Onmogelijk? Hoe deden onze voorouders dat dan toen er nog geen internet was? Kregen die een brief op hun werk waarin instructies stonden om het hele archief te versnipperen als ze niet binnen zeven dagen geld overmaakten met een overschrijvingsformulier?

Leer van je voorouders. Low-tech is High-tech. Als het vroeger kon, kan het nu ook. Internet maakt politici lui.

Onmogelijk? Wat een gel*l. 20 jaar geleden wist niemand wat 'ransomware' was. Toen was het ook mogelijk. Het past alleen niet in het plaatje van digi-drammen. En data van burgers graaien natuurlijk.

wat een dome opmerkingen van deze minister...heeft zeker ergens de klok horen luiden....

Nou, die auteur heeft er kaas van gegeten. Heeft de rest van zo'n document (waar weken de tijd voor is genomen) dan nog enige waarde, en moet ik er tijd in stoppen om de PDF te lezen?

Het is zeker mogelijk om schade van ransomware te voorkomen.

Als je eerdere versies van bestanden gaat bijhouden kan je makkelijk de vorige versie terug halen.
Zolang eindgebruikers die ransomware geen administratie rechten kan verlenen blijft de schade dus gewoon beperkt.
Dit is zeker op te zetten binnen bedrijfsomgevingen, maar je hebt wel wat IT-kennis nodig hiervoor.

Als je compleet stopt met IT is het mogelijk, ja. Maar weet je wat je te horen krijgt als je aan een hedendaags bedrijf vraagt daarmee te stoppen? Juist: onmogelijk.

Veelal is informatiebeveiliging erop gericht om incidenten te voorkomen. Als dat je aanpak is, dan is volledige bescherming tegen ransomware inderdaad onmogelijk. Vroeg of laat ga je een keer gepakt worden. Goede informatiebeveiliging richt zich daarom niet alleen op het voorkomen van incidenten, maar ook op de gevolgen van incidenten. Ga er dus vanuit dat je vroeg of laat een keer gepakt wordt en vraag je vervolgens af: wat dan? Maak je organisatie dus ook weerbaar tegen dit soort incidenten. Als dat op goede wijze onderdeel is van je informatiebeveiliging, dan is bescherming tegen zoiets als ransomware prima mogelijk. Maar, je moet daar dus wel tijd en moeite in steken.

Volgens mij ben je nog nat achter je oren want 20 jaar geleden was die ellende er al en we kunnen nog verder terug in de tijd dat die ellende al in opbouw was, wellicht in een andere hoedanigheid maar vanaf 1990 was het al een probleem met computervirussen die grote schade konden aanrichtten. Het grote geluk toen was dat er nog geen Internet bestond zoals vandaag de dag.

ZFS als filesystem met snapshot techniek.

Precies, maar omdat mogelijk niet alle lezers begrijpen wat je daarmee bedoelt, licht ik dat verder toe. De gangbare aanpak is inderdaad om van twee risicofactoren uit te gaan:

1) De kans dat jouw organisatie "gepakt wordt" zo klein als mogelijk maken. D.w.z. met maatregelen die redelijkerwijs in verhouding staan tot de risico's die jouw organisatie loopt. Ethische organisaties houden daarbij ook rekening met de risico's die stakeholders (klanten, partners, leveranciers) lopen.

2) Mocht het toch gebeuren, redelijkerwijs voorzieningen treffen die de impact (schade, niet alleen financieel) van een beveiligingsincident zo laag mogelijk maken. M.b.t. "redelijkerwijs" geldt ook hier een relatie met de risico's die jouw organisatie loopt, en ook hierbij houden erthische orgs rekening met risico's van derden als gevolg van zo'n incident.

M.b.t. punt 1: er is simpelweg nog véél te véél "laaghangend fruit". Als je evenveel (of meer) "kroonjuwelen" in huis hebt met minder beveiliging dan jouw conculega's, pakken de meeste cybercriminelen jou. Voor de meeste organisaties is deze kans het grootst.

Sommige organisaties zullen rekening moeten houden met verschillige (niet-onverschillige) cybercriminelen die (evt. in opdracht) specifiek jouw organisatie in hun vizier hebben. Dat kan de kans op een cyberincident enorm vergroten. In zo'n situatie zijn dus strengere (type duurder, irritant en/of efficiëntie-verlagend) maatregelen op z'n plaats. Met als doel het verlagen van de kans en/of de impact.

