image

Minister: volledige bescherming tegen ransomware is onmogelijk

dinsdag 13 februari 2024, 11:08 door Redactie, 14 reacties

Volledige bescherming tegen dreigingen zoals ransomware is onmogelijk, zo stelt demissionair minister Adriaansens van Economische Zaken. Volgens de bewindsvrouw zijn veel ransomware-aanvallen het gevolg van phishing. De minister reageerde op vragen van de BBB over bedrijven en instellingen die het slachtoffer van ransomware worden en niet weten wat ze moeten doen, en naar wie ze moeten gaan.

Volgens Adriaansens is ransomware een 'significante cybercriminele dreiging' waarmee organisaties te maken hebben. "Helaas is volledige weerbaarheid tegen dreigingen zoals ransomware onmogelijk, maar wat bedrijven wel kunnen doen is het verhogen van de eigen weerbaarheid tegen misbruik en uitval om digitale risico’s te beschermen."

De minister voegt toe dat het Digital Trust Center (DTC) van het ministerie ondernemers helpt met advies over wat ze moeten doen om 'cyberweerbaar' te worden en wat er in het geval van een ransomware-aanval kan worden gedaan. "Omdat ransomware-aanvallen vaak het gevolg zijn van een geslaagde phishing-poging, biedt het DTC ondernemers veel bewustwordingsmiddelen om medewerkers te helpen bij cyberveilig gedrag zoals quizzen, campagnes en ondernemersverhalen."

Adriaansens stelt verder dat het ook aan bedrijven zelf is om vanuit eigen verantwoordelijkheid bedrijfsrisico's te mitigeren door het nemen van adequate maatregelen. "Om verantwoordelijk te groeien zal een bedrijf relevante veranderende dreigingen en risico’s moeten volgen, en passende beveiligingsmaatregelen moeten nemen. Zo is een bedrijf bijvoorbeeld op grond van de Algemene verordening gegevensbescherming (AVG) verantwoordelijk om gepaste organisatorische en technische maatregelen te treffen."

Reacties (14)
13-02-2024, 11:15 door Anoniem
Onmogelijk? Hoe deden onze voorouders dat dan toen er nog geen internet was? Kregen die een brief op hun werk waarin instructies stonden om het hele archief te versnipperen als ze niet binnen zeven dagen geld overmaakten met een overschrijvingsformulier?

Leer van je voorouders. Low-tech is High-tech. Als het vroeger kon, kan het nu ook. Internet maakt politici lui.
13-02-2024, 11:46 door Anoniem
Onmogelijk? Wat een gel*l. 20 jaar geleden wist niemand wat 'ransomware' was. Toen was het ook mogelijk. Het past alleen niet in het plaatje van digi-drammen. En data van burgers graaien natuurlijk.
13-02-2024, 11:47 door Anoniem
wat een dome opmerkingen van deze minister...heeft zeker ergens de klok horen luiden....
13-02-2024, 11:57 door Erik van Straten
"[...] digitale risico’s te beschermen."
Nou, die auteur heeft er kaas van gegeten. Heeft de rest van zo'n document (waar weken de tijd voor is genomen) dan nog enige waarde, en moet ik er tijd in stoppen om de PDF te lezen?
13-02-2024, 12:00 door Anoniem
Het is zeker mogelijk om schade van ransomware te voorkomen.

Als je eerdere versies van bestanden gaat bijhouden kan je makkelijk de vorige versie terug halen.
Zolang eindgebruikers die ransomware geen administratie rechten kan verlenen blijft de schade dus gewoon beperkt.
Dit is zeker op te zetten binnen bedrijfsomgevingen, maar je hebt wel wat IT-kennis nodig hiervoor.
13-02-2024, 12:30 door Anoniem
Door Anoniem: Onmogelijk? Hoe deden onze voorouders dat dan toen er nog geen internet was?
Door Anoniem: Onmogelijk? Wat een gel*l.
Als je compleet stopt met IT is het mogelijk, ja. Maar weet je wat je te horen krijgt als je aan een hedendaags bedrijf vraagt daarmee te stoppen? Juist: onmogelijk.
13-02-2024, 13:25 door Anoniem
Veelal is informatiebeveiliging erop gericht om incidenten te voorkomen. Als dat je aanpak is, dan is volledige bescherming tegen ransomware inderdaad onmogelijk. Vroeg of laat ga je een keer gepakt worden. Goede informatiebeveiliging richt zich daarom niet alleen op het voorkomen van incidenten, maar ook op de gevolgen van incidenten. Ga er dus vanuit dat je vroeg of laat een keer gepakt wordt en vraag je vervolgens af: wat dan? Maak je organisatie dus ook weerbaar tegen dit soort incidenten. Als dat op goede wijze onderdeel is van je informatiebeveiliging, dan is bescherming tegen zoiets als ransomware prima mogelijk. Maar, je moet daar dus wel tijd en moeite in steken.
13-02-2024, 14:05 door Anoniem
Door Anoniem: Onmogelijk? Wat een gel*l. 20 jaar geleden wist niemand wat 'ransomware' was. Toen was het ook mogelijk. Het past alleen niet in het plaatje van digi-drammen. En data van burgers graaien natuurlijk.
Volgens mij ben je nog nat achter je oren want 20 jaar geleden was die ellende er al en we kunnen nog verder terug in de tijd dat die ellende al in opbouw was, wellicht in een andere hoedanigheid maar vanaf 1990 was het al een probleem met computervirussen die grote schade konden aanrichtten. Het grote geluk toen was dat er nog geen Internet bestond zoals vandaag de dag.
13-02-2024, 14:07 door Anoniem
Door Anoniem: Het is zeker mogelijk om schade van ransomware te voorkomen.

