Een ransomwarecampagne die gericht was op 23 Amerikaanse steden in heel Texas, heeft ernstige zorgen geuit over de kwetsbaarheid van lokale overheden en openbare diensten voor cyberaanvallen. Deze gebeurtenissen komen niet lang na soortgelijke aanvallen op overheids- en bedrijfsorganisaties in Indiana, Florida en elders. Ze weerspiegelen een algemene verschuiving in ransomware-tactieken van "spray and pray"-aanvallen op grote aantallen individuele consumenten, naar "jacht op groot wild, " die zich richt op organisaties, meestal via mensen in machtsposities.

Een recent rapport van cyberbeveiligingsbedrijf Malwarebytes vond een toename van 363% in ransomware-detecties tegen bedrijven en organisaties (in tegenstelling tot individuen) van 2018 tot 2019. Simpel gezegd, cybercriminelen zien een kans om veel meer geld af te persen van organisaties dan van individuen. Hoewel de meeste ransomware-aanvallen in de VS plaatsvonden, lokale overheden over de hele wereld zijn even kwetsbaar.

Ransomware verspreidt zich meestal via phishing-e-mails of links naar geïnfecteerde websites, vertrouwen op menselijke fouten om toegang te krijgen tot systemen. Zoals de naam al doet vermoeden, ransomware is ontworpen om de toegang tot gegevens te blokkeren, systemen of diensten totdat er losgeld is betaald. Op technisch vlak is steden zijn over het algemeen vrij gemakkelijke doelwitten omdat ze vaak op maat gemaakte besturingssystemen hebben, met onderdelen die oud en verouderd zijn, evenals ineffectieve back-upmaatregelen.

Steden hebben ook vaak geen systeembreed beveiligingsbeleid, dus als cybercriminelen toegang krijgen via één systeem, ze kunnen dan toegang krijgen tot anderen en grote schade aanrichten door essentiële gegevens te bevriezen en de levering van diensten te voorkomen. Maar zelfs als organisaties hun technische beveiliging hebben verbeterd, mijn onderzoek met mijn collega Lena Connolly heeft uitgewezen dat maar weinigen evenveel nadruk leggen op het trainen van werknemers om aanvallen te herkennen en te weerstaan.

Doel verworven

Medewerkers in veel kleine en middelgrote organisaties, zoals lokale overheden, erkennen vaak niet de echte commerciële waarde van hun organisatie voor criminelen, en denken vaak dat het onwaarschijnlijk is dat ze het doelwit zijn. Als resultaat, ze kunnen ook slechte gewoonten ontwikkelen, zoals het gebruik van werksystemen om persoonlijke redenen, wat de kwetsbaarheid kan vergroten.

Overtreders zullen hun huiswerk doen voordat ze een aanval lanceren, om de meest ernstige verstoring te creëren die ze mogelijk kunnen maken. Ten slotte, hoe groter de druk om het losgeld te betalen, hoe hoger ze het tarief kunnen instellen.

Aanvallers identificeren belangrijke personen om zich op te richten en kwetsbaarheden op te sporen, zoals computers die buiten werktijd aanstaan, of niet zijn bijgewerkt. Als ze eenmaal hebben uitgezocht op wie ze zich moeten richten, cybercriminelen gebruiken 'social engineering'-technieken, zoals phishing, die slachtoffers psychologisch manipuleren om een ​​e-mailbijlage te openen of op een link te klikken, waarmee het ransomware-programma in het besturingssysteem van de organisatie kan komen.

Betalen of niet betalen?

Het al dan niet betalen van het losgeld is geen eenvoudige beslissing voor stadsautoriteiten met vitale openbare diensten aan de lijn. De meeste politiediensten instrueren slachtoffers niet te betalen, maar als burgemeester Stephen Witt van Lake City, Florida, zei het nadat zijn wijk het doelwit was:"Met je hart, je wilt deze jongens echt niet betalen. Maar, dollars en centen, de burgers vertegenwoordigen, dat was het juiste om te doen."

Een ander probleem is dat ransomware niet altijd wordt ingezet om geld af te persen, dus het betalen van het losgeld garandeert niet dat de gegevens worden hersteld. Aanvallers kunnen verschillende motieven hebben, vaardigheden en middelen - het uitwerken van hun motief (vaak met heel weinig informatie) is daarom cruciaal.

In plaats van simpelweg geld te verdienen met ransomware, sommige cybercriminelen zouden kunnen proberen marktconcurrenten uit te schakelen die concurrerende goederen of diensten leveren. Of, ze kunnen de aanvallen gebruiken voor politiek gewin, om het vertrouwen van het publiek in het vermogen van een lokale overheid om essentiële diensten te leveren te verminderen. In dergelijke gevallen, het is onwaarschijnlijk dat de gegevens ooit worden hersteld, zelfs als het losgeld wordt betaald.

Op zoek naar dekking

Veel steden zijn verzekerd tegen aanslagen, en verzekeraars betalen vaak het losgeld om gestolen gegevens op te halen – soms met behulp van externe onderhandelaars, tegen landelijk advies in. Ironisch, de wetenschap dat cybercriminelen waarschijnlijk betaald zullen worden, rechtvaardigt de tijd die ze besteden aan het onderzoeken van de zwakke punten van hun doelwit, en laat de deur open voor herhaalde aanvallen. Dit was een van de redenen waarom cybercriminelen van tactiek veranderden en zich in de eerste plaats richtten op organisaties.

Dit stelt het stadsbestuur voor een moeilijke keuze, tussen betalen om essentiële gegevens en diensten te herstellen (en cybercriminelen aan te moedigen) of toe te geven dat hun systemen zijn gecompromitteerd en geconfronteerd worden met sociale en politieke weerslag. Toch, er zijn enkele maatregelen die stadsautoriteiten kunnen nemen om zichzelf te beschermen, en hun burgers, van ransomware.

Vandaag, autoriteiten moeten aannemen dat het een kwestie is van wanneer - niet of - een aanval zal plaatsvinden. Ze moeten back-upsystemen installeren voor beschermde gegevens die de capaciteit hebben om geïnfecteerde besturingssystemen en databases indien nodig te vervangen. Bijvoorbeeld, in het Verenigd Koninkrijk, uit onderzoek bleek dat 27% van de lokale overheidsorganisaties het doelwit waren van ransomware in 2017. Toch had 70% van hun 430 respondenten back-upsystemen, ter voorbereiding van de Algemene Verordening Gegevensbescherming (AVG) van de EU, en konden daardoor veel sneller herstellen van een ransomware-aanval dan hun tegenhangers in de VS.

Lokale autoriteiten moeten hun datasystemen waar mogelijk scheiden en passende beveiligingsniveaus installeren. Ze moeten werknemers ook trainen in de aard van de dreiging en de impact van hun eigen acties bij het werken binnen de systemen van de organisatie. Ze moeten ook op de hoogte zijn van internationale regelingen om ransomware te voorkomen en te beperken (zoals nomoreransom.org), die advies geven en de sleutels van sommige ransomware online publiceren.

Overheidsorganisaties moeten snel kunnen denken en zich kunnen aanpassen aan deze nieuwe veiligheidsbedreigingen, vooral omdat cybercriminelen altijd met nieuwe technieken komen. Lokale overheden moeten voorbereid zijn om tegelijkertijd cyberaanvallen te voorkomen, de gevolgen ervan te beperken wanneer ze zich voordoen en cybercriminelen voor de rechter te brengen.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.