Tegenwoordig is het niet meer de vraag óf je als organisatie wordt gehackt, maar wanneer. Voor jou als ondernemer is dit je reinste nachtmerrie. Je kunt nog zoveel digitale zandzakken voor de deur leggen, maar één verkeerde klik van een medewerker is genoeg om een gat in de dijk te slaan. Daarom is het essentieel om niet alleen in te zetten op preventie, maar ook voorbereid te zijn op het moment dat het tóch gebeurt. Want dan telt elke minuut. Hoe belangrijk een gedegen crisisplan is, ondervond recent een van onze klanten. Martin Kramps, system engineer bij Mr-Orange, deelt deze ervaring en vertelt wat jij hiervan kunt leren.
Het moment van de waarheid
Een paar weken geleden ging om zeven uur ’s ochtends de telefoon. Een bezorgde klant. Hij vertelde dat een applicatie niet meer werkte en zijn mensen konden niet meer aan het werk. Vijf minuten later logden we in op de server. En inderdaad: het startmenu werkte niet meer. Toen we naar de Windows Verkenner gingen, zagen we overal tekstbestanden met een boodschap van de hackers. Op dat moment weet je meteen wat er aan de hand is.
Direct handelen voorkomt erger
We gingen onmiddellijk aan de slag. We kopieerden de tekst van de hackers en zochten op nomoreransom.org. Dit No More Ransom-initiatief is een internationaal samenwerkingsproject tussen overheden, politie en cybersecuritybedrijven om slachtoffers van ransomware te helpen, zonder losgeld te moeten betalen. Via die site achterhaalden we om welk type ransomware het ging. Na onze analyse besloten we alle systemen uit te zetten – dat kon veilig met deze specifieke variant.
Let op
In de paniek van het moment ben je geneigd om direct je systemen uit te zetten, maar dat is niet altijd de beste oplossing. Bij sommige vormen van ransomware maak je het probleem juist erger op die manier. Het is beter om eerst je netwerkverbinding te verbreken. Zo voorkom je dat de infectie zich verder verspreidt. Breng zo snel mogelijk je security-verantwoordelijke en IT-manager op de hoogte als je die hebt, of neem contact op met je IT-partner.
Eerst analyseren, dan pas herstellen
In deze situatie is je eerste prioriteit om inzicht te krijgen: hoe zijn de hackers binnengekomen en welke bestanden zijn versleuteld? Zet nooit zo maar je back-ups terug. Want wie garandeert dat je systemen niet opnieuw geïnfecteerd raken zodra je ze online brengt? Dan ben je weer terug bij af. Check sowieso eerst of je back-ups intact zijn en of de hackers deze niet hebben kunnen bereiken. Dit benadrukt overigens maar weer het belang van goede back-upstrategie, met bij voorkeur minimaal één back-up op een externe locatie.
Onze aanpak wierp hier zijn vruchten af. Dat had alles te maken met een gedegen IT-strategie die we al lang voor dit incident hadden opgezet. De back-ups waren volgens protocol beveiligd en onbereikbaar voor de hackers.
Moderne technologie als nachtwaker
Een aantal werkplekken die ’s avonds online waren gebleven, raakten geïnfecteerd. Gelukkig zag Microsoft Defender for Endpoint ongebruikelijke activiteiten en isoleerde deze computers automatisch.
Dankzij deze next-generation-antivirusoplossing kregen we ook snel inzicht in welk account de hackers gebruikten om zich door het netwerk te verspreiden . We konden dit account direct uitschakelen. Zonder Defender for Endpoint had het veel langer geduurd voordat we konden beginnen met het terugzetten van back-ups, simpelweg omdat we dan niet hadden geweten hoe ze waren binnengekomen.
Een week later
Na 24 uur draaiden de belangrijkste systemen weer. Het duurde uiteindelijk nog een aantal dagen voordat alles weer volledig soepel liep. We zorgden voor nieuwe wachtwoorden voor alle medewerkers en controleerden grondig of de hackers geen achterdeurtjes hadden achtergelaten om zo eenvoudig een tweede poging te kunnen ondernemen. Ook brachten we alle externe partijen, zoals leveranciers van ERP-pakketten, op de hoogte en zetten hun toegang veilig opnieuw op. Een ransomware-aanval overkomt je. Maar door de juiste voorbereiding en snelle actie beperk je de impact tot een minimum.
Begin vandaag nog met je voorbereiding
Experts van Harvard Business Review bevestigen het: je kunt cyberaanvallen niet voorkomen. De vraag is wanneer je ermee te maken krijgt. Een goede voorbereiding maakt dan precies het verschil tussen een klein ongemak en een totale crisis. Dit zijn de belangrijkste aandachtspunten:
• Zet een back-upstrategie op met minimaal één back-up op een afgeschermde, externe locatie.
• Maak een disaster-recoveryplan zodat je direct weet welke stappen je moet zetten: wie informeer je, welke systemen moeten als eerste online, en waar vind je cruciale contactgegevens? Tip: bewaar die contactgegevens ook buiten je IT-omgeving, een versleuteld bestand kun je namelijk niet lezen.
• Beperk admin-rechten tot het absolute minimum.
• Implementeer netwerksegmentatie tussen vestigingen – maak het hackers zo moeilijk mogelijk om zich in je netwerkomgeving te verplaatsen.
• En last, but zeker not least: vergeet nooit het menselijke aspect! Maak je medewerkers bewust van cyberdreigingen en maak dat een terugkomend aandachtspunt. Eén klik op een malafide link kan enorme gevolgen hebben.
Meer weten?
Wil je meer weten over hoe je je het best kunt wapenen tegen hackers en hoe je je goed voorbereid bent op een cyberaanval? Neem contact met ons op via dit formulier, of bel naar 0168 – 700501. We staan klaar om je te helpen de volgende stap te zetten naar een veilige(re) en flexibele werkomgeving.