Ransomware: Wanneer beleid het belangrijkst is

Ransomware: Wanneer beleid het belangrijkst is

De meeste CISO’s verdelen hun benadering van cyberverdediging in drie pijlers: mensen, technologie en processen. Deze pijlers bepalen de verdedigingsarchitectuur en het arsenaal van een cybersecurityprogramma, de beschikbare middelen en het beleid en de procedures die samen de kritieke processen vormgeven.

Ransomware benadrukt het belang van deze pijlerstructuur en wijst met name op de noodzaak van focus op beleid.

Slecht Getrainde Mensen Kunnen Ransomware Risico’s Creëren

CISO’s waarderen de mensen die kritieke programma’s vormen en ondersteunen. Elk onderdeel van een programma dat niet geautomatiseerd is, is afhankelijk van personeel voor ontwikkeling, configuratie, werking en onderhoud. Elk geautomatiseerd onderdeel bereikt alleen een staat van vertrouwen omdat personeel deze stabiele toestand test en bevestigt.

“Processen geven een cybersecurityteam inzicht in hoe zaken moeten worden uitgevoerd en bieden onmiskenbare duidelijkheid over de verwachtingen van de organisatie.”

Mensen vormen de kern van elk succesvol cybersecurityprogramma. Kwalitatieve cybersecurityprofessionals zijn moeilijk te vinden en te behouden, waardoor moderne CISO’s werving en behoud als een belangrijk doel voor hun cybersecurityprogramma’s beschouwen.

Technologie

CISO’s hechten ook veel waarde aan de technologie die we inzetten om de middelen, informatie en operaties van onze organisatie te beschermen en te verdedigen. Simpel gezegd kunnen CISO’s niet voldoen aan de verwachtingen van organisaties zonder technologie die actueel, bruikbaar, ontworpen en toegewijd is aan de cybersecuritymissie. Technologie moet correct worden geconfigureerd en onderhouden, maar eerst moeten deze technische onderdelen worden aangeschaft—als product of dienst—en ingezet.

De meeste CISO’s beschikken over een aanzienlijke verzameling technologieën met specifieke cybersecuritytaken: het beveiligen van het netwerk of de endpoints van de organisatie, het beschermen van data, observeren, verzamelen en detecteren van potentiële indicatoren. De lijst met beschikbare technologieën groeit, en de keuzes van CISO’s worden alleen beperkt door budgetten en gedetailleerde ontwerpconflicten.

Bij het ontwikkelen van hun strategie voor risicobeheer cyberbeveiliging moeten CISO’s ervoor zorgen dat deze lijst met beschikbare technologieën hierin wordt weerspiegeld.

Processen en Beleid

De derde pijler, processen, is degene die meestal wordt onderbelicht, of erger nog, soms volledig wordt genegeerd.

Processen omvatten hoe een cybersecurityorganisatie opereert, haar procedures en beleid, en tot slot standaarden en richtlijnen. Processen geven een cybersecurityteam inzicht in hoe zaken moeten worden uitgevoerd en bieden onmiskenbare duidelijkheid over de verwachtingen van de organisatie.

“Beleid is daarentegen de plek waar een organisatie haar regels voor alle cybersecurityactiviteiten tentoonspreidt. Beleid bevindt zich op het snijvlak van procedure en cultuur.”

Om te beginnen definiëren processen het gedragsverwachtingspatroon van een organisatie; niet alleen hoe een organisatie opereert, maar ook waarom ze dat op die manier doet. Het zijn gedocumenteerde gedragsregels. Beleid is daarentegen de plek waar een organisatie haar regels voor alle cybersecurityactiviteiten tentoonspreidt.

Beleid bevindt zich op het snijvlak van procedure en cultuur. Wat zijn de complianceoverwegingen van een organisatie? Wat zijn goedgekeurde gedragingen voor activiteitenmonitoring, logverzameling en gedragsobservatie? Wat zijn de grenzen van het risicotolerantie van de organisatie?

Het meeste beleid wordt buiten de organisatie van de CISO vastgesteld. Beleid—met een hoofdletter B—is eigendom van de bredere organisatie en wordt gedragen door het leiderschap van de organisatie. Beleid op dit niveau kan een organisatie definiëren, en het is dan ook logisch dat het hoogste niveau van een organisatie dit moet goedkeuren. De meeste organisaties hebben op dit niveau een beperkt aantal beleidsregels, omdat elk ervan zo belangrijk is. Een deel van deze beleidsregels kan zelfs goedkeuring en beheer door de raad van bestuur vereisen.

Ransomware en de Impact op Processen en Beleid

Nu het ongekende risico van ransomware elke onderneming blijft doordringen, hebben CISO’s hun inspanningen verdubbeld om steeds capabelere cybersecurityteams aan te trekken en op te leiden. Ze hebben ook gaten in hun technologie vastgesteld en deze waar mogelijk opgevuld, om ransomwarepogingen vroegtijdig en volledig te detecteren en erop te reageren.

Terwijl mensen en technologie proberen het risico of de impact van ransomware te beperken, blijft de ontwikkeling of herziening van beleid voor ransomware vaak achter. Sommige organisaties hebben helemaal geen specifiek ransomwarebeleid. Andere hebben een basisbeleid dat mogelijk tekortschiet wanneer de organisatie onder druk staat om kritieke ransomware-gerelateerde beslissingen te nemen.

“Het is voor de meeste organisaties niet voldoende om te bepalen dat ze bij een succesvolle ransomware-aanval wel of niet zullen betalen.”

Deze beslissingen zijn niet eenvoudig, en elke optie moet worden genomen op basis van een duidelijk begrip van de gevolgen. Een slimme organisatie overweegt bijvoorbeeld de scenario’s met ransomware waarmee zij ooit geconfronteerd kan worden, ruim voordat er daadwerkelijk sprake is van een aanval. De organisatie formuleert en neemt vervolgens beleid aan dat haar reactie op elk scenario stuurt. Als organisaties dit nog niet hebben gedaan, moeten ze nu ransomwarebeleid ontwikkelen of herzien.

Ransomwarescenario’s lijken op het eerste gezicht vrij binair: betalen of niet betalen.

Het is voor de meeste organisaties niet voldoende om te bepalen dat ze bij een succesvolle ransomware-aanval wel of niet zullen betalen. Hoewel sommige organisaties een algemeen “nooit betalen”-beleid hebben, zijn er toch details of voorwaarden waarmee ze rekening moeten houden: de omvang van de ransomware-eis, het vermogen van de organisatie om te reageren met mitigerende maatregelen, terughalen en herstellen, en de cultuur en missie van de organisatie. Hierover zo meer.

Omgekeerd, als een organisatie een “altijd betalen”-beleid in alle gevallen van ransomware aanneemt, moet zij uitgaan van worstcasescenario’s waarin het geëiste losgeld het vermogen van de organisatie om te betalen kan overstijgen. Redelijkerwijs zou een beleid om te betalen moeten worden begrensd tot een bepaald bedrag zodat de organisatie zich het daadwerkelijk kan permitteren. Anders heb je een onhoudbaar beleid.

Een organisatie met een “altijd betalen”-beleid heeft waarschijnlijk weinig vertrouwen in het vermogen van haar organisatie—of haar CISO—om een succesvolle ransomware-aanval te doorstaan. Kan een organisatie al haar data en systemen terughalen en herstellen? Zijn er bruikbare, geteste back-ups die als betrouwbare replica’s van de productieomgeving kunnen dienen? Zijn de processen voor back-up, terughalen en herstellen zelf betrouwbaar?

Een organisatie met een “altijd betalen”-beleid heeft weinig vertrouwen in haar vermogen om de storm te doorstaan. Als er wel vertrouwen was, zou het beleid niet zijn om altijd te betalen, maar om onder bepaalde voorwaarden te betalen en onder andere voorwaarden niet te betalen.

Ook de betrouwbaarheid van de ransomware-aanvallers en de financiële structuur erachter is van belang. Zou een “altijd betalen”-beleid logisch zijn als cryptovaluta-tussenpersonen inschatten dat de aanvallers onbetrouwbaar zijn en dat, zelfs als ze betaald worden, ze mogelijk niet alle gegijzelde middelen vrijgeven?

Wat als de crimineel gewoon onbekwaam was, heel goed in het versleutelen van zaken, maar niet erg goed in het ontsleutelen ervan? Wat moet een organisatie doen als ze het losgeld betaalt, maar daarna niet alles kan herstellen? Dat is een brug die geen enkele organisatie wil oversteken.

“Een organisatie met een ‘altijd betalen’-beleid heeft waarschijnlijk weinig vertrouwen in het vermogen van haar organisatie—of haar CISO—om een succesvolle ransomware-aanval te doorstaan.”

