en laatste trends op dit gebied met ons in een vervolg KennisBite te delen.
Uiteraard staat het eenieder vrij om contact op te nemen met Fox-IT. CorpoNet zet dit onderwerp in ieder geval tijdens ons eerste live event op 2 juni centraal. Hou onze website en agenda dus in de gaten.

 

Zoeken

Meest recente verslagen

Meld je aan voor de Blik op de agenda

We sturen je maandelijks een overzicht van de nieuw ingeplande KennisBites. Zo mis je niks!