Als je eerdere versies van bestanden gaat bijhouden kan je makkelijk de vorige versie terug halen.
Zolang eindgebruikers die ransomware geen administratie rechten kan verlenen blijft de schade dus gewoon beperkt.
Dit is zeker op te zetten binnen bedrijfsomgevingen, maar je hebt wel wat IT-kennis nodig hiervoor.
ZFS als filesystem met snapshot techniek.
13-02-2024, 14:54 door Erik van Straten - Bijgewerkt: 13-02-2024, 14:56
Door Anoniem: Veelal is informatiebeveiliging erop gericht om incidenten te voorkomen. Als dat je aanpak is, dan is volledige bescherming tegen ransomware inderdaad onmogelijk. Vroeg of laat ga je een keer gepakt worden. Goede informatiebeveiliging richt zich daarom niet alleen op het voorkomen van incidenten, maar ook op de gevolgen van incidenten.
Precies, maar omdat mogelijk niet alle lezers begrijpen wat je daarmee bedoelt, licht ik dat verder toe. De gangbare aanpak is inderdaad om van twee risicofactoren uit te gaan:

1) De kans dat jouw organisatie "gepakt wordt" zo klein als mogelijk maken. D.w.z. met maatregelen die redelijkerwijs in verhouding staan tot de risico's die jouw organisatie loopt. Ethische organisaties houden daarbij ook rekening met de risico's die stakeholders (klanten, partners, leveranciers) lopen.

2) Mocht het toch gebeuren, redelijkerwijs voorzieningen treffen die de impact (schade, niet alleen financieel) van een beveiligingsincident zo laag mogelijk maken. M.b.t. "redelijkerwijs" geldt ook hier een relatie met de risico's die jouw organisatie loopt, en ook hierbij houden erthische orgs rekening met risico's van derden als gevolg van zo'n incident.

M.b.t. punt 1: er is simpelweg nog véél te véél "laaghangend fruit". Als je evenveel (of meer) "kroonjuwelen" in huis hebt met minder beveiliging dan jouw conculega's, pakken de meeste cybercriminelen jou. Voor de meeste organisaties is deze kans het grootst.

Sommige organisaties zullen rekening moeten houden met verschillige (niet-onverschillige) cybercriminelen die (evt. in opdracht) specifiek jouw organisatie in hun vizier hebben. Dat kan de kans op een cyberincident enorm vergroten. In zo'n situatie zijn dus strengere (type duurder, irritant en/of efficiëntie-verlagend) maatregelen op z'n plaats. Met als doel het verlagen van de kans en/of de impact.

Door Anoniem: Ga er dus vanuit dat je vroeg of laat een keer gepakt wordt en vraag je vervolgens af: wat dan? Maak je organisatie dus ook weerbaar tegen dit soort incidenten. Als dat op goede wijze onderdeel is van je informatiebeveiliging, dan is bescherming tegen zoiets als ransomware prima mogelijk. Maar, je moet daar dus wel tijd en moeite in steken.
Eens, maar nog veel te veel mensen (ook veel te veel systeembeheerders, zoals hierboven "ZFS als filesystem met snapshot techniek') associeren ransomware met versleutelde servers en denken met offline backups alle potentiële probiemen op te kunnen lossen. "Onaantastbare" backups klinken leuk, maar:

• Soms hebben criminelen al maanden toegang tot netwerken van slachtoffers. Hoe oud is jouw laatste betrouwbare backup, en hoe denk je dat (in een crisissituatie) vast te kunnen stellen?

• Hoe betrouwbaar is de firmware nog in systemen waar je backups op terugzet? Of firmware in jouw netwerkapparatuur?

• Je gaat met deze aanpak grotendeels voorbij aan de risico's voor- of concrete schade die- stakeholders oplopen door een cyberincident in jouw organisatie.

