Interview met Sandeep Gangaram Panday over het studierapport Ransomware
05 juli, 2023
De redactie sprak naar aanleiding van de publicatie van het zeer uitgebreide onderzoeksrapport “Ransomware in control” en bijbehorende unieke framework met Sandeep Gangaram Panday, één van de twee auteurs van het studierapport dat recent onder de vlag van NOREA is uitgegeven. Sandeep is werkzaam als Trust Accelerator Lead voor Schuberg Philis, een IT-bedrijf voor missie-kritische IT-diensten. Dit zijn IT-oplossingen die de belangrijkste dagelijkse processen bij een organisatie mogelijk maken.
Redactie: Hoe zijn jij en Leon Zwakenberg ertoe gekomen om het studierapport Ransomware in Control te gaan schrijven?
Sandeep: “Anderhalf jaar geleden was er binnen Schuberg een groeiende behoefte aan een kader voor dit thema gezien de verhoogde dreiging ervan voor de dienstverlening van onze klanten en die Schuberg Philis levert. Destijds ben ik gestart met het CIS v8 Framework en samen met de interne security experts begonnen een eerste opzet te maken. Toen echter nog niet met de doelstelling om tot een extern te gebruiken framework te komen.
Kort hierna kwam ik met Leon in contact die voor de RE-opleiding aan de UvA een scriptie wilde gaan schrijven over ransomware. Leon vroeg mij om hem te begeleiden bij zijn scriptie om uiteindelijk in dit onderwerp te kunnen afstuderen. Dat was de eerste stap om dit breder bekend te gaan maken en groter aan te pakken.”
Redactie: Hoe is het traject hier naar toe verlopen?
Sandeep: “Leon heeft met zijn afstudeertraject ,en de basis die ik reeds had opgesteld, een stevige wetenschappelijk model gecreëerd. Omdat er inmiddels veel werk in was gestoken hebben we besloten om er tevens een extract van beschikbaar te stellen. Dit is uiteindelijk het NOREA-rapport dat – enkele interne versies verder – nu is gepubliceerd als studierapport. Voor die tijd zijn er meerdere versies geweest die zijn gepilot en gereviewd door verschillende experts uit het veld. Wij hebben het huidige kader inmiddels in ons eigen bedrijf volledig omarmd en voeren hiermee nu succesvol assessments uit. Ook de praktijkervaring is ruimschoots aanwezig en het framework is al uitgetest op bruikbaarheid.
Redactie: Ben je tot dusverre tevreden over de inhoud, en wat zou je in de toekomst nog willen verbeteren aan het studierapport?
Sandeep: “Ik vind het studierapport zeer bruikbaar, maar in de motivatie die we erbij hebben geschreven hebben we ook aangegeven dat dit voor nu het beste is wat we konden doen. Het rapport en het framework zijn naar mijn mening nog niet compleet genoeg. Het zijn wel al negenentachtig controls, en dat is vrij fors om te implementeren. Het is daarmee een goed uitgangspunt voor de dreiging zoals deze nu bekend is, maar ransomware ontwikkelt zich ook continu. Om deze ontwikkeling bij te kunnen benen zijn we gestart met een experiment om via Github het framework te delen en zo specialisten en experts er ‘on-the-fly’ een bijdrage aan te kunnen laten leveren. Het is een werkend document dat continue aandacht verdiend om te kunnen blijven voldoen aan de laatste ontwikkelingen. En zo hopen we actueel te blijven qua richtlijnen. NOREA gaat dat experiment ondersteunen is afgesproken.
Verder willen we voor nu aan de bekendheid gaan werken bij diverse toonaangevende organisaties. Zij moeten dit ook als standaard gaan omarmen. Als dat lukt, dan is Nederland alweer een stuk veiliger.”
Redactie: Er zijn al diverse kaders in omloop. Waarin onderscheidt dit kader zich van al die andere security-kaders?
Sandeep: “Alle andere documenten en kaders zijn vooral guidance-documenten. Vanuit overheidsorganisaties zoals bijvoorbeeld NCSC zijn diverse artikelen geschreven met aanbevelingen. Maar dit studierapport onderscheidt zich doordat het een volledig control framework aanreikt. Wel hebben we in het studierapport een overzicht geplaatst van alle bekendere internationale guidances.
Het verschil met andere kaders of standaarden vanuit bijvoorbeeld ISO27001 is dat we heel specifiek beschrijven welke controls specifiek de effecten van ransomware beperken. Bijvoorbeeld backup management. ISO of NIST vragen natuurlijk om back-ups te maken, net als dit kader. Maar daar blijft het bij. Ons kader geeft ook instructies om te voorkomen dat de back-ups ‘besmet’ raken. Bij ISO heb je dus wel back-ups, maar zijn die niet perse adequaat beschermt tegen malware-infectie. ISO geeft specifiek ten aanzien van ransomware een bepaalde mate van schijnzekerheid.”
Redactie: Hoe verliep de publicatie van het studierapport en framework op 14 juni zelf?
Sandeep: “De lancering van het studierapport en het framework was door NOREA samen met ISACA georganiseerd. Het was een goed bezochte bijeenkomst. Ongeveer honderd deelnemers waren aanwezig. Tijdens de verschillende presentaties was er ruimte voor vragen. Hier werd veel gebruik van gemaakt. Dit geeft aan dat het onderwerp zeer leeft onder de compliance-verantwoordelijken bij organisaties. De dag is vervolgens afgesloten met een paneldiscussie waarin de verschillende sprekers met elkaar in debat gingen.”
Redactie: Tenslotte, heb je veel feedback ontvangen?
Sandeep: “Ja. We hebben reacties van onder andere diverse toezichthouders die interesse hebben om het framework te gebruiken, net als vele andere organisaties.
Ook zijn vragen gesteld hoe dit framework te integreren met bestaande andere kaders. Ook daar zijn we nu mee bezig.
Tenslotte wil ik over pakweg zes maanden ‘de markt’ bevragen over eventuele feedback. Ik hoop dan van andere partijen input te krijgen op wat er nog aangepast of bijgevoegd kan worden. En roep partijen op om voor soort IT-audits die je vanaf nu ook doet, even dit framework te bekijken en relevante onderdelen mee te nemen. Ga ermee aan de slag!”
Sandeep Gangaram Panday
Sandeep is werkzaam als Trust Accelerator Lead voor Schuberg Philis. Binnen deze rol is hij verantwoordelijk voor het ontwikkelen van nieuwe security, audit en compliance diensten op basis van actuele dreigingen en (veranderende) wetgeving. Hiervoor was Sandeep verantwoordelijk voor Internal Audit. Sandeep startte zijn carrière in 2007 bij PwC.
