Omgaan met een cyberaanval: Zorgbedrijf Antwerpen aan het woord

Het bedrijf is onmiddellijk in crisismodus gegaan om prioriteiten te stellen en verdere schade te voorkomen. Dit heeft geresulteerd in het opzetten van een crisisteam samen met haar IT-partners, Spikes en Resilient Security. Kunnen steunen op een partner die direct samen met jouw organisatie in crisismodus gaat, is van cruciaal belang, net zoals duidelijke afspraken en wederzijds vertrouwen.

Allereerst werd de volledige omgeving tijdelijk uitgezet om te bekijken wat besmet was en hoe ver de hackers waren binnengeraakt. Zo verklaarde Dimitri De Rooze, directeur Data en Digitale Transformatie bij het Zorgbedrijf. De volgende stap was het opnieuw opzetten van nieuwe ICT-architectuur met een extra beveiligingsniveau. Eerst werd het authenticatiestuk aangepakt, waarbij de Active Directory opnieuw werd opgebouwd in een afgeschermde omgeving. De juiste beveiligingslaag met onder meer Microsoft Defender en firewalls is hierbij noodzakelijk. De cloud heeft hierbij een enorm snelheidsvoordeel, virtuele firewalls en nieuwe servers kunnen zeer vlot uitgerold worden.

Zo kon er snel geschakeld worden om authenticatie terug beschikbaar te maken zodat medewerkers toegang hadden tot hun e-mails en terug konden communiceren via Microsoft Teams. Het up-en-running houden van deze tools was cruciaal voor de communicatie en het behouden van het dagelijkse werk. Alle medewerkers kregen ook hun wachtwoorden volledig gereset.

“De menselijke factor in deze situatie is ook niet te overzien”, benadrukt De Rooze. De impact op de medewerkers is groot. In de statusmeetings, die telkens ‘s ochtends en ‘s middags plaatsvinden met het crisisteam, wordt steeds gevraagd hoe het met iedereen gaat. Wij zijn een zorgbedrijf en dat betekent ook zorgen voor elkaar. Een hecht team is dus erg belangrijk. Verder worden alle omgevingen opnieuw opgezet, deze keer in de cloud. Aangezien alles als onbetrouwbaar wordt beschouwd zit hier door de extra controles heel wat vertraging op. De back-ups van het Zorgbedrijf waren hierbij cruciaal.

Volgens De Rooze is dan ook een proactieve security assessment op voorhand de beste voorbereiding. Enerzijds wordt in zo’n assessment verduidelijkt wat de organisatorische impact is bij een cyberaanval, nl. wie neemt welke taak op? Anderzijds brengt zo’n assessment ook in kaart welk niveau van beveiligingsmaturiteit de verschillende onderdelen hebben: governance, back-ups, admin accounts, externe toegangen, privacy, etc.

Een cyberaanval is nooit volledig te voorkomen, hoe beperk je de schade?

Bart Saels, van het crisisteam vertegenwoordigd door Spikes, geeft enkele belangrijke tips om je als organisatie zo goed mogelijk voor te bereiden op dergelijke aanvallen. Hoewel het nooit mogelijk is om 100% voorkomen te garanderen, kan men wel alles doen om de schade zoveel mogelijk te beperken. Het is volgens Saels net zoals een inbraak in je huis: je kan het nooit volledig voorkomen, maar wel maatregelen nemen om de schade te beperken.

1. Sterke wachtwoorden en een goed wachtwoordbeleid implementeren: één van de meest voorkomende manieren waarop hackers toegang krijgen tot systemen is door middel van zwakke of gemakkelijk te raden wachtwoorden. Dit probleem kan snel groter worden wanneer hetzelfde wachtwoord gebruikt wordt voor verschillende applicaties. Organisaties moeten een sterk beleid voor wachtwoorden implementeren, waarbij medewerkers worden verplicht om complexe wachtwoorden te gebruiken en deze regelmatig te wijzigen. Overweeg het gebruik van een wachtwoordbeheerder om medewerkers te helpen veilige wachtwoorden te creëren en op te slaan.
2. Multi-factorauthenticatie inschakelen: multi-factorauthenticatie (MFA) voegt een extra beveiligingslaag toe aan inlogprocessen door naast een wachtwoord ook een tweede vorm van authenticatie te vereisen, zoals een code die naar een telefoon of e-mailadres wordt verzonden. Dit maakt het voor hackers veel moeilijker om toegang te krijgen tot systemen, zelfs als ze erin slagen een wachtwoord te verkrijgen.
3. Houd software en beveiligingsprotocollen up-to-date: hackers exploiteren vaak bekende kwetsbaarheden in verouderde software of beveiligingsprotocollen. Om dit te voorkomen, moeten organisaties ervoor zorgen dat alle software en beveiligingsprotocollen up-to-date zijn met de laatste patches en updates.
4. Installeer een antiviruspakket met rapportering: een antivirus zorgt voor bescherming tegen malware en andere dreigingen. Ook de beveiliging van het toestel zelf, de privacy van de gebruiker en de bescherming in de browser of op het netwerk horen hierbij. Kies daarom voor een uitgebreid pakket zoals bv. Microsoft Defender dat overzichtelijk rapporteert en duidelijk aangeeft welke toestellen, servers of werkplekken extra aandacht vereisen. Zo krijg je als organisatie snel zicht op de schade en kan je meteen handelen op mogelijke besmettingen.
5. Voer regelmatig beveiligingsassessments uit: regelmatige beveiligingsassessments kunnen organisaties helpen kwetsbaarheden in hun systemen te identificeren en maatregelen te nemen om deze op te lossen voordat ze worden uitgebuit door hackers. De alerts die naar boven komen uit zo’n assessment worden opgevolgd door een zgn. SOC of Security Operations Center. Dit kan bestaan uit zowel interne beveiligingsteams als externe beveiligingsexperts. Afhankelijk van de prioriteit van de alerts uit de assessment, kan het SOC bepaalde acties uitvoeren. Echter, dit is steeds reactief, het kan dan al te laat zijn bij een grote cyberaanval. Proactief actie ondernemen door bijvoorbeeld een ‘auto-resolver’ of ‘auto-isolatie’ waarbij het geïmpacteerde account automatisch geblokkeerd wordt om verdere schade te voorkomen. De beste proactieve beveiliging volgens Bart Saels vind je bij een real-time security assessment. Waarbij er constant gemonitord wordt én automatisch acties uitgevoerd worden bij dreiging.
6. Leer medewerkers over cyberbeveiliging: medewerkers kunnen de zwakste schakel zijn in de beveiliging tegen cyberaanvallen. Het is belangrijk om hen het belang van de beveiliging van bedrijfs- en klantendata te laten inzien en hen best practices aanleren over hoe ze verdachte e-mails of andere activiteiten kunnen identificeren en melden, maar ook over hoe ze best hun wachtwoorden bewaren.
7. Cloud back-ups: vaak is het bij een cyberaanval onduidelijk hoe ver terug in de tijd de hackers al binnen waren in de systemen. Dat maakt het moeilijk om in te schatten hoe betrouwbaar een back-up nog is. De afweging van de opslagkosten van back-ups die verder teruggaan in de tijd tegenover de gevolgen bij een beperkte back-up dienen zeker voldoende afgewogen te worden. Back-ups in de cloud bewaren heeft als voordeel dat er ook automatisch updates worden gedaan en dat de back-ups beter verspreid worden.

Door deze maatregelen te implementeren en waakzaam te blijven, kunnen organisaties hun risico op een ernstige cyberaanval aanzienlijk verkleinen.