VNOG veert terug na ransomware- aanval door hersteltijd voor data te verkorten van weken naar uren

De VNOG werkt onder enorme tijdsdruk. In de meeste gevallen geldt dat hoe sneller zijn teams op een incident reageren, hoe beter het resultaat is. De organisatie haast zich echter nooit onvoorbereid naar een crisissituatie. De VNOG wapent zijn teams met nauwkeurige informatie om hen zo effectief mogelijk te assisteren.

“Onze teams nemen dagelijks beslissingen waarvan levens afhangen”, zegt Edwin Moraal, chief information security officer bij Veiligheidsregio Noord- en Oost-Gelderland (VNOG). “Als onze brandweerlieden bijvoorbeeld moeten beslissen of ze een brandend gebouw wel of niet binnengaan, moeten ze weten of het om een vervallen locatie gaat of dat er mensen met mobiliteitsproblemen in het gebouw vastzitten. Als er tijdens een storm een boom op elektriciteitskabels valt, moeten ze nagaan hoe en waar ze de stroom op veilige wijze kunnen uitschakelen. Al deze gegevens kunnen aan hen beschikbaar worden gesteld via hun tablets. Maar om hen geïnformeerd te houden moeten onze systemen wel 24/7 beschikbaar zijn.”

Noodhulpverlenende instanties zijn populaire doelwitten voor cybercriminelen. Die proberen om met hun ransomware-aanvallen voor maximale verstoring te zorgen, zodat ze zoveel mogelijk losgeld kunnen eisen. De VNOG ondervond dit toen de organisatie door zo’n aanval werd getroffen.

“Een collega nam in het weekend contact met me op. Hij zei dat het hem niet lukte om toegang te krijgen tot ons interne e-mailsysteem”, zegt Moraal. “We kwamen er al snel achter dat een hacker onze IT-omgeving was binnengedrongen en om losgeld vroeg. Gelukkig waren wij in staat om de reikwijdte van de aanval te beperken tot onze interne IT-systemen, zodat die geen nadelige gevolgen had voor onze essentiële diensten. Maar het leverde onze werknemers wel een hoop ongemak op.”

De VNOG maakte ten tijde van de aanval gebruik van back-uptools van Microsoft. Alle gegevenskopieën werden opgeslagen op legacy hardware. De organisatie stond daarmee voor de opgave om zijn data en processen te herstellen met behulp van een trage en verouderde back-upinfrastructuur.

“Mijn motto luidt: never waste a good crisis”, zegt Moraal. “In de nasleep van de aanval kozen we voor een tweeledige aanpak. Onze eerste prioriteit was het opheffen van de crisissituatie en het herstellen van de normale gang van zaken. Ten tweede maakten we gebruik van de gelegenheid om ons security-beleid en de daarvoor gebruikte toolset te herzien. De aanval had veel erger kunnen uitpakken. We wilden daarom beter zijn voorbereid op het volgende incident.”

De VNOG was net bezig met de aanschaf van de technologie voor databescherming van Veeam toen het door de cybercriminelen op de korrel werd genomen. De organisatie schakelde daarom Veeam en zijn partners in voor hulp.

“Hoewel het laat in de avond en ook nog eens weekend was, kon ik direct contact krijgen met de juiste contactpersoon bij Veeam”, zegt Moraal. “Die bracht me in aanraking met Veeam-partner it2grow. Zij belden me al voordat ik de kans kreeg om hen te bellen! En ze hielpen ons met het in gang zetten van ons herstel van de aanval.”

De VNOG implementeerde de Veeam Availability Suite en Veeam Backup for Microsoft 365 in aansluiting op zijn nieuwe aanpak van databescherming. De organisatie omarmde daarbij de ‘3-2-1-1-0’-regel. Dit houdt in dat er minimaal drie kopieën van data worden bewaard. Twee daarvan worden op afzonderlijke opslagmedia opgeslagen, terwijl er een onwijzigbare back-up op een externe locatie wordt bewaard. De VNOG kan zijn data op die manier altijd probleemloos herstellen.

“Dankzij de hulp van Veeam en it2grow konden we de veerkracht van onze IT-omgeving ingrijpend verbeteren”, zegt Moraal. “We maken nu elke avond voor 17 TB aan back-ups voor 130 virtuele machines die op vier fysieke systemen worden gehost. Dat is iets wat in het verleden simpelweg niet mogelijk was.”

De VNOG profiteert met Veeam van sneller en eenvoudiger gegevensherstel. Het IT-team van de organisatie is zeer te spreken over deze mogelijkheid, zeker na zelf een ransomware-aanval te hebben ondervonden.

“We voelen ons een stuk veiliger nu we dankzij over Veeam over onwijzigbare back-ups beschikken”, zegt Moraal. “Bovendien is Veeam zo goed als foolproof. De user interface is zo intuïtief dat zelfs een nieuwkomer binnen ons team daarmee gegevens kan herstellen of back-ups configureren. Als we over de oplossing van Veeam hadden beschikt toen we door de cyberaanval werden getroffen, zou het herstelproces een stuk eenvoudiger zijn verlopen.”

Ook als data per ongeluk worden gewist kan de VNOG de oplossing van Veeam gebruiken om de gevolgen voor zijn processen tot een minimum te beperken.

"Er waren twee mensen met dezelfde naam bij ons werkzaam. Toen een van hen de organisatie verliet, verwijderden we per ongeluk het verkeerde gebruikersprofiel”, zegt Moraal. “Vroeger zou het niet alleen veel tijd en moeite hebben gekost om dat profiel te herstellen, maar zouden deze data ook onherroepelijk verloren zijn gegaan. Met Veeam konden we het probleem in een paar seconden verhelpen.”

De VNOG gebruikt Veaam momenteel voor de bescherming van zijn workloads op locatie en in de cloud. De organisatie implementeerde recentelijk een cloud first-strategie, en Veeam vervult nu een sleutelrol binnen zijn plannen voor de toekomst.

“Momenteel slaan we twee gegevenskopieën op in elk van onze twee datacenters en één in de cloud”, zegt Moraal. “In de toekomst willen we overstappen op drievoudige redundantie in de cloud. Het maakt niet uit waar workloads zich bevinden, Veeam kan er altijd even doeltreffend een back-up van maken. Dit biedt ons de vrijheid om een toekomstplan op te stellen dat goed voor de VNOG werkt. Daarmee zijn we ervan verzekerd dat onze data volledig zijn beschermd.”

Volledig gegevensherstel binnen 12 uur in plaats van weken, zodat de impact van ransomware-incidenten op de noodhulpdiensten wordt geminimaliseerd.
“Ransomware is een groeiende bedreiging”, zegt Moraal. “Veeam vergroot onze cyberveerkracht, zodat we trouw kunnen blijven aan onze missie: de 870.000 inwoners van Noord- en Oost-Gelderland veilig houden.”

De VNOG kan voor het eerst dagelijks back-ups maken van zijn complete IT-omgeving, waarmee de kans op gegevensverlies drastisch wordt gereduceerd.
De VNOG is nu in staat om elke avond back-ups van zijn complete IT- omgeving te maken. Daarmee profiteert het van een kortere recovery point objective (RPO).

De VNOG kan een beroep doen op specialistische kennis op het gebied van back-ups en gegevensherstel om zijn IT-omgeving veerkrachtiger te maken.
“Op het eerste gezicht zou je misschien zeggen dat de ransomware-aanval niet op een slechter moment had kunnen komen, omdat we de oplossing Veeam nog niet hadden geïmplementeerd”, zegt Moraal. “Veeam bracht ons echter in contact met it2grow, dat zich een partner van onschatbare waarde heeft getoond bij het optimaliseren van onze strategie voor cyberveerkracht.”