Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?


Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken omdat werkplekken geïnfecteerd zijn met ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Ben je toch geraakt door ransomware? Dan vind je in deze blog ook een handig stappenplan om de schade zoveel mogelijk te beperken en voor het herstel.

Ransomware is een type malware die een computersysteem aanvalt door de documenten (c.q. Bestanden) te versleutelen, waarna slachtoffers vaak forse bedragen moeten betalen voor een code om weer toegang tot deze bestanden te krijgen.

Vorig jaar waren er veel Amerikaanse gemeenten die last hadden van ransomware aanvallen. Zo was de gemeente Baltimore slachtoffer geworden van ransomware (genaamd RobbinHood) Zij hebben geen losgeld betaald, met het gevolg dat de gehele gemeentelijke dienstverlening niet meer uitgevoerd kon worden. Je kunt hier zelfs op Wikipedia een beschrijving van vinden.

Dit soort incidenten kunnen ook binnen de Nederlandse Gemeenten voorkomen, zoals bij de gemeente Lochem en de gemeente Zutphen. Er zijn verschillende varianten van  ransomware. De encryptie variant is de ergste variant omdat je een sleutel nodig hebt om je bestanden weer toegankelijk te maken. Om deze sleutel te ontvangen worden vaak duizenden euro’s gevraagd door de cybercriminelen, terwijl je niet eens zeker weet of je na betaling wel echt een sleutel krijgt.

Wat kun je tegen ransomware doen?

Er zijn twee manieren waarop je ransomware op je systeem kunt krijgen. De meest voorkomende manier is door middel van een executable-bestand dat de ransomware op het systeem installeert. Het bestand kan binnen komen via een onveilige link, e-mailbijlage, advertentie of (illegale) download. Om deze manier van infectie te voorkomen is goede bewustwording van medewerkers cruciaal. Medewerkers moeten zich bewust zijn dat zij niet zomaar op bijlagen klikken, of op linkjes in e-mails. Je ziet dat binnen gemeenten de laatste tijd veel aan bewustwording wordt gedaan door phishing-mail acties. De organisatie stuurt een bericht rond die lijkt op een legitieme mail, maar is het niet. Hierdoor is er inzicht in hoeveel procent van de medewerkers toch zonder goed te kijken op een fout linkje klikken. Vaak zijn dit meer medewerkers dan oorspronkelijk was gedacht.

Een tweede manier waarop ransomware op je systeem kan komen is via reeds geïnstalleerde programma’s op het systeem. Bijvoorbeeld via flash, je browser of javascript. Om ransomware via deze weg op een systeem te plaatsen moeten hackers wel een lek vinden in de software. Daarom is het belangrijk om altijd de meest actuele versie van software op je systemen te hebben zodat mogelijke kwetsbaarheden met een security-patch van de leverancier worden opgelost.

Welke stappen moet je nemen wanneer je ransomware ontdekt?

Wanneer je een ransomware-besmetting op je systeem hebt, kun je de volgende stappen ondernemen:

  1. Detecteren van de ransomware gebeurt als eerste – wanneer je een monitoringsysteem gebruikt kun je vanuit het systeem een melding krijgen. Wanneer je vanuit de gebruikerspopulatie een melding krijg, heeft de ransomware waarschijnlijk al aardig om zich heen gegrepen.
  2. Het geïnfecteerde systeem moet vervolgens geïsoleerd worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet raken). Verbreek de verbinding met het internet. In deze eerdere blog krijg je tips voor de voorbereiding op een digitaal forensisch onderzoek.
  3. Zet de automatische back-up direct uit.
  4. Update je virusscanner met de laatste versie en scan de gehele infrastructuur.
  5. Je kunt ook kijken bij verschillende websites – zoals NoMoreRansom – waar je in sommige gevallen zelf de ontsleuteling kunt opzoeken – Dit wordt ondersteund door Politie Nederland. Vaak gaat dit om reeds bekende (oude) versies van ransomware.
  6. Verwijder alle besmette bestanden.
  7. Controleer of er geen afwijkende activiteiten meer zijn op het netwerk.
  8. Plaatst de bestanden terug van een schone back-up van voor de besmetting. Plaats de back-up pas terug wanneer je zeker weet dat er geen besmette apparaten meer zijn op het netwerk. Sluit je de back-up eerder aan, dan kan de ransomware de back-up besmetten.

Als de ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek! Voor het melden van een datalek bij de AP kan je deze stappen volgen.

Risico’s beperken – Preventieve maatregelen

Om de risico’s te beperken voor een ransomware-aanval moet je als gemeente de volgende zaken op orde hebben:

  • Bewustwording – de beste manier om je te beschermen is door altijd je medewerkers bewust te maken van de risico’s.
  • Blijf up-to-date – De Handreiking patchmanagement voor gemeenten van de IBD geeft tips.
  • Maak extensies zichtbaar – stel de systemen zo in dat extensies getoond worden, zodat de medewerkers kunnen zien of iets een .exe bestand is.
  • Maak back-ups – zorg altijd voor een goede, actuele back-up. De IBD heeft ook hier een handreiking voor die je kan helpen.
  • Firewall – Installeer een firewall met een oplossing tegen malware – installeer ook hier de laatste updates en patches.
  • Antivirussoftware – Spreekt voor zich.
  • Beperk toegangsrechten – omdat ransomware alle bestanden en mappen kan bereiken waar het geïnfecteerde gebruikersaccount toegang tot heeft, kan een deel al voorkomen worden door streng toegangsbeleid.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?