Security- en gerelateerde privacyvraagstukken worden steeds complexer. Binnen het securitydomein is ransomware een veelbesproken onderwerp, aangezien steeds meer organisaties het doelwit van ransomeware-aanvallen zijn. Ransomeware-aanvallen zijn de snelst groeiende schadelijke activiteiten in ons digitale tijdperk. Zij bedreigen namelijk de cybersecurity infrastructuur van organisaties. Onderzoek toont aan dat het aantal ransomware-aanvallen in de eerste helft van 2021 bijna verdubbeld is ten op zichte van 2020. Wereldwijd is het aantal ransomeware-aanvallen toegenomen met 29%, vooral in de EMEA-regio en Noord- en Zuid-Amerika. Daarnaast blijkt uit cijfers dat de wereldwijde financiële sector in toenemende mate te maken heeft gehad met ransomeware-aanvallen. In 2021 is het aantal aanvallen namelijk met 1318% toegenomen.
Steeds vaker kunnen ransomware-aanvallen grote nadelige gevolgen voor een organisatie hebben. Dit komt mede door het mogelijke verlies van kritieke data, wat een invloed heeft op de algemene bedrijfsvoering, omzet en de reputatie van een organisatie. De Ierse National Cyber Security Centre heeft bijvoorbeeld een ransomware-aanval gedetecteerd die was gericht op de Health Service Executive van het land. De aanval had tot gevolg dat er kritieke medische gegevens werden aangetast, wat weer invloed had op de zorgverstrekking. Het vergroten van de bewustwording van en kennis over ransomeware-aanvalllen binnen organisaties is daarom cruciaal. Dit draagt er tevens aan bij dat organisaties voldoen aan de security- en gegevensbeschermingsregels en standaarden en komt hun data management strategieën ten goede.
Gegevensbescherming helpt bij de beperking van ransomware
Hoewel een ransomware-aanval voornamelijk wordt gezien als een bedreiging op het vlak van de cybersecurity van organisaties, is het ook belangrijk om de relatie met gegevensbescherming te benadrukken. Gezien het feit dat ransomeware-aanvallen grote risico’s met zich meebrengen voor de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens, kan de naleving van de Algemene Verordening Gegevensbescherming (AVG) in het gedrang komen. De AVG, de belangrijkste wetgeving inzake gegevensbescherming in Europa, legt organisaties de verplichting op om adequate technische en organisatorische beveiligingsmaatregelen te treffen om de bescherming (de vertrouwelijkheid, integriteit en beschikbaarheid) van verzamelde persoonsgegevens te garanderen.
Eén van de voornaamste wetgevende kaders rondom gegevensbescherming en security in de Verenigde Staten is de California Consumer Privacy Act (CCPA) en de bijhorende California Privacy Rights Act. Deze wetten leggen verplichtingen op aan organisaties die persoonsgegevens van consumenten verzamelen. Zij dienen redelijke beheersmaatregelen te implementeren om ongeautoriseerde toegang, vernietiging, aanpassing of openbaarmaking van gegevens te voorkomen. Aangezien vandaag de dag elke vorm van bedrijfsvoering gepaard gaat met de verwerking van persoonsgegevens, en soms zelfs met gevoelige persoonsgegevens, draait compliance met deze wetgevingen niet alleen om de implementatie van privacy controls maar ook om het implementeren van voldoende beheersmaatregelen.
Met een steeds groeiend aantal ransomware-aanvallen zijn organiasties onderhevig aan grote risico’s wanneer zij het slachtoffer worden van een aanval. Deze risico’s zorgen ook voor privacyzorgen. Om die reden kan het naleven van privacyregels de schade, in de zin van financiële gevolgen en reputatieschade, voor een organatie helpen te beperken.
Data Security controls: de redding
Door het implementeren van standaarden, zoals de ISO 27001 voor informatiebeveiligingsmanagement, proberen organisaties vertrouwen te creëren in hun beveiligingsprocessen. Tegelijkertijd wordt het steeds belangrijker voor organisaties om hun bestaande controls te updaten of om nieuwe maatregelen te treffen om ransomware-aanvallen te voorkomen en hun schade te beperken. Hieronder volgen enkele voorbeelden van controls die organisaties dienen te treffen om de risico’s van ransomeware-aanvallen te minimaliseren:
- Het implementeren van sterke cryptografische controls (,aangezien veel ransomware-aanvallers data encrypteren waarna ze de organisatie losgeld laten betalen om de informatie te decrypteren, wat leidt tot de onbeschikbaarheid van kritieke data);
- Het uitvoeren van gewone en gestructureerde risicobeoordelingen, inclusief regelmatige beveiligingsaudits;
- Het opstellen van een onderbouwde incident management procedure, inclusief een goed gepland incident management plan en een reactieve procedure om de bedrijfscontinuïteit te garanderen in geval van een ongeplande onderbreking;
- Het uitvoeren van regelmatige back-ups van kritieke data;
- Het aanbieden van security management trainingen en bewustwordingsessies aan medewerkers;
- Het implementeren van user authentification controls, ISO 27002 controls voor een verbeterd Information Management Security System en andere noodzakelijke software.
Proactieve detectie en de verhelping van bedreigingen zorgen ervoor dat organisaties de nodige information security controls implementeren om de vertrouwelijkheid, integriteit en beschikbaarheid van data te waarborgen.
Data Management overwegingen
Risico’s die ontstaan door ransomware-aanvallen kunnen aanzienlijk verkleind worden als een organisatie een goede data management strategie heeft. Dit vereist dat een strategie wordt opgesteld die de basisprincipes voor een plan uiteenzet. Daarnaast zorgt het toewijzen van rollen en verantwoordelijkheden binnen een organisatie voor de bescherming van kritieke data en de bijhorende architectuur. Een overzicht van de levenscyclus van data als onderdeel van de strategie kan tijd en moeite besparen en kan de organisatie tijdig helpen handelen in geval van een aanval. Activiteiten rondom de opslag en archivering van data, vastgelegd in formele beleidsstukken en procedures, kunnen samen met de tijdige monitoring van deze zaken een essentieel middel zijn om de schade, die veroorzaakt wordt door ransomware-aanvallen, te beperken. Kortom, naast het voldoen aan de AVG en het implementeren van security controls, kunnen organisaties baat bij een data management strategie hebben wanneer zij met een ransomeware-aanval worden geconfronteerd. Een dergelijke strategie kan interne stakeholders helpen tijdig, en in overeenstemming met een formeel beleid, te handelen.
Over Vanya
Vanya Rakesh is adviseur privacy en security bij CRANIUM Nederland. In haar rol als consultant en Data Protection Officer, is zij voor internationale organisaties het aanspreekpunt voor privacy en security vraagstukken. Zij helpt organisaties om AVG compliant te worden en om aan andere relevante wetgeving te voldoen.
Is uw organisatie onderhevig aan het risico van een ransomware-aanval? Of wilt u inzicht verwerven over wat deze risico’s betekenen voor uw organisatie? CRANIUM heeft ervaring in het bijstaan van internationale klanten over dergelijke bedreigingen van hun cybersecurity en wij ondersteunen u graag bij al uw vragen over informatiebeveiliging. Contacteer ons hier!