Minstens vier ziekenhuizen in Verenigd Koninkrijk getroffen door malware

De Britse ziekenhuisketen Barts Health heeft te maken met malware. Gedeelten van de netwerken zijn offline gehaald om de verdere verspreiding ervan te voorkomen. Barts Health beslaat in totaal vijf verschillende ziekenhuizen en vier daarvan zouden getroffen zijn.

Een woordvoerder van de ziekenhuizen meldt dat het niet zou gaan om ransomware. Om wat voor malware het dan precies wel gaat, is niet duidelijk. Delen van het netwerk zijn offline gehaald en patiëntengegevens zouden niet getroffen zijn. Werknemers worden gewaarschuwd om geen e-mailbijlages van vreemde afzenders te openen. Vorig jaar bleek dat een overgrote meerderheid van dergelijke Britse ziekenhuisketens nog op Windows XP draait. Of Barts Health dat ook doet, kan echter niet met volledige zekerheid gesteld worden.

De woordvoerder stelt verder dat 'al het mogelijke' gedaan wordt om te voorkomen dat dit incident zijn weerslag zal hebben op de zorg voor de patiënten van de ziekenhuizen. Het is momenteel niet duidelijk of dit de ziekenhuizen lukt.

Van de vijf ziekenhuizen van Barts Health lijken er zeker vier getroffen door de malware. Dat schrijft de Britse krant The Guardian. Volgens de website van de Trust heeft Barts Health 15.000 werknemers en een verzorgingsgebied met 2,5 miljoen mensen erin.

Ziekenhuizen zijn doorgaans een aantrekkelijk doelwit voor ransomware vanwege het belang en de urgentie van het werk dat ze doen en de mogelijk slechte it-beveiliging die ze hanteren. Het is dan ook niet de eerste keer dat een ziekenhuis het doelwit is van een cyberaanval. Vorig jaar werd bijvoorbeeld een ziekenhuis in de VS getroffen door ransomware. De instelling besloot om de 15.000 euro aan Bitcoinlosgeld te betalen om zijn bestanden terug te krijgen.

Door Mark Hendrikman

Redacteur

Feedback • 14-01-2017 11:3391

14-01-2017 • 11:33

91 Linkedin

Lees meer

Ransomware-aanval op Duits ziekenhuis leidde mogelijk tot dood patiënte Nieuws van 17 september 2020
'Britten verdenken Iran van hack op e-mailverkeer parlement' Nieuws van 15 oktober 2017
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update Nieuws van 12 mei 2017
Ziekenhuis implanteert hartmonitor die verbonden is met smartphone Nieuws van 7 april 2017
Kirk-ransomware met Star Trek-thema vermomt zichzelf als ddos-tool Nieuws van 17 maart 2017
Spora-ransomware heeft geavanceerd betaalsysteem en werkt offline Nieuws van 11 januari 2017
Kaspersky brengt decryptor uit voor nieuwste versie CryptXXX-ransomware Nieuws van 20 december 2016
Gestolen e-mails van ov-hacker San Francisco maken werkwijze inzichtelijk Nieuws van 29 november 2016
Ransomware-aanval zorgde voor tijdelijk gratis ov in San Francisco Nieuws van 28 november 2016
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken' Nieuws van 24 november 2016
Brabants ziekenhuis kon door computerstoring urenlang geen spoedoperaties doen Nieuws van 16 april 2016
Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval Nieuws van 18 februari 2016
Belgisch bedrijf dicht lek dat toegang tot röntgenfoto's en patiëntgegevens gaf Nieuws van 11 februari 2016
'Datalek ziekenhuizen gaf toegang tot gegevens 200.000 patiënten' - update Nieuws van 25 januari 2016
Meer producten en artikelen
Netwerk en systeembeheer Groot-Brittanie Hack Hackers Malware Ransomware

Reacties (91)

-Moderatie-faq
91
83
65
3
0
6
Wijzig sortering
GeoBeo
14 januari 2017 16:35
Zet in ziekenhuizen overal 2 computers naast elkaar neer:

1 die aan het internet hangt en helemaal stuk mag (en verder niet op het intranet zit), om "dingen op te zoeken" en te werken aan documenten/emailen/onderlinge communicatie/fappen etc.

1 die uitsluitend aan het intranet hangt (geen enkele toegang tot het internet op dat netwerk, geen USB sticks) voor het opslaan van patiënt-data, aansluiten op apparatuur, diagnoses, etc.

Probleem opgelost?

Leg het mij uit. Waarom denk ik nu te simpel?

[Reactie gewijzigd door GeoBeo op 14 januari 2017 16:36]

TheMak
@GeoBeo14 januari 2017 19:12
Op welke van de twee computers beheer je de patientgegevens die naar inspectiedienst gezondheidszorg, ambulancediensten, ministerie van volksgezondheid, andere ziekenhuizen, speciale bestellingen voor patiënten, wetenschappelijk onderzoek, verzekeringsmaatschappijen, enzovoort moeten gaan?
GeoBeo
@TheMak16 januari 2017 04:42
Op welke van de twee computers beheer je de patientgegevens die naar inspectiedienst gezondheidszorg, ambulancediensten, ministerie van volksgezondheid, andere ziekenhuizen, speciale bestellingen voor patiënten, wetenschappelijk onderzoek, verzekeringsmaatschappijen, enzovoort moeten gaan?
Op die van het intranet. Ambulance diensten kunnen die info via de portofoon krijgen. Iemand in de centrale die het voorleest vanaf het intranet, ongewtijfeld/hopelijk gaat dat nu ook zo aangezien me dat sneller en efficiënter lijkt dan ambulance personeel die het op een touchscreen moet opzoeken tijdens een wilde rit.

