VEILIGHEIDSSESSIE 2016

AGENDA 1.Ransomware 2.Lijst van bedreigingen of risico's en prioriteiten 3.Hoe de werklast kennen?

Ransomware 1 Definitie Ransomware is kwaadwillige software die de informatiegegevens versleutelt. Vervolgens vraagt hij de eigenaar ervan om geld te sturen in ruil voor de sleutel die de gegevens zal ontcijferen.

Ransomware 2 Voorbeeld:

Ransomware 2 Wat betekent dit voor een OCMW? Ransomware komt binnen op de PC van een gebruiker van het OCMW (of op de server). Het zal zichzelf lanceren en de bestanden op de PC gaan zoeken om ze te versleutelen.

Ransomware 3 Marktaandeel van de cryptolockers op het totale aantal malware - virussen

Ransomware 4 Deskundigen voorzien dat de stijging van ransomware nog slechts een begin is. Het is dus belangrijk om goed geïnformeerd te zijn om te vermijden dat je besmet raakt.

Ransomware 5 Werking

Ransomware 6 Soorten ransomware 1. De klassieke ransomware versleutelen de gegevens niet, maar blokkeren je scherm (computer, smartphone of tablet). Zij geven een bureaubladachtergrond weer die het proces om de controle terug te krijgen van de machine in detail weergeeft, met verduidelijking van het bedrag van het losgeld en de betalingsprocedure. In dalende lijn.

Ransomware 7 Hoe langer je wacht, hoe meer je moet betalen! Maar dat wil niet zeggen dat je moet betalen!

Ransomware 8 Soorten ransomware 2. Cryptoware: is in staat om de bestanden op de PC van de gebruiker te versleutelen - documenten, Office-bestanden, beelden, video's en foto's, volgens de gebruikte technologie.

Ransomware 9 Wanneer de malware is geïnstalleerd op de PC, neemt hij contact op het commando en controlecentrum (C&C server) om een coderings- en decoderingssleutel (zelf gecodeerd) aan te maken.

Ransomware 10 Wat is een coderingssleutel? Een sleutel is een parameter die gebruikt wordt bij de start van een versleutelingsoperatie (codering, decodering). Een coderingssleutel kan symmetrisch of asymmetrisch zijn: ofwel dient dezelfde sleutel om te coderen en te decoderen; ofwel worden er twee verschillende sleutels gebruikt. De coderingssleutel is openbaar, terwijl de sleutel die gebruikt wordt voor de decodering geheim gehouden wordt (de geheime sleutel, of privésleutel, mag niet afgeleid worden van de openbare sleutel). Voorbeeld: https.

Ransomware 11 De coderingssleutel is openbaar, terwijl de sleutel die gebruikt wordt voor de decodering geheim gehouden wordt (de geheime sleutel, of privésleutel, mag niet afgeleid worden van de openbare sleutel). Voorbeeld: https.

Ransomware 12 Een sleutel kan in verschillende vormen voorkomen: - woorden: 5s5nt19l -zinnen: "elke administratieve handeling wordt geëvalueerd"; - gecodeerde gegevens in een binaire vorm (moderne codering).

Ransomware 13 Voorbeeld van codering met een binaire sleutel: Niet-gecodeerde binaire sleutel: Herhaalde binaire sleutel: Gecodeerde sleutel: Hoe langer de sleutel, des te moeilijker het is om hem te decoderen. Het is trouwens onmogelijk om hem te decoderen, zelfs al ken je het algoritme.

Ransomware 14 EVOLUTIE I Type 1: blokkeren van het scherm. Type 2: coderen van de bestanden,doc,,docx, pdf, jpeg, txt, enz. Type 3: coderen van zeer veel extensies, inclusief de backupsoftware (cf. Acronis).

Ransomware 14b EVOLUTIE I bis Dit wil zeggen dat de eenvoudige codering van een txt-bestand jouw sociale of boekhoudkundige software kan blokkeren.

Ransomware 15 EVOLUTIE II Type 4: coderen van de volledige harde schijf van de PC, van de server, enz. Type 5: de gecijferde worm?

Ransomware 16 Snelheid van verspreiding? Cf Locki (besmetting via een Wordbestand): besmettingen per dag Het probleem? Het is zeer rendabel. Hypothese CISCO TALOS: 2,9 % heeft betaald dat het heeft €/dag opgebracht.

Ransomware 17 En wie was in België het slachtoffer? -De OCMW's. -De gemeenten. -De privéondernemingen. -De administraties en intercommunales. -De particulieren.

Schade

Ransomware 18 Schade, schadevergoedingen, gevolgen? -Volledige blokkering van de informaticawerking. -Gedeeltelijke of volledige blokkering van het netwerk. -Gecodeerde back-ups (tot nu toe geen enkele feedback over codering van alle back-ups).

Ransomware 19 -Risico dat je de begunstigden niet op tijd kan betalen (codering op het einde van de maand). -Risico dat je niet alles kunt recupereren, want de bestanden werden opgeslagen op de PC (geval meegemaakt). -Risico's op ernstige financiële, menselijke en politieke gevolgen.

Ransomware 20 Belangrijke oorzaken van coderingen 1 -Inefficiënte antivirus, behalve een of andere die beperkt is tot een of andere versie van codeerders. -Niet bijgewerkte antivirussystemen. -OS-systemen niet bijgewerkt. -Onjuist configuratie van netwerk en van server.

Ransomware 21 Belangrijke oorzaken van coderingen 2 -Administratorrechten op de PC's. -Gebrek aan aandacht voor de gedownloade bestanden (uw factuur, uw brief van...). -Gebrek aan aandacht aan de verstuurde bestanden. Voorbeeld: factuur.pdf.exe.

Ransomware 22 Belangrijke oorzaken van coderingen 3 -Vorige versies van software werden niet verwijderd. Voorbeeld: vroegere versies van VPN niet verwijderd en daardoor werden hun zwaktes behouden, vroegere versies van Java, enz.

Ransomware 23 MENSELIJKE AANBEVELINGEN: -andere USB-sleutels en schijven dan die van het OCMW verbieden; -het personeel bewust maken van de bestanden in de mails en van de formaten ervan (.exe,.pdf.exe, enz.); -geen verdachte bestanden openen die niet blijken gericht te zijn aan de persoon;

Ransomware 24 -Een sensibiliseringscampagne lanceren (wachtwoorden, veiligheid van de toepassingen, uitbreiding van de raadplegingen), enz.; -indien mogelijk de niet-beveiligde verbindingen tot het netwerk van informaticatoestellen (smartphone, laptops, tablets) verbieden; -de consulenten en mandaathouders sensibiliseren.

Ransomware 25 TECHNISCHE AANBEVELINGEN: Back-ups: herzie jouw opslagbeleid aan de hand van enkele vragen: -is mijn back-upgeschiedenis lang genoeg? Een week, twee weken, een maand? Langer?

Ransomware 26 -staan mijn bewaarde gegevens online of niet? -welke oplossing heb ik wanneer mijn bewaarde gegevens gecodeerd zijn? -heb ik een externe opslag die niet is verbonden met mijn netwerk? Zo ja, hoeveel dagen zullen er verloren gaan?

Ransomware 27 -wat is aanvaardbaar om te verliezen? Hoeveel dagen? Wie gaat beslissen over het aanvaardbare aantal dagen? -hoe zal ik beseffen dat ik de gecodeerde gegevens niet opslag bij mijn leverancier van back-ups?

Ransomware 28 -heeft het back-upsysteem adminstrator- rechten en hetzelfde wachtwoord dan de admin? -heb ik een systeem voor het herschrijven dan de bewaarde gegevens? -wie kan de bewaarde gegevens opnieuw installeren en in hoeveel tijd?

Ransomware 29 -Wanneer je een cloud gebruikt, zullen je gegevens eveneens gecodeerd worden; -configureer Window opnieuw om de bestandextenties te tonen die momenteel vaak verborgen zijn en dus uitgebuit worden door diegenen die coderen;

Ransomware 30 -Wanneer je over een filtersysteem beschikt (antivirus, firewall, enz.) voor je mails, verbied de.exe,.zip, enz. -verhinder de bestanden om op te starten vanuit AppData/LocalAppData bestanden, blokkeer deze mogelijkheid;

Ransomware 31 -er bestaan anti-coderingskits die de exe. en.zipbestanden verbieden. Zij maken een anti- downloadbeleid aan via de directories App Data en Local App Data of Temp. Je kan deze verboden zelf aanmaken. -Verbied de toegang op afstand voor diegenen die coderen ( )

Ransomware 32 -werk je software en je toepassingen bij en sta deze automatische updates toe; -opgelet: de patches werken niet altijd in de antivirus (voorbeeld: NOD32 tegen diegenen die coderen heeft onefficiënte patches; -combineer de beveiligingen: antivirus en antimalware;

Ransomware 33 -kies een goede, maar efficiënte en gereputeerde antimalware (niet noodzakelijk gratis); -kies een antimalware die geïnstalleerd kan worden op de server en die de klantversies (op de PC's) automatisch bijwerkt;

Ransomware 34 -Controleer of je beschikt over een goede IDS - HIPS - IPS, enz. -activeer of vraag aan je softwareleverancier om je DEP te activeren (Data Execution Prevention) systeem dat de uitvoering verhindert van codes in de geheugenblokken die de gegevens bevatten;

Ransomware 35 -beveel de raadpleging van persoonlijke mails op jouw sites aan of verbied ze: hotmail, yahoo, pandora; -blokkeer de.exe, de zip en de bijgevoegde bestanden; -verbind Outlook met de lijst van gevaarlijke sites om ze te blokkeren;

Ransomware 36 VOOR DE INFORMATICI (EINDELIJK WORDT HET WAT TECHNISCH)

Ransomware 37

Ransomware 38 -Raadpleeg de adviezen van Microsoft: be/library/cc aspx be/library/cc aspx Planning van de parameters van de bijlagen in Outlook Raadpleeg ook de documenten van Yvo de poorter van V-ICT-OR: ransomware tips in netwerkomgeving.

Ransomware 39 -aangezien diegenen die coderen eerst een site hacken zoals Intrum, KPN of een andere bekende onderneming, blijf op de hoogte en laat alle mails blokkeren die van deze ondernemingen komen.

Ransomware 40 Voorbeeld dat ik heb meegemaakt.

Ransomware 41 Ga naar "Logboeken" (klik op de knop "Start", "Configuratiescherm", Systeembeheer", dan dubbelklik op "Logboeken« en eindelijk op « Aangepaste weergave maken ».

Ransomware 42

Ransomware 43 Kies een foutcode waarop je jouw journaal van bewaarde gegevens wil baseren (864, 865, 866 bijvoorbeeld) en zoek de gebeurtenissen. Je vindt de toepassingen terug die werden geblokkeerd.

Ransomware

Ransomware 44 MEER ALGEMENE ADVIEZEN HERZIE JOUW BESCHERMINGS-STRATEGIE Voorbeelden: kan je jouw bescherming combineren met die van de gemeente door samen te schuilen achter een firewall?

Ransomware 45 Configureer, indien mogelijk, jouw bescherming en die van de gemeente door zich te baseren op dezelfde beveiligingsprincipes. Dit houdt het volgende in: -een identiek veiligheidsbeleid; -dat dezelfde minimale normen moeten worden nageleefd ( bcss.fgov.be/binaries/documentation/nl/securite/minimale_veiligheidsnormen _2015.pdf );

Ransomware 46 -leef dezelfde richtsnoeren na ( ents/Steden%20en%20gemeenten_v%203.0_0.pdf ); -voer gemeenschappelijke beveiligings- systemen in (IDS, antivirus, antimalware), maar die de scheiding van de gegevens waarborgen;

Ransomware 47 -voer logisch gescheiden back-upsystemen in, maar met identieke veiligheidsvoorzieningen; -Leid je informatici op en sensibiliseer hen, indien die er zijn; -Sensibiliseer je mandaathouders voor de risico's en verhoog de veiligheidssynergieën;

Ransomware 48 -via de technieken sandbox of sandblast worden de meeste codeerders vermeden. De sandbox is een mechanisme dat het mogelijk maakt om software uit te voeren met minder risico's voor het uitvoeringssysteem. Het wordt vaak gebruikt om een niet geteste code of een code van twijfelachtige herkomst uit te voeren Kan gecombineerd worden met een firewall.

Ransomware 49 WAT DOEN WANNEER DE CODEERDER TOESLAAT????

Ransomware 50 1.Maak de kabel van het netwerk of van de wifi los. 2.Als je heel snel bent, kan je de verbinding met de c&c-server en de codering van je bestanden onderbreken. 3.Gebruik je systeemherstel. Opgelet: bepaalde versies van codeerders kunnen jouw "schijnbestanden" wissen.

Ransomware 51 4De codeerders installeren een interne klok met over het algemeen een termijn van 72 uren; aan het einde van deze termijn zal je 4 bitcoins (ongeveer 260 €) moeten betalen. Je kan de codeerder hinderen door de klok van je Bios 72 uren vroeger te zetten. Dit zal er enkel voor zorgen dat je tijd kan winnen, want na 72 uren verhoogt het losgeld.

Ransomware 52 Zeg de informaticus dat hij zich niet via jouw besmette PC mag verbinden met de server. De codeerder kan tegelijk terugkomen op de server.

Ransomware 53 VRAGEN?

Verzekeringen 1 Herinnering. Als de softwarehuizen jouw informaticamateriaal waarborgen! Enkele adviezen.

Verzekeringen 2 Verzeker enkel de server. De PC's zijn tijdens 3 of 4 jaar verzekerd (zie uw contract). Wanneer ze na drie of 4 jaar een panne hebben, zijn ze niet veel meer waard. Vraag jouw softwarehuis de inventaris van wat dit voor jou verzekert. Controleer of je enkel verzekering betaalt voor het huidige materiaal en niet voor het oude.

Verzekeringen 3 Betaal jouw verzekeringen geen twee keer. Ga na of de verzekering die werd afgesloten met de Verzekeringsmaatschappij ook brand bevat.

Verzekeringen 4 VRAGEN?

De berekening van de werklast 1 Hoe de werklast van een veiligheidsconsulent berekenen? De werklast zal afhangen van een bepaald aantal parameters. De VVSG heeft een studie georganiseerd. De resultaten zullen meegedeeld worden.

De berekening van de werklast 2 De tijd die een veiligheidsconsulent nodig heeft, hangt af van de volgende elementen: -zijn kennis van de sociale wereld en van het OCMW; -zijn kennis van de werking van het OCMW; -zijn kennisniveau van informatica; -zijn kennisniveau van veiligheid;

De berekening van de werklast 3 -zijn menselijke en strategische benadering (niet afkomen met een budget van € voor de veiligheid); -zijn arbeidsorganisatie; -zijn wil om tot een resultaat te komen.

De berekening van de werklast 3

De berekening van de werklast 4 Voor een "professional" -is dit eenvoudiger, omdat hij slechts een functie uitoefent; -hij kan zijn beleid, zijn controleprocedures, zijn documenten, zijn verslagen standaardiseren.

De berekening van de werklast 5 Voor een "niet-professional" zal het moeilijker zijn: -frequente onwetendheid over de hiërarchie van deze "verplichting"; -moeilijkheid van de materie; -kennis van informatica; -geen budget om de zaken te laten vooruitgaan;

De berekening van de werklast 6 -de politici, de raadsleden, de schepenen hebben het moeilijk om de veiligheidsverplichtingen te begrijpen; -Tijdelijke overname door de gemeente die het "probleem" van de veiligheid tracht van zich af te zetten; -de grootte van het OCMW kan een grote hinderpaal zijn.

De berekening van de werklast 7 Methodologie. De inventaris opmaken van de gebreken, van de normen waarmee het OCMW niet in orde is. Duur: de duur is in functie van het aantal gebreken en van de grootte van het OCMW. Via de risicoanalyse zal de inventaris kunnen worden opgemaakt. Ook een audit zal het mogelijk maken om de inventaris op te maken.

De berekening van de werklast 8 De risicoanalyse is gebaseerd op de analyse van de bedreigingen voor het OCMW. Kleine inventaris. Fysieke risico's: -water; -vuur; -vervuiling.

De berekening van de werklast 9 Natuurramp: -aardbeving; -klimaat (overstroming, bliksem). Verlies van essentiële werking: -elektriciteitspanne; -verbindingspanne; - panne van de airconditioning.

De berekening van de werklast 10 Het in gevaar brengen van informatie: -onderbreking omwille van een virus, een hack, een codeerder; -diefstal van essentieel materiaal; -Moeilijk te vervangen materieel dat stuk is (oude AS400 bijvoorbeeld).

De berekening van de werklast 11 Technische mankementen: -uitrustingspanne, serverpanne, harde schijf stuk, enz. -softwareproblemen (oude sociale software, compatibiliteitsprobleem); -verzadiging van de toegang, van het geheugen, van de capaciteiten.

De berekening van de werklast 12 Het in gevaar brengen van de functies: -gebruikersfout; -misbruik van toegangen, van toelatingen; -toegangsblokkering, sabotage.

De berekening van de werklast 13 Risico's in verband met de fysieke veiligheid: -risico dat er personen passeren of dat hun verplaatsingen niet worden gecontroleerd; -verbale agressie; -fysieke agressie; -risico op diefstal van informatie (documenten, gegevens).

De berekening van de werklast 14 Bedreigingen in verband met de informatieveiligheid: -updaten van de antivirus, van de IDS en van de firewall en opvolging; -Update van de veiligheidskennis; -kwaliteitsvolle externe hulp op aanvraag en/of regelmatig.

De berekening van de werklast 15 Voor een professional, gaat het, wanneer de OCMW's in orde zijn met de normen, om een routinewerk en de tijd kan eenvoudig worden berekend: ongeveer 3 uur/week/OCMW. Het aanmaken van nieuwe procedures of installatie van nieuwe veiligheidssoftware zal niet lang een hinderpaal zijn.

De berekening van de werklast 16 Een "tijdelijke" veiligheidsconsulent moet een methodologie worden opgesteld: -een arbeidsduur vastleggen per te elimineren risico; -wanneer de duur verstreken is, de reden onderzoeken; -indien nodig een beroep doen op de hiërarchie of op al dan niet externe gespecialiseerde hulp; -de doelstellingen vastleggen en ze behouden.

De berekening van de werklast 17 Achter het statuut van non-professional moet een veiligheidsconsulent niet meer tijd besteden dan een professional, behalve bij een nieuwe procedure of een nieuwe installatie van veiligheidssoftware.

De berekening van de werklast 18 Het verschil in werklast tussen een groot en een klein OCMW wordt kenbaar door: -het aantal incidenten dat moet worden geanalyseerd en geïnventariseerd; -het aantal vergaderingen inzake veiligheid; -het aantal betrokkenen dat het ontmoet en dat moet gesensibiliseerd worden.

De berekening van de werklast EINDE Veiligheidsconsulent van een klein OCMW en veiligheidsconsulent van een groot OCMW. Vind wie wie is.

EINDE VRAGEN?