Datalek door ransomware: wat moet u doen?

15 okt 2016

Met enige regelmaat krijgen wij de vraag of een ransomware besmetting gemeld moet worden bij de autoriteit. Het enige juiste antwoord is: Ja, mits er persoonsgegevens bij betrokken zijn.

Citaat Autoriteit Persoonsgegevens:

“Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

De verantwoordelijke kan er bij ransom- of cryptoware niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.”

Meer informatie hieromtrent op de website van de Autoriteit Persoonsgegevens

Voorkomen beter dan genezen

Ransomware is nog steeds een groeiend probleem voor veel organisatie. Zakelijk gezien kan de impact enorm zijn als protocollen, beleid en techniek niet goed geregeld zijn. Daarnaast heeft ook de medewerker bij Ransomware een groot aandeel, hij/zij beslist immers om juist wél of juist niet op een link, bijlage of iets interessants te klikken.

Ransomware helemaal voorkomen is zeer lastig, het beste is dus om voorbereid te zijn op een mogelijke besmetting. Wij geven u een aantal tips waarmee u de kans op een besmetting kunt minimaliseren.

  • Beperk de toegangs- en bewerkingsrechten van medewerkers
    Zorg dat medewerkers alleen toegang hebben tot de bestanden en data die zij nodig hebben om hun werkzaamheden goed uit te kunnen voeren. Dit geldt ook voor IT-medewerkers! Het zal niet voor het eerst zijn dat via een foutje op de IT-afdeling de volledige bedrijfsdata versleuteld wordt!
  • Blokkeer bestandstypen die u niet gebruikt en macro’s in (office)documenten
    Bepaalde bestanden zoals .rar/.zip/.exe maken het voor virusscanners soms onmogelijk om een bedreiging te herkennen. Het is verstandig om deze type bestanden te laten filteren door uw firewall en beleidsafspraken te maken over hoe data verzonden en ontvangen dient te worden. Indien medewerkers geen macro’s gebruiken voor hun werkzaamheden, blokkeer macro’s dan volledig om fouten en Ransomware te voorkomen.
  • Leer medewerkers om veiliger te werken en bedreigingen te herkennen
    Medewerkers die weten waar de risico’s liggen en beseffen dat zij een verantwoordelijkheid hebben als het gaat om informatiebeveiliging, werken bewust veel veiliger. Security Awareness reduceert de kans op incidenten exponentieel.
  • Patch en update al uw software zodra er updates beschikbaar zijn
    In de praktijk zien we dat veel organisaties hun best doen, maar zijn vaak kleine zaken die over het hoofd gezien worden. Zorg daarom dat u zorgt voor goed en procedureel patchmanagement, om zo kwetsbaarheden te verhelpen voordat deze misbruikt kunnen worden.
  • Zorg voor een zorgvuldig uitgewerkt incident-response-plan
    Zodat in het geval van een incident of Ransomware besmetting, iedereen weet wat zijn/haar taak is om het voorval zo snel mogelijk af te wenden en systemen te herstellen.
  • Zorg voor goede, actuele back-ups en bewaar deze offline
    Steeds meer Ransomware gaat eerst op zoek back-ups om deze onbruikbaar te maken, alvorens de documenten op het systeem en/of netwerk te versleutelen. Zorg dus altijd voor een goede offline back-up! Herstel daarnaast periodiek systemen en data om ‘geoefend’ te hebben voor als een incident zich voordoet.

To pay or not to pay?
Betalen of niet…? Dat is de grote vraag die veel organisaties en mensen zich stellen.
Wij adviseren om in basis geen losgeld te betalen voor het ontsleutelen van documenten en data, hiervoor zijn een aantal redenen:

  • Als u betaalt, blijft Ransomware een lonende business voor criminelen
  • U heeft geen garanties dat u een decryptie-tool ontvangt als u het losgeld betaalt
  • Het betalen van losgeld maakt u een interessant doelwit voor toekomstige aanvallen, want u betaalt immers.
  • Als u een incident response plan en een recente back-up heeft, kunt u relatief eenvoudig de systemen herstellen. Zeker als u dit een aantal keer aan de hand van simulatie een herstel heeft uitgevoerd.
Terug naar het overzicht