Voorkómen is beter dan genezen luidt het gezegde. Maar dat is m.i. te simpel. Je kunt inderdaad nauwelijks of niet voorkómen dat, bijvoorbeeld, een medewerker in phishing trapt en/of een (zwak) wachtwoord (her)gebruikt, en zelfs met 2FA neemt de kans hierop alleen maar toe (artikel van gisteren, eindigend met een advertentie, maar inhoudelijk correct: https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html).

Je moet er dus vanuit gaan dat accounts gecompromitteerd raken. Dus is het zaak om (a) de schade bij kansrijke cyberincidenten zoveel mogelijk te beperken (in elk geval "lateral movement" zo moeilijk mogelijk te maken) en (b) zodanig grondig te monitoren dat zo'n breach, zo snel als mogelijk, wordt opgemerkt en je passende maatregelen kunt (laten) nemen.

(a) Cybercrinelen zullen in MS omgevingen, zo snel als mogelijk, domain admin willen worden. In non-MS-omgevingen gelden vergelijkbare risico's: privilege escalation naar admin/root-achtige rechten, toegang verkrijgen tot door beheerders gedeelde password managers etcetera. Wapen jouw organisatie hiertegen; assume breach.

(b) Je kunt veel doen, waaronder (en/en is beter maar duurder):

• Pro-actieve monitoring, o.a. anomaly-detection. Duur, arbeidsintensief (vaak, vooral in het begin, veel valspositieven).

• Honeypots opzetten (documentatie wel strikt geheimhouden): zwaalichten en sirenes zodra de val dichtklapt.

• Zorg dat, zo mogelijk alle, logs ook naar een veilige centrale plaats worden gestuurd (via veilige verbindingen). Die logs blijken, na een onverhoopt grootschalig incident, vaak onmisbaar om te achterhalen wanneer de aanval begon, waar mogelijk schade is opgetreden, en welke. Dit kan op zich passief.
13-02-2024, 15:44 door Anoniem
Adriaansens stelt verder dat het ook aan bedrijven zelf is om vanuit eigen verantwoordelijkheid bedrijfsrisico's te mitigeren door het nemen van adequate maatregelen.

En dit... noemen ze struisvogel politiek... Ziekenhuizen en gemeenten vallen net zo hard om....
In het engels ook wel normalcy bias genoemd: https://en.wikipedia.org/wiki/Normalcy_bias
Deze mensen zijn totaal ongeschikt voor hun positie.
13-02-2024, 16:59 door _R0N_
Of je het inhoudelijk met de minister eens eens bent of niet is niet zo van belang.

Het is beter te zeggen dat je altijd risico loopt dan te roepen dat je volledig veilig bent.
Ieder systeem in de IT loopt risico te maken te krijgen met ransomware. Pre-internet hadden we ook virussen en werden computers ook besmet. Je zou alle computers de deur uit kunnen doen maar dan zaten we hier nu ook niet deze website te lezen.
13-02-2024, 20:45 door Anoniem
Door Anoniem:
Door Anoniem: Onmogelijk? Hoe deden onze voorouders dat dan toen er nog geen internet was?
Door Anoniem: Onmogelijk? Wat een gel*l.
Als je compleet stopt met IT is het mogelijk, ja. Maar weet je wat je te horen krijgt als je aan een hedendaags bedrijf vraagt daarmee te stoppen? Juist: onmogelijk.
Het is daarvoor niet nodig compleet met IT te stoppen. Het is namelijk ook mogelijk om selectiever en bewuster gebruik te maken van IT. Sommige datasystemen hoeven bijvoorbeeld helemaal niet aangesloten te worden op internet (dit is dus consequenter dan alleen het maken van offline back-ups). Compartimentalisering en decentralisering zijn bekende technieken om de veiligheid zeer aanzienlijk te verhogen.

De standaardreflex is op dit moment: alles moet digitaal want dat is beter en efficiënter. Terwijl dat vaak in werkelijkheid niet zo is. Sommige zaken kunnen even goed op papier worden geadministreerd of vastgelegd, wat ten goede kan komen aan de veiligheid en daardoor ook aan de efficiëntie als je voorzienbare, te verwachten incidenten meerekent (d.w.z. internaliseert in de berekening hoe efficiënt een systeem is, in plaats van ze nu als zijnde "incidenten" te externaliseren).
17-02-2024, 16:59 door Anoniem
Door Anoniem: Onmogelijk? Hoe deden onze voorouders dat dan toen er nog geen internet was? Kregen die een brief op hun werk waarin instructies stonden om het hele archief te versnipperen als ze niet binnen zeven dagen geld overmaakten met een overschrijvingsformulier?

Leer van je voorouders. Low-tech is High-tech. Als het vroeger kon, kan het nu ook. Internet maakt politici lui.
Die kregen het mes op de keel gezet. Randsome ware zal altijd blijven. Of iedereen moet weer in een grot gaan wonen, zonder messen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.