Hoe fijn zou dat zijn? Als ondernemer de deur achter je dicht trekken en genieten van volledige rust tijdens je vakantie? Vanwege het drukke bestaan komen deze vakanties vaak weinig voor. Doorwerken tot het laatste moment, halsoverkop vertrekken en de familie plechtig beloven dat er deze dagen niet gewerkt wordt.
Echter, hackers houdt je niet buiten. Het snel detecteren van onregelmatigheden is daarom key.
Marcel van Oirschot, Tesorion
Tesorion sprak met een dergelijke ondernemer een aantal weken geleden. Op vrijdag nog even de laatste zaken afmaken, om vervolgens een paar dagen te skiën met familie. Het was maandagochtend vroeg, wanneer het eerste telefoontje klinkt. Daar bleef het niet bij, meer telefoontjes vanuit kantoor volgde. Zou er dan toch echt wat aan de hand zijn? Tot hij ineens een appje kreeg dat ze de 3D tekenprogramma’s niet meer opgestart kregen. Al bellend met de achterblijvers op kantoor bleek dat er meer zaken niet in orde waren. Computers starten niet meer op, data was niet meer benaderbaar. Gezien de deadlines die gehaald moesten worden ontstond er lichtelijke paniek. Wat was er aan de hand en waarom juist net nu? Dit alles terwijl de ondernemer net een paar dagen weg was.
Vanuit de vakantiebestemming zocht hij contact met de IT partner. Een bedrijf dat op flexibele basis voor veel MKB bedrijven in de regio de IT configuraties opzet en beheerd. Het betreffende bedrijf had geen idee wat eraan de hand was en zou op onderzoek uitgaan. Een kwestie van wachten en rustig gaan skiën, alles was immers in goede handen. Toch?
Een belangrijke les is dat het totaal niet relevant is hoe groot of klein je bedrijf is, de impact van ransomware blijft enorm.
Na een aantal uur werd duidelijk dat de storing niet zomaar opgelost kon worden. De IT partner kreeg geen remote contact met de IT omgeving en op kantoor lag alles plat. Wat een leuke eerste vakantiedag had moeten zijn, veranderde in een rampscenario: de hele IT omgeving bleek geïnfecteerd met ransomware.
Daar zat hij dan in de Alpen, de kantooromgeving plat en een aantal naderende deadlines in het zicht. Natuurlijk waren er back-ups die teruggezet konden worden, jammer van die dag verlies maar dat was een kwestie van op de koop toenemen. Waar zijn de back-ups eigenlijk, wie heeft ze, van wanneer zijn ze? Allemaal vragen die opeens ontzettend relevant werden in het licht van de recente gebeurtenis. Hoe was de besmetting eigenlijk tot stand gekomen? Iedereen wist immers dat er niet op rare mailtjes geklikt moest worden. Naast een gespannen sfeer op vakantie liepen de emoties op kantoor ook verder op.
Met het nodige kunst- en vliegwerk werd uiteindelijk een back-up teruggezet. Helaas bleek de laatst bruikbare versie hiervan circa 10 werkdagen oud. Programma’s werden opnieuw geïnstalleerd en er werd druk gewerkt om de opgelopen achterstand weg te werken. Het spreekt voor zich dat de vakantie van de betreffende ondernemer in het water viel.
Eenmaal terug in Nederland stonden nog een aantal vragen open. Hoe was de besmetting opgelopen? Wat was er mis met de back-ups? Was de IT partner wel capabel?
Een analyse leverde een aantal interessante zaken op:
· De IT partner beheerde de betreffende omgevingen al jaren lang via een eenvoudig RDP protocol.
· Het maken van de back-ups gebeurde dagelijks, echter niemand bleek ze ooit te checken.
· Een standaard virusscanner was geïnstalleerd, de update functionaliteit stond echter al een hele tijd uitgeschakeld.
Een belangrijke les is dat het totaal niet relevant is hoe groot of klein je bedrijf is, de impact van ransomware blijft enorm. IT zaken uitbesteden is prima maar het is wel belangrijk dat je weet wat er gebeurd, oftewel heb je het echt goed geregeld?
De betreffende ondernemer probeerde te leunen op preventieve maatregelen, wat prima is. Echter, hackers houdt je niet buiten. Het snel detecteren van onregelmatigheden is daarom key.
