Het recept tegen ransomware: informatie, updates en preventieve maatregelen
Na de uitbraak van WannaCry was het een kwestie van tijd voor er een nieuwe aanval met malware op zou duiken. Dat lijkt nu het geval te zijn. Sinds gisteren worden er in meerdere landen gevallen gemeld van infecties met een nieuw stuk malware: een variant van de Petya ransomware. Voor sommige bedrijven was WannaCry toch niet de wake-up-call die nodig was om ze aan te zetten tot actie. Het roept opnieuw de vraag op hoe we dit soort uitbraken van malware kunnen bestrijden.
Petya, NotPetya, Pnyetya, PetyaWrap
Malware van dit type duikt doorgaans ineens op en verspreidt zich snel. Het gevolg is dat ook de berichtgeving zich snel ontwikkelt. Experts storten zich op de code, trekken conclusies en ontkrachten eerdere conclusies. Media spreken elkaar tegen. Op sociale media wordt, al dan niet bewust, desinformatie verspreid. Gaat het in dit geval over ransomware, of is dat slechts camouflage? Zitter er criminelen achter, of lijkt het meer op een aanval van een statelijke actor? Ook over de naam van de malware is onduidelijkheid. Petya, NotPetya, Pnetya, PetyaWrap en andere varianten worden door elkaar gebruikt.
Voor de gemiddelde ondernemer is het moeilijk wijs worden uit al deze informatie. Hoe groot is het gevaar precies? Wat voor soort bedrijven zijn kwetsbaar? En wat zijn de maatregelen die je kunt nemen om besmetting te voorkomen? Het is in zo’n situatie belangrijk om een goed netwerk te hebben van bedrijven, overheidsinstanties en andere betrokkenen die snel informatie met elkaar kunnen delen. En een onafhankelijke instantie die informatie verzamelt, filtert, duidt en vertaalt naar begrijpelijke boodschappen en concrete acties. Via brancheverenigingen en andere ondernemersnetwerken kan deze informatie dan snel gedeeld worden. Op dit moment geeft het NCSC advies en informatie aan vitale sectoren. Wat Nederland ICT betreft wordt dit zo snel mogelijk uitgebreid naar het hele bedrijfsleven.
Patches, updates en andere maatregelen
Hoe complex de achtergrond en attributie van de aanval ook is, de oplossing is vrij simpel. De nieuwe malware maakt onder andere gebruik van dezelfde kwetsbaarheid als WannaCry: EternalBlue. De patches om dit lek te dichten zijn al maanden beschikbaar. Maar het lijkt er op dat er nog steeds bedrijven zijn die de nodige updates nog niet hebben doorgevoerd. Hoe kan het dat bedrijven niet patchen of andere mitigerende maatregelen nemen?
Bedrijven zouden standaard een aantal basismaatregelen moeten nemen om hun systemen tegen dit soort aanvallen te beschermen. Daarvoor zou in ieder geval 10% van het IT-budget gereserveerd moeten worden. Naast het structureel doorvoeren van patches en updates, kan dan gedacht worden aan: het instellen van firewalls binnen het netwerk, veilige configuratie van de systemen, toegangscontrole en structurele monitoring op malware.
Ook hier zou een Digital Trust Centre een rol kunnen spelen in het voorlichten en informeren van bedrijven. Nederland ICT denkt graag mee met de overheid over hoe de ICT-sector bij kan dragen aan een dergelijke opzet.
