• No results found

AUDIT & INTERNAL RANSOMWARE

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "AUDIT & INTERNAL RANSOMWARE"

Copied!
47
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 47 pagina )

Hele tekst

(1)

RANSOMWARE

& INTERNAL AUDIT

Antoine van Vlodorp 1 december 2021

1

(2)

Onderwerpen

2

© Getty Images

(3)

Introductie Travelex

3

(4)

4

Remittance and international money transfer, zoals Western Union

Prepaid cards

Particulieren

(5)

5

Vreemde valuta en betaaldiensten voor supermarkten, banken en andere organisaties

UK voorbeelden: Tesco, Sainsbury’s, HSBC, Barclays en NatWest NL voorbeelden: Ziggo, CJIB, de Belastingdienst, organisaties van

concerten en festivals, Vodafone, internationale scheepvaart, Eneco, SNS Bank en Rabobank

Wholesale banknotes voor (centrale) banken

Wholesale

klanten

(6)

Oudejaarsdag 2019 slachtoffer van de Sodinokibi-ransomware, die ook bekendstaat als REvil.

Criminelen hebben een bekende kwetsbaarheid met de Pulse Secure VPN Servers gebruikt om het Travelex-netwerk binnen te komen.

Als gevolg van de ransomware-aanval werkten systemen en websites van Travelex niet langer.

Travelex betaalde criminelen achter ransomware-aanval 2,3 miljoen dollar.

Zelfs met een werkende decryptiesleutel heeft de herstart maanden geduurd.

Ransomware-aanval Travelex

6

(7)

Bekende kwetsbaarheid niet opgemerkt

7

Travelex gebruikte de Pulse Secure VPN enterprise solution voor veilige communicatie tussen haar kantoren en met partners.

Op 21 augustus 2019 heeft de leverancier, Pulse Secure, een

kwetsbaarheid gepubliceerd (CVE-2019-11510) en aangedrongen op het snel updaten van de software op de VPN servers.

Vlak na de publicatie van de kwetsbaarheid begonnen partijen het internet te scannen op kwetsbare endpoints.

(8)

Travelex was door externen geïnformeerd over de kwetsbaarheid

van haar Pulse Secure VPN

Servers op 13-09-2019

8

(9)

Eerlijkheid duur het langst..

9

(10)
(11)

11

Travelex Groep heeft na het faillissement met een nieuwe eigenaar en in afgeslankte vorm een doorstart gemaakt.

(12)

Verlies van landen, klanten en diensten soms permanent

12

(13)

Ransomware

© Ilse van Kraaij

(14)

• Versleutelt bestanden en mappen en 14

vervangt deze meestal door een

tekstbestand met contactgegevens van de hackers en betaalinstructies.

• Het probleem wordt mogelijk pas

ontdekt als geprobeerd wordt een van de versleutelde bestanden te openen.

• Sommige varianten van encryptie-

ransomware tonen een zogenaamd ‘lock screen’ of losgeldbericht.

Encryptie-

ransomware

(15)

Geschiedenis randsomware - 1

15

(16)

Geschiedenis randsomware - 2

16

(17)

Ransomware families

17

(18)

Aantal ransomware-

aanvallen bereikt nieuw record met 304,7 miljoen miljoen in eerste helft

2021

18

Stijging met 151% t.o.v.

1H 2020.

Ransomware is groeiende business

MID-YEAR 2021 UPDATE SONICWALL CYBER THREATREPORT

(19)

19

© Microsoft

(20)

20

© 2021 Veeam Software

Periode juli 2020-juni 2021 © Microsoft

(21)

Hoe verloopt een ransomware-aanval?

21

1) Hackers komen het netwerk binnen middels phishing, hacking of simpelweg wachtwoorden raden en installeren van kwaadaardige software.

2) Meer computers binnen het netwerk worden besmet en rechten worden uitgebreid – dit kan wel maanden duren.

3) Versleutelen en/of verwijderen van bestanden en mappen op servers en backups op een bepaalde datum.

4) Dreigen met het publiceren van gevoelige bedrijfsgegevens en klant- of medewerkersgegevens of zelfs het afpersen van jouw klanten.

(22)

Wat als je

22

bestanden zijn

versleuteld?

2

• Inschakelen cybersecurity firma voor begeleiding

• Terugzetten van de back-ups als deze niet zijn versleuteld.

