Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?


Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken omdat werkplekken geïnfecteerd zijn met ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Ben je toch geraakt door ransomware? Dan vind je in deze blog ook een handig stappenplan om de schade zoveel mogelijk te beperken en voor het herstel.

Ransomware is een type malware die een computersysteem aanvalt door de documenten (c.q. Bestanden) te versleutelen, waarna slachtoffers vaak forse bedragen moeten betalen voor een code om weer toegang tot deze bestanden te krijgen.

Vorig jaar waren er veel Amerikaanse gemeenten die last hadden van ransomware aanvallen. Zo was de gemeente Baltimore slachtoffer geworden van ransomware (genaamd RobbinHood) Zij hebben geen losgeld betaald, met het gevolg dat de gehele gemeentelijke dienstverlening niet meer uitgevoerd kon worden. Je kunt hier zelfs op Wikipedia een beschrijving van vinden.

Dit soort incidenten kunnen ook binnen de Nederlandse Gemeenten voorkomen, zoals bij de gemeente Lochem en de gemeente Zutphen. Er zijn verschillende varianten van  ransomware. De encryptie variant is de ergste variant omdat je een sleutel nodig hebt om je bestanden weer toegankelijk te maken. Om deze sleutel te ontvangen worden vaak duizenden euro’s gevraagd door de cybercriminelen, terwijl je niet eens zeker weet of je na betaling wel echt een sleutel krijgt.

Wat kun je tegen ransomware doen?

Er zijn twee manieren waarop je ransomware op je systeem kunt krijgen. De meest voorkomende manier is door middel van een executable-bestand dat de ransomware op het systeem installeert. Het bestand kan binnen komen via een onveilige link, e-mailbijlage, advertentie of (illegale) download. Om deze manier van infectie te voorkomen is goede bewustwording van medewerkers cruciaal. Medewerkers moeten zich bewust zijn dat zij niet zomaar op bijlagen klikken, of op linkjes in e-mails. Je ziet dat binnen gemeenten de laatste tijd veel aan bewustwording wordt gedaan door phishing-mail acties. De organisatie stuurt een bericht rond die lijkt op een legitieme mail, maar is het niet. Hierdoor is er inzicht in hoeveel procent van de medewerkers toch zonder goed te kijken op een fout linkje klikken. Vaak zijn dit meer medewerkers dan oorspronkelijk was gedacht.

Een tweede manier waarop ransomware op je systeem kan komen is via reeds geïnstalleerde programma’s op het systeem. Bijvoorbeeld via flash, je browser of javascript. Om ransomware via deze weg op een systeem te plaatsen moeten hackers wel een lek vinden in de software. Daarom is het belangrijk om altijd de meest actuele versie van software op je systemen te hebben zodat mogelijke kwetsbaarheden met een security-patch van de leverancier worden opgelost.

Welke stappen moet je nemen wanneer je ransomware ontdekt?

Wanneer je een ransomware-besmetting op je systeem hebt, kun je de volgende stappen ondernemen:

  1. Detecteren van de ransomware gebeurt als eerste – wanneer je een monitoringsysteem gebruikt kun je vanuit het systeem een melding krijgen. Wanneer je vanuit de gebruikerspopulatie een melding krijg, heeft de ransomware waarschijnlijk al aardig om zich heen gegrepen.
  2. Het geïnfecteerde systeem moet vervolgens geïsoleerd worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet raken). Verbreek de verbinding met het internet. In deze eerdere blog krijg je tips voor de voorbereiding op een digitaal forensisch onderzoek.
  3. Zet de automatische back-up direct uit.
  4. Update je virusscanner met de laatste versie en scan de gehele infrastructuur.
  5. Je kunt ook kijken bij verschillende websites – zoals NoMoreRansom – waar je in sommige gevallen zelf de ontsleuteling kunt opzoeken – Dit wordt ondersteund door Politie Nederland. Vaak gaat dit om reeds bekende (oude) versies van ransomware.
  6. Verwijder alle besmette bestanden.
  7. Controleer of er geen afwijkende activiteiten meer zijn op het netwerk.
  8. Plaatst de bestanden terug van een schone back-up van voor de besmetting. Plaats de back-up pas terug wanneer je zeker weet dat er geen besmette apparaten meer zijn op het netwerk. Sluit je de back-up eerder aan, dan kan de ransomware de back-up besmetten.

Als de ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek! Voor het melden van een datalek bij de AP kan je deze stappen volgen.

Risico’s beperken – Preventieve maatregelen

Om de risico’s te beperken voor een ransomware-aanval moet je als gemeente de volgende zaken op orde hebben:

  • Bewustwording – de beste manier om je te beschermen is door altijd je medewerkers bewust te maken van de risico’s.
  • Blijf up-to-date – De Handreiking patchmanagement voor gemeenten van de IBD geeft tips.
  • Maak extensies zichtbaar – stel de systemen zo in dat extensies getoond worden, zodat de medewerkers kunnen zien of iets een .exe bestand is.
  • Maak back-ups – zorg altijd voor een goede, actuele back-up. De IBD heeft ook hier een handreiking voor die je kan helpen.
  • Firewall – Installeer een firewall met een oplossing tegen malware – installeer ook hier de laatste updates en patches.
  • Antivirussoftware – Spreekt voor zich.
  • Beperk toegangsrechten – omdat ransomware alle bestanden en mappen kan bereiken waar het geïnfecteerde gebruikersaccount toegang tot heeft, kan een deel al voorkomen worden door streng toegangsbeleid.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…