Een vergelijkbare aanval zoals die van afgelopen juli gaat iedere MKB’er een keer overkomen. Maar wanneer? Zorg dat je op scherp staat met onze tips en gebruik onze security scan.

Afgelopen vrijdag zijn er wereldwijd ransomware-aanvallen geweest via de beheertool Kaseya en zijn honderden bedrijven slachtoffer geworden. Wat is er precies gebeurd? Wat zijn de gevolgen van zo’n aanval? Wat moet je doen als je getroffen bent en hoe kun je jezelf zoveel mogelijk beschermen? Dit móet je als MKB-ondernemer weten, want de impact van zo’n aanval is vaak niet te overzien en heeft grote consequenties voor jouw bedrijf. Hoe groot of klein je ook bent. Ransomware is in een verontrustende opmars over de hele wereld.

Wat is er gebeurd?

Kaseya is getroffen door een supply chain attack op vrijdagmiddag 2 juli, vlak voor het Amerikaanse 4th of july weekend. Daarin vieren Amerikanen hun onafhankelijkheid van de Britten en zijn vaak vanaf vrijdagmiddag al vrij. Deze timing heeft de impact van de aanval vergroot. Bij een supply chain attack wordt een punt boven in de softwareketen aangevallen, maar lagere punten in de keten zijn uiteindelijk het doelwit. In dit geval is er maar bij 1 bedrijf ingebroken terwijl er honderden bedrijven getroffen werden. Het doelwit was Kaseya-managementsoftware.

Wereldwijd gebruiken meerdere managed service providers Kaseya software om computersystemen en servers van hun klanten (lees: (MKB)bedrijven) op afstand te beheren. Zij installeren deze software op hun systemen die weer via een server wordt beheerd. De aanvallers hebben de Kaseya software gebruikt om systemen van deze bedrijven met ransomware te infecteren.

Gevolgen ransomware voor het MKB

Ransomware is een gijzelsoftware. De criminelen versleutelen de systemen en geven deze pas weer vrij als er losgeld betaald wordt. In de tussentijd is je bedrijf dus op slot gezet en je data vergrendeld. De criminelen vragen vaak grote bedragen in cryptomunten die moeilijk te traceren zijn. Je krijgt dus een grote financiële klapper om je bedrijf weer op te kunnen starten maar ook de gegevens van al jouw klanten zijn openbaar geworden.

hallo, Security Checklist

Controleer nu met onze Security checklist of je al zo veilig mogelijk werkt

Download nu

Wat te doen als je slachtoffer bent van een cyberaanval

Lees natuurlijk vooral aan het einde van het artikel wat je kan doen om dit zoveel mogelijk te voorkomen, maar mocht het toch gebeuren… dan is de eerste stap het samenstellen van een team, wie doet wat? Denk hierbij aan het opschakelen van leveranciers waarbij de ICT leverancier als prioriteit betrokken dient te worden. Vaak is het juist ook jouw ICT-partner die je op de hoogte zal brengen van de cyberaanval.

Ons bedrijf gebruikte deze software bijvoorbeeld voor een kleine set klanten die via de vestiging in Barendrecht wordt bediend. Kaseya informeerde ons direct na de aanvallen en door snelle actie van onze teams hebben we, voor zover we na een grondige analyse hebben kunnen beoordelen, impact voor onze klanten kunnen voorkomen. Gedurende het weekend hebben we de groep klanten waarbij van de Kaseya software gebruik wordt gemaakt, naar de standaard beheertool binnen de hallo, groep kunnen migreren. Hiermee hebben wij het volledige beheer weer geborgd. Tijdens de migratie hebben we op deze klantomgevingen nogmaals gescand op eventuele afwijkingen of signalen dat de ransomware aanval effect heeft gehad, maar die hebben wij niet kunnen constateren.

Terwijl de ICT-leverancier de omgeving zal onderzoeken (denk hierbij aan de omvang van de besmetting, het isoleren van de besmette omgeving zodat deze niet verder gaat en het controleren van eventuele back-ups) moet jij als organisatie ook stappen ondernemen.

Interne Communicatie

Je zal dit intern moeten communiceren maar je collega’s kunnen ook niet inloggen in de ICT-omgeving. Wat je wil voorkomen is dat je ICT-leverancier overspoeld wordt met belletjes want ze moeten jouw ICT-omgeving herstellen. Maar ook de directie, aandeelhouders of andere belanghebbende moeten geïnformeerd worden. Spreek hierbij af hoe (website, mailing, telefonisch) en wanneer je weer een update uitbrengt.

