Ransomware maakt geen onderscheid naar bedrijfsgrootte. Sterker nog, kleine en middelgrote bedrijven worden onevenredig vaak aangevallen — ze beschikken vaak niet over een speciaal beveiligingsteam, zijn afhankelijk van één IT-medewerker (of helemaal geen) en gaan ervan uit dat ze te klein zijn om de moeite waard te zijn om aan te vallen. Die veronderstelling is onjuist. Aanvallers weten dat kleine en middelgrote bedrijven eerder geneigd zijn losgeld te betalen omdat ze zich geen uitval kunnen veroorloven.

Het goede nieuws: weerbaarheid tegen ransomware draait niet om het aanschaffen van dure tools voor endpointdetectie. Het draait om systematische voorbereiding. Als uw back-ups solide zijn, uw accounts beveiligd zijn en uw herstelplan gedocumenteerd is, kunt u een aanval overleven zonder ook maar een cent te betalen.

Hier volgt een 10-puntenplan om uw paraatheid te beoordelen en te verbeteren.

De 10-puntenchecklist voor weerbaarheid tegen ransomware

1. Stel een back-upstrategie op

Elke kritieke dienst heeft een gedocumenteerde back-upstrategie nodig. Niet alleen "we maken back-ups naar de cloud" — maar een specifiek plan dat frequentie, bewaartermijn, opslaglocatie en verantwoordelijkheid omvat. Als uw back-upstrategie alleen in iemands hoofd bestaat, bestaat deze niet.

2. Test uw back-ups regelmatig

Een back-up die u nog nooit hebt teruggezet, is een back-up die u niet hebt. Plan ten minste één keer per jaar tests voor het terugzetten van back-ups. Documenteer de resultaten: werkte het terugzetten? Hoe lang duurde het? Ontbraken er bestanden of waren er beschadigde gegevens? Diensten waarvan de back-ups in de afgelopen 12 maanden zijn getest, scoren hoger bij beoordelingen van de paraatheid.

3. Gebruik onveranderlijke of air-gapped back-ups

Dit is de allerbelangrijkste verdedigingsmaatregel tegen ransomware. Moderne ransomware richt zich specifiek op back-ups — deze worden versleuteld of verwijderd voordat uw productiegegevens worden vergrendeld. Onveranderlijke back-ups (eenmaal schrijven, veelvuldig lezen) of back-ups met een air gap (fysiek losgekoppeld van uw netwerk) zijn niet bereikbaar voor ransomware die uw systemen heeft gecompromitteerd.

Zonder onveranderlijke back-ups bent u slechts één aanval verwijderd van het verlies van alles — zowel productiegegevens als back-ups.

4. Sla back-ups extern op

Geografische redundantie is van belang. Als uw back-ups zich op een NAS bevinden in hetzelfde kantoor als uw servers, kan een brand, overstroming of fysieke inbraak beide vernietigen. Externe back-ups – of deze nu in een ander gebouw, een andere stad of een cloudregio staan – zorgen ervoor dat een lokale ramp niet alles vernietigt.

5. Pas MFA toe op alle kritieke diensten

Gestolen inloggegevens zijn de belangrijkste aanvalsvector voor ransomware. Een medewerker hergebruikt een wachtwoord, dit verschijnt in een database met gelekte gegevens, en een aanvaller loopt via de voordeur uw systemen binnen. Multi-factor authenticatie (MFA) voorkomt dit. Zelfs als het wachtwoord is gecompromitteerd, kan de aanvaller niet binnenkomen zonder de tweede factor.

Pas MFA toe op elke dienst die gevoelige gegevens verwerkt — met name e-mail, cloudopslag, beheerderspaneel en back-upbeheerconsole.

6. Implementeer patchbeheer

Niet-gepatchte software is het op één na meest voorkomende toegangspunt. Kwetsbaarheden in VPN's, firewalls en tools voor externe toegang worden regelmatig misbruikt door ransomwaregroepen. Automatisch patchen is ideaal. Als dat niet mogelijk is, stel dan een geplande patchcyclus in – minimaal maandelijks voor kritieke systemen.

7. Schakel versleuteling in rust in

Als een aanvaller uw gegevens exfiltreert voordat deze worden versleuteld (dubbele afpersing), beperkt versleuteling in rust de schade. Versleutelde gegevens zijn nutteloos zonder de decoderingssleutels. Schakel schijfversleuteling in op servers, werkstations en back-upmedia.

8. Zorg voor goed beheer van inloggegevens

Wachtwoorden op plakbriefjes, gedeelde beheerdersaccounts, inloggegevens in spreadsheets — dit zijn cadeautjes voor aanvallers. Gebruik een inloggegevenskluis (wachtwoordbeheerder) voor alle inloggegevens van diensten. Leg vast wie toegang heeft tot wat. Wissel de inloggegevens voor kritieke systemen regelmatig.

9. Leg procedures voor accountherstel vast

Wanneer u door ransomware wordt getroffen en u bent bezig met herstel, moet u de toegang tot uw diensten herstellen. Leg voor elke kritieke dienst vast: hoe het beheerdersaccount opnieuw kan worden ingesteld, waar herstelsleutels zijn opgeslagen, met wie u contact moet opnemen bij de leverancier en wat de verwachte hersteltijd is. Zonder deze documentatie duurt het herstel dagen in plaats van uren.

10. Bepaal de bedrijfskriticiteit

Niet alle diensten zijn even belangrijk. Uw e-mailsysteem en ERP zijn waarschijnlijk kritischer dan uw interne wiki. Classificeer elke dienst op basis van bedrijfskriticiteit (kritiek, hoog, gemiddeld, laag) en gebruik die classificatie om prioriteit te geven aan uw herstelvolgorde. Wanneer ransomware toeslaat, moet u weten wat u als eerste moet herstellen.

Waarom onveranderlijke back-ups de laatste verdedigingslinie vormen

Alle andere maatregelen op deze lijst verminderen de kans op een aanval of beperken de omvang ervan. Onveranderlijke back-ups zijn anders — zij garanderen herstel. Zelfs als alle andere verdedigingsmaatregelen falen, zelfs als de aanvaller volledige beheerdersrechten tot uw netwerk heeft, blijven onveranderlijke back-ups onaangetast.

De 3-2-1-1-regel breidt de klassieke 3-2-1-back-upstrategie uit: 3 kopieën, 2 mediatypen, 1 offsite en 1 onveranderlijk. Die laatste "1" is wat bedrijven die zich herstellen van ransomware onderscheidt van bedrijven die betalen.

Hoe voert u een back-uphersteloefening uit?

Een hersteloefening hoeft niet ingewikkeld te zijn:

  1. Kies een kritieke dienst — begin met uw belangrijkste
  2. Simuleer een verlies-scenario — doe alsof het productiesysteem weg is
  3. Herstel vanuit de back-up — volg uw gedocumenteerde procedure (of ontdek dat u die niet heeft)
  4. Meet de tijd — hoe lang duurt het van "we moeten herstellen" tot "de dienst is operationeel"?
  5. Documenteer hiaten — ontbrekende stappen, verouderde procedures, inloggegevens die niemand kent
  6. Werk uw plan bij — corrigeer wat u hebt gevonden en plan de volgende oefening

Voer deze oefening jaarlijks uit voor kritieke diensten. De eerste oefening levert altijd verrassingen op.

Hoe Readmodel® de paraatheid tegen ransomware beoordeelt

Readmodel® beoordeelt de weerbaarheid van elke dienst tegen ransomware op een schaal van 0 tot 100 aan de hand van deze 10 criteria, met een gewogen score die de nadruk legt op de maatregelen met de grootste impact:

  • Onveranderlijke back-ups en MFA-handhaving hebben het grootste gewicht (elk 15 punten) omdat zij de sterkste verdedigingsmechanismen vertegenwoordigen
  • Back-upstrategie, back-uptests, offsite back-ups, patchbeheer en versleuteling krijgen een standaardgewicht (elk 10 punten)
  • Inloggegevensbeheer, accountherstel en bedrijfskriticiteit krijgen een ondersteunend gewicht (elk 5 punten)

Diensten met een score lager dan 40 worden gemarkeerd als kritiek. De veerkrachtpagina toont scores per dienst, wijst op hiaten en identificeert single points of failure in uw gehele datalandschap.

U kunt zich niet vrij kopen van een ransomware-aanval. Maar u kunt zich wel voorbereiden. Begin met de checklist, verhelp de hiaten en test uw herstelprocedure – voordat u deze daadwerkelijk nodig heeft.