De rest kan handmatig door ICT beheerders overgezet worden van intranet naar de volledig onveilige databases van gezondheidszorg, ministerie, andere ziekenhuizen, verzekeringsmaatschappijen, etc. Bijvoorbeeld 1x per dag.


NB: het is IMO echt te gek voor woorden dat zoveel instanties/mensen überhaupt bij patientgegevens moeten kunnen. Dat is garantie voor uitlekken. Iets dat we nu dus ook in de praktijk zien: er gaat geen week voorbij zonder dat er weer een ziekenhuis "gehacked" is. Dat krijg je ervan als er 10.000'en mensen bij "beveiligde" gegevens kunnen.

[Reactie gewijzigd door GeoBeo op 16 januari 2017 05:17]

GertMenkel
@GeoBeo14 januari 2017 17:43
Dat lost het probleem perfect op... totdat iemand even een documentje van zijn mail in het systeem wil zetten. Want hoe onbekend mensen ook zijn met computers, ze moeten en zullen die ene factuur die via de mail komt in het systeem krijgen.

Of nog erger, mensen die eigen systemen gaan bijhouden in een excel documentje op de internetcomputer, die ze dan aan het eind van de maand in het echte systeem gelijk trekken. Want dat is makkelijker da het echte systeem gebruiken omdat je anders geen internet hebt.
mad_max234
@GertMenkel14 januari 2017 20:05
Dan moet je dat de mensen gewoon heel duidelijk maken dat dat verboden is en consequenties aanhangen, geldboete of iets dergelijks. Zal dan vast keertje voorkomen maar daarna weet iedereen het, want daar zal bij de koffie uitgebreid over geklaagd worden. :D
telenut
@mad_max23415 januari 2017 10:26
Alsof IT iets te zeggen heeft in een ziekenhuis... Als voor Prof. Doktor X programma Y moet werken, dan zal IT moeten zorgen dat het werkt. Veilig of niet.
Lu-Tze
@telenut15 januari 2017 15:15
Zo werkt het niet.
Zezura
@Lu-Tze15 januari 2017 23:15
Maar heel vaak wel
mkools24
@Lu-Tze16 januari 2017 00:49
Ik heb IT gedaan in een ziekenhuis zo werkt het wel.
Anoniem: 399807
@GertMenkel16 januari 2017 10:00
Dan maken we dat tegen de regels en iedereen moet een contact ondertekenen waarin hij verklaard de regels na te leven. Zo niet, dan volgt onmiddellijk ontslag en civiel rechterlijke vervolging met een minimum boete van 40.000 euro per vastgestelde overtreding.

M.a.w., we maken je helemaal kapot voor de rest van je leven en zelfs je kinderen zullen nooit meer op schoolreisje kunnen omdat JIJ de regels brak.

Niet zo moeilijk.

Maar ja, we leven in een baarmoeder, dus niemand krijgt echt straf want als je iets fout doet dan vinden rechters dat al zo erg voor je, dat je geconfronteerd werd met je eigen achterlijkheid, dat 3 maanden voorwaardelijke taakstraf al meer dan voldoende is.

Toch?
Yoshi
@GeoBeo15 januari 2017 13:24
Het verschil tussen 8000 pc's en 16000 is nogal groot... Moet betaalbaar blijven
mieJas
@GeoBeo16 januari 2017 10:48
Probleem opgelost?
Leg het mij uit. Waarom denk ik nu te simpel?
Omdat je:
  • een meervoud aan PC's nodig hebt
  • aan meervoud qua netwerkinfrastructuur nodig hebt
  • een infectie op 1 "internet PC" de rest ook gewoon aantast
  • ondersteuning moet regelen op dit niet-bedrijfskritisch netwerk
  • uitwisseling van gegevens met andere ziekenhuizen, mutualiteiten en overheidsinstellingen moeten regelen. En kom niet af met apenwerkjobs om over te typen, want kosten moeten omlaag, ook in de zorgsector. Daar horen personeelskosten ook bij
Een beter oplossing is de middenweg. Toegang verlenen tot internet, maar websites die ook maar in de verte verdacht zijn, zonder meer blokkeren. Er bestaan trouwens genoeg oplossingen die dynamisch lijsten bijhouden met schadelijke websites. E-mail bijlage worden zeer streng gescand. Afbeeldingen of bijlage die ook maar in de verte verdacht zijn, worden zonder meer verwijderd. Uitwisselingsplatformen moeten TFA ondersteunen, enz... Veel van die maatregelen zijn niet altijd populair, maar als men meer wil surfen, moet men maar de smartphone en 4G gebruiken.

Als ziekenhuis IT moet je -naar mijn mening- geen omvangrijk vrijetijdsnetwerk voorzien, dat is belachelijk. De focus ligt op de patiënt en de zorg. Afleiding en ontspanning kan en moet, maar niet op die manier.

Edit: dit gaat overigens enkel over de administratieve PC's. Machines op intensieve zorgen, spoed, operatiekwartier zijn veelal afgescheiden van de rest van het netwerk. Vaak zelfs a.d.h.v. aparte kabels en switchen die volledig los staan van de rest van het netwerk, hetzij sterk ge-firewall-d.

[Reactie gewijzigd door mieJas op 16 januari 2017 10:54]

GeoBeo
@mieJas17 januari 2017 04:49
Zie wat ik eerder typte op een andere reactie:
Op die van het intranet. Ambulance diensten kunnen die info via de portofoon krijgen. Iemand in de centrale die het voorleest vanaf het intranet, ongewtijfeld/hopelijk gaat dat nu ook zo aangezien me dat sneller en efficiënter lijkt dan ambulance personeel die het op een touchscreen moet opzoeken tijdens een wilde rit.

De rest kan handmatig door ICT beheerders overgezet worden van intranet naar de volledig onveilige databases van gezondheidszorg, ministerie, andere ziekenhuizen, verzekeringsmaatschappijen, etc. Bijvoorbeeld 1x per dag.


NB: het is IMO echt te gek voor woorden dat zoveel instanties/mensen überhaupt bij patientgegevens moeten kunnen. Dat is garantie voor uitlekken. Iets dat we nu dus ook in de praktijk zien: er gaat geen week voorbij zonder dat er weer een ziekenhuis "gehacked" is. Dat krijg je ervan als er 10.000'en mensen bij "beveiligde" gegevens kunnen.
Ik ben niet echt overtuigd van je argumenten hiertegen:

-- een meervoud aan PC's nodig hebt
Ja en dus? Aan de kosten kan het niet liggen: het mogen lichte PC's zijn (of laptops of tablets) in de prijsklasse rond de 200-300 EUR per stuk. Ja dit zijn meerkosten, maar daar staat tegenover dat je geen complex netwerk onderhoudt meer hebt, omdat je infrastructuur zwaar versimpeld is. Geen gedoe met websites blokkeren, geen gedoe (op dit deel van het netwerk) met backups, zo goed als 0 risico's. Geen omkijken naar dus. Als er wat mis gaat reset je de image op alle goedkope bakken in het hele netwerk en klaar.

Sterker nog: je zou het voor het gemak kunnen doortrekken door deze apparatuur aan personeel aan te bieden in de vorm van een laptop met bedrijfskorting. Alle verantwoordelijkheid afschuiven op de eigenaar van de laptop (je personeel) en klaar ben je.

-- aan meervoud qua netwerkinfrastructuur nodig hebt

Nee. Wifi is er (bijna altijd?) al. Je kunt al die goedkope bakken prima op wifi laten draaien. Geen meerkosten dus behalve een extra stopcontact dat er al is op alle nodige plekken.

-- een infectie op 1 "internet PC" de rest ook gewoon aantast

De rest aantast in het volledig non-bedrijfskritische netwerk. Totaal geen probleem dus. Letterlijk met 1 command-line op te lossen door op alle speel-PC's de clean image terug te zetten.

In het geval de laptops van het personeel zijn kun je ze zelf een reset laten doen of de dienst aanbieden bij de ICT desk. De image reset kan met een USB-stick en 1 druk op de knop.

-- ondersteuning moet regelen op dit niet-bedrijfskritisch netwerk

Zie hierboven: dat is relatief makkelijk en wellicht zelfs makkelijker dan wanneer je maar 1 netwerk hebt.

--- uitwisseling van gegevens met andere ziekenhuizen, mutualiteiten en overheidsinstellingen moeten regelen. En kom niet af met apenwerkjobs om over te typen, want kosten moeten omlaag, ook in de zorgsector. Daar horen personeelskosten ook bij

Zie hierboven in de quote: dat soort gegevens worden door personeel direct ingevoerd op de intranet PC's. Gegevens uit het intranet netwerk worden (bijvoorbeeld) 1x per dag door ICT personeel overgezet. En dat hoeft niet overtypen te zijn, dat mag ook automatisch gaan. Het punt is dat er een kleine groep experts verantwoordelijk zijn voor het risicovolle "sharen" van data in plaats van een tsunami aan totaal onkundig personeel dat zich hier mee bezig houdt in het traditionele systeem.

[Reactie gewijzigd door GeoBeo op 17 januari 2017 04:53]

sloddervos
14 januari 2017 11:49
Er hoeft maar 1 medewerker op een link in een phisingmail te drukken en je hele systeem is ingepakt...

Elk uur een back-up en je verliest weinig data, maar natuurlijk kostbaar voor een groot ziekenhuis.
Randfiguur
@sloddervos14 januari 2017 12:09
Elk uur een back-up en je verliest weinig data, maar natuurlijk kostbaar voor een groot ziekenhuis.
Moet je wel binnen het uur doorhebben dat er malware op je systemen zit, anders wordt die mee-gebackupt en ben je nog verder van huis. Toch?
flaskk
@Randfiguur14 januari 2017 12:13
Dan moet je inderdaad meerdere backups op verschillende tijden en locaties draaien. Moet je voorstellen als Cryptoware de boel en inclusief de backups heeft versleuteld.
PPie
@flaskk14 januari 2017 12:18
Read-only snapshots.
De snapshot zal dan nog steeds leesbaar zijn.
supersnathan94
@PPie14 januari 2017 12:24
Ja maar de inhoud nog steeds versleuteld. Kan je dus alsnog niets mee.
PPie
@supersnathan9414 januari 2017 13:30
De nieuwe inhoud inderdaad wel. De (backup) snapshots dus niet, want die zijn read-only...
supersnathan94
@PPie14 januari 2017 14:16
ja precies. Oudere snapshots zijn niet aantastbaar bedoel je. Echter valt dat vaak vies tegen. Oudere data wordt bijvoorbeeld gepopped om ruimte vrij te houden voor nieuwe dingen dus als jij dat weet te flooden door ineens heel veel nieuwe data te genereren dan willen die backups nog wel eens raar gaan doen en de goede snaps gaan verwijderen. Uiteraard moet je hier dus rekening mee gaan houden en als beheerder in een grote organisatie als dit ga je er vanuit dat een back-up die ineens 30 maal groter is niet kan kloppen (block vanuit de applicatie opleggen).
Rataplan_
@supersnathan9414 januari 2017 14:48
Ik mag hopen dat je daar monitoring op hebt. Als je storage meer snapshots op moet ruimen om een nieuwe snapshot kwijt te kunnen dan in je treshold ingesteld, dan moeten er bellen gaan rinkelen.
supersnathan94
@Rataplan_14 januari 2017 14:55
Nou nee. Dan moet de applicatie gewoon weigeren. Dat betekent namelijk dat er mutaties zijn in alle data op het systeem en waarschijnlijk nog wel meer als dit systeem ook naar netwerk directories kan schrijven.

Alleen alarmbellen is niet voldoende.
Blokker_1999
@Randfiguur14 januari 2017 12:37
Een backup hoort incrementeel te zijn. Hierbij kan je terugrollen naar het moment voor infectie.
erwinb
@Blokker_199914 januari 2017 12:53
incrementeel of een full backup?
zoals hierboven al aangegeven,snapshots maken is de first-line of defence. werkt perfect voor gebruikers fouten (de oeps factor) en ook voor ransomeware. voor de second-line of defence gebruik je backup naar een ander medium. Replicatie op storage level werkt ook goed voor de second-line of defence.
Blokker_1999
@erwinb14 januari 2017 16:44
Zoals je aangeeft is het dus beide. In de eerste plaats incrementeel. En om de zoveel tijd schrijf je die weg naar bijv. tape of externe drives en kan je eventueel met een volledig nieuwe backup beginnen. Maar je moet zeker in de recente geschiedenis redelijk fijn kunnen teruggaan om zo min mogelijk aan data te verliezen.
Cerberus_tm
@erwinb14 januari 2017 14:09
Read-only is wel belangrijk hier...
Luchtbakker
@Randfiguur14 januari 2017 20:54
Niet als je ze voor langere tijd bewaard.
geekeep
@sloddervos14 januari 2017 11:59
Uhm nee. Fatsoenlijk securitybeleid is er juist om te voorkomen dat gebruikersfouten gevolgen hebben voor belangrijke systemen. Wat dat betreft is het installeren van een beveiligingssuite, server of databasesoftware compleet andere koek dan het goed inrichten en beveiligen ervan.
535502
@geekeep14 januari 2017 13:57
Eén van de beveiligingen is je personeel en/of gebruikers opleiden tot een verantwoord computergebruik.
Maar men gaat ervan uit dat tegenwoordig iedereen zomaar vanzelf goed met ict-systemen kan omgaan en ze op een veilige manier gebruiken omdat nu toch iedereen (buiten een paar rare uitzonderingen) rondloopt met smartphone, tablet of laptop of thuis een pc heeft staan.
Het is niet omdat je die dingen hebt en gebruikt, dat iedereen er goed mee en veilig mee om kan gaan.
Opleiding en opfriscursussen dienen continu te gebeuren en in welke bedrijven (overheid of privé) gebeurt dit op stelselmatige manier?
Cerberus_tm
@53550214 januari 2017 14:12
Helemaal waar. En dan nog, de gezondheidszorg staat onder druk, mensen moeten steeds harder werken, minder tijd, meer formulieren invullen, meer stress. Co-assistenten en doktoren die de specialistenopleiding volgen worden vaak afgebeuld, met te lange diensten en te weinig slaap. En er zijn altijd overal nachtdiensten en onderbroken slaapritmes. Geen klimaat bevorderlijk voor secuur computergebruik.
Tokkes
@53550215 januari 2017 01:21
Maar als ze al op school zitten met de mentaliteit "als ik kan facebooken (noxa in haar geval, was een 12 jaartjes geleden) en kan Skypen (MSN back in the day) moet ik voor de rest niets weten" (echte quote van een leerlinge)....
core_dump
@geekeep14 januari 2017 17:12
Hoe goed je je medewerkers ook opleidt er zullen altijd klikgrage idioten tussen blijven zitten.

En ik moet de eerste serieuze antiransomware software nog zien.
PolarBear
@sloddervos14 januari 2017 11:57
Er hoeft maar 1 medewerker op een link in een phisingmail te drukken en je hele systeem is ingepakt...
Nou ja met de huidige malware/ransomware etc zijn alle bestanden waar de medewerker bij kan ingepakt.
paradoXical
@sloddervos14 januari 2017 21:13
Zou hier niet om ransomware gaan, aldus het artikel. Backups zijn leuk tegen ransom/cryotoware maar beschermen niet tegen diefstal van data...
TheGhostInc
@sloddervos15 januari 2017 00:02
Er hoeft maar 1 medewerker op een link in een phisingmail te drukken en je hele systeem is ingepakt...
Een werkstation wel. Maar op servers heb je geen mail (behalve de mailserver :+ )
Elk uur een back-up en je verliest weinig data, maar natuurlijk kostbaar voor een groot ziekenhuis.
Sowieso is veel data 'verstopt' in systemen. Daar kom je niet bij de (bron) bestanden.
Daarnaast zijn backups het 'goedkope' gedeelte van ziekenhuis IT systemen. Dat is echt het laatste redmiddel. Een restore kost namelijk uren of zelfs dagen....
Moet je voorstellen dat je 24 uur niet bij het EPD kan... ALLE niet spoedeisende ingrepen worden dan direct gestaakt.
Normaal ga je dan over op papier, maar als je ook de 'laatste stand' van het EPD niet kan printen, dan sluit effectief je ziekenhuis.

Windows XP hoeft dan ook niet meteen een ramp te zijn. Als de servers in de lucht blijven kun je de werkstations snel vervangen/imagen/fixen. En als een deel al nieuwer is blijft dat deel werken. Lastig, maar niet onoverkombaar.
telenut
@TheGhostInc15 januari 2017 10:20
Werkstations snel vervangen/imagen? Je hebt er geen idee van hoe specifiek de meeste werkstations zijn ingericht in een ziekenhuis...
Yzord
@sloddervos14 januari 2017 12:04
Elk uur een backup over vijf dependances?? Poeh, als de robot dat maar bij kan benen.
PPie
@Yzord14 januari 2017 12:17
Read-only snapshots.
Kosten qua opslag nagenoeg niets.
dycell
@PPie14 januari 2017 13:25
Ligt er volledig aan wat je wilt snapshotten. Een encrypted database zal naar 1 seconde al de volledige grote van de database benodigd hebben.

Trouwens: Snapshots zijn geen backups.. Voorbeeld:
http://www.oracle.com/tec...-fra-snapshot-322251.html

[Reactie gewijzigd door dycell op 14 januari 2017 13:28]

PPie
@dycell14 januari 2017 13:29
Niet als je disk blok snapshots gebruikt, alle ongewijzigde disk blokken kunnen natuurlijk worden hergebruikt. De kans dat de hele database in 1 seconde veranderd is natuurlijk klein...
dycell
@PPie14 januari 2017 14:45
Je gaat er dan van uit dat je storage differential block-based snapshots kan maken. Iets wat alleen met erg dure enterprise SAN controllers kan maar dat zou voor een ziekenhuis niet een probleem moeten zijn.

Een database zal afhankelijk van de encrypted inderdaad volledig gewijzigd kunnen zijn. Sommige crypto virussen encrypten alleen het begin van het bestand voor snelheid maar de meeste versleutelen het hele bestand. Dit bestand is dan volledig gewijzigd en een backup (block-based) is dan even groot als het bestand zelf. Alle data is immers gewijzigd. De storage heeft geen kennis van de inhoud. Hiervoor heeft deze immers de decryptie sleutels nodig. Daarom heeft encryptie ook een grote impact op de storage.
Zie hiervoor als voorbeeld:
VMware vSphere 6.5 Virtual Machine Encryption Performance
http://www.vmware.com/con...yption-vsphere65-perf.pdf
Shielded VMs in Windows Server 2016 Hyper-V
https://blogs.technet.mic...rotecting-tenant-secrets/

Neem daarnaast dit nieuws:
nieuws: 'Aantal gegijzelde MongoDB-databases stijgt snel'
Wanneer je een block-based snapshot maakt van deze gegijzelde database zal je bijna even veel ruimte nodig hebben als de database groot is (alle data is immers veranderd).

Dit probleem geld dus niet alleen voor databases. Ook encrypted volumes (Exchange 2016, iemand?) en encrypted VMs zijn een groot probleem voor storage based backup methodieken. Vandaar dat men steeds meer Software Defined Storage oplossing aangaan die hier beter mee kunnen omgaan.

Source: 3 jaar NetApp FAS consultant geweest. Snapmirror, Snapvault en Metrocluster designs gemaakt. Encryptie was een groot probleem binnen twin-datacenter en synchroon gerepliceerde volumes.
Cerberus_tm
@PPie14 januari 2017 14:15
Als je de hele database als 1 groot ding versleutelt, verandert toch de hele database elke keer dat je een klein dingetje erin wijzigt?
Rataplan_
@Cerberus_tm14 januari 2017 14:46
Nee. Bovendien denk je hier in file-level backup. Snapshots werken op block-level, en kijken naar daadwerkelijk gewijzigde blokken op je disk, niet naar verandere bestanden. File-level backup is ontzettend ouderwets maar als je in die termen denkt ZOU je gelijk kunnen hebben, echter dan zou je hetzelfde probleem hebben wanneer de database niet encrypted is. Bij file level is 1 bit gewijzigd in een file --> hele file naar de backup.
Cerberus_tm
@Rataplan_14 januari 2017 15:06
Als je 1 bit verandert in een database, vervolgens de hele database in 1x versleutelt, dan veranderen toch alle blokken 100%? Denk aan b.v. een Truecrypt-container met een database erin. De enige manier waarop dat niet zo zou zijn is m.i. als je niet de database als geheel vesleutelt, maar elke waarde apart, of elk blok van de database apart, of iets soortgelijks, wat dacht ik allerlei nadelen heeft.

[Reactie gewijzigd door Cerberus_tm op 14 januari 2017 15:09]

JapyDooge
@Cerberus_tm14 januari 2017 19:44
Ook file/database encryptie werkt vaak op block-level. Dit is om te voorkomen dat een 200GB grote database bij iedere aanpassing de hele disk moet aanpassen. Dat is namelijk qua performance onbruikbaar.
Cerberus_tm
@JapyDooge14 januari 2017 20:41
OK als je software gebruikt die de database niet in zijn geheel versleutelt maar in delen, dan heb je het probleem niet dat Dycell aanduidde. Maar niet iedereen doet dat, toch?
JapyDooge
@Cerberus_tm14 januari 2017 21:01
Het is zeer ongebruikelijk voor encryptiesoftware die een grote file / disk encrypt, om _alles_ aan te passen.

Het is encryptie, geen hash die in z'n geheel veranderd bij de aanpassing van een letter.

De reden laat zich uiteraard raden: performance.

Er zal met encryptie altijd een performance-overhead zijn (zelfs puur hardwarematige encryptie heeft veelal een merkbare vertraging in benchmarks) maar als het hele encryptieblok aanpast bij iedere wijziging is het onwerkbaar. Als jij full disk encryptie op je laptop gebruikt wil je echt niet dat alles veranderd voor iedere muisklik die je doet.
iceheart
@Cerberus_tm14 januari 2017 16:07
Aan de andere kant heeft jouw idee het 'kleine' nadeel dat je elke paar seconden de volledige DB weer weg moet schrijven. ik wens je veel sterkte met een beetje een forse DB. Kan gewoon niet :)
Cerberus_tm
@iceheart14 januari 2017 20:37
Je kunt hem toch tijdelijk uitpakken en in het geheugen laden, of zelfs tijdelijk hard opslaan? Ja, dat kost opstarttijd, maar goed, als je versleuteling wilt... Als dat niet nodig is, heb je dit probleem natuurlijk niet. Maar Dycell gaf een versleutelde database als voorbeeld van waar een incrementele/decrementele back-up/snapshot niet mogelijk is.
TheMak
@Rataplan_14 januari 2017 23:11
Is het nog wel mogelijk voor de gebruiker om een gewijzigde file op te vragen?
asing
@dycell14 januari 2017 19:39
Dacht je dat een ziekenhuis wat waarschijnlijk nog op XP draait hun databases zal encrypten?

Think again, geld wordt besteed aan andere zaken. Bovendien, het gaat niet om ransomware maar iets anders. Wat dat is is niet bekend gemaakt.
dycell
@asing15 januari 2017 14:08
Windows XP is een desktop OS. Databases draaien op server besturingsystemen (2008/2012/2016) dus XP is hierin niet relevant.

Geld is trouwens meestal niet de reden om lang XP te draaien. Complexiteit, oude software welke niet te vervangen is of gebrek aan kennis en tijd zijn eerder redenen waarom er niet wordt ingegrepen.
asing
@dycell16 januari 2017 00:02
Ik heb de afgelopen 4-5 jaar in ziekenhuizen gewerkt. Dus ik denk dat ik wel weet waar ik het over heb ;) .

Het is erger dan jij denkt :X .
kozue
@dycell16 januari 2017 10:51
Gebrek aan technische kennis is *juist* waarom die database wél op XP zal draaien. Het is ooit een keer opgezet als test op een desktop en omdat het toch wel draaide en migraties "lastig" en "onnodig" zijn draait die XP desktop jaren later nog steeds de database. Zo gaat het naar mijn ervaring meestal bij toko's die nul verstand van IT hebben. "Want het werkt toch?"
4nik
@Yzord14 januari 2017 14:09
Incrementele read only snapshots, via redirect on write (genre Netapp, maar de meeste storage vendors hebben zoiets) verbruiken niet veel capaciteit (afhankelijk van je wijzigingen), zijn instant, en binnen seconden data van teruggezet. Dit is geen backup, maar wel een zeer efficiënte en gebruiksvriendelijke first line of defence om snel terug te kunnen gaan. Een aantal klanten van ons heeft hiermee al heel snel een copy van max een uur oud kunnen terugzetten. En geloof me, je weet het als it dienst binnen het uur, omdat je telefoon heel snel begint te rinkelen in zo'n geval :-)
Dysmael
@sloddervos14 januari 2017 12:01
Valt qua kosten juist enorm mee. Peanuts in vergelijk met kosten van dataverlies en elk uur een back-up kost niet heel veel meer dan eens per 24 uur een backup
dycell
@Dysmael14 januari 2017 13:24
Tuurlijk kost dat meer: meer backups = meer opslag voor die backups.
Uiteraard zijn de kosten van dataverlies wel meer dan de investering om het achteraf te fixen.
Rataplan_
@dycell14 januari 2017 14:44
Leg mij eens uit waarom de 24x het verschil per uur meer dataverschil oplevert dan 1x per dag? Ik ga dan uit van block-level backup, file-level backup is al lang een gepasseerd station.
dycell
@Rataplan_14 januari 2017 14:59
Tja, dat is inherent aan alle backup technieken. Ik ga er even van uit dat je differentiële snapshots maakt (incrementele kosten enorm veel ruimte) maar maak eens een snapshot. Deze kost gewoon ruimte, als in: deze is nooit 0 KB zelfs als er niets gewijzigd is.

Als er wel iets gewijzigd is dan zal dit zeker meer data opleveren.
Stel dat een bestand ieder uur gewijzigd wordt, wanneer ik één backup in 24 uur is dan kost mij dat het verschil van de originele bestand en de backup.

Wanneer ik ieder uur een backup maak dan kost mij dat het verschil van het originele bestand + 24x de wijzigingen van ieder uur. Of dit nu snapshot-based is of niet, er komen steeds meer blokken C bij dus kost dit meer ruimte.

[Reactie gewijzigd door dycell op 14 januari 2017 15:00]

Dysmael
@dycell14 januari 2017 20:02
Ik zei niet dat het niet meer kost, ik zei dat het niet heel veel meer kost. Dat is niet hetzelfde.

Voorbeeld: omgeving van 5,5 TB waarvan elke 2 uur een back-up wordt gemaakt.

Daar duurt het maken van een back-up 15 minuten en dat kost 25 GB aan extra opslag. On-site worden 28 revisies bewaard en 's nachts wordt de laatste revisie off-site geplaatst waar 14 dagback-ups en 12 maand-backups worden bewaard.

De nachtelijke off-site back-up neemt 55GB in gebruik. Dat is alleen het verschil t.o.v. 24 uur geleden, dus niet alle tussentijdse back-ups die elke 2 uur worden gemaakt.
ninjazx9r98
@Rataplan_15 januari 2017 08:44
Waarop baseer je dat filelevel al lang een gepasseerd station is?
Ik kom het in ieder geval met zeer grote regelmaat nog tegen bij heel veel bedrijven.
dycell
@ninjazx9r9815 januari 2017 14:20
Marketing. :D
Ik heb een tijd lang storage oplossing geplaatst en dat vertellen de leveranciers je iedere dag. Het heeft zijn bron van waarheid maar na een tijdje kom je er zelf ook wel achter dat het ook niet de heilige graal is die men aangeeft.

Software Defined Storage is de nieuwe heilige graal. Alle voordelen van filebased backup met de snelheid van storage based backup.

Ik wacht wel van een afstandje af of het wat is...
KaasDoosNL
14 januari 2017 12:08
Lijkt erop dat er geen strak securitybeleid is. Je zou er toch vanuit gaan dat ze ook een HIPS/IPS oplossing draaien om deze malware te detecteren en te voorkomen? Maar daar zal wss wel weer op bezuinigd zijn.
Saph
@KaasDoosNL14 januari 2017 12:39
Geen enkel beveiligingssysteem is 100% waterdicht, er kan altijd wel iets doorheen komen als een onoplettende medewerker een verkeerder link of bestand opent.
KaasDoosNL
@Saph14 januari 2017 14:16
True, maar een 'juiste' implementatie (van bijv. HIPS icm met gespreide IPS) zou dit gewoon moeten tegenhouden. Tenzij het natuurlijk out-dated is of bij gebruik van zerodays.
Aaargh!
@Saph15 januari 2017 10:12
Maar waarom mag een medewerker willekeurige executables opstarten ? Ik neem aan dat je zelfs op Windows de boel zo in kan richten dat gebruikers alleen de door de IT afdeling geïnstalleerde applicaties mogen starten ?
Anoniem: 855731
14 januari 2017 13:49
We horen dit soort zaken alleen maar van publieke organisaties omdat die daar min of meer toe verplicht zijn. Ben toch benieuwd hoe vaak dit soort dingen gebeuren binnen particuliere organisaties. Net als grote IT projecten die uit de hand lopen. Bij de overheid wordt dat breed uitgemeten, bij bedrijven wordt het versleuteld in de operationele kosten. En dat terwijl iedereen, ongeacht waar je werkt, dit soort dingen heeft meegemaakt.
Aaargh!
@Anoniem: 85573115 januari 2017 10:14
We horen dit soort zaken alleen maar van publieke organisaties omdat die daar min of meer toe verplicht zijn.
Particuliere organisaties zijn dat in Nederland sinds begin 2016 ook verplicht.
telskamp
14 januari 2017 14:23
afgezien van offline backups is ook een bestand systeem met voorgaande versies heel makkelijk om crypto malware terug te draaien.
mutley69
@telskamp14 januari 2017 14:44
Niet altijd - als de malware diep genoeg zit - schakelt die de snapshots gewoon uit of wist hij deze (zie windows). De oplossing daarvoor zijn opslagoplossingen waar de malware niks mee is. Hopelijk hebben die ziekenhuizen zoiets.
Zodiac
14 januari 2017 18:19
Vraag me af wat voor systemen die gerelateerd zijn aan patientenzorg in hemelsnaam een netwerkverbinding hebben, laat staan toegang tot het Internet/kantoornetwerk. Net zoals kerncentrales die aan het Internet gekoppeld zijn - dit zijn toch systemen die je niet aan een onvertrouwd netwerk koppelt? 8)7

Goed, wellicht een beetje overdreven reactie en ik begrijp dat het makkelijk is voor het beheer, en er zal vast een zinnige reden voor zijn, maar m'n punt blijft - een goede scheiding tussen kritische netwerksegmenten en al helemaal geen Internettoegang tot systemen waar mensenlevens van afhankelijk zijn.

Ik hoop dat ze bedoelen dat het roosterapplicatie voor personeel getroffen is en niet een controlesysteem voor het toedienen van medicatie oid...
Anoniem: 656849
@Zodiac15 januari 2017 17:03
Netwerkverbinding zo'n beetje alles, ECG apparaten, Rontgen,MRI, LAB, EPD
Een dossier moet overal toegankelijk zijn.
En internet is nodig voor communicatie naar landelijke databases, huisartsen, apotheken etc. die weer recepten of brieven nodig hebben uit het EPD.

Een ander ziekenhuis probleem is dat je netwerk wel helemaal up to date kan zijn maar dat los staande medische apparaten vaak hun eigen besturingssysteem draaien waaronder Windows, Linux en soms ook externe toegang voor updates en problem solving.
Vaak al een fikse taak om alles met elkaar te laten communiceren.
Qinshi
15 januari 2017 10:05
Iedereen spreekt van phising mails.
maar veel VPK/doctors gebruiken USB sticks (wel met paswoorden) om dossieren te transfereren, van thuis uit nog wat aan te werken.

Je kan als gewone man gewoon in een ziekenhuis binnenwandelen, met een USB stick vol krachtige malware/virus en die gewoon in een random pc droppen.
Het is niet dat deze beveiligd zijn met krachtige antivirussen.

Edit: en dan spreek ik nog niet van ziekenhuizen die een slecht beveiligde wifi netwerk hebben.
Zo werd er eens een reportage gemaakt, waarbij men vanaf de buitenmuren van het ziekenhuis, zittend in het park. Het inet/wifi/systemen kon hacken van een plaatselijk ziekenhuis.

[Reactie gewijzigd door Qinshi op 15 januari 2017 10:08]

telenut
@Qinshi15 januari 2017 10:28
De meeste gebruiken dropbox...
En als je weet dat er ziekenhuizen zijn die WEP encryptie gebruiken voor wifi weet je genoeg zeker?
Dasprive
14 januari 2017 14:36
Toch typisch hoe de eerste berichtgeving bij dit soort datalekken of malware infecties altijd is: " nee het valt best mee, zijn maar paar systemen, hebben alles onder controle en betreft vooral geen patient/klant/abonnee gegevens (haal door wat niet past), alleen maar wat oude en absoluut niet gevoelige documenten"

Interessant om de verdere berichtgeving te volgen hoe langzaam blijkt dat het toch ransomware is en er toch patient gegevens bij zitten.

[Reactie gewijzigd door Dasprive op 14 januari 2017 14:37]

Bilbo.Balings
14 januari 2017 12:11
Er is bij de NHS, National Health Service, niet eens genoeg geld om adequate gezondheidszorg te financieren door de draconische bezuinigingen van de afgelopen jaren. De verwachting is dat dit de komende jaren nog veel erger gaat worden.
Dus laat staan dat er geld is voor een goede ICT voorziening en beveiliging.

http://www.bbc.com/news/health-32057948
https://www.theguardian.c...atients-association-study

[Reactie gewijzigd door Bilbo.Balings op 14 januari 2017 12:46]

mutley69
@Bilbo.Balings14 januari 2017 14:45
Een meerderheid van de pc's die onder het NHS vallen, zou volgens bepaalde bronnen nog altijd windows XP draaien - dat zegt denk ik bijna alles.
kozue
@mutley6916 januari 2017 10:52
Barts Health draait ook nog op XP.
http://www.theinquirer.ne...-infected-with-ransomware
PolarBear
@Anoniem: 85573114 januari 2017 18:43
Tsja, 2 jaar geleden hebben ze de Tories een recordoverwinning bezorgd in de UK dus dit was te verwachten. Ben wel benieuwd hoeveel van de mensen die nu klagen toen op de Tories hebben gestemd.
Als of er de afgelopen 2 jaar enorm bezuinigd is op de NHS. Dat is dus niet het geval, het hele systeem is rot en dat is echt niet van de afgelopen 2 jaar Tories.
Cerberus_tm
@Anoniem: 85573114 januari 2017 14:18
Ik vind het echt interessant dat zoveel arme mensen heel rechts stemmen. Dan weet je toch dat dat slecht voor je portemonnee zal zijn. Blijkbaar zijn de nationalistische aspecten van rechts belangrijker voor hen dan de financiële?
Tokkes
@Cerberus_tm15 januari 2017 01:29
Als rechtse partij speel je gewoon heel fijn met wat cijfertjes en klaagt over het groeiend aantal migranten dat jobs van nationals afpakt. Daar heb je meteen de gevoelige snaar van die armen geraakt en heb je hun stem dus.
Anoniem: 812503
15 januari 2017 03:21
Wel zielig dat je malware naar een ziekenhuis stuurt. Ik vind ook dat dit wel wat beter beveiligt mag worden.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee