Security Officer Roy Sandbergen heeft als motto en doel het verhogen van de informatie beveiliging op zowel strategisch, tactisch en operationeel niveau. Hij schrijft daarom regelmatig artikelen over veiligheid. Vandaag een nieuw artikel van hem over wat er zou moeten gebeuren na een hack met ransomware.

Niets vermoedend kom je in de ochtend op kantoor, je pakt een kopje koffie en gaat achter je werkplek zitten. Inloggen lukt niet… Je herstart je pc wel 3x maar het blijft misgaan. Na veel proberen en onderzoeken blijkt dat je systemen besmet zijn met ransomware, files en documenten zijn voorzien van een cryptolocker extensie!

Als ondernemen zit je er niet op te wachten, je dienstverlening is voor een groot deel afhankelijk van je ICT-omgeving en deze werkt nu niet!

Wat ga je nu doen?

In het mooiste scenario heb je hiervoor een plan klaar liggen, dit noodplan voorziet je in de stappen die je dient te nemen als een ransomware uitbraak of andere grote verstoring je ICT omgeving treft ook wel disaster recovery plan genoemd.

Maar dit is niet het mooiste scenario, het plan is niet aanwezig.

De eerste stap

De eerste stap is het samenstellen van een team, wie doet wat? Denk hierbij aan het opschakelen van leveranciers waarbij de ICT leverancier als prioriteit betrokken dient te worden.

Terwijl de ICT-leverancier de omgeving zal onderzoeken, denk hierbij aan de omvang van de besmetting, het isoleren van de besmette omgeving zodat deze niet verder gaat en het controleren van de back-ups moet jij als organisatie ook stappen ondernemen.

Bij het samenstellen van je team moet je rekening houden met bijvoorbeeld de volgende taken:

Interne Communicatie

Je zal dit intern moeten communiceren maar je collega’s kunnen ook niet inloggen in de ICT-omgeving. Wat je wil voorkomen is dat je ICT-leverancier overspoeld wordt met belletjes want ze moeten jouw ICT-omgeving herstellen. Maar ook de directie, aandeelhouders of andere belanghebbende moeten geïnformeerd worden. Spreek hierbij af hoe (website, mailing, telefonisch) en wanneer je weer een update uitbrengt.

Externe communicatie

Je dienstverlening is beperkt of helemaal niet beschikbaar. Je relaties hebben hier impact van. Er zal een duidelijke communicatie moeten worden opgesteld en worden gedeeld met je relaties. Spreek hierbij af hoe (website, mailing, telefonisch) en wanneer je weer een update uitbrengt.

Impact

Onderzoek welke diensten je nog wel kan leveren zonder ICT of zijn er misschien workarounds beschikbaar die tijdelijk ingezet kunnen worden?

Aanspreekpunt

Wijs een aanspreekpunt aan voor de ICT leverancier, deze persoon moet ook beslissingsbevoegd zijn binnen jouw organisatie zodat er snel stappen genomen kunnen worden. Een beslissing kan bijvoorbeeld zijn betalen wij de gevraagde cryptomunten of niet (dit is niet het eerste advies echter bij diverse factoren zoals back-up, retentie impact etc. misschien wel een noodzakelijk overwegen)

Betrokkenen opschakelen

Soms heb je ook te maken met applicaties die worden beheerd door andere leveranciers. Zijn deze applicaties ook getroffen door ransomware dan heb jij bij deze leverancier ook resources nodig. Informeer ze en betrek ze bij het technische team.

Herstelplan

Wat herstel je als eerste? Dat zal afhankelijk van je primaire business proces. Een applicatie voor loonbetalingen gebruik je misschien 1x per maand terwijl je CRM het primaire business proces bevat. Stel dus prioriteiten want je kan meestal niet alles in 1x herstellen.

Zodra de impact is ingeschat en de herstelwerkzaamheden zijn gestart, dien jij nog een afweging te maken wat voor een impact deze datalek had. Hebben onbevoegde toegang gekregen tot data en zo ja wat voor data? Maak ik een melding bij de autoriteit persoonsgegevens en informeer ik de betrokkenen?

Zodra de ICT-leverancier je omgeving weer hersteld heeft is het al snel business as usual (na het uitvoerig testen en de foutmeldingen die na herstel na voren komen zijn verholpen),

Stop!

Ja je moet snel door want je loopt al achter in je werk, maar wat is de oorzaak? Kan dit voorkomen worden door een proces of (technische) maatregelen? Hoe verliep het herstel en waar liepen wij tegenaan? Evaluatie en ervan leren is een belangrijk onderdeel!

Wat hebben we ervan geleerd?

Deze blog ‘ransomeware en wat nu’ omschrijft enkele voorbeelden van hoe jij kan omgaan na een ransomware uitbraak, echter is iedere organisatie anders.

Wil jij vooraf al een plan opstellen of wil je meer weten over het verbeteren van je online beveiliging? En heb je vragen over beschermingsmaatregelen die je zelf kunt nemen? Dan voorzien wij je graag van het juiste advies

Meer weten?