Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?


Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken omdat werkplekken geïnfecteerd zijn met ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Ben je toch geraakt door ransomware? Dan vind je in deze blog ook een handig stappenplan om de schade zoveel mogelijk te beperken en voor het herstel.

Ransomware is een type malware die een computersysteem aanvalt door de documenten (c.q. Bestanden) te versleutelen, waarna slachtoffers vaak forse bedragen moeten betalen voor een code om weer toegang tot deze bestanden te krijgen.

Vorig jaar waren er veel Amerikaanse gemeenten die last hadden van ransomware aanvallen. Zo was de gemeente Baltimore slachtoffer geworden van ransomware (genaamd RobbinHood) Zij hebben geen losgeld betaald, met het gevolg dat de gehele gemeentelijke dienstverlening niet meer uitgevoerd kon worden. Je kunt hier zelfs op Wikipedia een beschrijving van vinden.

Dit soort incidenten kunnen ook binnen de Nederlandse Gemeenten voorkomen, zoals bij de gemeente Lochem en de gemeente Zutphen. Er zijn verschillende varianten van  ransomware. De encryptie variant is de ergste variant omdat je een sleutel nodig hebt om je bestanden weer toegankelijk te maken. Om deze sleutel te ontvangen worden vaak duizenden euro’s gevraagd door de cybercriminelen, terwijl je niet eens zeker weet of je na betaling wel echt een sleutel krijgt.

Wat kun je tegen ransomware doen?

Er zijn twee manieren waarop je ransomware op je systeem kunt krijgen. De meest voorkomende manier is door middel van een executable-bestand dat de ransomware op het systeem installeert. Het bestand kan binnen komen via een onveilige link, e-mailbijlage, advertentie of (illegale) download. Om deze manier van infectie te voorkomen is goede bewustwording van medewerkers cruciaal. Medewerkers moeten zich bewust zijn dat zij niet zomaar op bijlagen klikken, of op linkjes in e-mails. Je ziet dat binnen gemeenten de laatste tijd veel aan bewustwording wordt gedaan door phishing-mail acties. De organisatie stuurt een bericht rond die lijkt op een legitieme mail, maar is het niet. Hierdoor is er inzicht in hoeveel procent van de medewerkers toch zonder goed te kijken op een fout linkje klikken. Vaak zijn dit meer medewerkers dan oorspronkelijk was gedacht.

Een tweede manier waarop ransomware op je systeem kan komen is via reeds geïnstalleerde programma’s op het systeem. Bijvoorbeeld via flash, je browser of javascript. Om ransomware via deze weg op een systeem te plaatsen moeten hackers wel een lek vinden in de software. Daarom is het belangrijk om altijd de meest actuele versie van software op je systemen te hebben zodat mogelijke kwetsbaarheden met een security-patch van de leverancier worden opgelost.

Welke stappen moet je nemen wanneer je ransomware ontdekt?

Wanneer je een ransomware-besmetting op je systeem hebt, kun je de volgende stappen ondernemen:

  1. Detecteren van de ransomware gebeurt als eerste – wanneer je een monitoringsysteem gebruikt kun je vanuit het systeem een melding krijgen. Wanneer je vanuit de gebruikerspopulatie een melding krijg, heeft de ransomware waarschijnlijk al aardig om zich heen gegrepen.
  2. Het geïnfecteerde systeem moet vervolgens geïsoleerd worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet raken). Verbreek de verbinding met het internet. In deze eerdere blog krijg je tips voor de voorbereiding op een digitaal forensisch onderzoek.
  3. Zet de automatische back-up direct uit.
  4. Update je virusscanner met de laatste versie en scan de gehele infrastructuur.
  5. Je kunt ook kijken bij verschillende websites – zoals NoMoreRansom – waar je in sommige gevallen zelf de ontsleuteling kunt opzoeken – Dit wordt ondersteund door Politie Nederland. Vaak gaat dit om reeds bekende (oude) versies van ransomware.
  6. Verwijder alle besmette bestanden.
  7. Controleer of er geen afwijkende activiteiten meer zijn op het netwerk.
  8. Plaatst de bestanden terug van een schone back-up van voor de besmetting. Plaats de back-up pas terug wanneer je zeker weet dat er geen besmette apparaten meer zijn op het netwerk. Sluit je de back-up eerder aan, dan kan de ransomware de back-up besmetten.

Als de ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek! Voor het melden van een datalek bij de AP kan je deze stappen volgen.

Risico’s beperken – Preventieve maatregelen

Om de risico’s te beperken voor een ransomware-aanval moet je als gemeente de volgende zaken op orde hebben:

  • Bewustwording – de beste manier om je te beschermen is door altijd je medewerkers bewust te maken van de risico’s.
  • Blijf up-to-date – De Handreiking patchmanagement voor gemeenten van de IBD geeft tips.
  • Maak extensies zichtbaar – stel de systemen zo in dat extensies getoond worden, zodat de medewerkers kunnen zien of iets een .exe bestand is.
  • Maak back-ups – zorg altijd voor een goede, actuele back-up. De IBD heeft ook hier een handreiking voor die je kan helpen.
  • Firewall – Installeer een firewall met een oplossing tegen malware – installeer ook hier de laatste updates en patches.
  • Antivirussoftware – Spreekt voor zich.
  • Beperk toegangsrechten – omdat ransomware alle bestanden en mappen kan bereiken waar het geïnfecteerde gebruikersaccount toegang tot heeft, kan een deel al voorkomen worden door streng toegangsbeleid.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Ont-Googlen en terughoudendheid met de cloud

Welke keuzes maak je zelf als het gaat om producten en diensten van de tech-giganten? In hoeverre weeg jij zelf informatiebeveiliging en privacy mee? Vandaag een blog met de persoonlijke reis van Renco.

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…

Meten, weten en rapporteren over informatiebeveiliging

Het monitoren en meten van en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Maar waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

De afgelopen maanden is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s. De Rijksoverheid heeft DPIA’s …