Ransomware verdient aandacht van CFO

Er zijn steeds meer cyberaanvallen in de vorm van ransomware. Recentelijk was Nederland weer in de ban van een nieuw gijzelvirus: GandCrab. Hierdoor konden duizenden Nederlanders niet meer bij hun belangrijke foto’s en documenten. Pas als de slachtoffers ruim duizend euro betaalden, kregen ze weer toegang tot hun computer. Ransomware levert echter meer schade dan het losgeld. Wie is er eigenlijk verantwoordelijk?

Drie vragen aan Erik Vossers, technical consultant en coordinator Service Center bij ICreative. Hij legt uit waarom ransomware de bijzondere aandacht van CFO’s vraagt en schreef een whitepaper specifiek voor Basware-gebruikers.

Waarom moet ransomware hoog op de agenda van de CFO?

‘Finance bevat op afdelingsniveau een schat aan gevoelige gegevens wat het aantrekkelijk maakt voor cybercriminelen om deze gegevens te gebruiken voor een zogenoemd gijzelvirus. En hoe meer menselijke handelingen daar aan te pas komen, des te kwetsbaarder de organisatie is voor cybercriminaliteit. Het is echter de verantwoordelijkheid van een CFO om de risico’s en potentiele financiële impact van cybercriminaliteit in kaart brengen en er daarnaast voor zorgen dat de juiste middelen worden toegewezen voor het voorkomen van en omgaan met incidenten. Door de groei van ransomware betalen bedrijven een steeds hogere prijs voor cyberaanvallen.’

Hoe hoog is de prijs van ransomware?

‘De problemen ontstaan vaak als standaardafbeeldingen en bijlagen niet getoond kunnen worden of niet beschikbaar zijn. We krijgen deze meldingen op het ICreative Service Center binnen en direct worden de eerste kosten gemaakt: het uitzoekwerk. We onderzoeken de oorzaak en als blijkt dat de bestanden zijn versleuteld als gevolg van ransomware, dan gaat er ten eerste tijd in zitten om het probleem te isoleren  en een oplossing te zoeken. In het geval van oudere virussen is er mogelijk een decriptiesleutel voorhanden. Is die er niet, dan is de meest gangbare procedure dat we het gedane werk gaan terughalen. IT zet dan de meest recent back-up terug; meestal van de vorige dag.

Veel bedrijven onderschatten echter wat een dag werk inhoudt: van het moment van de backup tot het moment van ontdekking van de ransomware. Wat je werkelijk hebt gedaan, welke data is gemuteerd en wat ervoor nodig is om het werk terug te krijgen. De schade is vooral groot als er veel papieren facturen zijn gescand: vaak zijn die al weggewerkt of vernietigd. Je kan er uiteraard ook voor kiezen om het losgeld te betalen, maar dan heb je natuurlijk geen garantie dat je je bestanden daadwerkelijk terugkrijgt.’

Is cybercriminaliteit niet de verantwoordelijkheid van IT?

‘Facturen die per e-mail binnen komen, zijn een makkelijke ingang voor een virus. Immers, wanneer een medewerker crediteurenbeheer ook maar één verkeerde factuur opent, kan de computer al geïnfecteerd zijn en daarmee het netwerk. Omdat nepfacturen er tegenwoordig bijzonder echt uit zien, is het openen van een geïnfecteerd bestand gemakkelijk gedaan. Technisch gezien is dit de verantwoordelijkheid van IT. IT moet zorgen voor een goede beveiliging, maar het is ook een kwestie van de juiste rechten toewijzen.

Het komt vaak voor dat gebruikers meer rechten hebben tot bepaalde mappen en bestanden dan daadwerkelijk nodig is. Dit is vaak het geval wanneer een afdeling als gebruikersgroep wordt gezien en ze allemaal dezelfde rechten hebben, terwijl misschien maar drie van de tien medewerkers de rechten nodig heeft. Wanneer gebruikers mutatierechten hebben, dan vormt dat automatisch een risico. Bij gebruik van cloudsoftware is het risico kleiner omdat de afstand tot de database waarin alles staat opgeslagen groter is; er is geen directe koppeling anders dan via de zogeheten applicatielaag. Bovendien betekent outsourcen van werkzaamheden ook het outsourcen van risicomanagement.’