Source: Sophos

In het onderzoek Cybersecurity: The Human Challenge concludeert Sophos dat organisaties nooit meer dezelfde zijn nadat ze door ransomware zijn getroffen. Met name het vertrouwen van IT-managers en hun aanpak om cyberaanvallen te bestrijden, verschillen aanzienlijk naargelang hun organisatie al dan niet is aangevallen door ransomware.

IT-managers van organisaties die door ransomware zijn getroffen, hebben bijvoorbeeld bijna drie keer zoveel kans om zich “aanzienlijk achtergesteld” te voelen als het gaat om het begrijpen van cyberdreigingen – dit in vergelijking met hun collega’s in organisaties die niet werden getroffen (17 versus 6 procent). Meer dan een derde (35 procent) van de slachtoffers van ransomware geeft aan dat het werven en behouden van bekwame IT-security professionals de grootste uitdaging vormt als het gaat om cyberbeveiliging (ter vergelijking: 19 procent van degenen die niet waren getroffen).

Wanneer het de security focus betreft, blijkt uit de enquête dat slachtoffers van ransomware verhoudingsgewijs minder tijd besteden aan het voorkomen van bedreigingen (42,6 procent) en meer tijd aan respons (27 procent), in vergelijking met degenen die niet zijn getroffen (respectievelijk 49 en 22 procent).

LEES OOK: NCSC factsheet risicobeheersing

Complexe aanvallen

“Het verschil in personele prioriteiten zou erop kunnen wijzen dat slachtoffers van ransomware in het algemeen meer incidenten te verwerken krijgen. Het zou echter evengoed kunnen aangeven dat ze alerter zijn op de complexe, meerfasige aard van geavanceerde aanvallen en net daarom meer middelen inzetten voor het opsporen en reageren op de aanwijzingen dat een aanval op til is”, aldus Chester Wisniewski, principal research scientist bij Sophos.

Het feit dat ransomware-aanvallers hun tactieken, technieken en procedures (TTP’s) blijven ontwikkelen, draagt ​​bij aan de druk op IT-beveiligingsteams. Onlangs deconstrueerde Sophos in een artikel een recente aanval met Ryuk-ransomware waarbij werd ontdekt dat de aanvallers algemeen beschikbare en legitieme tools gebruikten om ransomware in te zetten. Dat ging gepaard met grote snelheid: binnen drie en een half uur nadat een medewerker een kwaadwillende phishing e-mailbijlage had geopend, waren de aanvallers al actief binnen het netwerk. Binnen 24 uur hadden de aanvallers toegang tot een domeincontroller en konden ze Ryuk lanceren.

“Ons onderzoek naar de recente Ryuk ransomware-aanval laat zien waar verdedigers mee te maken hebben. IT-beveiligingsteams moeten 24 uur per dag, zeven dagen per week volledig alert zijn en een volledig inzicht hebben in de nieuwste dreigingsinformatie over de tools en het gedrag van aanvallers. De bevindingen van het onderzoek illustreren duidelijk de impact van deze bijna onmogelijke eisen. Onder andere werd vastgesteld dat degenen die door ransomware werden getroffen, het vertrouwen in hun eigen cyberdreigingsbewustzijn ernstig hadden ondermijnd. Hun ransomware-ervaringen lijken hen echter ook een grotere waardering te hebben gegeven voor het belang van bekwame cyberbeveiligingsprofessionals, evenals een gevoel van urgentie bij het introduceren van door mensen geleide dreigingsjacht om het nieuwste gedrag van aanvallers beter te begrijpen en te identificeren”, aldus Wisniewski. “Wat de redenen ook zijn, het is duidelijk dat als het op beveiliging aankomt, een organisatie nooit meer dezelfde is na te zijn getroffen door ransomware.”

LEES OOK: ‘Cyberweerbaarheid niet te garanderen zonder inzet nieuwe technologie’

Portbase en Samen Veilig Data Delen

Portbase is “een neutraal platform met nationale dekking dat fungeert als stabiele basis voor operational excellence in de Nederlandse havens”, zo legt Diederik uit. Een nutsvoorziening zonder winstoogmerk, met aandeelhouders Port of Rotterdam (75 procent) en Port of Amsterdam (25 procent). Dat is de korte introductie.

Portbase is er van, voor en door de haven-community. Daarin is het programma Samen Veilig Data Delen een logisch verlengde, om samen met die community bij te dragen aan de realisatie van een veilige Rotterdamse haven. Dit lukt door een betrouwbare informatie-uitwisseling tot stand te brengen tussen de verschillende schakels in de logistieke containerketen. Met haar Port Community System (PCS) zorgt Portbase al bijna 20 jaar voor een soepele afhandeling in de Nederlandse havens, door de kernprocessen in deze havens te laten rusten op een vertrouwde en betrouwbare basisinfrastructuur voor het opslaan, ontsluiten en delen van data.

Het programma bestaat uit drie sporen: Veilige identiteiten, Veilige ketens en Veilig platform. ‘Veilige identiteiten’ draait om: weten met wie zaken gedaan wordt, en wie bepaalde handelingen uit mag voeren (inderdaad, de link met IAM, dus denk onder meer aan implementeren van MFA, periodieke validatie door hoofdbeheerders, verificatie van identiteiten en het aanscherpen van toelatingseisen tot het PCS). Veilige ketens gaat om een containervrijgaveproces op basis van machtigingen in plaats van het beschikken over de juiste ‘sleutel’ of pincodes, dus andermaal een rol voor IAM. Veilig platform tot slot betekent blijvend investeren in de digitale veiligheid van het PCS.

Niet alleen een logische link met IAM dus, maar ook met FERM! Kijk voor meer informatie over het programma op portbase.com/veilig-data-delen/.

Tot slot namen we aan het einde van de bijeenkomst afscheid van Peter van Loo van Deltalinqs, die jarenlang een spil was in onze bijeenkomsten, maar per oktober aan de slag gaat voor Rijkswaterstaat. Bedankt, Peter!

Bekijk bovenstaande video voor de volledige bijeenkomst.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht