Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Hackers hebben met de Citadel-malware honderden gigabytes aan gevoelige data buitgemaakt bij duizenden Nederlandse bedrijven en overheidsinstellingen. De overheid zou hiervan op de hoogte zijn geweest maar slechts weinig tot niets hebben gedaan met deze kennis.

Dat stelt de NOS na het uitvoeren van een eigen onderzoek. Afgelopen najaar kregen hackers grote hoeveelheden gevoelige gegevens in handen door Windows-systemen bij bedrijven en overheidsinstellingen te besmetten met de Citadel-malware. Onder andere bij energiebedrijven, ziekenhuizen en universiteiten zou met behulp van een botnet informatie zijn buitgemaakt door cybercriminelen. Het zou gaan om meer dan 150.000 besmette systemen waarvan 750GB aan data is buitgemaakt.

In september zou Digital Investigation, een beveiligingsfirma die meehielp om het botnet vorig jaar september onschadelijk te maken, een kopie van deze data hebben overhandigd aan de afdeling High Tech Crime. De politie zou echter een onleesbare harddisk hebben gekregen en daarop geen verder onderzoek ingesteld hebben. De NOS heeft twee dagen lang bij Digital Investigation de verzamelde informatie mogen bekijken. In de data zou uiterst gevoelige informatie staan, zoals patiëntgegevens, wachtwoorden, creditcardgegevens en geheime bedrijfsinformatie. De data zou met name uit kantoor-pc's zijn buitgemaakt. Inmiddels heeft de politie alsnog om een kopie gevraagd.

Digital Investigations stelt dat het in december het Nationaal Cyber Security Centrum een lijst heeft gegeven van besmette systemen. Het NCSC zou volgens de NOS echter getroffen bedrijven nauwelijks hebben gewaarschuwd, inclusief organisaties die verantwoordelijk zijn voor cruciale infrastructuur, zoals elektriciteitsbedrijven en ziekenhuizen. Verder heeft het NCSC het databestand van Digital Investigations niet hebben willen aannemen omdat het mogelijk gestolen gegevens bevat. Het is echter niet uitgesloten dat cybercriminelen dezelfde data nog steeds in handen hebben.

Professor Michel van Eeten van de TU Delft en deskundige op het gebied van it-beveiliging, stelt dat de kans dat de buitgemaakte data in de praktijk op grote schaal misbruikt zal worden, relatief klein is. De aanvallers zouden vooral uit zijn geweest op data als inloggegevens en bankdata. De inzet van de Citadel-malware en het achterliggende botnet wordt door Van Eeten dan ook omschreven als 'een schot hagel'.

Reacties (49)

Reactiefilter:-149045+123+25+30
Moderatie-faq Wijzig weergave
De reactie van het hoofd ICT ging over het feit dat er niets is gebeurd met de harddisk met gegevens die is aangeleverd bij Politie/Justitie/NCSC. Het ziekenhuis was een van de eersten die de malware ontdekte en heeft hier ook adequaat op gereageerd.
De gemiddelde oostblokker weet dus zo`n beetje alles van ons. Waarom de overheid hier weinig mee gedaan heeft lijkt me vrij simpel. Men wil dat we toch vooral zoveel mogelijk gegevens online blijven zetten en er weinig protesten blijven wat betreft het online zetten van gegevens door bedrijven en organisaties.
Eens, het is de verantwoordelijkheid van die organisaties om hun eigen security op orde te hebben. Maar:
1. beveiliging is nooit 100%. De kans dat er zulke kwaadwillende malware doorkomt is vaak aanwezig
2. veel organisaties nemen inderdaad die verantwoordelijkheid niet. Moeten wij als burger/klant daarvoor bloeden terwijl dat niet hoeft (de overheid had de lijst met organisaties?) Nee, de overheid moet er dan achteraan, zorgen dat de beveiliging wel op orde komt en een fikse boete uitschrijven, en bij grote fouten het verantwoordelijke bestuur persoonlijk beboeten of desnoods gevangen zetten.

(Dat persoonlijk aanpakken van bestuurders lijkt me de enige mogelijkheid om ervoor te zorgen dat er ook daadwerkelijk aan de privacy/securityregels wordt voldaan)
Precies. Dat de aanvallers ergens anders op uit waren...
1. wil nog niet zeggen dat ze eventuele sappige info laten liggen (zie voorbeeld NAVO-geheimen hierboven)
2. neemt nog steeds niet weg dat die vertrouwelijke informatie ten onrechte gekopieerd is en in te zien voor onbevoegden.

Voor de rest: onbenullige smoezen van de overheid waarom ze niets gedaan hebben. De genoemde clubs zijn nota bene speciaal opgericht om dit soort aanvallen tegen te gaan/op te vangen!
Yep, ik vermoed ook dat ze net zo'n papieren tijger zijn als Diginotar.
Probleem is alleen dat gebruikers wel weten hoe sloten op de deur werken, maar niet hoe sloten in Windows werken.
Ik vraag mij bij dit soort nieuwtjes vaak af: wat gaat er nu concreet gebeuren? Wat voor vervolgacties komen er? En belangrijker is misschien nog wel, worden de gedupeerden (als dat kan) hiervan op de hoogte gehouden of gebracht...?
zucht.. waarom moet het epd er weer worden bij gehaald? En je maakt overigens een grote fout . Je doet namelijk de volgende aanname:

"maar mijn patientgegevens zullen er waarschijnlijk niet bij zitten."

Dat weet je namelijk helemaal niet.
Conclusie van Digital Investigation,

We vonden veel gegevens afkomstig van computers van onder meer gemeenten, waterschappen, ziekenhuizen, universiteiten, ministeries, media, ondernemingen en bedrijven die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen.”

Het zou gaan om onder meer inlogcodes, vertrouwelijke mails, rapporten over bedrijfsprocessen, toegangscodes voor servers en creditcardgegevens. Volgens Digital Investigation genoeg om heel Nederland plat te leggen.

Getroffen bedrijven en organisaties “uit de vitale infrastructuur

Dit is echt levensgevaarlijk.
Dit lek laat de gemiddelde staat van de ICT in Nederland zien. Gevoelige data wordt verwerkt op systemen die voor een zo laag mogelijke prijs zijn neergezet door Windows-"beheerders" die alleen weten in welke volgorde ze op welke knoppen moeten drukken om iets werkend te krijgen. Maar van de onderliggende technieken weten ze niets. De systemen worden on-the-fly ingericht, want van een infra-architectuur en beveiligings-analyse hebben ze jnooit gehoord en ach, de klant vindt dat toch maar duur.
gevolg: de huisartsenpraktijk van dokter Jansen is ingericht door een lokaal ICT bedrijfje dat graag verdient aan MS licenties en inrichtingsuurtjes, maar niet weet welk veiligheidsnivo hoort bij het verwerken van de gegevens in een huisartsenpost. Voor zo'n bedrijfje gelden bij een huisartsenpost dezelfde risico's als bij bv. het administratiesysteem van een lokale aannemer. Data is data, toch?
Dus laat de bedrijven die op deze manier data hebben gelekt maar lekker op de blaren zitten. Ik heb daar geen medelijden mee.
Maar... er zitten hier bedrijven/instellingen tussen die met (privé) data van jou en mij zitten te werken en verplicht zijn daarmee zorgvuldig om te gaan. De overheid moet dus nu actief op zoek naar privé-data van burgers in deze datadump en die burgers waarschuwen.
Helaas. Dat gaat alleen over de toestemming geven voor het *uitwisselen* van je EPD. Het beschermt je niet tegen datadiefstal van het EPD dat je eigen huisarts inklopt op een systeem dat wordt onderhouden door een hobbybob op de hoek.
Wellicht is het dan verstandiger om een thin-client op te zetten die slechts bestaat uit een server terminals. Dan kan je veiligheid centraal afdwingen. (een terminal bestaande slechts uit een monitor en toetsenbord/muis).

[Reactie gewijzigd door BoringDay op 15 februari 2013 06:41]

Uhm. Ik heb bekende die in het ziekenhuis werken. Voor hun is epd zeer fijn te noemen, oa wanneer patiënten een soa / hiv hebben wat herkent is door een huisarts of ziekenhuis komt er gelijk een pop up. Tot die tijd moest je geluk hebben dat het in je lokale systeem stond, of dat die gene het opbiecht. Nu met epd voelen hun als dokter zijne een stuk veiliger.
ik en ook hun geven nadelen toe, maar direct leven besparen dmv een programma vind ik belangrijk
Beetje belachelijk om nu alles af te schuiven op de overheid.

Het is natuurlijk in de eerste instantie de verantwoordelijkheid van organisaties zelf dat ze hun systemen en netwerken beveiligen, zeker als daar gevoelige informatie op staat.

Er is wel een heel grijs gebied van organisaties die al dan niet onder 'bescherming' van het NCSC zouden moeten staan, maar toch niet staan. Denk aan semi-publieke instellingen zoals zorgverleners, scholen, zbo's, enzovoorts... Blijkbaar is zelfregulering niet voldoende, want ze weten het zelf niet op te pakken (als ze uberhaupt de ict taken niet hebben uitbesteed aan derde partijen, die ook niet altijd even goed zijn op gebied van security).
Het grootste lek is de gebruiker. Ik geef toe, het idee om alle documenten die je ooit gemaakt heb op OS niveau dichtzetten voor lees- en schrijftoegang als beveilingsmaatregel klinkt niet heel slecht als je ziet hoe mensen omgaan met computers. Ik denk alleen niet dat je dit erdoor krijgt. Hier helpt het OS dus maar een beetje. Het kan technisch heel goed, alleen de usability wordt vaak een ramp.
Ook al zou de overheid op de hoogte zijn geweest, hadden naast een waarschuwing weinig iets kunnen doen.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Bethesda Softworks

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True