Datagijzeling ondanks gevaren niet als problematisch gezien

Het is tegenwoordig schering en inslag, maar toch zien veel organisaties het niet als problematisch: ransomware. Aan de kanaalpartners de nobele taak om de urgentie over te brengen. Dat meent Martijn van Lom, General Manager van Kaspersky Lab Benelux.

Het team van Van Lom ziet het afgelopen jaar een duidelijke stijging van het aantal meldingen van ransomware. Daarbij gijzelen cybercriminelen specifieke documentmappen of zelfs de hele inhoud van servers. Ze versleutelen de gegevens en eisen geld voordat ze alles weer vrijgeven. "Het loopt echt de spuigaten uit", vertelt Van Lom. "Ik was laatst op pad met een van mijn sales managers en toen belden in een tijdsbestek van 45 minuten drie klanten om te melden dat ze het doelwit van ransomware waren. Het onderwerp komt aan de orde in vrijwel elk gesprek met klanten en partners."

Veel bedrijven onderschatten de dreiging van ransomware, aldus Van Lom. Zo blijkt uit onderzoek dat slechts 40 procent van de ondervraagde organisaties deze specifieke vorm van cybercriminaliteit problematisch vindt. "De rest zegt dan bijvoorbeeld dat ze toch niets te verbergen hebben en dat bij andere organisaties meer te halen valt. Ze vergeten dat de gestolen data ook waardevol zijn door ze te combineren met andere gegevens, zoals creditcardsdetails en paspoortkopietjes."

Endpointbeveiliging is onvoldoende

De snelle opmars van nieuwe vormen van cybercriminaliteit, zoals ransomware, betekent een enorme uitbreiding van het takenpakket van securityleveranciers. Het enkel met antivirus beveiligen van endpoints is niet meer voldoende. IT-beveiliging moet tegenwoordig veel meer omvatten, zoals encryptie van gegevens en whitelisting van applicaties.

Ook het uitvoeren van forensische analyses op dataverkeer is een relatief nieuwe taak voor securityleveranciers. Een deel van dergelijke analyses biedt Kaspersky Lab tegenwoordig als clouddienst aan. Het Kaspersky Security Network genereert real-time security datafeeds waarmee organisaties hun beveiliging verder kunnen opschroeven. Voor implementatie, training en eerstelijnssupport bij deze datafeeds werkt de leverancier exclusief samen met ict-dienstverlener SLTN. Volgens Van Lom ligt het niet voor de hand dat binnenkort ook andere partners de clouddienst kunnen leveren. "Het heeft nogal wat voeten in de aarde om iedereen uitgebreid te laten screenen."

Partner wordt adviseur

De rol van de partners verandert met de markt mee, zegt Van Lom. Niet eerder was het voor een reseller of system integrator zó belangrijk om te weten wat er speelt op het gebied van IT security. Welke nieuwe gevaren duiken op en met welke producten kan de klant zich hiertegen wapenen? "Onze kanaalpartners krijgen steeds meer een adviserende rol en moeten dus goed weten waarover ze praten. Ze sparren met de klant om zijn wensen en behoeften te achterhalen en komen vervolgens met een oplossing die daarbij het beste past."

Het partnerkanaal moet dus meer kennis opdoen van ransomware en klanten wijzen op de urgentie van beveiliging hiertegen. Het zijn steeds vaker grote ondernemingen die ervan het doelwit worden, aldus de General Manager. "De criminelen richten zich op organisaties met veel klanttransacties en een groot vertrouwen onder de eindgebruikers. Denk aan banken, verzekeraars, leasemaatschappijen, internetproviders en accountantskantoren. Je hoort er niet veel over in de media. De getroffen organisaties zijn bang voor imagoschade. Vanaf 2016 brengt de Meldplicht Datalekken waarschijnlijk meer transparantie. Wie weet blijkt het probleem dan ineens veel groter te zijn."

Een besmetting met ransomware is niet per se het gevolg van slechte security software, zegt Van Lom. "Vaak komt het doordat deze software verkeerd is geïnstalleerd, of doordat de beveiligingsupdates van veelgebruikte toepassingen niet zijn bijgewerkt. Het is daarom verstandig als organisaties het patch management van de kantoorautomatisering opnemen in hun security updates. Dan kun je eventueel beslissen om ongepatchte laptops niet op het netwerk toe te laten."

Awareness

Toch blijkt ook hier weer de mens de zwakste schakel. Om het risico op datagijzeling verder te verkleinen, adviseert Van Lom organisaties hun medewerkers beter op te leiden. Zoals aan de hand van de security awareness training die Kaspersky Lab binnenkort ook zijn kanaalpartners aanbiedt.

De awareness training gebeurt in drie fases, legt hij uit. "In de eerste fase gaan onze experts met een klein groepje IT managers en/of security officers om tafel. We bekijken hoe de IT is beveiligd en nemen de proef op de som door medewerkers met bepaalde scenario's te confronteren. Wat doen ze als ze een usb-stick verliezen of een dubieuze e-mail ontvangen? Als tweede stap laten we alle managers een interactieve game spelen. Daarin komen ook verschillende scenario's aan bod. Voor het overige personeel bieden we een uitgebreide online training. Die behandelt uiteenlopende vragen over security, zoals hoe herken je phishing en hoe stel je sterke wachtwoorden samen. Het doel is dat iedereen e-mails van onbekende afzenders met gezond wantrouwen benadert."

Geoliede servicemachine

Want phishing-mailtjes opstellen en wachtwoorden kraken kunnen ze, de mensen achter ransomware. Volgens Van Lom zijn het bepaald geen amateurs. "Het is meestal een geoliede servicemachine. Ze huren allereerst slimme programmeurs in om de codes te schrijven en deze te verspreiden. Hoewel ze hun phishing-bericht naar honderdduizenden adressen versturen, weten ze de afzender goed te maskeren. En zodra een schadelijke executable de data op je computer of netwerk heeft versleuteld, rest vaak niets anders dan contact opnemen met hun helpdesk."

"Vaak is dat een professionele uitbestede helpdesk die jou keurig in het Engels of zelfs in het Nederlands te woord staat. De helpdesk wijst je waarschijnlijk op de mogelijkheid om met bitcoins of met een creditcard te betalen." Zelfs na betaling is het volgens Van Lom overigens maar de vraag of de gegijzelde data weer volledig beschikbaar komt.

Carbanak

Dat malware big business is, bleek begin 2015 na de ontmanteling van Carbanak. Deze wereldwijde groep hackers wist via phishing afluistersoftware te plaatsen op de systemen van een groot aantal banken en overige financiële dienstverleners. Uiteindelijk konden de criminelen daarmee in twee jaar tijd mogelijk 900 miljoen dollar ontfutselen.

Kaspersky Lab speelde een cruciale rol in de opsporing van Carbanak. De experts werkten daarvoor intensief samen het Team High Tech Crime (THTC) van de Nationale Politie. Tegenwoordig deelt de IT-securityleverancier zijn kennis ook met het Nationale Cyber Security Centrum (NCSC) en Interpol. Deze organisaties proberen onder meer banken te informeren en waarschuwen over actuele gevallen van cybercriminaliteit.

Ondanks dit soort samenwerkingen heerst in het bedrijfsleven vooralsnog onverschilligheid over ransomware. Van Lom hoopt dat er uiteindelijk meer gevoel van urgentie ontstaat door de inspanningen van Kaspersky Lab en zijn partners.