Ransomware – drie vragen die u uw cyberbeveiligingsteams moet stellen

Hoewel de aard van de aanvallen verschilde, waren de gevolgen - verlies van toegang tot gegevens, downtime en verstoring van de supply chain - even schadelijk.

In het geval van JBS ging het om een directe aanval op systemen, waardoor vestigingen in de VS, Canada en Australië hun activiteiten moesten staken. In het geval van Coop was het de infiltratie van een van hun vertrouwde IT-beheerders, Kaseya, die de kassa's van meer dan 800 supermarkten deed sluiten.

Bedrijven als JBS Foods en Coop vroegen zich onmiddellijk af of ze op hun bedrijfscontinuïteitsplannen konden vertrouwen, of dat het losgeld de moeite waard was om te betalen voor een snel herstel van gegevens en systemen. Het argument om te betalen kan overtuigend overkomen, vooral als de voorspelde verliezen groter zijn dan wat de aanvaller eist, maar dit is problematisch, zowel ethisch als commercieel. Criminelen zullen dit soort aanvallen blijven uitvoeren zolang ze winstgevend zijn.

Zoals de aanval op Coop aantoont, is vertrouwen in je eigen beveiligingsprotocollen niet genoeg: ransomware-aanvallen kunnen ook komen via toeleveringsketens en andere organisaties waarmee je samenwerkt, waarmee je verbonden bent of waarvan je afhankelijk bent. Zowel downstream als upstream in de supply chain moet u nagaan met wie gegevens worden gedeeld, waar materialen vandaan komen en wie toegang heeft tot verwerkingscontrolesystemen, productformuleringen, verpakkingen en merkactiva.

In samenwerking met de deskundigen op het gebied van cyberveiligheidsrisico's van LRQA hebben wij drie essentiële vragen geformuleerd om te bepalen in hoeverre u bent voorbereid op een ransomware-aanval.

1. Hebben wij vertrouwen in de bescherming tegen aanvallen?
   Als de basis niet wordt gedaan, neemt het risico van een ransomware-infectie aanzienlijk toe, maar dit betekent niet dat elke geavanceerde oplossing die beschikbaar is, moet worden toegepast. Zelfs basiscontroles kunnen moeilijk te implementeren zijn, en veel organisaties denken dat ze ze goed doen, maar zonder onafhankelijke zekerheid zijn het de criminelen die de zwakke punten zullen identificeren in plaats van de cyberbeveiligingsprofessionals.
2. Als we morgen door ransomware getroffen zouden worden, zouden we dat dan kunnen herstellen?
   Een ransomware-aanval is niet onvermijdelijk, maar plan alsof dat wel zo is. Kunnen gegevens indien nodig snel worden hersteld en is dit vermogen getest? Back-upgegevens zijn vaak een doelwit, dus tenzij ze geïsoleerd zijn van live systemen, is het risico op onherstelbaar verlies zeer reëel. Denk naast herstel ook aan continuïteit - hoe zal het bedrijf functioneren als systemen gedurende een bepaalde periode niet beschikbaar zijn? Plannen hebben is belangrijk, maar het is ook belangrijk te testen of ze werken. Brandoefeningen vinden niet voor niets plaats: test plannen regelmatig en zorg ervoor dat teams goed geoefend zijn in het uitvoeren ervan. Als u niet weet wanneer de plannen voor het laatst zijn getest, moet u zich zorgen maken.
3. Begrijpt u uw externe verkopers en leveranciers?
   Elke organisatie doet tot op zekere hoogte een beroep op derden. Zijn zij gedocumenteerd en zijn de risico's die zij inhouden naar behoren beoordeeld? In de meeste organisaties is het antwoord nee - althans niet volledig. Denk aan leveranciers die fysieke goederen leveren, cloudproviders, ontwikkelaars die kernsoftware leveren, en elke organisatie waarmee u gegevens deelt. Als een leverancier op enigerlei wijze toegang heeft tot uw omgeving, is het een potentiële aanvalsvector. En vergeet schaduw-IT niet, die cruciale maar ongedocumenteerde en ongecontroleerde oplossingen die onvermijdelijk ergens bestaan. Begrijp de risico's die aan derden zijn verbonden en zoek naar zekerheid dat ook zij adequaat worden beschermd.

Nu onze wereldwijde supply chain netwerken voor levensmiddelen en dranken steeds complexer worden, kan de kwetsbaarheid voor cyberdreigingen alleen maar toenemen. In de hele sector moeten we ons nu meer dan ooit afvragen wie het volgende doelwit zal zijn? En als het onze organisatie is, zijn we dan beschermd?