In dit blogartikel lees je hoe je handelt in het geval van een ransomeware aanval en zorgt dat de organisatie goed hersteld.
In een eerder blogartikel bespraken we het ransomware incidentresponsplan en wat het belang daarvan is voor jouw organisatie. Bij een ransomware aanval worden data en/of systemen van de organisatie namelijk versleuteld, waardoor je toegang verliest tot belangrijke gegevens en bepaalde operaties niet meer zal kunnen uitvoeren. Deze “gijzeling” wordt gebruikt als afpersingsmiddel tegen een betaling, tegenwoordig vaak in cryptocurrency.
Een incidentresponsplan fungeert als een digitale noodkit voor je organisatie. Het stelt je in staat om snel te reageren op een ransomware-aanval, zodat je de schade beperkt en eventuele downtime vermindert. Kortom, het is jouw roadmap naar veerkracht in het aangezicht van digitale bedreigingen.
Maar hoe begin je dan met het opstellen van een incidentresponseplan voor het omgaan en herstellen van een ransomware-aanval? Dat lees je in dit blogartikel.
NCSC Incidentresponsplan
Het Nationaal Cyber Security Centrum (NCSC) heeft in 2021 het “Indicentresponsplan Ransomware” gepubliceerd met daarin een uitgebreide handleiding om je eigen plan mee op te stellen. Dit plan bestaat uit 6 onderdelen: Preparation, Identification, Containment, Eradication, Recovery en Lessons learned.
Om je eigen plan te ontwikkelen aan de hand van deze onderdelen loop je de volgende 5 stappen door.
1. Identificeer je risico's en genomen maatregelen
Begin met het identificeren van de potentiële cyberdreigingen waarmee jouw organisatie te maken kan krijgen. Om te weten welke cyberrisico’s jouw organisatie loopt kun je een kijkje nemen naar ons risicoanalyse stappenplan. Vervolgens is het zaak om te kijken naar welke cybermaatregelen de organisatie al heeft genomen. Op deze manier breng je in kaart hoe deze bedreigingen het netwerk en de systemen kunnen infiltreren en welke impact ze kunnen hebben op de bedrijfsactiviteiten.
2. Stel een team samen
Vervolgens is het zaak om een team aan te stellen dat verantwoordelijk is voor zowel het opstellen van het incidentresponsprocesplan als de uitvoering in geval van calamiteiten. Dit team moet verschillende afdelingen vertegenwoordigen, waarvan de belangrijkste IT, communicatie en juridische zaken zijn. Zorg ervoor dat elk lid van het team weet wat zijn/haar rol is en hoe het team moet handelen in geval van een incident.
3. Ontwikkel een actieplan
Creëer een gedetailleerd actieplan dat de stappen beschrijft die moeten worden genomen in het geval van een ransomware-aanval. Dit begint bij het isoleren van geïnfecteerde systemen, tijdelijk stopzetten internetontsluiting, blokkeren van bepaalde accounts, het herstellen van back-ups op een schone omgeving en het communiceren met stakeholders van de organisatie. Bepaal hierbij ook welke stakeholders wanneer worden ingelicht en of jullie ook extern gaan communiceren naar bijvoorbeeld klanten of de pers.
4. Train je personeel
Goede incident respons begint bij cyberbewustzijn in de organisatie. Zorg ervoor dat al je medewerkers getraind zijn in het herkennen van verdachte activiteiten en de noodzaak van het juist rapporteren van mogelijke incidenten. Aangezien cybercriminelen meestal binnenkomen via een ondoordachte actie van een medewerker is bewustwording een van de beste verdedigingslinies tegen ransomware.
5. Test, test, test
Net zoals je een nooduitgang of brandalarm regelmatig moet testen, is het belangrijk dat je ook regelmatig je incidentresponsplan test. Voer daarom regelmatig (bijv. halfjaarlijks) oefeningen uit om de acties en reactietijd van je team te meten en identificeer de punten die toe zijn aan vernieuwing of moeten worden verbeterd.
Beginnen aan een incidentresponsplan
Het opstellen van een incidentresponsplan lijkt misschien een ontmoedigende taak, maar met de juiste aanpak en de nodige toewijding is het haalbaar voor iedereen. Als je de stappen in dit artikel volgt met het NCSC Incidentresponsplan Ransomware heb je een uitstekend uitgangspunt. Uiteraard is het wel belangrijk om het plan aan te passen aan de specifieke behoeften en risico's van jouw organisatie. Dit is een continue proces.
Wil je meer weten over het opstellen van een effectief incidentresponsplan of heb je hulp nodig bij het beveiligen van je organisatie tegen ransomware of andere cyberdreigingen? Neem dan contact op met Klaas Sytze de Jong via e-mail of bel naar +31 (0)40 - 258 29 44.