[...]
Op het forum had ik nu al op report gedrukt, wát een suggestieve kul.
Laten we zeggen dat je het nogal uitlokt
Er is ook niks suggestief aan, jij bent het die achteraf roept dat je misschien niet in dat bedrijf had moeten investeren, zonder aan te geven hoe je dat dan had moeten zien dat de ICT daar niet op orde was. Dat mis ik sowieso in je betoog: de link naar de praktijk. Ja, achteraf is het makkelijk praten dat dit specifieke bedrijf de boel niet op orde had, maar de kunst is om dat vooraf te zeggen. Welke bedrijven moeten we nog meer mijden?
En een pensioenbelegger heeft helemaal geen keuze. Ik zit bij een pensioenverzekeraar die door mijn werkgever is uitgezocht. Ik kan hooguit een risicoprofiel uitzoeken of kiezen voor maatschappelijk verantwoorde beleggingen, maar "beleg mijn pensioen alsjeblieft in bedrijven die een goede bescherming hebben tegen ransomware" is echt geen optie hoog. Voor niemand. En dat soort me aan je reactie: je stelt een paar dingen heel simpel, maar legt niet uit hoe iemand dat onderscheid kan maken. Bovendien ga je volledig voorbij aan pensioenbeleggingen, medewerkers, toeleveranciers, etc van het getroffen bedrijf die allemaal schade leiden (en zeer waarschijnlijk meer dan de in dit geval 11M dollar) door een werkgever/toeleverancier die op de fles gaat.
[...]
Je mag toch hopen dat beleggers zelf weten waar ze hun geld in stoppen, en al helemaal als je dat als inverstingsmaatschappij doet. Iets met verantwoordelijkheid enzo, dat schijnt er bij te horen als je met andersmans geld omspringt. Mocht je het idee hebben dat dit niet gebeurdt bij de partij die met jouw geld investeringen doet dan zou een informerend belletje met het
KIFID niet misstaan.
Ja, want beleggers weten exact hoe een bedrijf zijn beveiliging heeft georganiseerd. Dat zijn nou typisch de zaken waar bedrijven niet mee te koop lopen. Hoe stel je je dat sowieso praktisch voor? Voor je de aandelen koopt even bellen met hun ICT-afdeling bellen hoe ze hun ICT hebben beveiligd? Of denk je dat je wat kunt aflezen aan budgetten in jaarrapporten? Dan hoef je alleen maar naar onze overheid te kijken om te zien hoe je kapitalen kunt uitgeven aan niet-werkende ICT.
Je mag het van mij hopen, maar ik zie geen enkele praktische manier waarop een belegger weet of het bedrijf achter de aandelen goed of slecht beschermd is tegen ransomware.
[...]
"Voorkomen is beter dan genezen" impliceert niet dat je de patient maar moet doodmaken als deze onverhoopt toch ziek wordt.
Dat zegt toch ook niemand? Ik ben het alleen eens met @
Blokker_1999 dat de schade enorm is als een bedrijf (een deel van) zijn data kwijtraakt aan ransomware en dat het risico op faillissement of grote reorganisaties met veel banenverlies daarmee reëel is.
Iedere eenheid van informatiebeveiliging is een combinatie van techniek, bedrijfsvoering en personeel. Dus het stukje "voorkomen" zou voor ransomware o.a. elementen zijn als:
(techniek) wachtwoord policies, 2FA tokens, beheeraccounts met gescheiden rechten, policies, updates.
(bedrijfsvoering) servicedesk uitbreiden met procedures om meldingen en verdenkmakingen aan te nemen, beheerders elkaar laten controleren, wijzigingen zoals nieuwe apparatuur/software/diensten toetsen.
(personeel) trainen om effectief om te gaan met de techniek door bijvoorbeeld 2FA ook toe te passen op persoonlijke diensten zoals email, om gebruik te maken van de bedrijfsvoering en ook te stimuleren (dus niet impliciet straffen), af en toe oefeningen houden.
Ik begrijp hoe je je ICT beter op orde krijgt, maar mijn punt blijft: hoe weet je als buitenstaander dat een bedrijf dit doet? Je wil als bedrijf de buitenwereld niet vertellen hoe je je ICT hebt georganiseerd, omdat dat ook de aanvallers wijzer maakt.
Maar als een aanvaller echt héél graag specifiek jouw bedrijf wilt aanvallen omdat het persoonlijk wordt, dan zou onder het kopje "genezen" vallen:
(techniek) regelmatige backups naar een schijf buiten het domein met een procedure die alleen write rechten heeft, iedere X periode die folder loskoppelen en een nieuwe folder voor de aangebroken periode beschikbaar stellen, die backups fysiek overbrengen naar off-site opslag, met een SIEM een threshold instellen op de hoeveelheid gewijzigde bestanden.
(bedrijfsvoering) met een standalone machine - het liefst een bevroren of steeds opnieuw toegepaste image - steekproefgewijs de aangepaste bestanden uitproberen, in geval van ransomware dus een recovery op poten zetten.