• Nagaan of decryptie-software

beschikbaar is voor de specifieke randsomware encryptie

Anders:

• Onderhandelen en betalen hackers voor decryptie-sleutel of

• Netwerk en databestanden van de grond af aan opnieuw opbouwen

(23)

Ransomware ‘kosten’

Betaling losgeld voor de

decryptiesleutel

23

Verlies aan klanten en opbrengsten Veel extra

kosten, zoals inhuur cyber-

experts

Zo’n 60 procent van de slachtoffers ransomware besluit uiteindelijk om losgeld te betalen. Een cyberverzekering dekt vaak het losgeld en de extra kosten, maar niet het verlies aan klanten en opbrengsten.

(24)

Waarom geen losgeld betalen?

Helaas hebben veel organisaties geen

keus om wel te betalen of het is goedkoper dan alle

herstel-

werkzaamheden.

24

• Het betalen van losgeld aan criminelen is principieel verkeerd.

• Losgeldbetalingen houden het cyber-criminele

ecosysteem in stand en leiden tot meer ransomware- aanvallen.

• Losgeldbetalingen zijn financiering van andere criminele activiteiten.

• Betalen van losgeld biedt geen garanties. Ondanks betaling krijgen veel organisaties geen toegang tot de gegijzelde data.

• Bedrijfsvoering wordt toch verstoord.

(25)

25

Enig idee hoeveel organisaties

gemiddeld betalen aan losgeld?

Losgeldeis voor de decryptie-

sleutel kan

flink hoog zijn

(26)

Losgeldeis

ongeveer 0,5%

tot 2% van de jaaromzet.

26

• Travelex: 285 bitcoins of USD 2,3 miljoen

• Vleesverwerkings-bedrijf JBS: USD 11 miljoen in bitcoins

• Universiteit Maastricht: 197.000 euro in bitcoins

• Softwareleverancier Kaseya (VSA- software): $70 miljoen in bitcoins

Betaalde losgeld ransomware

(27)

MediaMarkt 08-11-2021 slachtoffer ransomware

De Europese vestigingen getroffen door een ransomware- aanval uitgevoerd door de cybercriminele groep Hive.

Eis losgeld: 50 miljoen dollar

27

(28)

Helpdesk van cybercriminelen

28

(29)

Data-diefstallen als onderdeel

ransomware-aanval

29

Organisaties zijn verplicht om zo’n data-diefstal, waarbij bijvoorbeeld

persoonsgegevens van klanten en/of personeel zijn gestolen, te melden.

Niet (tijdig) melden van data-diefstal kan leiden tot een AVG-boete opgelegd door de AP.

Probleem is dat organisaties lastig kunnen vaststellen of klant-of bedrijfsgegevens zijn gestolen.

Wel wordt vaak door hackers gedreigd met het publiceren van klant- en medewerkersgegevens wanneer geen losgeld wordt betaald.

(30)

Afpersen door dreigen met publicatie data

Klant- of bedrijfsdata Middels speciale websites Er staat bij elk bedrijf wanneer het is gehackt en wanneer hun data is gepubliceerd.

De data wordt veelal openbaar gemaakt via downloaddiensten als Mega, AnonFiles en SendSpace.

30

(31)

Ransomware trends in 2022

31

• Steeds meer cyberdreigingen zullen in de toekomst gecombineerd worden om ransomware te verspreiden.

• Een veilige online werkplek voor medewerkers creëren vormt een steeds grotere uitdaging, terwijl corona-pandemie deze wel verlangd.

• Opkomst van Ransomware-as-a-Service (RaaS): cybercriminelen kopen ransomware-diensten van specialisten op dark web-forums.

• Regularisatie van betalingen met cryptomunten.

• Verschillende afpersingstechnieken worden (gelijktijdig) ingezet, zoals

datadiefstal, publiekelijke bekendmaking, dreigtelefoontjes en -emails en DDoS- aanvallen.

Bron: Sophos

(32)
(33)

Scope audit ransomware-aanval

Preventie: Hoe was de

organisatie voorbereid op een cyberaanval en had ze adequate preventieve maatregelen genomen (cyberweerbaarheid)?

33

Respons: Welke acties heeft de organisatie

genomen in reactie op de cyberaanval om de

bedrijfsvoering zo snel mogelijk te herstellen?

Lerend vermogen:

Welke voorzieningen heeft de organisatie getroffen om

soortgelijke incidenten in de toekomst te

voorkomen?

Heeft de organisatie vooraf, tijdens en na de aanval passende maatregelen genomen om de kwaliteit en continuïteit van de bedrijfsvoering te waarborgen?

De hoofdvraag was onderverdeeld in de volgende drie deelvragen:

(34)

Scope audit ransomware preventie

Preventie: Hoe is de organisatie voorbereid op een

cyberaanval en zijn adequate preventieve maatregelen genomen (cyberweerbaarheid)?

Internal Audit: Voer periodiek een audit uit of de

organisatie adequaat is voorbereid op een cyberaanval en de beschreven preventieve maatregelen bestaan en werken.

34

(35)

Preventie – technisch (1)

© Microsoft

(36)

Preventie – technisch (2)

1. Installeer tijdig software-updates

2. Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert

3. Pas multifactorauthenticatie toe bij netwerktoegang en risicovolle systemen

4. Maak regelmatig back-ups van systemen en test deze

5. Segmenteer netwerken in (geografische / businessline) zones 6. Bepaal wie toegang heeft tot data en diensten

7. Versleutel opslagmedia met gevoelige klant- of bedrijfsinformatie 8. Controleer welke apparaten en diensten bereikbaar zijn vanaf het

internet en bescherm deze

(37)

37

Security

Operations Center (SOC)

Een SOC is toegewijd om beveiligingsproblemen in IT-systemen en IT-

infrastructuur te voorkomen, op te sporen,

te beoordelen en erop te reageren.

1 2 3 4

(38)

Preventie – organisatorisch (1)

1. Vergroten bewustzijn informatiebeveiliging - bestuurders en medewerkers.

2. Veilige en open cultuur om (potentiele) risico’s en incidenten actief te melden.

3. Inrichten (cyber-)risicoteam met proces- en systeemeigenaren, Chief Information Security Officer (CISO), Functionaris

Gegevensbescherming (FG).

4. Inrichten van een Security Operations Center (SOC).

5. Borgen (cyber-)risicomanagement: risicomanagement is een

cyclisch, iteratief en terugkerend proces: dreigingen, omgeving en wetgeving veranderen en effectiviteit maatregelen evalueren.

6. Een business continuïteit plan (BCP) met een cyberprotocol.

(39)

Preventie – organisatorisch (2)

7. Aandacht voor ketensamenwerking: wat is de kwaliteit van de informatiebeveiliging van partners en leveranciers.

8. Regelmatige controle en evaluatie informatiebeveiligingsbeleid, BCP en risicomanagement ingebed zijn in de organisatie.

9. Worden voldoende middelen (geld en FTE) beschikbaar gesteld om de noodzakelijke beveiligingsmaatregelen te treffen.

10.Jaarlijkse cyberincident-oefening met het (cyber-)risicoteam.

11.Cyberverzekering met voldoende dekking van de directe en vervolgschade.

12.Contract met extern cybersecurity-expert voor periodieke onafhankelijke penetratietesten en ondersteuning bij een cyberincident.

(40)

Plat door

gijzelsoftware?

Blinde paniek helpt niet, maar

wat wel..

een business

40

continuïteit plan (BCP) met een cyberprotocol en

Incident

Management

Team (TMT)

(41)

Scope audit ransomware respons

Respons: Welke acties heeft de organisatie genomen in reactie op de cyberaanval om de bedrijfsvoering zo snel mogelijk te herstellen?

Internal Audit:

• Neem het functioneren van het Incident Management Team (IMT) waar.

• Zorg dat alle respons-stappen zorgvuldig worden doorlopen en gedocumenteerd.

• Denk mee en voorzie het IMT van constructieve feedback.

41

(42)

Ransomware - respons (1)

1. Breng het Incident Management Team (IMT) samen.

2. Schakel indien nodig externe cyber/ransomware-experts in.

3. Breng de ernst van de situatie in beeld en probeer verspreiding te voorkomen.

4. Evalueer in het IMT de herstelopties. Check de integriteit en beschikbaarheid van de back-ups en de beschikbaarheid van publieke decryptiesleutels en decryptor software.

5. Doe aangifte bij de politie (optie).

6. Maak melding bij Autoriteit Persoonsgegevens.

7. Licht cyberverzekeraar en interne en externe toezichthouders.

8. Licht de medewerkers en OR in en breng een persbericht naar buiten voor klanten, business partners en leveranciers.

(43)

Externe cyberexperts die incident &

response-dienstverlening leveren

43

• NFIR (Den Haag en Zwolle)

• EYE (Den Haag)

• Fox IT (Delft)

• Northwave (Utrecht)

• Hunt & Hacket (Den Haag)

• Deloitte

• en tal van kleinere bedrijven

(44)

9. Bepaal of er herstelopties zijn. Indien geen hersteloptie

beschikbaar is, bepaal dan de vervolgstrategie: betaling losgeld voor de decryptiesleutel of volledig opnieuw opbouwen van de systemen en data (gemeente Hof van Twente).

10.Voer de hersteloptie of vervolgstrategie uit. Test (‘front-to-back’) of de systemen weer operationeel zijn en interfaces goed werken.

Start logging van alle processen en systemen. Monitor actief de logging en andere signalen vanuit de organisatie of partners,

klanten en leveranciers. Bespreek de voortgang en signalen in het IMT.

11.Houdt interne en externe stakeholders geïnformeerd over het verloop van de respons.

Ransomware - respons (2)

(45)

Wie te informeren over de ransomware-aanval?

Directie

Medewerkers

Commissarissen OR

45

Klanten Partners

Leveranciers

Cyberverzekeraar Cybersecurity

specialist

Autoriteit

Persoonsgegevens (AP; binnen 72 uur) Sectorspecifieke toezichthouder

Advocatenkantoor

Intern Extern

(46)

Scope audit ransomware lerend vermogen

Respons: Welke voorzieningen heeft de organisatie getroffen om soortgelijke incidenten in de toekomst te voorkomen?

Internal Audit:

• Beoordeel de evaluatie van de ransomware-aanval: heldere oorzakenanalyse, wie waren erbij betrokken, geeft de evaluatie een realistisch beeld en wat zijn de

‘lessons learned’.

• Stel vast dat de geformuleerde acties zijn uitgevoerd en maatregelen zijn getroffen.

• Beoordeel de effectiviteit van de technische en organisatorische preventieve maatregelen op basis van de cyberincident en de laatste inzichten.

46

(47)

Samenvatting

47

• Iedere organisatie zal vroeg of laat slachtoffer worden van een ransomware- aanval door cybercriminelen.

• De impact van een geslaagde ransomware-aanval is groot.

• Technische en organisatorische preventieve maatregelen kunnen een geslaagde ransomware-aanval grotendeels voorkomen.

• Zijn de systemen toch geïnfecteerd met ransomware, dan is een gedegen respons gewenst.

• Internal audit kan bijdragen aan:

– Het periodiek auditen van de effectiviteit van de preventieve maatregelen.

– Heeft een taak in respons op een geslaagde ransomware-aanval.

– Het auditen van het lerend vermogen van de organisatie.

Referenties

Download het nu ( PDF - 47 pagina - 2.26 MB )

GERELATEERDE DOCUMENTEN

Internal Audit in 2037

Gelukkig hebben de universitei- ten tijdig ingespeeld op deze ontwikkeling en bieden zij nu een kopjaar aan na de reguliere masterstudie, om zo te voor- komen dat internal

Bouwen aan Internal Audit

Te vroeg nog voor het ‘pannenbier’, maar al met al positieve ontwikkelin- gen die er mogelijk mede aan hebben bijgedragen dat eind mei 2015 de zo- genaamde schragende partijen aan de

Internal Audit als speerpunt

• all listed companies establish an internal audit function or extend the scope of the external audit to the quality and effectiveness of the company’s internal control and

internal audit en CSr:

Daarbij komt ook de vraag aan bod wat de toegevoegde waar- de van internal audit voor CSR kan zijn, wat men daarvan in de eigen praktijk herkent en welke eisen men stelt aan internal

Internationalisering internal audit

Het spreekt voor zich dat veel operational audits een directe link hebben met finan- ciële risico’s die onze klanten lopen, maar het oogmerk en de aanvliegroute voor de werkzaamheden

Internal Audit:

Sources: The Pulse of Internal Audit survey: © 2015 The IIA Audit Executive Center conducted in collaboration with the 2015 Common Body of Knowledge Study, © 2015 The IIA and The

INTERNAL AUDIT PRACTIONER

We can support you as you study towards the Internal Audit Practitioner designation by offering a comprehensive blended learning programme, with learning outcomes to be achieved

INTErNAL AUDIT

At the top-end of the organisation, the Head of Internal Audit should focus on identifying Bribery and Corruption issues (ISO 37001), which represent a major risk for