De rol van back-ups binnen organisaties is fundamenteel veranderd met de opkomst van ransomware. Hoe fundamenteel deze verandering is en wat je ermee moet als organisatie, bespreken we tijdens een rondetafelgesprek met vier experts op dit gebied.
Gesprekken rondom het maken van back-ups behoorden lange tijd zeker niet tot de spannendste die binnen organisaties gevoerd werden. Back-ups werden vaak gezien als een noodzakelijk kwaad, voor het geval het datacenter van een organisatie in de brand vliegt, of er een vliegtuig op neerstort. Met andere woorden, organisaties maakten back-ups om een probleem op te kunnen lossen dat vooral theoretisch was. Want hoe vaak vliegt een datacenter in de brand en is de brand zo erg dat een organisatie alle data kwijt is? En hoe vaak stort er een vliegtuig neer op een datacenter?
Met de komst van ransomware veranderde de status van back-ups echter behoorlijk. Volgens data die we recent hebben ingezien vindt er momenteel iedere 11 seconden een ransomwareaanval plaats. De kans dat jouw organisatie hier mee te maken gaat krijgen, is dus groot. In ieder geval een stuk groter dan de eerder geschetste scenario’s. Daarmee is de kans dat een organisatie zijn data verliest door een dergelijke aanval ook vele malen groter. En dat betekent weer dat de rol van de back-up en het terugzetten ervan veel groter wordt. Die back-up kan er immers voor zorgen dat je heel snel weer in de lucht kunt zijn als je data versleuteld wordt.
Conceptueel lijkt bovenstaande ons geen enorm ingewikkelde constatering. De vraag is echter in welke mate er ook daadwerkelijk iets mee gedaan wordt binnen organisaties. En kun je dat zomaar van de ene op de andere dag aanpakken. Op deze en andere vragen gaan we in tijdens een rondetafelgesprek met Dyon de Bruijne van Commvault, Hans ten Hove van Datto, Dick Vonk van Dell Technologies en Jan Ursi van Rubrik.
Het gaat niet meer over back-ups
Het klinkt wellicht een beetje gek bij een rondetafel over back-up en recovery, maar eigenlijk gaat het helemaal niet meer om back-ups, als we de deelnemers zo eens beluisteren. Ten Hove is hier duidelijk over: “Als je het hebt over back-ups, dan heb je het over een groter geheel, cyberweerbaarheid.” Daar zijn back-ups dus wel onderdeel van, maar het gaat dus om het grotere plaatje. Dat is het beschikbaar houden van infrastructuur.
Ursi ziet dat twee werelden elkaar steeds meer gaan ontmoeten, die van ITOps en SecOps. Met andere woorden, cybersecurity is een steeds belangrijker onderdeel van back-ups. Ook hij heeft het over het grotere plaatje en benoemt drie deelgebieden die een rol spelen in de wereld van cyberweerbaarheid tegenwoordig: “veerkracht op het moment dat je getroffen wordt, inzicht in wat er zoal getroffen is of kan worden en herstel van een aanval.”
Vonk, die zich vooral bezighoudt met overheidsklanten, ziet dat veel van die organisaties op zoek zijn naar weerbaarheid tegen cybercrime en constateert een groot verschil met een nog maar enkele jaren geleden. “Back-ups geloven ze wel, het gaat eigenlijk vrijwel niet meer over branden en stroomuitvallen”, geeft hij aan. Hij ziet back-ups dan vooral als een haakje tegenwoordig, het gaat uiteindelijk vooral over ransomware.
De Bruijne nuanceert deze uitspraak vanuit zijn perspectief door te zeggen dat het veel uitmaakt met welke organisaties je praat. Hij constateert dat het heel belangrijk is om het onderscheid te maken tussen cyber recovery en data recovery. Veel bedrijven die hij tegenkomt werken nog met het verouderde grandfather, father, son-principe. Daar heb je in het geval van een recovery van een cyberaanval niet zoveel aan. “Wat is de waarde van een database die volgens dit principe is opgebouwd?”, stelt hij retorisch. “Die is te oud om nog echt nuttig te kunnen zijn bij cyber recovery.”