Externe communicatie

Je dienstverlening is beperkt of helemaal niet beschikbaar. Je relaties hebben hier impact van. Er zal een duidelijke communicatie moeten worden opgesteld en worden gedeeld met je relaties. Spreek hierbij af hoe (website, mailing, telefonisch) en wanneer je weer een update uitbrengt.

Impact

Onderzoek welke diensten je nog wel kan leveren zonder ICT of zijn er misschien workarounds beschikbaar die tijdelijk ingezet kunnen worden?

Aanspreekpunt

Wijs een aanspreekpunt aan voor de ICT leverancier, deze persoon moet ook beslissingsbevoegd zijn binnen jouw organisatie zodat er snel stappen genomen kunnen worden. Een beslissing kan bijvoorbeeld zijn betalen wij de gevraagde cryptomunten of niet (dit is niet het eerste advies echter bij diverse factoren zoals back-up, retentie impact etc. misschien wel een noodzakelijke overweging)

Betrokkenen opschakelen

Soms heb je ook te maken met applicaties die worden beheerd door andere leveranciers. Zijn deze applicaties ook getroffen door ransomware dan heb jij bij deze leverancier ook resources nodig. Informeer ze en betrek ze bij het technische team.

Herstelplan

Wat herstel je als eerste? Dat zal afhangen van je primaire business proces. Een applicatie voor loonbetalingen gebruik je misschien 1x per maand terwijl je CRM het primaire business proces bevat. Stel dus prioriteiten want je kan meestal niet alles in 1x herstellen.

Zodra de impact is ingeschat en de herstelwerkzaamheden zijn gestart, dien jij nog een afweging te maken wat voor een impact deze datalek had. Hebben onbevoegde toegang gekregen tot data en zo ja wat voor data? Maak ik een melding bij de autoriteit persoonsgegevens en informeer ik de betrokkenen?

Zodra de ICT-leverancier je omgeving weer hersteld heeft is het al snel business as usual (na het uitvoerig testen en de foutmeldingen die na herstel na voren komen zijn verholpen).

Bescherm jezelf tegen cyberaanvallen

Je bezit als MKB-onderneming bank- en persoonlijke gegevens die uiteraard van interesse zijn voor hackers. Daarnaast lever je zelf waarschijnlijk diensten en/of producten bij grote bedrijven die ook van interesse zijn voor hackers (en jouw data gebruiken om bij hun binnen te komen). Jouw MKB-onderneming is dus een aantrekkelijk doelwit.

Op het moment dat je slachtoffer bent geworden van een ransomware-aanval, ben je eigenlijk al te laat. Je moet er als ondernemer vanuit gaan dat je hoe dan ook een keer slachtoffer gaat worden van zo’n aanval. Het is alleen de vraag wanneer! Gelukkig zijn er enkele manieren om het de hackers iets moeilijker te maken. Want als jij het ze een beetje moeilijker maakt, zal de slagingskans bij een ander groter zijn.

Onze tips:

  • Multi Factor Authenticatie (MFA)
    Een belangrijke tip is om multi-factor authenticatie te activeren om de toegang tot alle systemen extra te beveiligen

  • Back-up en recovery
    Zorg ervoor dat de organisatie in het bezit is van een back-up systeem waarmee de systemen evenals de data met regelmaat worden geback-upt. Tevens dient de organisatie hier een controle op te doen door een disaster- en recoverytest uit te voeren. Is er een ransomware uitbraak binnen je organisatie? Zorg dat je een herstelplan klaar hebt liggen, denk er vooraf over na en niet achteraf.

  • Updaten, updaten & updaten
    Zorg ervoor dat je op alle systemen de laatste versie hebt draaien.

  • Maak gebruik van encryptie zodat je gegevens versleuteld zijn

  • ‘least privilege’
    Het is aan te raden om een beleid van ‘least privilege’ te hanteren. Zo hebben gebruikers en beheerders beperkte rechten om informatie en systemen te gebruiken. Een gebruiker die slachtoffer wordt van ransomware heeft op deze manier beperkte toegang tot data en daardoor is de impact voor de organisatie kleiner.  

  • Gebruik een Firewall

  • Gebruik anti-virus en malware software

Onze security consultants staan ook voor je klaar, aarzel niet om al je vragen aan hun te stellen.

Meer weten?