Organisaties moeten standaard al het uitgaande verkeer blokkeren en alleen wanneer het noodzakelijk is toegang verlenen via webproxies of applicatiebewuste firewalls, zo stelt beveiligingsexpert Kevin Beaumont. "Het is niet nodig dat een willekeurige server 1 terabyte aan rclone-verkeer naar een willekeurige internet host doet - geloof niet in de zero trust-fabel en zorg ervoor dat het standaard wordt geblokkeerd, het risico is te groot."

Beaumont doet verschillende aanbevelingen in een reactie op een ransomware-aanval op de Britse dienstverlener Capita. Daar wisten aanvallers 1 terabyte aan zeer gevoelige gegevens van zes miljoen mensen te stelen en systemen te versleutelen. Vanwege ernstige gebreken in het beveiligen van persoonlijke gegevens kreeg het bedrijf van de Britse privacytoezichthouder ICO een boete van omgerekend 16 miljoen euro opgelegd. De ICO wilde een hogere boete opleggen, maar dat kon Capita niet betalen.

De aanval, die plaatsvond in 2023, begon toen er een malafide JavaScript-bestand onbedoeld op het systeem van een medewerker werd gedownload. Hoe deze download kon plaatsvinden kon Capita niet zeggen. De download van het malafide JavaScript-bestand genereerde binnen tien minuten een "high priority" beveiligingswaarschuwing bij het Security Operations Centre (SOC). Het systeem van de medewerker werd echter pas na 58 uur in quarantaine geplaatst.

Het SOC van Capita bleek onderbemand en zelden de eigen gestelde SLA-doelen te halen. Tijdens het incident was er slechts één SOC-medewerker werkzaam. Na ontdekking van de aanval beweerde Capita een aantal dagen later dat er geen bewijs was dat er persoonlijke gegevens waren gestolen. Dat bleek later onjuist, aangezien de aanvallers onder andere informatie over crimineel verleden, politieke opvattingen, seksuele geaardheid, vakbond-lidmaatschap en geloofsopvattingen hadden buitgemaakt.

Volgens Beaumont is het belangrijk dat organisaties firewall-logs op grote hoeveelheden verkeer controleren, tools zoals rclone blokkeren en duidelijk over incidenten communiceren en die ook zo noemen. Uiteindelijk zijn er volgens de expert zeven pijlers waar organisaties zich op zouden moeten richten. Zo moet er een voldoende bemand SOC zijn, moet al het uitgaande verkeer standaard worden geblokkeerd, moeten systemen die grote hoeveelheden persoonlijke data bevatten en verwerken in kaart worden gebracht en gepentest, moet een externe partij de veiligheid van Microsoft Active Directory testen, is het nodig een "cybersecurity-cultuur" te creëren waar mensen alert zijn op risico's en moeten plannen en technische controls worden getest.