Eens, maar nog veel te veel mensen (ook veel te veel systeembeheerders, zoals hierboven "ZFS als filesystem met snapshot techniek') associeren ransomware met versleutelde servers en denken met offline backups alle potentiële probiemen op te kunnen lossen. "Onaantastbare" backups klinken leuk, maar:

• Soms hebben criminelen al maanden toegang tot netwerken van slachtoffers. Hoe oud is jouw laatste betrouwbare backup, en hoe denk je dat (in een crisissituatie) vast te kunnen stellen?

• Hoe betrouwbaar is de firmware nog in systemen waar je backups op terugzet? Of firmware in jouw netwerkapparatuur?

• Je gaat met deze aanpak grotendeels voorbij aan de risico's voor- of concrete schade die- stakeholders oplopen door een cyberincident in jouw organisatie.

Voorkómen is beter dan genezen luidt het gezegde. Maar dat is m.i. te simpel. Je kunt inderdaad nauwelijks of niet voorkómen dat, bijvoorbeeld, een medewerker in phishing trapt en/of een (zwak) wachtwoord (her)gebruikt, en zelfs met 2FA neemt de kans hierop alleen maar toe (artikel van gisteren, eindigend met een advertentie, maar inhoudelijk correct: https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html).

Je moet er dus vanuit gaan dat accounts gecompromitteerd raken. Dus is het zaak om (a) de schade bij kansrijke cyberincidenten zoveel mogelijk te beperken (in elk geval "lateral movement" zo moeilijk mogelijk te maken) en (b) zodanig grondig te monitoren dat zo'n breach, zo snel als mogelijk, wordt opgemerkt en je passende maatregelen kunt (laten) nemen.

(a) Cybercrinelen zullen in MS omgevingen, zo snel als mogelijk, domain admin willen worden. In non-MS-omgevingen gelden vergelijkbare risico's: privilege escalation naar admin/root-achtige rechten, toegang verkrijgen tot door beheerders gedeelde password managers etcetera. Wapen jouw organisatie hiertegen; assume breach.

(b) Je kunt veel doen, waaronder (en/en is beter maar duurder):

• Pro-actieve monitoring, o.a. anomaly-detection. Duur, arbeidsintensief (vaak, vooral in het begin, veel valspositieven).

• Honeypots opzetten (documentatie wel strikt geheimhouden): zwaalichten en sirenes zodra de val dichtklapt.

• Zorg dat, zo mogelijk alle, logs ook naar een veilige centrale plaats worden gestuurd (via veilige verbindingen). Die logs blijken, na een onverhoopt grootschalig incident, vaak onmisbaar om te achterhalen wanneer de aanval begon, waar mogelijk schade is opgetreden, en welke. Dit kan op zich passief.

Adriaansens stelt verder dat het ook aan bedrijven zelf is om vanuit eigen verantwoordelijkheid bedrijfsrisico's te mitigeren door het nemen van adequate maatregelen.

En dit... noemen ze struisvogel politiek... Ziekenhuizen en gemeenten vallen net zo hard om....
In het engels ook wel normalcy bias genoemd: https://en.wikipedia.org/wiki/Normalcy_bias
Deze mensen zijn totaal ongeschikt voor hun positie.

Of je het inhoudelijk met de minister eens eens bent of niet is niet zo van belang.

Het is beter te zeggen dat je altijd risico loopt dan te roepen dat je volledig veilig bent.
Ieder systeem in de IT loopt risico te maken te krijgen met ransomware. Pre-internet hadden we ook virussen en werden computers ook besmet. Je zou alle computers de deur uit kunnen doen maar dan zaten we hier nu ook niet deze website te lezen.

Het is daarvoor niet nodig compleet met IT te stoppen. Het is namelijk ook mogelijk om selectiever en bewuster gebruik te maken van IT. Sommige datasystemen hoeven bijvoorbeeld helemaal niet aangesloten te worden op internet (dit is dus consequenter dan alleen het maken van offline back-ups). Compartimentalisering en decentralisering zijn bekende technieken om de veiligheid zeer aanzienlijk te verhogen.

De standaardreflex is op dit moment: alles moet digitaal want dat is beter en efficiënter. Terwijl dat vaak in werkelijkheid niet zo is. Sommige zaken kunnen even goed op papier worden geadministreerd of vastgelegd, wat ten goede kan komen aan de veiligheid en daardoor ook aan de efficiëntie als je voorzienbare, te verwachten incidenten meerekent (d.w.z. internaliseert in de berekening hoe efficiënt een systeem is, in plaats van ze nu als zijnde "incidenten" te externaliseren).

Die kregen het mes op de keel gezet. Randsome ware zal altijd blijven. Of iedereen moet weer in een grot gaan wonen, zonder messen.