De recente ransomware-aanval op Synnovis laat zien dat kritieke IT-infrastructuren kwetsbaar blijven, ondanks alle securitylagen die we hebben aangebracht. Synnovis is een pathologielaboratorium in Londen, Groot-Brittannië, dat met zijn diensten, waaronder bloedtesten, nauw verbonden is met een aantal ziekenhuizen. Door de ransomware-aanval op het laboratorium moesten de getroffen ziekenhuizen in totaal ongeveer 800 operaties en ongeveer 700 poliklinische afspraken uitstellen. Nu dit nieuws deze zomer veel stof heeft doen opwaaien in de media, is de vraag hoe de IT-industrie denkt dat we een betere bescherming van de farmaceutische wereld kunnen bereiken.
“In de gezondheidszorg en de bredere zakenwereld woedt een pandemie van ransomware onverminderd voort. Dit leidt tot politieke en reglementaire discussies over hoe bedrijven moeten reageren. Ook blijven we ons afvragen hoe we de financiering van de aanvallers een halt kunnen toeroepen. In het Verenigd Koninkrijk is er een discussie gaande over de vraag of bedrijven gedwongen moeten worden om aanvallen en ransomware-betalingen te rapporteren. Ondertussen is er in de EU al strikte rapportageverplichtingen met NIS2 en DORA,” zegt Mark Molyneux, EMEA CTO bij Cohesity.
Wereldwijd hebben kranten melding gemaakt van aanvallen op gemeentelijke voorzieningen zoals Traverse City in Michigan en Newburgh in New York. Dit zijn voorbeelden van recente succesvolle aanvallen, maar er wordt algemeen aangenomen dat het aantal niet-gerapporteerde gevallen aanzienlijk hoger ligt. Daarom willen politici ervoor zorgen dat bedrijven transparanter worden.
“De eerste ideeën die in Europa worden besproken, spitsen zich toe op de vraag of alle slachtoffers verplicht moeten worden om incidenten aan de overheid te melden. Betrokken bedrijven zouden ook een vergunning moeten krijgen voordat ze ransomware-losgeld betalen,” aldus Molyneux. “Er wordt ook een volledig verbod voorgesteld op het betalen van losgeld onder organisaties die betrokken zijn bij kritieke nationale infrastructuur. Het verbod is bedoeld om de stimulans voor hackers om deze kritieke diensten te verstoren, weg te nemen. Zo wordt immers voorkomen dat ze aanvallen te gelde kunnen maken. Dit zou echter waarschijnlijk slechts een deel van de aanvallen verminderen, omdat staatsactoren zich meer richten op destabilisatie en vernietiging dan op een geldbeloning.”
Het Amerikaanse avontuur
In de VS heeft de regering Biden in maart 2022 met haar Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) al geregeld dat beheerders van kritieke infrastructuur een cyberincident binnen 72 uur moeten melden. Ransomware-betalingen moeten zelfs 24 uur na betaling worden gecommuniceerd.
De regels en wetten waarmee overheden meer licht willen werpen op cyberdreigingen en -risico’s, zijn steeds vaker gebaseerd op strikte tijdseisen voor de meldingsplicht. Vandaag de dag weten we dat 72 uur de wereldwijde standaard is, een norm die zich nu lijkt te vestigen bij veel regelgevende instanties.
“We weten dat 72 uur ook de maatstaf is in de Digital Operational Resilience Act (DORA), die zich richt op de financiële sector, en de NIS2-richtlijn. Met beide sets regels wil de EU bedrijven in Europa pushen om operationeel cyberbestendiger te worden,” aldus Molyneux.
De meldplicht voor datalekken is streng en stelt duidelijke eisen:
- Binnen 24 uur moet de organisatie een vroegtijdige waarschuwing geven als het vermoeden bestaat dat een ernstig incident is veroorzaakt door onrechtmatige of kwaadwillige handelingen of grote gevolgen kan hebben.
- Binnen 72 uur nadat een ernstig incident bekend is geworden, moet de vroegtijdige waarschuwing worden bijgewerkt met een eerste beoordeling. Dit is inclusief de ernst en de gevolgen ervan. De organisatie moet ook eventuele compromitteringsindicatoren met betrekking tot de aanval melden aan het nationale CERT (Cybersecurity Emergency Response Team).
- Op verzoek van een nationale CERT of toezichthouder moet de organisatie tussentijdse statusupdates geven.
- Binnen een maand na het indienen van het incidentrapport moet de organisatie een eindrapport indienen.
Transparantie verduidelijken
“Het risico van succesvolle cyberaanvallen op het welzijn en het leven van burgers zal politici blijven aanzetten tot nieuwe regels en voorschriften. Dit om het securityniveau en de veerkracht van cyberspace te verbeteren. Er zal dus waarschijnlijk meer volgen,” adviseert Molyneux van Cohesity. “Bedrijven moeten hierop reageren. Daarmoest moet men intern meer transparantie en controle creëren over de eigen data en diensten.”
Het Cohesity-team stelt de volgende stappen voor:
Data precies begrijpen. Bedrijven moeten precies weten welke data ze hebben en welke waarde dit heeft. Alleen dan kunnen ze aan de autoriteiten melden welke gegevens bij een succesvolle aanval zijn buitgemaakt of beschadigd. Bedrijven moeten hun gegevens indexeren en classificeren, inclusief classificatie naar hun relevante recordstrategie.
Toegang reguleren. Zodra de gegevens correct zijn geclassificeerd, kunnen automatisch regels en rechten worden afgedwongen die de toegang tot de gegevens reguleren.
Aanvallen overleven. Wil een bedrijf überhaupt rapporten kunnen maken voor de autoriteiten, dan moet het in staat blijven om te handelen. In het ergste geval werkt er echter niets meer na een ransomware- of wiper-aanval. De IT-teams van CIO’s en CISO’s kunnen veelal niet eens reageren op deze aanval. Dit is omdat alle securitytools offline zijn en bewijs versleuteld is in logboeken en op de systemen. Bedrijven moeten daarom ‘cleanroomconcepten’ implementeren, waar een noodset van tools en systeem- en productiegegevens staat om een noodoperatie van de hele IT te creëren.
In wezen worden de regels voor IT strenger omdat onze afhankelijkheid van IT toeneemt en daarmee ook de schade voor de economie en de maatschappij wanneer belangrijke diensten uitvallen. Molyneux suggereert dat als organisaties willen voldoen aan de 72-uurs rapportagevereisten, ze alle processen en workflows die met gegevens omgaan moeten controleren om de ransomware pandemie aan te pakken.
Tip: IBM investeert in datasecuritybedrijf Cohesity en breidt samenwerking uit