(personeel) operationele managers/chefs/werkvloer leidinggevende voorzien van procedures die ondersteunend zijn aan het herstellen van een netwerk na een aanval.
En dat is even uit de losse mouw, een architect kan je verder helpen om maatwerk te leveren binnen een redelijk budget/aantal FTE.
Ik hoef gelukkig niet verder geholpen te worden
Ik herhaal: ik geloof dat er van alles tegen te doen is, maar de uitgangssituatie was hier: de ransomware heeft z'n schade al aangebracht. Je kunt betalen of niet, maar als je voor het voldongen feit staat dat je slachtoffer bent geworden, is dit mosterd na de maaltijd en zul je dit oppakken zodra je je data terug hebt.
Kijk, ik ben het helemaal met je eens dat veel bedrijven veel te weinig doen tegen dit soort vormen van cybercriminaliteit. Het is nog te nieuw en de maatschappij reageert veel te traag. Iedereen weet dat je een goed SKG ** of *** slot moet hebben, dat je tegenwoordig op openslaande ramen een handgreep met slot krijgt en dat je je ladder niet los in de tuin moet laten slingeren of bij het boodschappen ook de ramen op de bovenverdieping dicht moet doen om inbrekers buiten te houden. In de digitale wereld zijn de meesten nog niet zo wakker en moet je hopen dat de ICT'er de directeur weet te overtuigen.
Maar ik val enorm in de herhaling: het ging om het moment dat je voor het voldongen feit staat dat je slachtoffer bent geworden. Dan is de hele preek over dat je je beter had moeten wapenen zinloos, het is al gebeurd. Na je autoongeluk kun je ook roepen dat je meer afstand had moeten houden, dat een auto met forward collision warning je misschien schade had bespaard etc, maar het is al gebeurd en je wilde schade hersteld hebben. Daarna denk je over voorkomen na.
En daarnaast ging het over buitenstaanders die gewoon echt niet kunnen zien of een bedrijf goed beschermd is of niet. Ik mis iedere vorm van uitleg hoe dat aan de buitenkant te zien is.
[...]
Eigenlijk niet omdat Blokker het wat breder trok. Mijn reactie op het beleggen zie je bovenin deze post. Voor wat medewerkers betreft
zie hier.
Heb je de reactie op jouw bericht al gelezen? Die is van dezelfde strekking als die van mij: je gaat weer de inhoud in wat het bedrijf allemaal had moeten doen, maar gaat voorbij aan het feit dat dat voor buitenstaanders (en dat kunnen ook medewerkers zijn) niet te zien is. Dat zijn allemaal onschuldige slachtoffers die niet kunnen zien wat de mate van bescherming is en ook geen enkele invloed hebben op die bescherming. Nouja, als personeelslid heb je een heel kleine ingang, maar de kans is groot dat je niet gehoord wordt, tenzij je de manager ICT bent.
En dat is dus een scheve insteek, want je loopt dan compleet voorbij aan imagoschade, geleden intellectuele/copyright schade, de keren dat de ransomware een verhulde DOS aanval is, en eigenlijk alle andere aanvallen die niet ransomware gerelateerd zijn.
Ransomware een verhulde DOS aanval? Hoe bedoel je dat? Anyway, die imagoschade en intellectuele/copyright schade is al geleden op dat moment, dus of je nu betaalt of failliet gaat, daar verander je niks meer aan. Sterker nog, als Maersk (uit het voorbeeld hierboven) failliet gaat, is dat langer en uitgebreider in het nieuws en onthoudt iedereen dat veeeeeel beter dan wanneer ze een schijntje betalen om hun bedrijf te redden. Verder snappen de ransomware-makers ook wel dat als ze de versleutelde data ook nog eens openbaar gaan maken of verkopen aan de hoogste bieder, het hele idee van betalen meteen over is natuurlijk.
Ransomware is niet het enige risico wat je loopt als multinational, maar als dat wel het geval was dan snap ik je argument ook niet omdat één enkel risico mitigeren echt veel goedkoper is dan een sluitende set maatregelen of 11 miljoen losgeld.
Je verdraait mijn woorden. Ik zeg dat als je eenmaal ransomware op je netwerk hebt en er cruciale data versleuteld is, ook op je backups etc, je 2 keuzes hebt: betalen en weer verder met je bedrijf of niet betalen en al je data kwijt zijn. Dat laatste overleven de meeste bedrijven niet. Het is nogal "hindsight is 20/20" om achteraf te zeggen dat je meer had moeten doen om ransomware te weren. Dat is net als na de inbraak gaan roepen dat het zwakke punt waardoor de dieven binnen konden komen vrij goedkoop (vergeleken met de schade) sterker gemaakt had kunnen worden, waardoor er niks gestolen zou zijn. Dat is op dat moment niet aan de orde en gaat pas spelen als je de schade hebt hersteld (nieuwe TV gekocht, dat soort zaken).