Vroeg of laat loopt iedereen risico om slachtoffer te worden van ransomware. Of je nu een productiebedrijf bent, een (lokale) overheidsinstelling of een zorginstelling. De voorbeelden zijn legio. De nadelen zijn gekend: van downtime tot reputatieschade. Maar hoe kan een strategisch business continuity plan ervoor zorgen dat de schade beperkt blijft en je business weer snel weer helemaal on track is?
“Ja, maar ons netwerk is goed beschermd met de beste tools. Ons overkomt dit niet.” Een veelgehoorde quote, maar een goed securitybeleid is veel meer dan de tools. Elke organisatie zou een Business Continuity Procedure (BCP) moeten hebben. Dat is een bescherming en een plan van aanpak tegen alle mogelijke crisissen: een staking, een technische storing door natuurramp of een pandemie. En IT speelt daarin een belangrijke rol. IT is steeds vaker het kloppend hart van een onderneming. De business hangt af van applicaties, dus wie zijn business wil beschermen moet zijn apps beschermen.
Business Continuity Procedure
Hoe pak je dat best aan? Eerst kijken wij naar de klant zijn business. Daarbij trachten we de mogelijke financiële impact te berekenen van een ransomwareaanval. Je hebt de directe kosten van de downtime – gemiddeld 7 dagen – en de indirecte kosten. Denk hierbij aan de reputatieschade en de moraal van de eigen werknemers dat naar beneden gaat. En dan heb je uiteraard ook de kosten na de aanval: heropstart, analyse, extra bescherming, gemiste orders, …
Het doel van zo’n plan is de tijd tussen de downtime en de heropstart van de business zo kort mogelijk houden. Belangrijk is om hier de nodige bewijsmaterialen te vinden en te bewaren om die te kunnen analyseren. Net als in CSI: daar komt ook eerst een speciaal team alle sporen ter plaatse gedetailleerd in kaart brengen vooraleer het lijk van de crime scene mag verplaatst worden.
BCP is een business-project, geen IT-project
Er zijn enkele uitdagingen te overwinnen bij het opstellen van een BCP. Niemand begint graag over disaster recovery. Het vergt veel tijd, het is soms complex en het managen ervan is niet evident. Het wordt nog te vaak gezien als een IT-project, terwijl het een business project is. Die awareness in de organisatie – en de bestuurskamer – krijgen, is een werk van lange adem. Zo’n project begint wel vaak via de IT-dienst, maar het is belangrijk dat de business units en het C-level van meet af aan zijn betrokken. Een externe ‘vertaler’ kan het gesprek tussen IT en business faciliteren.
Eenvoudig stappenplan
In een BCP moet je een antwoord vinden op drie vragen:
- Wat zijn de business requirements? Wat is nodig om de business draaiende te houden?
- Wat is de bestaande situatie? Waar zitten de eventuele gaps?
- Wat is de te volgen roadmap en welke oplossingen zijn er voorhanden?
In onze approach leggen we de focus op de belangrijkste kritieke apps, waarbij we nagaan wat 24u downtime van elk deze apps zou kosten. Voor elke gap. Ook checken we hoeveel data je mag verliezen en kleven we daar een rating op (Tier 1 is heel belangrijk, dus de recovery time hiervan moet zo klein mogelijk zijn). Dit is een belangrijke oefening voor een bedrijf. Iedereen vindt zijn app en tools de belangrijkste, maar dit objectief overzicht geeft een duidelijk financieel beeld van het belang van elke gebruikte tool.
De volgende stap is de GAP-analyse die het verschil aangeeft tussen wat de business vraagt en wat de IT vandaag kan leveren. Die gaps kunnen per app verschillen naar grootte en belangrijkheid.
Met deze data kan je acties definiëren om die gaps aan te pakken. Dat hoeven daarom niet altijd IT-gerelateerde items te zijn. En je hebt uiteraard quick wins die je vrij snel kan implementeren. Vervolgens kan je een roadmap opstellen waarin je de acties op korte termijn, middellange en lange termijn definieert en er een prioriteit aan toekent. Met deze objectieve en cijfermatige analyse kan je als IT-afdeling ook sneller de bestuurskamer overtuigen van het belang. Het is ook pas na deze analyse dat je pas aan technologische oplossingen kan beginnen te denken. Cruciaal in zo’n BCP is dat je moet kunnen testen wat de gevolgen zijn van een aanpassing.
Back-up als eerste én laatste verdedigingsbastion
Bedrijven beslissen soms om de gevraagde ransomware wel te betalen. Als (1) de recovery bijvoorbeeld veel te lang zou duren of als (2) de back-up ook geëncrypteerd is. Of als ze niet weten welke documenten (3) er geëncrypteerd zijn en welke niet.
Wanneer je de ransomware betaalt, blijf je dit systeem natuurlijk voeden.
Om dit te vermijden, is een gezonde mix van security-componenten nodig, maar de back-up is cruciaal in dit verhaal. Het is het laatste bastion waarop je moet kunnen vertrouwen, want het biedt antwoord op deze drie bovenstaande redenen. Met een rechtstreekse launch vanop de back-up heb je instant recovery (1) en een korte recoverytijd. Immutability (2) is een systeem waarbij files die op de back-up belanden, niet meer kunnen aangepast worden. Zo ben je er zeker van dat die data veilig zijn en niet geëncrypteerd. Om te weten wat wel en niet geëcrypteerd is, moet je werken aan een betere visibility (3). En dat kan het best in de back-up waar alle data samenkomen. Door de back-ups te analyseren – zijn er verschillen met gisteren, zijn er bestandsnamen veranderd of grote hoeveelheden data verplaatst – kan je dit op een efficiënte manier. De tijdswinst voor een IT-team is enorm en ook de recovery gaat veel sneller.
Je back-up als onneembare burcht is de fundering van een goed BCP. Zonder deze basis moet je zelf niet aan andere security-oplossingen beginnen.