Als uw netwerk is geïnfecteerd met ransomware, moet u onmiddellijk handelen om uw systeem te beveiligen. In plaats van het losgeld te betalen, wat niet garandeert dat uw gegevens worden hersteld, moet u de aanval zo snel mogelijk melden bij de FBI en de lokale politie. Gebruik gegevensherstelspecialisten om weer toegang te krijgen tot uw gegevens. Als het is gecompromitteerd, moet u mogelijk ook getroffen klanten, klanten of medewerkers op de hoogte stellen. Analyseer in de nasleep de aanval, zodat u uw systeem beter kunt beveiligen om de kans te verkleinen dat u opnieuw het slachtoffer wordt van een ransomware-aanval.
Stappen
Methode 1 van 3: Werken met wetshandhaving
Stap 1. Neem contact op met uw plaatselijke FBI-veldkantoor
Federale rechtshandhaving houdt zich bezig met internetcriminaliteit, waaronder ransomware. De agenten van het dichtstbijzijnde veldkantoor kunnen u helpen de schade aan uw bedrijf tot een minimum te beperken en kunnen samenwerken met de staats- en lokale wetshandhavers om te proberen de dader op te sporen.
De FBI heeft 56 veldkantoren in grote stedelijke gebieden in de VS. Om de dichtstbijzijnde te vinden, gaat u naar https://www.fbi.gov/contact-us/field-offices en kiest u uw staat in het vervolgkeuzemenu met het label 'Categorieën'
Stap 2. Dien een rapport in bij de lokale politie om onmiddellijke repercussies aan te pakken
Als er een fysieke inbreuk op uw faciliteiten heeft plaatsgevonden, kan uw lokale politie-afdeling daar zeker bij helpen. Maar zelfs als uw huidige faciliteiten niet in gevaar zijn gebracht, kan de lokale politie nog steeds bewijs verzamelen en u advies geven over hoe u uw bedrijf kunt beschermen.
Sommige lokale politiemensen weten misschien niet hoe ze internetcriminaliteit moeten aanpakken, vooral in kleine steden en op het platteland. Hoewel ze misschien niet over de expertise en apparatuur beschikken om significante hulp te bieden, is het toch de moeite waard om aangifte te doen bij de lokale politie
Stap 3. Dien een klacht in bij het Internet Crime Complaint Center (IC3)
De FBI onderhoudt de IC3 op https://www.ic3.gov/. Op de website kunt u een klacht indienen die wordt doorgestuurd naar alle relevante wetshandhavingsinstanties. Neem de volgende informatie op in uw rapport:
- De datum van de ransomware-infectie
- Het type ransomware (vermeld op de losgeldpagina of door te kijken naar de bestandsextensie van het ransomware-encryptiebestand)
- Informatie over uw bedrijf, inclusief uw branche en de grootte van uw bedrijf
- Hoe de infectie is opgetreden
- Het bedrag van het losgeld dat de hackers hebben gevraagd
- Het Bitcoin- of andere cryptocurrency-portemonnee-adres van de hacker, indien opgenomen op de losgeldpagina
- Het totale bedrag aan losgeld dat je al hebt betaald (indien van toepassing)
- Algehele verliezen in verband met de ransomware-infectie, inclusief geschat omzetverlies
Tip:
Als u een klacht indient bij de IC3, moet u ook een Victim Impact Statement invullen. Dit is een apart formulier. Sommige informatie op dit formulier kan een herhaling zijn van informatie die u al in uw klacht heeft verstrekt.
Stap 4. Rapporteer aan HHS als de gegevens beschermde gezondheidsinformatie bevatten
Als u een bedrijf heeft in de gezondheidszorg dat valt onder de Health Information Portability and Accountability Act (HIPAA), vereist de federale wet dat u ransomware-incidenten meldt aan het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS). Op basis van uw beschrijving van de ransomware-infectie, zal HHS bepalen of u mensen moet informeren dat hun informatie is gecompromitteerd en wat uw melding moet bevatten.
De HHS zal ook uw netwerk- en computersystemen evalueren om ervoor te zorgen dat u de door HIPAA vereiste gegevensbeveiligingsprotocollen volgde. Als u dat niet was, kunt u worden onderworpen aan sancties wegens niet-naleving. Het zelf melden van de infectie en het herstellen van de schade kan echter de sancties voor uw bedrijf verminderen
Stap 5. Praat met alle betrokken medewerkers
Meestal maakte de werknemer die ransomware downloadt een onschuldige fout. Het is belangrijk om hun kant van het verhaal te horen terwijl de details over het incident nog vers in het geheugen zitten. Neem het gesprek op en maak aantekeningen voor wetshandhaving.
Interview ook de medewerkers die de ransomware hebben ontdekt. Ontdek wat er gebeurde toen ze erachter kwamen en met wie ze contact hebben opgenomen om over het probleem te vertellen. Neem het interview op voor wetshandhaving
Stap 6. Haal alle betrokken apparatuur offline
Het kan moeilijk zijn om ransomware te verwijderen en uw gegevens te herstellen. Als u uw apparatuur echter offline zet, kunt u de schade die de ransomware kan veroorzaken, verminderen en voorkomen dat gegevens worden gestolen.
- Schakel uw computers of andere apparatuur niet volledig uit totdat gegevensbeveiligingsfunctionarissen of wetshandhavers u vertellen dat u dat kunt. Dit kan mogelijk leiden tot verlies van gegevens of waardevol bewijsmateriaal.
- Zorg ervoor dat u geen bewijsmateriaal vernietigt dat zich op uw computers of netwerk zou kunnen bevinden, bijvoorbeeld door te proberen de ransomware- of versleutelingsbestanden te verwijderen.
Methode 2 van 3: Klanten of klanten op de hoogte stellen
Stap 1. Huur een juridisch adviseur in om uw verantwoordelijkheden te bepalen
In sommige omstandigheden kan een ransomware-aanval worden beschouwd als een datalek volgens de staats- of federale wetgeving. Een advocaat kan u helpen bepalen of u klanten of klanten van de inbreuk op de hoogte moet stellen en welke informatie die kennisgeving moet bevatten. Of een ransomware-aanval een datalek vormt, hangt over het algemeen af van 4 criteria:
- Type gegevens: gezondheids-, financiële en persoonlijke identiteitsgegevens leiden doorgaans tot meldingsvereisten
- De federale en staatswetten die van toepassing kunnen zijn op de gegevens die u hebt opgeslagen
- Hoe en waar de gegevens worden opgeslagen, inclusief of er een back-up van is gemaakt of is versleuteld
- Hoe de ransomware zelf functioneert, inclusief hoe het op het systeem is gekomen en of het de hackers toestaat om toegang te krijgen tot uw gegevens, deze te manipuleren of deze alleen maar te gijzelen
Stap 2. Raadpleeg de politie over de timing van uw meldingen
Het openbaar maken van de ransomware-infectie en het mogelijke datalek voordat de wetshandhavers hun eerste onderzoeken hebben afgerond, zou die onderzoeken kunnen belemmeren, vooral als het risico bestaat dat de hackers zouden weten dat er meldingen zijn verzonden. Bovendien kan wetshandhaving aanbevelen om de getroffen personen of bedrijven eerst op de hoogte te stellen, met een mogelijke openbare kennisgeving later.
- Het te vroeg vrijgeven van een openbare melding kan paniek veroorzaken, afhankelijk van de aard van uw bedrijf en het soort informatie dat u had.
- U wilt er ook voor zorgen dat u via uw meldingen geen informatie vrijgeeft die het wetshandhavingsonderzoek zou kunnen belemmeren.
Stap 3. Wijs een contactpersoon aan voor informatie over inbreuken
Eén persoon in uw bedrijf moet verantwoordelijk zijn voor het afhandelen van alle externe communicatie met betrekking tot de ransomware-infectie en mogelijke datalekken. Kies iemand op managementniveau die in staat is om openbare onderzoeken af te handelen en de reactie van wetshandhavingsinstanties te coördineren, evenals acties van regelgevende instanties.
- Afhankelijk van de grootte van uw bedrijf en het aantal personen of bedrijven dat mogelijk wordt getroffen, wilt u misschien een speciale website of gratis nummer opzetten dat mensen kunnen gebruiken om informatie te krijgen over de infectie en het mogelijke datalek.
- Als u geen contactgegevens heeft van alle mogelijk getroffen personen, moet u mogelijk een meer substantiële public relations-campagne lanceren om ervoor te zorgen dat iedereen die mogelijk getroffen wordt, tijdig op de hoogte wordt gesteld. Als u bijvoorbeeld een winkelier bent, heeft u mogelijk niet de contactgegevens van alle klanten die creditcards in uw winkel hebben gebruikt.
Stap 4. Neem contact op met de grote kredietbureaus als er een risico op identiteitsdiefstal bestaat
Als de betrokken gegevens namen en burgerservicenummers bevatten, bestaat het risico dat de identiteit van die mensen wordt gestolen. De grote kredietbureaus kunnen u meer informatie en advies geven over hoe u mensen op de hoogte kunt stellen van het risico. Doorgaans moeten getroffen personen fraudewaarschuwingen of kredietbevriezingen in hun bestanden plaatsen. Gebruik de volgende informatie voor de 3 grote kredietbureaus:
- Equifax: https://equifax.com/ of 1-800-685-1111
- Experian: https://experian.com/ of 1-888-397-3742
- TransUnion: https://transunion.com/ of 1-888-909-8872
Stap 5. Stuur een schriftelijke kennisgeving naar de betrokken personen en bedrijven
Stel een brief op met daarin een duidelijke beschrijving van de ransomware-infectie, de stappen die je hebt genomen om hun gegevens te beschermen en de gegevens die mogelijk zijn getroffen. Sluit af met advies over wat ze moeten doen om zichzelf te beschermen tegen identiteitsdiefstal of andere bijbehorende risico's.
De FTC heeft een modelbrief die u kunt gebruiken op
Tip:
Laat een advocaat uw bericht nakijken voordat u het verstuurt. Zij kunnen ervoor zorgen dat het voldoet aan alle toepasselijke wetten die van toepassing zijn op uw situatie.
Methode 3 van 3: Uw bedrijf beschermen
Stap 1. Huur een databeveiligingsexpert in om uw systeem te analyseren
Een expert op het gebied van gegevensbeveiliging kan bekijken hoe de ransomware uw systeem heeft aangetast en protocollen opstellen die uw gegevens in de toekomst tegen soortgelijke infecties beschermen. Ze kunnen ook werken om de ransomware uit te schakelen en uw gegevens op te halen.
U kunt experts vinden met een eenvoudige online zoekopdracht. Hoewel tijd van essentieel belang is, moet u niet alleen de voornaam aannemen die opduikt. Kijk naar de achtergrond en reputatie van elke beveiligingsexpert die u overweegt in dienst te nemen. Controleer hun referenties en, als ze certificeringen hebben, zoek die certificeringen op om er zeker van te zijn dat ze nog steeds actief zijn en een goede reputatie hebben
Stap 2. Beperk de machtigingen van netwerkgebruikers om software te downloaden of te installeren
Vaak vinden ransomware-infecties plaats wanneer een werknemer op een link in een e-mail klikt die eruitziet alsof deze afkomstig is van een betrouwbare bron. Als die medewerker alleen toegang heeft tot de delen van uw systeem die ze nodig hebben, is de kans kleiner dat de ransomware uw hele systeem aantast en uw gegevens in gevaar brengt.
Slechts 1 of 2 personen in uw bedrijf die getraind zijn in IT-personeel of netwerkbeheerders mogen toestemming hebben om nieuwe software te downloaden en te installeren. U kunt deze toestemming verwijderen uit alle andere gebruikersaccounts van werknemers
Tip:
Train uw medewerkers om niet op actieve links in e-mail te klikken, zelfs als ze afkomstig lijken te zijn van een collega. Bij twijfel moeten werknemers altijd contact opnemen met de vermeende afzender om te weten te komen of de e-mail van hen afkomstig is.
Stap 3. Maak dagelijkse of wekelijkse back-ups van de gegevens die u bewaart
Bewaar back-ups op een externe harde schijf die niet is verbonden met internet. Als u in de toekomst het slachtoffer wordt van een ransomware-aanval, kunt u een back-up van uw gegevens uploaden en gewoon doorgaan met werken.
Hoewel u nog steeds aangifte moet doen bij de politie en klanten of klanten op de hoogte moet stellen als er gegevens zijn beschadigd of gestolen, zal de aanval uw bedrijf in de tussentijd in ieder geval niet verstoren
Stap 4. Houd uw software en besturingssystemen up-to-date
Updates bevatten vaak beveiligingspatches die de kwetsbaarheden verbeteren die hackers kunnen misbruiken. Als je de laatste update niet hebt gedownload, kunnen hackers zien dat je systeem nog steeds kwetsbaar is en proberen te profiteren.
- In het ideale geval stelt u alle software en besturingssystemen zo in dat ze automatisch worden bijgewerkt op een moment dat uw bedrijf niet open is. Zo weet je zeker dat je altijd de meest up-to-date software op je systeem draait.
- Zorg ervoor dat uw antivirussoftware ook up-to-date is en voer dagelijks of wekelijks scans uit. Hiermee kunt u virussen vinden en in quarantaine plaatsen voordat ze uw hele netwerk infecteren.
Stap 5. Maak een schriftelijk plan om te reageren op toekomstige aanvallen
Helaas kan het raken van een ransomware-aanval uw bedrijf een doelwit maken voor vervolgaanvallen. Hackers kunnen proberen zich voor te doen als experts op het gebied van gegevensbeveiliging of oplossingen aanbieden om uw bedrijf te beschermen, terwijl ze u in werkelijkheid alleen maar voorbereiden op een nieuwe aanval. Als u weet hoe u zult reageren, bent u hen een stap voor.
- Zorg ervoor dat alle medewerkers het plan lezen en begrijpen, evenals de rol die ze zullen spelen als uw systeem wordt aangevallen.
- Controleer uw plan ten minste eenmaal per 6 maanden en werk het indien nodig bij om rekening te houden met wijzigingen in uw systeem of technologie-upgrades.
