Ransomware ontsnapt letterlijk aan aandacht justitie - ProteQtor IT Security B.V.

Ransomware ontsnapt letterlijk aan aandacht justitie

​Schokkend bericht uit de Verenigde Staten: daar zijn zes vermeende drugshandelaren ontslagen van verdere rechtsvervolging nadat ransomware bewijsmateriaal had versleuteld. Hierdoor moest de openbare aanklager elf drugszaken laten vallen en ging anderhalf jaar aan digitaal bewijsmateriaal verloren. Deze zaak speelt zich af in het 17.000 inwoners tellende Stuart.

More...

​De Ryuk gijzelsoftware kon de systemen binnendringen doordat een medewerker op een good-old phishingmailtje klikte waardoor de systemen werden geïnfecteerd. De aanvallers waren twee maanden binnen toen ze $300.000 losgeld eisten. Omdat de stad Stuart weigerde te betalen, mocht de data als verloren worden beschouwd.

Wat maakt deze zaak zo opvallend?

Allereerst schept deze zaak een gevaarlijk precedent. Elke crimineel die nu veroordeelt dreigt te worden, zal een hacker in willen huren om zichzelf vrij te krijgen. Hierdoor staan misschien wel meer dan zes criminelen binnenkort onterecht op vrije voeten.

Ten tweede geeft dit een enorme onprofessionele indruk van een grote organisatie als het departement van justitie. Van dit soort organisaties met een groot maatschappelijk belang mag je verwachten dat ze bewijsmateriaal in ieder geval offline opslaan, zowel het originele materiaal als een back-up.

Ook kan de verdediging tegen phishing mails beter. Het departement van justitie had medewerkers beter moeten trainen en een strengere mailbeveiliging moeten hanteren.

Zoals zo vaak bij IT beveiligingsrisico’s wordt pas de put gedempt als het schaap verdronken is. Na het ransomwaredrama veranderde het politiedepartement de manier waarop zij bewijsmateriaal opslaat en traint zij haar personeel om phishingmail te herkennen. Zij moeten nu mensen nabellen als ze verdachte e-mails ontvangen, aldus Mike Gerwan, een hooggeplaatste officier van het Stuart politiebureau. Het vooraf implementeren van deze maatregelen had ze een hoop publiciteitsschade bespaard.

Wat voor maatregelen kunnen bedrijven treffen?

Hoewel de meeste bedrijven iets anders doen dan een gemiddelde rechtbank of politiebureau, kunnen ze toch belangrijke lessen trekken uit deze zaak.

De eerste is om vooraf maatregelen te treffen in plaats van achteraf. Zo is het van belang om van te voren medewerkers op de hoogte te brengen van ICT beveiligingsrisico’s. Dit kan door een Security Awareness training te volgen, bijvoorbeeld van Proofpoint. Deze training maakt gebruik van simulaties van de werkelijkheid, waardoor dit beter blijft hangen. Proofpoint biedt de security awareness trainen als onderdeel van een e-mailsecurity pakket. Hierbij zit ook een spamfilter dat onder andere phishingmail tegenhoudt.

 Als laatste is het maken, bijwerken en testen van goede back-ups onontbeerlijk. Dit betekent in de praktijk een online back-up en een offline back-up. Gijzelsoftware zoekt namelijk naar netwerklocaties om die ook te versleutelen. Dit gebeurde bijvoorbeeld bij de Universiteit Maastricht, waardoor zij geen andere mogelijkheid zagen om de aanvallers €280.000 te betalen.

Erwin Kuipers