Je back-up als laatste bastion tegen ransomware

Vroeg of laat loopt iedereen risico om slacht­offer te worden van ransom­ware. Of je nu een produc­tie­be­drijf bent, een (lokale) over­heids­in­stel­ling of een zorg­in­stel­ling. De voor­beelden zijn legio. De nadelen zijn gekend: van downtime tot repu­ta­tie­schade. Maar hoe kan een stra­te­gisch business conti­nuity plan ervoor zorgen dat de schade beperkt blijft en je business weer snel weer helemaal on track is? 

“Ja, maar ons netwerk is goed beschermd met de beste tools. Ons overkomt dit niet.” Een veel­ge­hoorde quote, maar een goed secu­ri­ty­be­leid is veel meer dan de tools. Elke orga­ni­satie zou een Business Conti­nuity Procedure (BCP) moeten hebben. Dat is een bescher­ming en een plan van aanpak tegen alle mogelijke crisissen: een staking, een tech­ni­sche storing door natuur­ramp of een pandemie. En IT speelt daarin een belang­rijke rol. IT is steeds vaker het kloppend hart van een onder­ne­ming. De business hangt af van appli­ca­ties, dus wie zijn business wil beschermen moet zijn apps beschermen.

Business Continuity Procedure

Hoe pak je dat best aan? Eerst kijken wij naar de klant zijn business. Daarbij trachten we de mogelijke finan­ciële impact te berekenen van een ransom­w­are­aanval. Je hebt de directe kosten van de downtime – gemiddeld 7 dagen – en de indirecte kosten. Denk hierbij aan de repu­ta­tie­schade en de moraal van de eigen werk­ne­mers dat naar beneden gaat. En dan heb je uiteraard ook de kosten na de aanval: herop­start, analyse, extra bescher­ming, gemiste orders, … 

Het doel van zo’n plan is de tijd tussen de downtime en de herop­start van de business zo kort mogelijk houden. Belang­rijk is om hier de nodige bewijs­ma­te­ri­alen te vinden en te bewaren om die te kunnen analy­seren. Net als in CSI: daar komt ook eerst een speciaal team alle sporen ter plaatse gede­tail­leerd in kaart brengen vooraleer het lijk van de crime scene mag verplaatst worden. 

BCP is een business-project, geen IT-project

Er zijn enkele uitda­gingen te over­winnen bij het opstellen van een BCP. Niemand begint graag over disaster recovery. Het vergt veel tijd, het is soms complex en het managen ervan is niet evident. Het wordt nog te vaak gezien als een IT-project, terwijl het een business project is. Die awareness in de orga­ni­satie – en de bestuurs­kamer – krijgen, is een werk van lange adem. Zo’n project begint wel vaak via de IT-dienst, maar het is belang­rijk dat de business units en het C‑level van meet af aan zijn betrokken. Een externe ‘vertaler’ kan het gesprek tussen IT en business faciliteren. 

Eenvoudig stappenplan 

In een BCP moet je een antwoord vinden op drie vragen: 

1. Wat zijn de business requi­re­ments? Wat is nodig om de business draaiende te houden?
2. Wat is de bestaande situatie? Waar zitten de eventuele gaps?
3. Wat is de te volgen roadmap en welke oplos­singen zijn er voorhanden? 

In onze approach leggen we de focus op de belang­rijkste kritieke apps, waarbij we nagaan wat 24u downtime van elk deze apps zou kosten. Voor elke gap. Ook checken we hoeveel data je mag verliezen en kleven we daar een rating op (Tier 1 is heel belang­rijk, dus de recovery time hiervan moet zo klein mogelijk zijn). Dit is een belang­rijke oefening voor een bedrijf. Iedereen vindt zijn app en tools de belang­rijkste, maar dit objectief overzicht geeft een duidelijk finan­cieel beeld van het belang van elke gebruikte tool. 

De volgende stap is de GAP-analyse die het verschil aangeeft tussen wat de business vraagt en wat de IT vandaag kan leveren. Die gaps kunnen per app verschillen naar grootte en belangrijkheid. 

Met deze data kan je acties defi­ni­ëren om die gaps aan te pakken. Dat hoeven daarom niet altijd IT-gere­la­teerde items te zijn. En je hebt uiteraard quick wins die je vrij snel kan imple­men­teren. Vervol­gens kan je een roadmap opstellen waarin je de acties op korte termijn, middel­lange en lange termijn defi­ni­eert en er een prio­ri­teit aan toekent. Met deze objec­tieve en cijfer­ma­tige analyse kan je als IT-afdeling ook sneller de bestuurs­kamer over­tuigen van het belang. Het is ook pas na deze analyse dat je pas aan tech­no­lo­gi­sche oplos­singen kan beginnen te denken. Cruciaal in zo’n BCP is dat je moet kunnen testen wat de gevolgen zijn van een aanpassing.

Back-up als eerste én laatste verdedigingsbastion 

Bedrijven beslissen soms om de gevraagde ransom­ware wel te betalen. Als (1) de recovery bijvoor­beeld veel te lang zou duren of als (2) de back-up ook geën­cryp­teerd is. Of als ze niet weten welke docu­menten (3) er geën­cryp­teerd zijn en welke niet.

Wanneer je de ransom­ware betaalt, blijf je dit systeem natuur­lijk voeden.

Om dit te vermijden, is  een gezonde mix van security-compo­nenten nodig, maar de back-up is cruciaal in dit verhaal. Het is het laatste bastion waarop je moet kunnen vertrouwen, want het biedt antwoord op deze drie boven­staande redenen. Met een recht­streekse launch vanop de back-up heb je instant recovery (1) en een korte reco­ve­ry­tijd. Immu­ta­bi­lity (2) is een systeem waarbij files die op de back-up belanden, niet meer kunnen aangepast worden. Zo ben je er zeker van dat die data veilig zijn en niet geën­cryp­teerd. Om te weten wat wel en niet geëcryp­teerd is, moet je werken aan een betere visi­bi­lity (3). En dat kan het best in de back-up waar alle data samen­komen. Door de back-ups te analy­seren – zijn er verschillen met gisteren, zijn er bestands­namen veranderd of grote hoeveel­heden data verplaatst – kan je dit op een effi­ci­ënte manier. De tijds­winst voor een IT-team is enorm en ook de recovery gaat veel sneller. 

Je back-up als onneem­bare burcht is de fundering van een goed BCP. Zonder deze basis moet je zelf niet aan andere security-oplos­singen beginnen.