Ransomwareveilig met Office 365? Niet helemaal

Dataverlies kan heel pijnlijk zijn. Dit ondervond ik aan den lijve toen ik enige jaren geleden op kerstavond met mijn vrouw thuis kwam. Er was ingebroken in ons appartement, alles lag overhoop en onze laptops waren gestolen. Na de initiële schrik realiseerde ik me dat ik een Apple Time Capsule heb, die dagelijks al onze belangrijke persoonlijke data back-upt. En die was gelukkig niet gestolen. Op zulke momenten weet je dat data met de dag belangrijker wordt, zowel privé als zakelijk.

Reden temeer om er uiterst zorgvuldig mee om te gaan, en consequent back-ups te maken. Binnen de meeste organisaties met on-premise IT is dat al jarenlang de standaard. Door de omarming van cloud collaboration platformen als Office 365 lijkt het echter steeds minder noodzakelijk om zelf back-ups te maken. Microsoft regelt dit toch voor je? Nou, het líjkt dus minder noodzakelijk. Je cloudaanbieder ontzorgt je wel wat qua databeheer, maar dat gebeurt binnen bepaalde kaders. En ransomware kan dat doorkruisen.

Cloud en ransomware

Voor cybercriminelen is ransomware nog steeds uiterst lucratief. Deze gijzelsoftware wordt vaak via e-mail verspreid en door nietsvermoedende eindgebruikers geactiveerd. Vervolgens worden al hun bestanden versleuteld en moeten ze losgeld betalen om hun bestanden weer terug te krijgen. Voor individuen gaat het gemiddeld om 500 tot 1000 dollar in Bitcoin, maar voor grote organisaties kan het losgeld oplopen tot 50.000 dollar en meer. Niet voor niets dat ransomware-bescherming hoog op de agenda staat bij de CFO.

Ransomware werkt met name op end-points, ofwel alle computers en (mobiele) apparaten waar eindgebruikers mee werken. Deze malwarevariant kan een besmet systeem blokkeren en alle lokaal opgeslagen documenten versleutelen, waardoor ze ontoegankelijk zijn. In het geval van Office 365 staan de meeste bestanden in de Microsoft-cloud, waardoor ransomware er geen vat op heeft. Daar valt helaas wel een kanttekening bij te plaatsen.

Veel Office 365-gebruikers hebben namelijk OneDrive for Business op hun werk-pc of -laptop staan, waarmee ze hun bestanden lokaal synchroniseren. Voor hen is OneDrive een soort 'Mijn documenten' geworden, waarin ze veel persoonlijke of tijdelijke werkbestanden opslaan. Die gegevens staat dus wel lokaal op de pc, en kunnen door ransomware versleuteld worden.

De bestanden worden vervolgens in diezelfde vorm gesynchroniseerd met de cloud van Microsoft, en de bestanden zijn daarmee volledig onbruikbaar. Tenzij je het losgeld betaalt natuurlijk. De vraag is nu: kun je die bestanden nog terughalen zonder te betalen?

Granulaire back-ups

In eerste instantie luidt het antwoord op die vraag: ja. Het is namelijk zo dat Microsoft standaard back-ups maakt van elke Office 365-omgeving. In tweede instantie is het antwoord echter: niet altijd. Het is belangrijk om je te realiseren dat het vrijwel onmogelijk is om specifieke bestanden van bepaalde gebruikers te herstellen.

Microsoft maakt in feite all-in-one back-ups van de volledige omgeving, en kan deze alleen terugzetten door op een soort universeel geldende reset-knop drukken. Dit betekent dat alle gebruikers terug in de tijd worden gestuurd naar het moment van de laatste back-up, en dat kan makkelijk een paar dagen zijn. Bovendien geldt een bewaartermijn van 30 tot 90 dagen, dus worden verloren of versleutelde bestanden te laat ontdekt, dan is er geen bruikbare back-up meer beschikbaar.

Dus is het zaak voor organisaties die het belang van hun data beseffen om zich beter te wapenen tegen ransomware-aanvallen op hun eindgebruikers. Daar zijn legio oplossingen voor.  Bijvoorbeeld het inzetten van een aanvullend systeem voor cloud-back-up en cloud-governance, wat dan een complete back-up maakt van alle gegevens in de Microsoft-cloud. Hiermee kun je gegevens granulair en op bestandsniveau uit een back-up herstellen. Net zoals ‘vroeger’ vóór het cloudtijdperk.

Daarnaast kun je zo de door Microsoft gehanteerde standaardtermijn voor het bewaren van data praktisch onbeperkt verlengen, voorbij de geboden 30 tot 90 dagen. Zeker voor bedrijven die geen strikte regels hebben voor datamanagement en governance is een dergelijke oplossing een uitkomst. Naast meer controle over back-ups geeft dit ook opties om dit soort zaken op een gebruiksvriendelijke manier in te regelen.

Veilig online werken

In principe zijn bedrijfsgegevens in Office 365 veilig voor ransomware, mits mensen volledig in die cloudomgeving werken. Dit is echter geen realistisch gebruiksscenario, omdat veel gebruikers toch graag met lokale bestanden en OneDrive-synchronisatie werken. Je kunt daar als organisatie niet omheen, en zult er dus een oplossing voor moeten vinden.

Neem daarom je back-upstrategie nog eens goed onder de loep. Kijk goed naar wat je herstelopties zijn bij een ransomware-incident of een andere vorm van dataverlies. Het is beter om daar vooraf over na te denken, dan op een onverwacht moment met een grote dataramp geconfronteerd te worden.