Recentelijk zien we een hybride vorm van ransomware-aanval, waarbij versleuteling van middelen (data en systemen) wordt gecombineerd met mogelijke data-exfiltratie (een kopie van de data van de organisatie is gestolen). Het ransomwarebeleid van een organisatie wordt in dit scenario veel complexer.

Zou het acceptabel zijn om “altijd te betalen” voor een decryptiesleutel voor de data van een organisatie, zelfs als er al een kopie van die data op het dark web beschikbaar is?

Een alternatief voor een “altijd betalen”-beleid is een “nooit betalen”-beleid. Zo’n beleid kan even uitdagend zijn om na te leven. Er zijn bekende voorbeelden van ransomware-slachtoffers die onder geen enkele voorwaarde losgeld wilden betalen.

Zo’n beleidsstandpunt vergt enorm veel vertrouwen in het vermogen van een organisatie om altijd terug te keren naar een werkbare productiestatus; dat wil zeggen, ongeacht welke data en systemen zijn versleuteld, welke operaties zijn verstoord, of hoe ernstig de impact is die de organisatie ervaart, er wordt geen bedrag betaald om te herstellen, maar men vertrouwt in alle gevallen op de back-up-/terughaal-/herstelprocessen om alles te herstellen.

Hoewel een “nooit betalen”-beleid mogelijk aansluit bij de cultuur van een organisatie, kan de inherente pijn veroorzaakt door onbekenden in het herstelproces waarschijnlijk niet vooraf worden berekend. Een organisatie met een “nooit betalen”-beleid zegt dus dat, ongeacht verrassingen in back-upprocessen, ongeacht mislukkingen bij terughalen en herstellen, ongeacht elke eventualiteit behalve succes, de organisatie bereid is elk potentieel resultaat te accepteren.

Een “nooit betalen”-beleid gaat er ook van uit dat een organisatie bereid is een ander soort storm te doorstaan—mogelijk van eigen makelij. Processen werken niet altijd zoals verwacht, technologie faalt vaker dan we plannen, en mensen maken soms fouten onder druk. Een “nooit betalen”-beleid vaststellen betekent dat een organisatie bereid is verrassingen, omwegen en mislukkingen van allerlei aard te accepteren op weg naar een herstelstatus die mogelijk niet aan de behoeften van de organisatie voldoet.

Er zijn uiteraard gulden middenwegen, waaronder beleidsregels die niet zo los zijn dat ze onwerkbaar zijn, noch zo strak dat ze geen ruimte laten voor granulaire overwegingen van “wat als”. Een organisatie kan besluiten te betalen tot een specifiek, vooraf bepaald bedrag, of besluiten nooit te betalen tenzij de potentiële impact, zoals voorspeld of berekend, groter is dan wat een organisatie redelijkerwijs kan dragen.

“Een ‘nooit betalen’-beleid gaat er ook van uit dat een organisatie bereid is een ander soort storm te doorstaan—mogelijk van eigen makelij.”

Het kritieke pad voor de discussie over ransomwarebeleid loopt dwars door de bestuurskamer. Geen twee organisaties zijn hetzelfde, en generiek beleid moet al vroeg in die discussie worden uitgesloten. Elke organisatie moet bepalen wat het belangrijkst is, met het besef dat organisatiebelangen vaak botsen met de organisatiecultuur.

Het is cruciaal dat elke organisatie haar positie ten aanzien van ransomware vaststelt en begrijpt. Het is even belangrijk dat organisaties deze positie bepalen en begrijpen vóór een aanval, niet in de hitte van het moment, maar voordat het vuur oplaait.

Veelgestelde Vragen

Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale middelen te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe bedreigingen en organisatorische veranderingen. Het uiteindelijke doel van risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een essentieel onderdeel is van de algehele risicobeheerstrategie van elke organisatie.

De belangrijkste onderdelen van een programma voor risicobeheer cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cybersecuritybeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.

Organisaties kunnen cyberbeveiligingsrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangsmaatregelen zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en verwijderen van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan minimaliseert schade tijdens een cybersecurity-incident, en regelmatige risicobeoordelingen identificeren en adresseren potentiële kwetsbaarheden. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-standaarden, organisaties om cyberbeveiligingsrisico’s verder te beperken.

Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en -respons mogelijk, waardoor schade kan worden voorkomen of geminimaliseerd. Het zorgt ook voor naleving van cybersecuritynormen en -regelgeving, zodat organisaties snel eventuele niet-naleving kunnen aanpakken. Door de systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data het besluitvormingsproces ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks