Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties

De educatieve ict-dienstverlener SURFnet heeft zijn eerste landelijke 'cybercrisisoefening' gehouden. Daarbij waren in totaal 27 organisaties betrokken. SURFnet zegt tevreden te zijn over de uitkomst.

In een persbericht schrijft SURFnet dat er tijdens de oefening een simulatie plaatsvond van een aanval door hackers. Deze was gericht op vitale systemen, waaronder studentinformatiesystemen. Het doel is om 'de weerbaarheid van instellingen te vergroten' in een crisissituatie. Cso Alf Moens zegt tegen Tweakers: "Er werd een gecompliceerde aanval door een hackerscollectief nagebootst, waarbij iedere organisatie een eigen variant hanteerde." Zo was er bijvoorbeeld een gesimuleerde aanval waardoor de cijferadministratie niet meer betrouwbaar was en studenten tegen betaling hun cijfer konden ophogen. Daarnaast moesten de deelnemers malware analyseren en logfiles ontsleutelen.

In het geval van ziekenhuizen vonden onder andere oefeningen plaats op welke manier zij om moeten gaan met een datalek. "Daarbij gaat het bijvoorbeeld om de vraag aan welke partij het ziekenhuis een melding moet doen en wie het moet inschakelen", zegt Moens. Een van de opvallende zaken tijdens de oefening was dat partijen een stuk minder communiceren als zij in hun 'crisismodus' zitten, legt hij verder uit. Op dit moment zou de evaluatie nog in volle gang zijn. Moens is bovendien van mening dat de proef goed is verlopen en zegt tevreden te zijn met het resultaat. Ook de deelnemende partijen waren positief over de oefening. Het is dan ook niet uit te sluiten dat deze in de toekomst nog een keer plaatsvindt.

Onder de deelnemende organisaties waren hogescholen, universiteiten, ziekenhuizen en andere onderzoeksinstellingen. Daarvan waren in totaal tweehonderd mensen bij de oefening betrokken. Het beveiligingsteam van SURFnet, SURFcert, was als initiatiefnemer deel van de oefening. In de loop van de exercitie speelden de deelnemers de rol van verschillende betrokken partijen. Bijvoorbeeld studenten, leveranciers, media en toezichthouders.

Het is de bedoeling om eind deze maand een evaluatie van de oefening te publiceren. Daarbij stelt SURFnet ook het draaiboek van de oefening beschikbaar, zodat andere partijen dit voor hun eigen doelen kunnen gebruiken.

Moderatie-faq Wijzig weergave

Reacties (53)

In welk opzicht is een studentensysteem een vitaal systeem, ik zou eerder aan scada systemen, banken, ziekenhuizen en rechtssystemen denken.

Evengoed wel goed dat dit soort stresstesten gedaan worden echter ben ik van mening dat dit veel meer zin heeft om zonder aankondiging uit te voeren dan heeft het naar mijn inzicht meer nut.

Op dit moment lijkt het me dat er een draaiboek is hoe te handelen bij x

---
Surfnet is dus een ICT bedrijf die zich voornamelijk op de volgende doelgroepen richt:
  • Universiteiten
  • Zorginstellingen (academische ziekenhuizen en STZ-ziekenhuizen)
  • Hbo-instellingen
  • Onderzoeksinstituten en daarmee vergelijkbare instellingen
  • Onderzoeksafdelingen van bedrijven
  • Bibliotheken
  • Mbo-instellingen
  • Overige door het ministerie van OCW gefinancierde instellingen
(bron)

Ziekenhuizen zelf zijn dus niet de doelgroep. Daarnaast natuurlijk nog steeds goed dat ze dit soort testen uitvoeren.

[Reactie gewijzigd door xleeuwx op 7 oktober 2016 13:16]

Evengoed wel goed dat dit soort stresstesten gedaan worden echter ben ik van mening dat dit veel meer zin heeft om zonder aankondiging uit te voeren dan heeft het naar mijn inzicht meer nut.

Op dit moment lijkt het me dat er een draaiboek is hoe te handelen bij x
Misschien heeft dat nog meer nut maar het heeft ook nadelen. Ten eerste wil je niet dat mensen drastische maatregelen nemen (servers uitzetten, internet afsluiten, dat soort werk) omdat ze niet door hebben dat het een oefening is. Je moet dus sowieso duidelijk maken dat het een oefening is.
Ten tweede wil je niet dat zo'n oefening plaats vindt op een moment dat je midden in een grote migratie of ander project zit. Je moet wel mensen vrij hebben om mee te doen.
Ten derde heeft zo'n oefening alleen zin als je ook goed registreert wat er gebeurt en wat er goed en fout gaat. Dat gaat een stuk beter als de deelnemers meewerken.
Ten slotte was dit voor veel deelnemers de eerste keer dat ze hier mee in aanraking kwamen. Dat maakte de hele oefening al moeilijk en complex genoeg.

Er was van te voren niet bekend wat er zou gebeuren, alleen dat er tijd moest worden vrijgehouden voor een oefening. Het is dus niet zo dat iedereen z'n draaiboek klaar had liggen dat alleen even afgewerkt hoefde te worden.
Het was een simulatie, medewerkers merkten hier niets van als ze hier niet bij betrokken waren.

Een studentensysteem is zeker vitaal. Stel je voor dat je als hoge school of universiteit niet kan nagaan welke cijfers in je systeem nog betrouwbaar zijn en kloppen. Wat betekend dat voor de studenten? Hertentamens of -examens? Plus dat hier een flinke smak aan persoonsgegevens in staan waarvan je niet wil dat die op straat komen te liggen. Denk eens aan de imagoschade die een instelling kan lijden door zo'n aanval.

[Reactie gewijzigd door JanW op 6 oktober 2016 17:13]

Er vallen geen doden door en het land is ook niet in zn geheel ontregeld als Surfnet plat ligt, dat bedoelt ie denk ik.
Heb het wel eens meegemaakt op de UT in 2002, toen fikte het data centrum af.
Gevolg: allerlei studenten hingen ineens verstrooid rond in gezamelijke huiskamers, kwamen ineens met elkaar in contact ipv op hun kamers te internetten, haha..
Dat inderdaad, maar begrijp uit de teksten dat Surfnet een Educatieve IT dienstverlener is, oftewel geen klanten die echte vitale systemen in het land bedienen. Kan me inderdaad voorstellen dat het voor een school niet leuk is als de cijfers niet kloppen.
Gaat niet alleen om cijfers, als je je niet tijdig inschrijft voor een vak, kom je ook het college of klassikale les niet in.. De orde van grote bij dit soort studentensystemen is even wat groter dan het bedrijfsleven gewend is.. Aan de Hogeschool Utrecht alleen al 47.000 studenten en Universiteit Utrecht 30.000, zoveel mensen bij klanten hebben de meeste bedrijven niet (los van internetwinkels, maar die kennen concurrentie/alternatieven). Een verstoring alleen al in het administratieve proces kost enorm veel manuren.. Risico's worden tegenwoordig uitgedrukt in geld, en dat is hierbij goed vertegenwoordigd.
Surfnet bedient ook de universitaire ziekenhuizen. Dat is redelijk vitaal.
SURFnet is een samenwerkingsorganisatie waarbij onderwijsinstellingen, ziekenhuizen en andere vergelijkbare partijen lid zijn van SURF (de overkoepelende vereniging). SURF(net) verleent dus inderdaad diensten, maar met de instellingen als eigenaar.
Ik heb het dan ook niet over het plat liggen van surfnet, het gaat over het studentinformatie systeem. En daarnaast, 2002 is ook alweer 14 jaar geleden, er is een hoop veranderd. Ook aan wat er allemaal in een studentensysteem staat opgeslagen.

Neem trouwens aan dat je dit bedoeld? nieuws: Computercentrum Universiteit Twente door brand verwoest
Alwaar ook een oude reactie van CyBeRSPiN te vinden is _/-\o_
Echt niet! Er was binnen een paar uur een straalverbinding opgezet.
Idd het was allemaal weer snel up and running... dankzij SNT
Er stond overal heel groot aangegeven wat bij de oefening hoorde hoor..
Op de Hogeschool waar ik studeer gaat alles digitaal, geen les zonder een werkend systeem.
Dan nog steeds is het geen vitaal systeem. Als de IT systemen uitvallen betekent dat hoogstens 1 of meerdere dagen geen lessen. Die kunnen altijd ingehaald worden, desnoods in het weekend.
" Zo was er bijvoorbeeld een gesimuleerde aanval waardoor de cijferadministratie niet meer betrouwbaar was en studenten tegen betaling hun cijfer konden ophogen"

Lezen, het is meer dan alleen een les geven. Al je stukken moet je digitaal aanleveren er wordt digitaal een dossier gevormd. Je cijfers worden digitaal verwerkt etc.
Als deze informatie gehackt wordt dan zijn de problemen wel groter dan "even" geen lessen.

Hacken is meer dan alleen iets plat gooien, wat nou als ze er naar 2 jaar pas achter komen dat mensen cijfers konden veranderen wat doe je dan op dat moment? Van iedere student de afgelopen 2 jaar alles maar terug draaien? "sorry Pietje maar je moet de laatste 2 jaar eventjes overdoen"
Hacken is meer dan alleen iets plat gooien, wat nou als ze er naar 2 jaar pas achter komen dat mensen cijfers konden veranderen wat doe je dan op dat moment? Van iedere student de afgelopen 2 jaar alles maar terug draaien? "sorry Pietje maar je moet de laatste 2 jaar eventjes overdoen"
Erger nog, in die twee jaar hebben ze alle cijfers kunnen wijzigen, ook cijfers die voor die periode zijn behaald. Geen enkel cijfer of diploma van studenten die in die periode hebben gestudeerd is meer te vertrouwen. Wat denk je dat er gebeurt wanneer van alle afgestudeerden van de Universiteit van Amsterdam of de TU in Delft hun diploma waardeloos is? Uiteindelijk zal een deel van de cijfers wel te reconstrueren zijn uit back-ups en papieren cijferlijsten die een docent nog niet had weggegooid, maar er blijft altijd een zweem van twijfel over iedereen die in die periode heeft gestudeerd. Dat betekent dat alle diploma's die in een periode van zeven tot acht jaar worden behaald verdacht zijn en de meeste studenten met die diploma's een serieus probleem hebben om aan een baan te komen.
Als je een organisatie bent en door de verstoring van een dienst je primaire proces niet kunt uitvoeren dan is die dienst voor jou vitaal.

Dus ja voor een school zijn dit soort IT-systemen vitaal.
Wat vitaal is hangt van de context af. Een betrouwbare cijferadministratie lijkt me best vitaal voor een onderwijsinstelling.
Als je een goede backup hebt mag de hele boel affikken en heb je nog steeds geen echt probleem.
Wat een hoop mensen vergeten is dat je dan ook een nieuwe infra nodig hebt om de backup op terug te zetten, een uitwijkomgeving, whatever. Een calamiteit als een raid config die het begeeft is relatief simpel op te lossen. het bedrijf in de as en het niet meer hebben van IT om überhaupt je backup op terug te zetten is een heel ander verhaal Reken maar dat veel bedrijven na een fik een heel dik probleem hebben.
Daar heb je specifieke verzekeringen voor en nog veel belangrijker: uitwijk locaties en eventuele afspraken met leveranciers. Dat het geld kost is logisch maar in een goede gezonde bedrijfsvoering moet fik juist geen onoverkomelijk probleem zijn. Overstromingen zijn erger, want dan zitten meer partijen aan hun leveranciers te trekken...
Ik weet zeker dat als jij bij 10 willekeurige bedrijven naar binnen loopt en naar het calamiteitenplan vraagt, het er domweg niet is. Bij Shell, Philips, Heineken en zo zal het echt wel geregeld zijn, maar bij een willekeurig bedrijf met 50-100 werknemers? Verzekering is te kostbaar evenals een standby omgeving.

Voor een gezonde bedrijfsvoering heb je voldoende marge nodig en dat is wat veel bedrijven momenteel niet voldoende hebben. Maar ach, ons punt is duidelijk.
Zelf heb ik een klein bedrijf en gewoon alles geregeld ;-) maar het is ook onze core business en bij de meeste bedrijven is it dat natuurlijk niet.
Als je ziet wat een universiteit allemaal over jou weet wat betreft persoonsgegevens is het ontzettend belangrijk dat deze veilig staan. Zo'n test vind ik dus zeker geen slecht idee.
In dit geval werd ook in 1 simulatie gesimuleerd dat persoonsgegevens/ cijfers gepubliceerd werden.

Andere simulaties hadden betrekking tot het lekken van onderzoek en installeren van ransomware
Hij bedoelde vitale delen van het suftnet systeem ;)
Vitale delen van de instellingen, de cijferadministratie wordt niet door SURFnet beheert. Wel wordt toegang soms via SURFconext geregeld (een federatief systeem voor toegang). Al is dat voor cijferadministraties nog niet het geval volgens mij, wel voor veel andere systemen.
In welk opzicht is een studentensysteem een vitaal systeem...
Voor deze doelgroep toch wel, hogescholen en universiteiten? Als de Surfnet diensten hier op de hogeschool onbereikbaar zijn, komt de hele boel behoorlijk snel tot stilstand hoor.
Volgens mij heeft Surfnet het glasvezel internet nu, wat later voor de consument gebruikt wordt.
paar dingen: SURFnet biedt wel diensten aan Academische ziekenhuizen en tevens aan STZ-ziekenhuizen (https://www.surf.nl/over-...rginstellingen/index.html).

Daarnaast gaat het bij 'vitaal belang' om het belang voor de betreffende instellingen. Als een cijferadministratie niet betrouwbaar is, dan is dat van vitaal belang voor een onderwijsinstelling. Voor Nederland als land niet, maar dat geldt wel voor meer cyberoefeningen. Doel in dit geval was om te kijken of aangesloten instellingen om kunnen gaan met een grootschalige aanval.
Ik denk dat je moet lezen "vitaal in de infrastructuur en dienstverlening van SURFnet".

Vitaal betekent in deze context niet in landsbelang of levensbedreigend als de systemen niet naar behoren functioneren.

Ik zou zeggen: goed bezig. Mooi stukje onderzoek en vastlegging hoe met zou kunnen handelen in dit soort scenario's!
Maakt toch ook niet uit wat je test. Het gaat erom dat iedereen weet wat ie (procedureel) moet doen, goed blijft communiceren e.d. Het is niet een test om specifiek de cijferadministratie te beschermen, maar om awareness te creëren en te kijken of iedereen op tijd in actie komt en de juiste dingen doet.
studenten systeem een vitaal systeem? Ik denk dan toch eerder aan water/electra sector, banken en overheid, aanpassen van cijfertjes lijkt me niet echt een verhaal van 'zware ontregeling' van systemen.

Goed initiatief om zo te beginnen, maar als ik bv bij een bank of verzekeraar kijk hoeveel lagen daar nog onder zitten die toegang hebben tot dezelfde data, zal je dat toch op behoorlijk grotere schaal moeten uitvoeren.
Mijn school weet veel te veel van me, als je het mij vraagt. Medische gegevens zelfs, allemaal intieme zaken over studievoortgang en persoonlijke omstandigheden.

Ook studieresultaten zijn redelijk belangrijk natuurlijk, iets met kenniseconomie.
Het bestaansrecht hangt aan de integriteit van de cijfers die hier worden behaald.
Als je niet meer zeker kan zijn dat het cijfer daadwerkelijk gehaald is wordt het diploma niets meer waard. Dan kan je als onderwijsinstelling bijna de spullen pakken.
Ja dit is zeker een vitaal systeem bij de onderwijsinstellingen.

In de simulatie konden studenten zelf via een website cijfers aan laten passen. Dat is dus zeker een crisis.
Tuurlijk, er is altijd wat te verzinnen wat erger is. Maar voor een ROC, hoge school of universiteit is het studenteninformatie systeem toch echt vitaal. Er wordt zoveel data opgeslagen in een studenteninformatie systeem, dat gaat verder dan wat cijfertjes. Aanpassen van cijfertjes resulteert in onbetrouwbaarheid van die data en als de cijfers van je studenten niet meer correct zijn kan dat resulteren in flinke kosten en imagoschade.

Op wikipedia staat wat er allemaal opgeslagen kan worden in een studentinformatie systeem: https://en.wikipedia.org/wiki/Student_information_system

Hoe betrouwbaar wil je dat dat systeem is?

[Reactie gewijzigd door JanW op 6 oktober 2016 17:33]

Een cijferadministratie is echter wel een typisch voorbeeld van een kritiek systeem dat de deelnemers van Surfnet hebben. Nutsbedrijven, overheden, banken en verzekeraars zijn niet aangesloten bij Surfnet en vallen dus per definitie buiten de scope van een oefening georganiseerd voor de deelnemers van Surfnet.

Ondanks dat ik het met je eens ben dat er ook vanuit die hoek transparantie mag zijn over beveiliging en tests daarvan, is het als kritiekpunt op deze oefening misplaatst.
studenten systeem een vitaal systeem? Ik denk dan toch eerder aan water/electra sector, banken en overheid, aanpassen van cijfertjes lijkt me niet echt een verhaal van 'zware ontregeling' van systemen.
Alles is relatief. Voor een onderwijsinstelling zijn die systemen inderdaad vitaal. Zonder loopt alles in het honderd. Je kan geen les geven, geen toetsen afnemen, geen scripties innemen, geen diploma's schrijven en geen nieuwe studenten aannemen, afhankelijk van hoeveel je er aan hebt geknoopt.
Als zo'n systeem uitvalt zitten duizenden mensen met hun duimen te draaien. Natuurlijk kan het ook best zonder, een beetje docent heeft geen computer nodig om les te geven, maar als mensen er niet op zijn voorbereid en het systeem opeens uitvalt dan gaat er een hoop tijd verloren.
Vitaal binnen de context van de organisatie waar het om gaat (in dit geval onderwijsinstellingen).
Wat ik me dan afvraag na het lezen van het artikel waarom er geen bedrijven uit de NUTS sector, verkeer en infra of defensie hebben meegedaan? Daar juist lijkt me zo'n groots opgezette simulatie van toegevoegde waarde.
De test werd uitgevoerd in samenwerking met SURF, de IT samenwerkingsorganisatie van hogescholen, universiteiten en (academische) ziekenhuizen.

Heb er zelf ook wat langs zien komen, ben werkzaam op de IT afdeling van 1 van de deelnemende universiteiten.
Ja nu ik er nog een keer goed naar kijk staat het er ook 8)7 . Dat een organisatie als SURF geen zaken er bij betrekt als de NUTS sector is eigenlijk ook vanzelf sprekend: dit valt buiten hun invloedssfeer.

Iemand eigenlijk enig idee of dit soort oefeningen ook gehouden worden in bijvoorbeeld de NUTS sector of, zoals hier onder ook genoemd word, bij banken, ziekenhuizen, rechtssystemen, etc.?
Wat ik me dan afvraag na het lezen van het artikel waarom er geen bedrijven uit de NUTS sector, verkeer en infra of defensie hebben meegedaan? Daar juist lijkt me zo'n groots opgezette simulatie van toegevoegde waarde.
Eerlijk gezegd denk ik dat de oefening wel groot genoeg was. Het was de eerste keer en iedereen had z'n handen vol. Meer externe deelnemers zou IMHO niet veel hebben toegevoegd maar het wel een stuk complexer hebben gemaakt.
Dit soort oefeningen zijn natuurlijk altijd goed. Hoewel je alles tot in de puntjes kunt voorbereiden, kan een oefening in de praktijk vaak een goudmijn aan informatie opleveren hoe mensen nou écht handelen in voorbedachte/onverwachte situaties.
Alles wat de awareness en kennis op dit gebied vergroot is altijd goed. We leven in een wereld waar we complexe systemen hebben gebouwd. Waar veel van afhangt. Ik mag aannemen dat andere sectoren zoals de aangehaalde banken en nutsvoorzieningen ook dit soort scenarios testen. Dat ze dat niet naar buiten brengen is misschien om de buitenwereld niet wijzer te maken dan ze al zijn.
Leuke test, en dan over paar jaar ddos aanval van IoT en alles ligt gewoon plat, net als een normale aanval van vorig jaar. 'tis allemaal tijdelijk.
SURFnet is redelijk goed in staat DDOS aanvallen af te slaan. De gigantische die we laatst zagen (600Gbit/s en hoger) geen idee, maar tot nu toe lukt het prima om MBO-instellingen te beschermen tegen de crap die op ze wordt afgevuurd :).
Inderdaad, maar met IoT die ons nu al 600gbit/s geeft, wil ik niet weten hoe het over een paar jaar is. Naja, ik had slechte dag gisteren, misschien dat ik te negatief met dingen omging.
Dan heb ik dus een bestuurder van de universiteit waar ik werk hierover horen telefoneren van de week. :X Hij had het over een datalek met persoonsgegevens en over fraude met cijferlijsten.
Ik dacht natuurlijk dat het echt was en vond het heel raar dat iemand openlijk op de gang over zulke gevoelige dingen voor de organisatie praat.
Dit kan de oorzaak niet geweest zijn, de oefening heeft geen effect gehad op de productieomgevingen. Eduroam was daarnaast geen onderdeel van de oefening zelfs. Dat klinkt eerder alsof het bij de HR zelf lag (die beheerd de Access Points, niet SURFnet).

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True