Ransomware, de zorgsector en bewustwording

Ransomware, de zorgsector en bewustwording

 

Losgeld betalen? In 2016, in Nederland? Jazeker! De kwaadaardige software die dat veroorzaakt wordt ransomware genoemd. Ransom is het Engelse woord voor losgeld. Het is een stukje software dat, als het ergens je netwerk is binnengedrongen, al je bestanden versleutelt door middel van encryptie. Daarom heet het ook wel “cryptoware”. Je kunt dan nergens meer bij, je bestanden zijn ontoegankelijk. Als je een bedrag in bitcoins overmaakt aan de crimineel, dan krijg je de sleutel om je bestanden weer te “bevrijden”.

Voor criminelen is het ideaal, veel eenvoudiger om mee te werken dan bijvoorbeeld het skimmen van bankpasjes of via een site gegevens verzamelen. Als je je ransomware weet te verspreiden kun je gaan zitten wachten tot de bitcoins binnenrollen.

ransomware

Hoezo bewustwording tegen ransomware?

Ransomware komt binnen op een netwerk via verschillende mogelijkheden.  Veel voorkomend is via e-mail. Phishing-e-mails zijn tegenwoordig heel knap gemaakt, haast niet van echt te onderscheiden. Als de lezer op de bijlage klikt kan de ransomware aan de slag. Alle bestanden waar deze gebruiker toegang toe heeft op het netwerk worden ingepakt.

Een andere mogelijkheid is het verspreiden van een besmette usb-stick. Heel veel gebruikers hebben er geen moeite mee een gevonden of gekregen usb-stick gewoon in te pluggen. Omdat de beveiliging van binnen het netwerk meestal minder sterk is dan bij benadering van buitenaf, lukt het ook via deze weg goed om alle bestanden waar de gebruiker bij kan te vinden en te versleutelen. Om deze besmettingen tegen te gaan is het belangrijk dat gebruikers zich bewust zijn van de risico’s van het klikken in e-mails en het gebruiken van usb-sticks.

 

Waarom is de zorg doelwit

Slechte beveiliging is vragen om aanvallen? Als jij je voordeur laat openstaan, ben je ook niet verbaasd als je bezoek krijgt van een inbreker. Feit is, helaas, dat bij veel zorginstellingen de beveiliging nog niet op het noodzakelijk niveau is. Voeg daarbij het lage risicobewustzijn van de medewerkers én de noodzaak om binnen korte tijd weer “in de lucht” te zijn met de systemen. Dan weet je waarom juist zorginstellingen doelwit zijn van acties met ransomware.

 

Drie van mijn klanten hebben het meegemaakt

Het afgelopen jaar hebben drie van mijn klanten te maken gehad met ransomware. Eentje zette zijn back-up terug en ging fluitend verder. De tweede was er snel achter dat z’n back-up niet helemaal in orde was en betaalde 2 bitcoins. Hij kreeg de goede sleutel waarmee alles op te lossen was en kon weer aan het werk. Daar moet wel bij gezegd worden dat het advies is om nooit te betalen. Je laat de criminelen weten dat je bereid bent om te betalen. En daarnaast zijn er al veel verhalen van organisaties die betaalden, maar niet al hun gegevens konden terughalen. De criminelen wilden eerst méér geld…

En dan de derde klant. Daar was sprake van een Wet van Murphy-gevalletje. Wel heel leerzaam, overigens. Hier bleek dat de software voor het Elektronisch CliëntenDossier een deel van de gegevens op de programmatuur-server had staan. Het is goed gebruik aparte servers in te richten voor programmatuur en gegevens, waarbij gebruikers geen schrijfrechten hebben op de programmatuurserver. Vanwege de gekozen inrichting hadden de gebruikers hier wél schrijfrechten. De ransomwaresoftware ging aan de slag met de rechten van degene die in een phishingmail had geklikt. Dat was overigens een MT-lid! Niet lang daarna waren alle bestanden versleuteld op zowel de gegevens- als de programmatuurserver. Gelukkig was er de back-up! Van de gegevensschijf was een recente, bruikbare back-up beschikbaar, waarmee de situatie hersteld kon worden. Van programmatuurservers wordt minder vaak een back-up gemaakt, deze bestanden wijzigen niet zo snel. Maar wat bleek, de back-upapparatuur die gebruikt was voor de programmatuurback-up was stuk. Dit was nog niet eerder opgemerkt, omdat dagelijkse controle op succesvolle back-ups ontbrak. Er moest worden teruggegaan naar een back-up van weken geleden. Het verlies van een deel van de gegevens is op de koop toe genomen. Maar er waren heel wat leerpuntjes opgedaan gedurende dit traject.

 

Maatregelen: Bewustzijn, bevoegdheden en back-up

Wat kun je doen om je te wapenen tegen ransomware?

  1. Bewustzijn – preventieve maatregel, de kans verkleinen dat het risico zich daadwerkelijk voordoet. Zorg dat medewerkers niet klikken in verdachte mails en niet zomaar usb-sticks gebruiken. De phishingmails worden steeds geavanceerder. De tijd dat ze in krom Nederlands geschreven waren is voorbij. Er komt nu een mail van een bekende afzender, gericht aan een specifiek persoon over een gebruikelijk onderwerp. Ik heb al diverse malen gehoord dat phishingmail uit naam van de Vereniging Verpleegkundigen & Verzorgenden Nederland over een openstaande factuur terechtkwam bij de juiste persoon van de afdeling financiën. Dan is het wel heel verleidelijk om de bijgevoegde factuur even open te klikken. Ook uit naam van bijvoorbeeld KPN worden zeer goed nagemaakte e-mails verzonden.
    Verder is het belangrijk dat medewerkers zich bewust zijn dat usb-sticks kwaadaardige software kunnen bevatten. Als je de herkomst van de usb-stick niet kent, gebruik hem dan niet! De organisatie zou er ook voor kunnen kiezen om aanwezige usb-poorten in alle apparatuur uit te schakelen. Er moet dan wel eerst worden nagegaan of daarmee legitiem gebruik van usb-sticks wordt verhinderd.
  2. Bevoegdheden – schadebeperkende maatregel. Ransomware versleutelt alle bestanden waar degene die de malware heeft geactiveerd mutatiebevoegdheid op heeft. Meestal zijn de mutatiebevoegdheden van computergebruikers beperkt tot dat wat noodzakelijk is voor het uitvoeren van hun functie. Dit is één van die redenen. Als de veroorzaker alle bestanden in het hele netwerk mag muteren, zal de ransomware alle bestanden versleutelen. De schade is dus net zo groot of klein als de bevoegdheden van de gebruiker.
  3. Back-up – correctieve maatregel. Als je dan toch besmet bent kun je de back-up terugzetten. Zorg dat je back-ups hebt, waarop alles staat wat je in geval van een calamiteit nodig hebt. Bepaal wat een aanvaardbaar gegevensverlies is in geval van een calamiteit. Is dat een week, een dag, een uur of een seconde? Op basis daarvan maak je een back-upschema. Verder: zorg dat je weet dat je back-up goed is. Dat wil zeggen dat je de back-up moet monitoren (zijn mijn back-ups geslaagd?) en periodiek moet testen of je een werkende omgeving kunt herstellen vanuit je back-ups.

Als je dit allemaal op orde hebt, kun je zonder losgeld te betalen verder werken na een besmetting met ransomware. Als je eenmaal besmet bent kost het wel een inspanning om de werkbare situatie te herstellen, maar het is mogelijk. Dus, als altijd, is de preventieve maatregel het sterkst: bewustzijn. Die zorgt ervoor dat er, althans via deze wegen, geen besmetting plaatsvindt.

Als je meer wilt weten over maatregelen tegen ransomware, neem dan gerust contact met mij op.

Ik ben ook benieuwd of een van jullie al ervaring heeft met ransomware. Deel het in het commentaarveld hieronder!

Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet handmatig.

0 Comments

PrivacyLab kijkt terug en blikt vooruit | PrivacyLab
[…] Lees hier mijn eerdere blog waarom de zorg aantrekkelijk is voor criminelen die ransomware verspreid… […]

Leave Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *