Richtlijnen van Veeam voor klanten die zijn getroffen door de content-update van CrowdStrike

VNOG veert terug na ransomware- aanval door hersteltijd voor data te verkorten van weken naar uren

Ransomware is een groeiende bedreiging. Veeam vergroot onze cyberveerkracht, zodat we trouw kunnen blijven aan onze missie: de 870.000 inwoners van Noord- en Oost-Gelderland veilig houden.
Edwin Moraal
Chief Information Security Officer
bij de Veiligheidsregio Noord- en Oost-Gelderland (VNOG)

De zakelijke uitdaging

De VNOG werkt onder enorme tijdsdruk. In de meeste gevallen geldt dat hoe sneller zijn teams op een incident reageren, hoe beter het resultaat is. De organisatie haast zich echter nooit onvoorbereid naar een crisissituatie. De VNOG wapent zijn teams met nauwkeurige informatie om hen zo effectief mogelijk te assisteren.

“Onze teams nemen dagelijks beslissingen waarvan levens afhangen”, zegt Edwin Moraal, chief information security officer bij Veiligheidsregio Noord- en Oost-Gelderland (VNOG). “Als onze brandweerlieden bijvoorbeeld moeten beslissen of ze een brandend gebouw wel of niet binnengaan, moeten ze weten of het om een vervallen locatie gaat of dat er mensen met mobiliteitsproblemen in het gebouw vastzitten. Als er tijdens een storm een boom op elektriciteitskabels valt, moeten ze nagaan hoe en waar ze de stroom op veilige wijze kunnen uitschakelen. Al deze gegevens kunnen aan hen beschikbaar worden gesteld via hun tablets. Maar om hen geïnformeerd te houden moeten onze systemen wel 24/7 beschikbaar zijn.”

Noodhulpverlenende instanties zijn populaire doelwitten voor cybercriminelen. Die proberen om met hun ransomware-aanvallen voor maximale verstoring te zorgen, zodat ze zoveel mogelijk losgeld kunnen eisen. De VNOG ondervond dit toen de organisatie door zo’n aanval werd getroffen.

“Een collega nam in het weekend contact met me op. Hij zei dat het hem niet lukte om toegang te krijgen tot ons interne e-mailsysteem”, zegt Moraal. “We kwamen er al snel achter dat een hacker onze IT-omgeving was binnengedrongen en om losgeld vroeg. Gelukkig waren wij in staat om de reikwijdte van de aanval te beperken tot onze interne IT-systemen, zodat die geen nadelige gevolgen had voor onze essentiële diensten. Maar het leverde onze werknemers wel een hoop ongemak op.”

De VNOG maakte ten tijde van de aanval gebruik van back-uptools van Microsoft. Alle gegevenskopieën werden opgeslagen op legacy hardware. De organisatie stond daarmee voor de opgave om zijn data en processen te herstellen met behulp van een trage en verouderde back-upinfrastructuur.

“Mijn motto luidt: never waste a good crisis”, zegt Moraal. “In de nasleep van de aanval kozen we voor een tweeledige aanpak. Onze eerste prioriteit was het opheffen van de crisissituatie en het herstellen van de normale gang van zaken. Ten tweede maakten we gebruik van de gelegenheid om ons security-beleid en de daarvoor gebruikte toolset te herzien. De aanval had veel erger kunnen uitpakken. We wilden daarom beter zijn voorbereid op het volgende incident.”

De Veeam-oplossing

De VNOG was net bezig met de aanschaf van de technologie voor databescherming van Veeam toen het door de cybercriminelen op de korrel werd genomen. De organisatie schakelde daarom Veeam en zijn partners in voor hulp.

“Hoewel het laat in de avond en ook nog eens weekend was, kon ik direct contact krijgen met de juiste contactpersoon bij Veeam”, zegt Moraal. “Die bracht me in aanraking met Veeam-partner it2grow. Zij belden me al voordat ik de kans kreeg om hen te bellen! En ze hielpen ons met het in gang zetten van ons herstel van de aanval.”

De VNOG implementeerde de Veeam Availability Suite en Veeam Backup for Microsoft 365 in aansluiting op zijn nieuwe aanpak van databescherming. De organisatie omarmde daarbij de ‘3-2-1-1-0’-regel. Dit houdt in dat er minimaal drie kopieën van data worden bewaard. Twee daarvan worden op afzonderlijke opslagmedia opgeslagen, terwijl er een onwijzigbare back-up op een externe locatie wordt bewaard. De VNOG kan zijn data op die manier altijd probleemloos herstellen.

“Dankzij de hulp van Veeam en it2grow konden we de veerkracht van onze IT-omgeving ingrijpend verbeteren”, zegt Moraal. “We maken nu elke avond voor 17 TB aan back-ups voor 130 virtuele machines die op vier fysieke systemen worden gehost. Dat is iets wat in het verleden simpelweg niet mogelijk was.”

De VNOG profiteert met Veeam van sneller en eenvoudiger gegevensherstel. Het IT-team van de organisatie is zeer te spreken over deze mogelijkheid, zeker na zelf een ransomware-aanval te hebben ondervonden.

“We voelen ons een stuk veiliger nu we dankzij over Veeam over onwijzigbare back-ups beschikken”, zegt Moraal. “Bovendien is Veeam zo goed als foolproof. De user interface is zo intuïtief dat zelfs een nieuwkomer binnen ons team daarmee gegevens kan herstellen of back-ups configureren. Als we over de oplossing van Veeam hadden beschikt toen we door de cyberaanval werden getroffen, zou het herstelproces een stuk eenvoudiger zijn verlopen.”

Ook als data per ongeluk worden gewist kan de VNOG de oplossing van Veeam gebruiken om de gevolgen voor zijn processen tot een minimum te beperken.

"Er waren twee mensen met dezelfde naam bij ons werkzaam. Toen een van hen de organisatie verliet, verwijderden we per ongeluk het verkeerde gebruikersprofiel”, zegt Moraal. “Vroeger zou het niet alleen veel tijd en moeite hebben gekost om dat profiel te herstellen, maar zouden deze data ook onherroepelijk verloren zijn gegaan. Met Veeam konden we het probleem in een paar seconden verhelpen.”

De VNOG gebruikt Veaam momenteel voor de bescherming van zijn workloads op locatie en in de cloud. De organisatie implementeerde recentelijk een cloud first-strategie, en Veeam vervult nu een sleutelrol binnen zijn plannen voor de toekomst.

“Momenteel slaan we twee gegevenskopieën op in elk van onze twee datacenters en één in de cloud”, zegt Moraal. “In de toekomst willen we overstappen op drievoudige redundantie in de cloud. Het maakt niet uit waar workloads zich bevinden, Veeam kan er altijd even doeltreffend een back-up van maken. Dit biedt ons de vrijheid om een toekomstplan op te stellen dat goed voor de VNOG werkt. Daarmee zijn we ervan verzekerd dat onze data volledig zijn beschermd.”

De resultaten

Volledig gegevensherstel binnen 12 uur in plaats van weken, zodat de impact van ransomware-incidenten op de noodhulpdiensten wordt geminimaliseerd.
“Ransomware is een groeiende bedreiging”, zegt Moraal. “Veeam vergroot onze cyberveerkracht, zodat we trouw kunnen blijven aan onze missie: de 870.000 inwoners van Noord- en Oost-Gelderland veilig houden.”

De VNOG kan voor het eerst dagelijks back-ups maken van zijn complete IT-omgeving, waarmee de kans op gegevensverlies drastisch wordt gereduceerd.
De VNOG is nu in staat om elke avond back-ups van zijn complete IT- omgeving te maken. Daarmee profiteert het van een kortere recovery point objective (RPO).

De VNOG kan een beroep doen op specialistische kennis op het gebied van back-ups en gegevensherstel om zijn IT-omgeving veerkrachtiger te maken.
“Op het eerste gezicht zou je misschien zeggen dat de ransomware-aanval niet op een slechter moment had kunnen komen, omdat we de oplossing Veeam nog niet hadden geïmplementeerd”, zegt Moraal. “Veeam bracht ons echter in contact met it2grow, dat zich een partner van onschatbare waarde heeft getoond bij het optimaliseren van onze strategie voor cyberveerkracht.”

Bedrijf:

De Veiligheidsregio Noord- en Oost- Gelderland (VNOG) is een van de 25 veiligheidsregio’s die Nederland rijk is. Met 56 brandweerposten in de regio biedt de organisatie essentiële brandbestrijdingsdiensten en noodhulpverlening bij ongelukken, rampen en andere crisissituaties. De VNOG werkt daarnaast samen met organisaties als de politie, het ministerie van Defensie, het Openbaar Ministerie en andere instellingen in de publieke sector aan de preventie van brand, schade door extreem weer en cybercriminaliteit.

Uitdaging:

De teams van de VNOG moeten onder grote druk de juiste beslissingen zien te nemen. Om hen daarmee te helpen zijn hun brandweerwagens toegerust met digitale navigatiesystemen en tablets waarop informatie over incidenten wordt weergegeven. Als deze systemen uitvallen en informatie niet langer toegankelijk is, al is het maar voor een paar seconden, bestaat de kans dat mensen hun bron van inkomsten of zelfs hun leven verliezen. Nadat een succesvolle ransomware-aanval de VNOG attent had gemaakt op de kwetsbaarheden in zijn IT- omgeving, besloot het dat het tijd was om zijn strategie voor het waarborgen van een veerkrachtige IT-omgeving naar een hoger plan te brengen. Dit vroeg om effectievere maatregelen voor databescherming.

Resultaten:

  • Volledig gegevensherstel binnen 12 uur in plaats van enkele weken minimaliseert de impact van ransomware op de noodhulpverlening.
  • De VNOG is voor het eerst in staat om dagelijks back-ups te maken van zijn complete IT-omgeving. De kans op gegevensverlies wordt daarmee drastisch gereduceerd.
  • De VNOG kan een beroep doen op specialistische kennis op het gebied van back-ups en gegevensherstel om zijn IT-omgeving veerkrachtiger te maken.