Slachtoffer van een ransomware-aanval? Grote kans dat de criminelen met grote hoeveelheden gegevens aan de haal zijn gegaan, waaronder ook persoonsgegevens. En daar kunnen ze hun afpersingspraktijken behoorlijk mee uitbreiden, waarschuwt Rang Salih, Incident Responder van het KPN-CSIRT.
Zijn bij een ransomware-aanval persoonsgegevens versleuteld? Dan is er sprake van een datalek dat u waarschijnlijk moet melden bij de Autoriteit Persoonsgegevens. De cybercrimineel kan namelijk toegang tot de bestanden hebben gehad om deze te versleutelen, en dus ook tot de persoonsgegevens.
Double extortion
Ransomwaregroeperingen beperken zich allang niet meer tot het versleutelen van gegevens. Steeds vaker worden de gegevens ook gestolen om het slachtoffer mee af te persen. Dit wordt 'double extortion' genoemd. Betaalt de organisatie niet, dan voeren de aanvallers de druk extra op met het dreigement de data te publiceren. En meestal blijft het niet bij dreigen alleen.
Deze praktijk was voor de gemeente Buren reden om de identiteitsbewijzen van ruim 1300 burgers kosteloos te vervangen. Na een ransomware-aanval claimden de hackers namelijk dat ze 5 TB aan data in hun bezit hadden, waaronder kopieën van geldige identiteitsbewijzen. Al snel werd duidelijk dat persoonsgegevens van inwoners werden aangeboden op het darkweb. Zij liepen daardoor het risico op identiteitsfraude.
Tandartsketen Colosseum Dental zou in augustus zelfs zijn gezwicht voor de dreigementen. De systemen van het bedrijf waren gegijzeld waarna de aanvallers dreigden gevoelige gegevens openbaar te maken. Volgens de Volkskrant zou Colosseum Dental 2 miljoen euro losgeld hebben betaald, wat door het bedrijf zelf overigens niet werd bevestigd.
Triple extortion
Gestolen gegevens maken tevens de weg vrij voor ‘triple extortion’, een manier van afpersen waar steeds meer ransomwaregroeperingen gebruik van maken. Komt het slachtoffer van een ransomware-aanval maar niet met het losgeld over de brug, dan richten de aanvallers hun pijlen op de klanten of partners van het slachtoffer. Dat kan zijn met een DDoS-aanval, of bijvoorbeeld met het dreigement gegevens van de klant of partner te publiceren of verkopen.
“We zien regelmatig dat tijdens een aanval zoveel mogelijk gegevens worden gestolen, en uiteindelijk gaan ze ook achter de partners en klanten aan”, zegt Rang Salih. “De angst voor reputatieschade verhoogt de druk om het losgeld te betalen.”
5 tips
Alleen een volledige en werkende back-up is onvoldoende om onder die druk uit te komen. Hoe voorkomt u dat een ransomware-aanval zich als een olievlek verspreidt en ook uw klanten of partners meesleurt in de misère? Salih geeft enkele tips:
1. Zorg voor een goede basis
“Zorg ervoor dat je niet in de positie komt dat je moet betalen.” Dat begint bij het aanbrengen van een goede basisbeveiliging, en dat is volgens Salih zeker geen vrijblijvende exercitie. “De AVG verplicht organisaties die persoonsgegevens verwerken om ‘passende maatregelen’ te treffen. Doen ze dat onvoldoende, dan riskeren ze een boete van de AP.”
Een goede basisbeveiliging bestaat onder andere uit een strikt patch- en updatebeleid, multifactorauthenticatie, hardening van systemen door overbodige functies uit te schakelen, netwerksegmentatie, Identity and Access Management en een geavanceerde Endpoint Detection and Response (EDR/XDR)-oplossing. Uiteraard mogen betrouwbare back-ups (ook offline) en een disaster recovery-oplossing eveneens niet ontbreken. Hetzelfde geldt voor een goede logging, alerting en monitoring. “Als een aanvaller probeert toegang te krijgen tot systemen, dan wil je daar op zijn minst een melding van krijgen”, aldus Salih.
2. Streef dataminimalisatie na
Dataminimalisatie is een belangrijk begrip in de AVG. Het houdt in dat een organisatie niet meer persoonsgegevens verzamelt en verwerkt dan strikt noodzakelijk voor het beoogde doel. “Denk goed na over de informatie die je opslaat, en hoelang je gegevens bewaart.”
Hiermee is volgens Salih veel ellende te voorkomen. “Zo had de gemeente Buren kopieën van identiteitsbewijzen op een server staan. Hadden ze die verwijderd, dan was de impact van de datadiefstal minder groot geweest. Maar dan moeten er wel beleid en regels zijn voor het bewaren van gegevens die worden gecontroleerd en opgevolgd.”
3. Maak een incident-responseplan
Op het moment van een ransomware-aanval moet er veel gebeuren. Dat loopt van het melden van het datalek bij de AP tot het informeren van klanten of burger, het herstellen van de getroffen systemen en het (laten) uitvoeren van forensisch onderzoek. En hoe te handelen als er geen (werkende) back-ups blijken te zijn? “Dan moet wel duidelijk zijn wie wat gaat doen. Zorg dat er een plan van aanpak klaarligt, en dat de taken en verantwoordelijkheden voor iedereen duidelijk zijn.
KPN Security adviseert organisaties ook om altijd aangifte te doen van een ransomware-aanval. Niet alleen omdat de politie nuttige expertise heeft op dit gebied, maar ook omdat de omvang van deze problematiek daarmee duidelijker wordt.
4. Train je medewerkers
Een ransomware-aanval start bijvoorbeeld met een phishingmail met een bijlage waarin de kwaadaardige software zit verstopt. Dan is het belangrijk dat medewerkers zo’n kwaadaardige e-mail herkennen en weten wat ze moeten doen als ze de bijlage per ongeluk toch hebben geopend.
Dit zijn onderwerpen die aan bod horen te komen tijdens security-awarenesstrainingen. Fouten zijn nooit helemaal uit te sluiten, maar het helpt wel als medewerkers zich bewust zijn van de mogelijke gevolgen van een verkeerde handeling.
5. Schakel het CSIRT in
Schakel bij een incident direct de hulp in van het Computer Security Incident Response Team. “De incident-responders van een CSIRT/CERT voeren het forensisch onderzoek uit. Je moet weten hoe en wanneer de aanvallers binnen zijn gekomen, welke acties zijn uitgevoerd en wat het doel was. Daarnaast helpt een CSIRT bij het veilig herstellen van systemen met de beschikbare herstelmogelijkheden.”
Meer weten over privacy en security? Lees dan onze whitepaper over dit onderwerp.