Tips ter bescherming van uw organisatie tegen ransomware als WannaCry

16 mei 2017

Op vrijdag 12 mei jl. maakte de wereld kennis met ‘WannaCry’. Ransomware die in korte tijd over de hele wereld tienduizenden computers in meer dan honderd landen besmette.

Wat is ransomware?

Ransomware is malafide software die de computer die erdoor wordt geïnfecteerd als het ware gijzelt door bestanden op de harde schijf te versleutelen waardoor gebruikers niet langer toegang hebben tot hun eigen bestanden op de computer. Voor het ontsleutelen van de bestanden wordt door de aanvaller een geldsom gevraagd. Bij de WannaCry aanval was dit circa € 300, te betalen in Bitcoins. Bitcoin is een virtuele betaaleenheid die in de criminele wereld populair is.

WannaCry

Momenteel is er wereldwijd een uitbraak gaande van een nieuw type ransomware dat schuilgaat onder de namen WannaCry, WCry, WanaCrypt en WanaCrypt0r 2.0. 'WannaCry' maakt gebruik van een (beveilings)lek in Windows. Al in maart werd dit lek door Microsoft ontdekt én gedicht. Het is echter een gegeven dat veel overheden, bedrijven en instellingen nog oudere, onveilige Windows-versies gebruiken. Degenen die achter WannaCry zitten hebben van die wetenschap gebruik gemaakt.

Afgezien van de omvang van de WannaCry aanval is het dan ook niet opvallend dat veel organisaties slachtoffer zijn geworden. Van grote en vooraanstaande organisaties zou je eigenlijk verwachten dat hun systemen en de beveiliging daarvan tiptop in orde zijn. Helaas is de werkelijkheid vaak anders. En zo kon het dat wereldwijd onder meer tal van ziekenhuizen en zorginstellingen zijn getroffen waardoor de systemen van die organisaties niet meer bruikbaar waren en patiënten moesten uitwijken naar andere locaties. Maar dat ook organisaties in het openbaar vervoer, grote telecomaanbieders en een bekend Nederlands parkeerbedrijf slachtoffer zijn geworden.

WannaCry heeft grote (media)aandacht gekregen en mede daardoor is de verspreiding voorlopig gestopt. Dat betekent echter niet dat er geen risico meer bestaat op infectie. Oplettendheid is dus (nog steeds) geboden! Bovendien is het uiteraard slechts een kwestie van tijd voor WannaCry 2.0 of een kwaadaardig zusje daarvan ten tonele verschijnt.

Bescherming persoonsgegevens/privacy

Dat de beveiliging van het besturingssysteem van een organisatie op orde en up to date is, is van zeer groot belang. Niet alleen om infecties met ransomware zoals WannaCry te voorkomen, maar ook om te voldoen aan steeds scherper wordende wet- en regelgeving op dit gebied. In het bijzonder geldt dit bij de verwerking van persoonsgegevens.

Op dit moment geldt in Nederland de Wet bescherming persoonsgegevens (‘Wbp’). Deze wet is van toepassing op alle geautomatiseerde verwerkingen van gegevens van natuurlijke personen, bijvoorbeeld naam, adres, geslacht, inkomen, etcetera. Maar ook op de verwerking van bijvoorbeeld medische gegevens of gegevens over ras, levensovertuiging, politieke of seksuele voorkeur. De wet legt aan een organisatie die dergelijke persoonsgegevens verwerkt de verplichting op om die gegevens voldoende te beveiligen, zowel technisch als organisatorisch.

Op 27 april 2016 is door de Europese Unie de Algemene Verordening Gegevensbescherming (‘AVG’) aangenomen. De AVG treedt in werking op 25 mei 2018 en zal dan de Wbp vervangen. Dan worden de verplichtingen voor organisaties met betrekking tot persoonsgegevens nog strenger. Daarnaast geldt dat de bevoegdheid van de Autoriteit Persoonsgegevens om boetes uit te delen als er niet aan de verplichtingen uit de AVG wordt voldaan fors toeneemt, van € 820.000 nu naar € 20 miljoen of 4% van de wereldwijde jaaromzet als die hoger is.

Datalek en melden

Zowel onder de Wbp als de AVG geldt dat een besmetting met ransomware meestal kwalificeert als een datalek en dus gemeld moet worden bij de Autoriteit Persoonsgegevens. Hierover blogten wij al op 10 november 2016. In die blog gaven wij u ook advies over de te nemen stappen als er sprake is van een besmetting met ransomware.

Drie tips ter verkleining van de kans op een besmetting met ransomware:

  1. Hanteer een strikt patch- en updatebeleid van uw systeemsoftware, firewall en antivirus-software. ICT en de beveiliging daarvan is geen statisch geheel, maar een dynamisch, continu veranderend proces binnen een organisatie. Dit houdt in dat organisaties doorlopend bezig dienen te zijn met het updaten en aanpassen van hun (beveiligings)systemen. WannaCry maakt gebruik van een bekende bug in het besturingssysteem van Microsoft (SMB) Server Message Block en daarom adviseert Microsoft zo snel mogelijk patch MS17-010 te installeren.
  2. Vergroot het bewustzijn binnen de eigen organisaties van de kwetsbaarheid van het gebruik van ICT. Stel bedrijfsregels op over hoe om te gaan met nepmails, surfen op internet, USB-sticks, etcetera en vraag hier regelmatig (en aantoonbaar) aandacht voor. Zorg dat er één aanspreek- en meldpunt in de organisatie is voor ICT- én privacyproblemen.
  3. Check en update zonodig uw bewerkersovereenkomsten en eis dat én controleer of ook uw bewerkers een strikt patch- en updatebeleid hanteren. U heeft waarschijnlijk meer ‘bewerkers’ dan u denkt. Bijvoorbeeld een uitbestede salarisadministratie en iedere SAAS oplossing die u gebruikt leidt tot een relatie verantwoordelijke/bewerker in de zin van de Wbp. Als ‘verantwoordelijke’ onder de Wbp en straks de AVG bent u (mede)verantwoordelijk voor de beveiliging van persoonsgegevens door uw ‘bewerkers’. In een bewerkersovereenkomst moet u (onder meer) vastleggen aan welke eisen de beveiliging door de bewerker moet voldoen, een controlerecht opnemen en een procedure voor het melden en handelen bij datalekken afspreken.

Wij raden u aan bovenstaande maatregelen op korte termijn te nemen. Het team Privacy van PlasBossinade kan u uiteraard hierbij ondersteunen.

Meer nieuws

Start chatgesprek

Medewerkers zijn nu beschikbaar

Onze medewerkers zijn nu online om uw zakelijke vragen te beantwoorden. Vul de naam van uw organisatie in en klik op "Start chat" om een chatgesprek te starten.

Sorry, de chat is momenteel niet beschikbaar