Zwakke schakel

Back-up blijft achilleshiel

Gebrek aan restore-testing, maar ook gijzeling van back-ups spelen slachtoffers parten.

Door Jasper Bakker, beeld: Shutterstock

Meer dan de helft van de Nederlandse bedrijven en organisaties waar ransomware in 2023 heeft toegeslagen had géén back-up. Doorvragen levert AG Connect inzichten op over dit opvallende gebrek aan databeveiliging en bescherming van de bedrijfsvoering.

Het gebrek aan back-ups is naar voren gekomen als één van de opvallende constateringen in het rapport Jaarbeeld Ransomware 2023 van het Digital Trust Center (DTC). Het aandeel ransomware­slachtoffers dat níet beschikte over een back-up, ligt op 58%, aldus de security-organisatie voor het Nederlandse bedrijfsleven.
Aanvullende vragen van AG Connect hebben antwoorden opgeleverd vanuit het ministerie van Economische Zaken en Klimaat (EZK), waar het DTC onder valt, en het ministerie van Justitie en Veiligheid (JenV). Laatstgenoemde is aangehaald via de betrokkenheid van cyberbeveiligingsorgaan NCSC (Nationaal Cyber Security Centrum), wat onder JenV valt. Het NCSC heeft namelijk onderzoek uitgevoerd in het kader van antiransomware-initiatief Project Melissa.
Het door DTC genoemde ontbreken van back-ups bij ransomwareslachtoffers betreft níet het volledig niet uitvoeren van back-ups. Maar wél het niet goed op orde hebben daarvan, waardoor er effectief geen back-ups zijn. "Het gaat om het hebben van een bruikbare back-up voor herstel na een ransomware-aanval. Dat wil dus zeggen dat het gaat om back-ups van data/systemen die terug kunnen worden gezet voor een zo snel mogelijk herstel", laat een woordvoerder van JenV weten in antwoord op vragen van AG Connect.

Het uitbesteden van IT betekent niet automatisch dat je digitale veiligheid geregeld is.

Te laat erachter komen

"Wat in sommige gevallen gebeurt, is dat er back-ups worden gemaakt maar dat deze niet worden getest; of hiermee volledig herstel mogelijk is." Daardoor komen bedrijven en organisatie er pas tijdens een security-incident achter dat een back-up niet werkt, zoals dus infectie door gijzelingssoftware. "Ook komt het voor dat er back-ups gemaakt worden maar dat bij een ransomware-aanval ook de back-ups onklaar worden gemaakt", vult de Justitie-woordvoerder nog aan.
Naast het effectief hebben van bruikbare back-ups - zowel van data als ook van systemen waarmee organisatiedata gebruikt worden voor bedrijfsdoeleinden - speelt er mogelijk nog een factor mee. Veel bedrijven en organisaties besteden hun IT - al dan niet deels - uit en sommige hebben daarbij de aanname dat zij daarmee ontzorgd zijn. Ook van het doen en controleren van back-ups.

Uitbesteed is niet ontzorgd

Het DTC gaat mee in de vraagstelling van AG Connect of uitbesteding een rol kan spelen bij het opvallende gebrek aan (bruikbare) back-ups. "Wat betreft de vraag over hoe het kan dat opvallend veel ransomwareslachtoffers in 2023 geen back-up hadden, en of dit mogelijk zou kunnen komen doordat de bedrijven er (ten onrechte) op vertrouwen dat hun IT-leverancier daar zorg voor draagt, is onze inschatting dat dit in theorie mogelijk is."
"Uit het vorig jaar gepubliceerde benchmarkonderzoek is naar voren gekomen dat zzp'ers en mkb'ers zonder IT-dienstverlener in respectievelijk 69% en 80% van de gevallen regelmatig een back-up van de belangrijkste bedrijfsgegevens zegt te maken. Dit ten opzichte van 51% en 76% van de zzp'ers en mkb'ers met IT-dienst­verlener", antwoordt het PR-bureau dat namens DTC het back-upprobleem onder de aandacht heeft gebracht.

Sommige bedrijven en organisaties komen er pas tijdens een security-incident achter dat een back-up niet werkt.

Minder vaak of weet niet

"Deze laatste groep geeft dus minder vaak aan een back-up te maken of niet zeker te weten of er back-ups gemaakt worden." Deze lagere frequentie en/of de onwetendheid dragen dus in negatieve zin bij aan de beveiliging. Overigens is uitbesteding van IT zeker niet als negatief te beschouwen. "Deze 'trend' gaat overigens niet op voor alle getoetste maatregelen, op een gedeelte scoort de groep mét IT-dienstverlener juist beter dan de groep zonder."
Toch laat het DTC weten aan AG Connect het belangrijk te vinden om uit te dragen dat het uitbesteden van IT niet automatisch betekent dat je digitale veiligheid geregeld is. "Om duidelijk te krijgen waar de verantwoordelijkheden liggen, adviseert het DTC ondernemers om in gesprek te gaan en blijven met hun IT-dienstverlener en hierbij extra aandacht te besteden aan het maken en testen van back-ups. Bekijk ook deze leidraad voor een effectief gesprek met je IT-dienstverlener."

Kleine bedrijven en grotere bedrijven

­Tot slot maakt het DTC nog wel een kanttekening bij de hierboven gemaakte vergelijking. Bij het genoemde benchmarkonderzoek gaat het om een trendonderzoek naar de verschillende cybersecurity­maatregelen die kleine bedrijven (1 tot 25 medewerkers) nemen. Bij het jaarbeeld ransomware gaat het daarentegen om grotere bedrijven (meer dan 100 medewerkers) die in 2023 daadwerkelijk ransomware-slachtoffer waren. "Ook is in dit onderzoek niet gevraagd naar enige vorm van slachtofferschap. Er kunnen dus geen vergelijkingen getrokken worden tussen slachtoffers en de door hun wel of niet genomen maatregelen."