Incidentresponsplan Ransomware

Ransomware kan organisaties op een zeer verstorende manier raken. En wat doe je dan? Of hoe kun je je voorbereiden? Op deze vragen geeft het NCSC met het incidentresponsplan ransomware een antwoord. Elk incident en elke organisatie is natuurlijk anders. Het incidentresponsplan biedt daarom geen pasklare oplossing voor alle mogelijke situaties, het is meer een inspiratiebron om snel mee aan de slag te gaan. En daarmee de digitale weerbaarheid van organisaties te vergroten.

Want snelheid telt in het geval van een ransomware aanval. Zeker op het moment dat je als organisatie kwaadwillenden op je netwerk aantreft en de ransomware nog niet uitgerold is. Dan is het zaak zorgvuldig – en niet overhaast - de incidentresponscyclus te doorlopen. Hoe ga je te werk om de inbreuk in te perken, de misbruikte kwetsbaarheid te verhelpen, de malware die al is uitgerold te verwijderen en criminelen daarna op zo’n manier buiten de deur te houden dat het veel lastiger wordt om opnieuw in te breken? En een cruciale vraag is ook: hebben ze al gegevens weggesluisd?

Als de ransomware wel heeft toegeslagen, wordt het natuurlijk een heel ander verhaal. Dan is herstel het eerste wat moet gebeuren. Maar ook dan is het zaak om parallel aan de herstelwerkzaamheden de incidentresponscyclus te doorlopen. Om te bepalen welke malware is ingezet, zodat ook mogelijke restanten of achterdeuren verwijderd kunnen worden en ervoor te zorgen dat inbrekers niet alsnog opnieuw toegang kunnen krijgen. Een complexe operatie waarbij met veel aspecten rekening gehouden moet worden.

Onder druk van een inbreuk blijft het van belang om planmatig te werk te gaan. Dat is vaak een lastige uitdaging omdat de eerste reactie vaak is: “We moeten ze er zo snel mogelijk uit gooien en verdere schade beperken!”  En dat moet natuurlijk ook gebeuren, maar zonder essentiële stappen over te slaan. Daarbij kan het behulpzaam zijn om vooraf al een stuk op weg te zijn met deze plannen en een ingevuld beginpunt te hebben. Het incidentresponsplan ransomware kan hierbij behulpzaam zijn. Allerlei aspecten zijn erin benoemd, van algemeen en abstract tot zeer specifiek en concreet. Niet alles is voor elke organisatie van toepassing en voor jouw organisatie specifieke zaken kun je zelf toevoegen. Dat leidt op een snelle manier tot een gerichte en geplande aanpak.

Maar voorbereiding kan ook een doel zijn om het incidentresponsplan ransomware voor in te zetten. Een groot deel van het stuk is gericht op deze fase. Hoe zorg je er bijvoorbeeld voor dat je een aanval eerder kan vaststellen of dat je kan zien dat gegevens worden weggesluisd. Ook de basismaatregelen voor cybersecurity met het oog op continuïteitsbeheer komen hier uiteraard voor een deel in terug. Een goede back-up, getest en geverifieerd op integriteit en zonder malware of ongewenste encryptie, is uiteraard essentieel. En uit een restore-test van een heel volume of systeem blijkt pas wat realistische hersteltijden zijn.

Dit incidentresponsplan kan natuurlijk als voorbereiding op ransomware aanvallen ook op maat gemaakt worden voor een specifieke organisatie. Een stap extra die snel handelen in de praktijk makkelijker maakt. Het NCSC hoort graag welke ervaringen met dit plan worden opgedaan en wat relevante informatie is om in toekomstige versies toe te voegen. Onze hoop en verwachting is dat dit incidentresponsplan kan bijdragen aan de weerbaarheid van jouw organisatie.