Het is ook geen technische discussie meer
De verschuiving van back-ups naar cyberweerbaarheid heeft niet alleen conceptuele gevolgen. Het zorgt er ook voor dat het thema intern anders benaderd moet worden. Het gaat dan vooral om binnen welk gremium het relevant moet zijn en blijven en besproken moet worden.
Voorheen waren back-ups toch vooral een IT-onderwerp, dat dan ook bij de IT-afdeling lag. Nu back-ups onderdeel zijn geworden van cyberweerbaarheid, wordt het meer en meer een managementdiscussie, constateren Ten Hove en Ursi. Dit is uiteraard wel afhankelijk van het formaat organisatie, voegt Ten Hove hieraan toe. Er zijn genoeg organisaties zonder een board of managementlaag die zich met dit soort vraagstukken bezighoudt of kan bezighouden. Zo is het MKB voor cyberweerbaarheid primair afhankelijk van MSP’s. En daar valt nog veel te winnen, geeft Ten Hove aan. “De cyberweerbaarheid in het MKB is extreem laag”, volgens hem. MSP’s moeten dus echt stappen gaan maken om dit aan te pakken.
Inzicht in data en processen
Als het dan in eerste instantie geen technische discussie meer is, wat moeten organisaties dan wel op board- of managementniveau bespreken? Volgens Ursi draait het tegenwoordig vooral over inzicht in de veiligheid van je data. Met andere woorden, je analyseert continu de data, om te zien of deze nog gezond is. Hier sluit De Bruijne zich bij aan, maar hij ziet daar toch ook een grote uitdaging. “Veel bedrijven verliezen het overzicht waar hun data staat”, geeft hij aan. Dit komt mede doordat organisaties de sleutels voor hun data aan verschillende partijen geven, waardoor overzicht houden een behoorlijke klus kan zijn.
Een dergelijk overzicht is absoluut cruciaal om je cyberweerbaarheid goed op orde te hebben vanuit het perspectief van je data. Dat impliceert volgens Ten Hove echter ook dat organisaties hun processen goed in kaart hebben. En daar schort het toch ook best wel vaak aan. Dat is zeker in wat grotere organisaties geen sinecure overigens, maar wel een voorwaarde voordat een organisatie gaat kijken naar de technische infrastructuur om cyberweerbaarder te worden.
Naast kennis van de processen is er daarnaast ook sprake van een stukje bewustwording rondom die processen. Ursi weet te vertellen dat 70 procent van de gebruikers van Microsoft 365 niet weet dat ze zelf verantwoordelijk zijn voor het terughalen van hun data M365-data in het geval van een ransomware-aanval. Als het besef bij een dergelijke primaire applicatie al zo beperkt is, dan vrezen we voor het inzicht in andere processen.
TIP: We hebben naast dit geschreven verslag ook een videoverslag van enkele minuten gemaakt van deze rondetafel. Dat kun je hieronder bekijken.
Hoe begin je eraan?
De theorie is inmiddels wel duidelijk. Begin bij het in kaart brengen van de processen en bespreek het thema cyberweerbaarheid op het niveau van de board of het management. Daarna kun je de infrastructuur zo inrichten dat je daadwerkelijk stappen zet op het gebied van cyberweerbaarheid. Maar hoe ga je hierbij te werk? De vraag stellen is eenvoudig, maar het antwoord is dat helaas niet, zo horen we van de deelnemers.
Vonk heeft op dit punt een interessante anekdote uit het verleden. Deze illustreert hoe makkelijk je zaken over het hoofd kunt zien. In een vorige rol hielp hij organisaties met business continuity consultancy en audits. Tijdens een pauze in de kantine binnenin het datacenter van een grote bank, vroeg iemand op een dag wat de server deed die al sinds jaar en dag onder een bureau stond te draaien. Dat bleek een server te zijn die lang geleden tijdelijk was neergezet, maar nog wel dagelijks enorme hoeveelheden interne boekingen verwerkte. Iedereen had hem jaren over het hoofd gezien. Zeker als een dergelijke server niet goed bijgehouden wordt op het gebied van patching en updates, is dat een heel groot risico voor je cyberweerbaarheid. Sowieso is het niet goed dat iets jarenlang ‘onder de radar’ in je organisatie kan staan natuurlijk, maar dat terzijde.
Naast inzicht in wat je hebt op het gebied van processen en dus ook infrastructuur, moet je voor je begint ook een goede inschatting kunnen maken van waar je vooral in moet investeren. “Uiteindelijk gaat het om disaster recovery en dan vooral de kosten en de schade die je kunt lijden”, stelt De Bruijne. “Als iets gelocked wordt, wat is dan de impact daarvan op mensen en processen?”, vervolgt hij. Hij heeft overigens nog wel een goede tip voor organisaties die een dergelijke sessie op willen zetten: “Zorg dat je per afdeling maar een persoon afvaardigt naar een dergelijk overleg.” Anders wordt het al snel een kippenhok en kom je als organisatie niet echt verder.
Om tot een inschatting van de impact van een aanval op de processen, mensen en kosten, kun je kijken of je een aanval kunt simuleren, geeft Ursi aan. Op die manier zie je hoeveel systemen er aangetast zijn, welke systemen cruciaal zijn om goed te beschermen en kun je zien hoe snel en hoeveel data geëxfiltreerd wordt. Bij een dergelijke simulatie is het ook heel belangrijk om rekening te houden met zaken zoals de GDPR/AVG, geeft Ten Hove aan. Het is nogal een verschil voor organisaties of hackers dreigen met het lekken van bedrijfsdata of van persoonlijke data.
Neem het voortouw richting dienstverleners
In een gesprek over het beveiligen van data kom je onherroepelijk een keer uit bij het thema aansprakelijkheid. Wie is er uiteindelijk verantwoordelijk voor de data? Zoals we bij het voorbeeld over Microsoft 365 al gezien hebben, ligt die verantwoordelijkheid als het erop aankomt bij de eindgebruiker, ondernemer of organisatie. Het is dus belangrijk om de verantwoordelijkheden van de verschillende partijen goed in kaart te hebben. “Waar begint en eindigt de verantwoordelijkheid van de een en waar die van de ander”, vat De Bruijne het samen.
De vraag die De Bruijne hierboven stelt moet je als organisatie proactief aan je dienstverlener of dienstverleners stellen, geeft Ten Hove aan. Je moet dit zoals we hierboven hebben besproken wel vanuit het businessperspectief doen. Het is niet de bedoeling om met een dergelijke vraag te verzanden in een discussie over specifieke functies. Je hebt het immers niet meer over datamanagement, maar over data security, voegt Ursi toe. Dan zijn specifieke functies en specificaties secundair. Je doet er overigens wel goed aan om de juiste mensen binnen de verschillende partijen aan elkaar te koppelen. Dan kun je ook het goede gesprek voeren.
Op dit punt ziet Ten Hove trouwens wel een uitdaging in de wereld van de MSP’s. Naast enkele grote spelers zijn er namelijk ook nog een heleboel kleinere spelers in die markt. Daar werken vaak goedwillende techneuten die een mooie back-up oplossing kunnen maken. Deze kunnen die oplossing echter vaak niet als dienst leveren. Ook het voeren van de business gesprekken gaat ze doorgaans niet goed af.
Vind niet zelf het wiel opnieuw uit
Als organisatie heb je vrijwel altijd de keuze tussen kopen of bouwen (of buy or build, zoals het vaak wordt aangeduid) als je een nieuwe oplossing ergens voor wilt hebben. Hier zien we een mooie parallel tussen de wereld van de IT-dienstverleners richting onder andere het MKB en de overheid. Zowel Ten Hove als Vonk constateren namelijk men in die twee sectoren vaak kiest voor het zelf bouwen van dingen. Dit terwijl er voor veel doeleinden toch echt kant-en-klare oplossingen te koop zijn die zich al ruimschoots hebben bewezen. Deze beschermen al miljoenen klanten wereldwijd.
Vanuit de MSP’s is dat richting het MKB eigenlijk helemaal niet handig, zeker niet als het kleinere MSP’s betreft, om redenen die we hierboven al genoemd hebben. Binnen de overheid is de keuze om veel zelf te bouwen voor een belangrijk deel ingegeven door de wet- en regelgeving waar zij zich aan moet houden. “De overheid is als de dood om data bij derde partijen neer te zetten”, geeft Vonk aan.
Als gevolg van deze angst blijft men binnen de overheid maar het wiel opnieuw uitvinden en dus ook vooral in de technische discussies hangen die je eigenlijk niet primair moet voeren. De mensen op de werkvloer willen daar vaak niet aan, dus dan gaat het management het maar een beetje zelf regelen. Zowel management als de werkvloer heeft ook niet echt de kennis op dit moment om het anders te doen, dat helpt ook niet. Zo kan het gebeuren dat men in paniek teruggaat naar tape, zonder dat daarvoor een goede reden is.
Er is dus bij in ieder geval de overheid en bij MSP’s meer bewustwording nodig. Dat is een een belangrijke stap om de cyberweerbaarheid op het gewenste peil te krijgen. Deze bewustwording begint al bij het stellen van de juiste, kritische vragen aan leveranciers over de producten en diensten de ze leveren. Op dit moment ziet De Bruijne daar in RFP’s vanuit de overheid nog maar weinig van. Ten Hove ziet in zijn wereld van de MSP’s wel bemoedigende signalen overigens. “Er komen steeds meer MSP’s naar ons toe met vragen vanuit klanten over de diensten die wij leveren”, stelt hij. Dat is een goede ontwikkeling. Het is ook een teken dat steeds meer klanten in de driver’s seat gaan zitten en de goede vragen stellen.
Tot slot: het recoveryplan (en het testen ervan)
Een laatste onderdeel richting een betere cyberweerbaarheid is wellicht niet het spannendste, maar wel erg belangrijk. Een organisatie heeft een recoveryplan nodig, en dan bij voorkeur eentje dat goed werkt uiteraard. Bij het opstellen daarvan maak je vanzelfsprekend een volgorde van wat er achtereenvolgens moet gebeuren om de boel weer op gang te brengen. “Je hebt nu eenmaal een keten van afhankelijkheid van elkaar”, vat Ursi het samen. Zonder DNS en DHCP kun je niets, geeft hij als voorbeeld. Die moeten dus hoog op de lijst met prioriteiten staan als je een omgeving weer de lucht in wilt krijgen.
Daarnaast heb je voor je begint aan het opstellen van je recoveryplan als het goed is al een business impact analyse gedaan, voegt Ten Hove hieraan toe. Daarin moet je antwoorden formuleren op vragen zoals wat downtime kost en hoeveel dataverlies een organisatie mag lijden. De Bruijne geeft op dit punt aan dat een SLA ook een uitstekend startpunt is voor een recoveryplan. Vonk benadrukt het belang van de runbooks, die heel gedetailleerd aangeven wat er moet gebeuren en in welke volgorde. Dit is in aanvulling op het algemene framework van de SLA en/of van de business impact analyse. Dat onderdeel blijft min of meer hetzelfde. Je hoeft niet continu een boek te (her-)schrijven als je het plan voorziet van een update. In het algemeen is het belangrijkste bij het opstellen van zo’n plan dat je uitgaat van het worstcasescenario, stelt Vonk.
Je moet een recoveryplan tot slot ook niet eenmalig in elkaar draaien en het daarna in een la gooien. Dat wil zeggen, je moet het behandelen als een levend document. Om het leven erin te houden, kun je het bijwerken van het plan koppelen aan het testen ervan. Dit hoeft overigens helemaal niet te gebeuren door de stekker er helemaal uit te trekken. “Als je een brandoefening doet, steek je ook je gebouw niet in de fik”, stelt Ten Hove. Je kunt ook prima simuleren, zoals we eerder in dit artikel ook al eens hebben geconstateerd.
Conclusie
We hebben tijdens deze rondetafel een behoorlijk diepgravend gesprek gevoerd over hoe je als organisatie om zou moeten gaan met back-ups. Een van de conclusies is dat we back-ups niet meer als een technische exercitie moeten zien. Deze moeten onderdeel zijn van cyberweerbaarheid. Dat onderwerp moet in de hogere gremia van organisaties besproken worden. Dit betekent eveneens dat je niet moet blijven steken in technische discussies. Alles begint met een analyse van de impact die een aanval op de organisatie heeft. “Je moet heel goed nadenken over wat je wilt, voordat je een technische stap kunt zetten”, vat Ten Hove het samen aan het einde van het gesprek. Daarvoor is het noodzakelijk dat de eindklant mondig is en doorvraagt bij de leveranciers, maar zullen ook organisaties en MSP’s zelf stappen moeten zetten.
3 uur geleden
