Op 23 december 2019 werd de Universiteit Maastricht slachtoffer van een ransomware-aanval. Specialisten van Fox-IT werden ingehuurd om hen bij te staan zo snel mogelijk weer de systemen werkende te krijgen en om forensisch onderzoek te doen.

Op 5 februari 2020 heeft UM een rapport gepubliceerd waarin ze op een open en constructieve manier berichten over het incident en de toekomst.

Het originele rapport is hier te vinden: https://www.maastrichtuniversity.nl/nl/file/foxitrapportreactieuniversiteitmaastricht2pdf

We hebben voor u de belangrijkste geleerde lessen uit het rapport even opgesomd:

  • Betere ‘awareness’ en afhandeling van (meldingen van) ‘phishing-mails’
  • Technische maatregelen
    • Het accuraat updaten van de software
    • Het verbeteren van de segmentering van het Windowsdomein.
    • Het inrichten van 24/7 monitoring door middel van een SIEM en/of SOC.
    • Configuration Management Data Base
  • Dubbele back-ups

Dit ligt zeer goed in lijn met wat Spinae adviseert aan de bedrijven.

Betere ‘awareness’ en afhandeling van (meldingen van) ‘phishing-mails’

Zorg dat de medewerkers goed zijn ingelicht over de risico’s en leer hen een degelijke cyber-hygiëne aan. Beschouw dat niet als een eenmalige actie, maar iets waar continu moet aan gewerkt worden.

Technische maatregelen

Er zijn heel wat technische maatregelen mogelijk. Het is belangrijk om na te gaan welke technische maatregelen voor uw bedrijf relevant zijn en om te beseffen dat technische maatregelen geen ‘silver bullet’ zijn. De aangehaalde technische maatregelen door Universiteit Maastricht zijn dus niet zomaar te spiegelen op uw bedrijf. Wel is het zo dat er een aantal basiszaken zijn vermeld die ook voor uw bedrijf erg belangrijk zijn, zoals het installeren van updates en het hebben van een accurate inventaris van alle systemen (CMDB).

Dubbele back-ups

Bij een aanval met ransomware zijn back-ups je zogenaamde ‘last line of defense’. Het is daarom bijzonder belangrijk om deze goed af te schermen. Het is namelijk zo dat verschillende soorten ransomware in eerste instantie op zoek gaan naar je back-ups om die onbruikbaar te maken, en daarna je gegevens beginnen te versleutelen. Wat Universiteit Maastricht hier bedoelt met ‘dubbele back-ups’, vertaalt Spinae vaak als ‘air-gapped back-ups’: zorg dat er geen elektronische verbinding is tussen je ‘last line of defense’ en de rest van je infrastructuur. Neem bvb backups naar schijvensystemen om snel te kunnen een restore doen bij gangbare situaties, maar zorg tevens voor een periodieke backup naar een extern medium (externe harde schijf, tape) en zorg dat dit extern medium ook losgekoppeld wordt van de systemen. Bewaar dit externe medium zeker op een andere locatie.

Besluit

Het is bewonderenswaardig en nobel dat de Universiteit Maastricht hier zo open over communiceert. Het past uiteraard in hun missie als onderwijs- en onderzoeksinstelling om er voor te zorgen dat kennis kan worden verspreid.

We moeten helaas wederom vaststellen dat het geen kwestie meer is van ‘als’ een cyberaanval zou kunnen gebeuren, maar ‘wanneer’ die zal gebeuren. En dan ben je maar beter goed voorbereid…

Laat je begeleiden door experten om een goede beveiliging uit te bouwen, op maat van uw bedrijf. Want elk bedrijf is uniek.