Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minstens vier ziekenhuizen in Verenigd Koninkrijk getroffen door malware

Door , 91 reacties

De Britse ziekenhuisketen Barts Health heeft te maken met malware. Gedeelten van de netwerken zijn offline gehaald om de verdere verspreiding ervan te voorkomen. Barts Health beslaat in totaal vijf verschillende ziekenhuizen en vier daarvan zouden getroffen zijn.

Een woordvoerder van de ziekenhuizen meldt dat het niet zou gaan om ransomware. Om wat voor malware het dan precies wel gaat, is niet duidelijk. Delen van het netwerk zijn offline gehaald en patiëntengegevens zouden niet getroffen zijn. Werknemers worden gewaarschuwd om geen e-mailbijlages van vreemde afzenders te openen. Vorig jaar bleek dat een overgrote meerderheid van dergelijke Britse ziekenhuisketens nog op Windows XP draait. Of Barts Health dat ook doet, kan echter niet met volledige zekerheid gesteld worden.

De woordvoerder stelt verder dat 'al het mogelijke' gedaan wordt om te voorkomen dat dit incident zijn weerslag zal hebben op de zorg voor de patiënten van de ziekenhuizen. Het is momenteel niet duidelijk of dit de ziekenhuizen lukt.

Van de vijf ziekenhuizen van Barts Health lijken er zeker vier getroffen door de malware. Dat schrijft de Britse krant The Guardian. Volgens de website van de Trust heeft Barts Health 15.000 werknemers en een verzorgingsgebied met 2,5 miljoen mensen erin.

Ziekenhuizen zijn doorgaans een aantrekkelijk doelwit voor ransomware vanwege het belang en de urgentie van het werk dat ze doen en de mogelijk slechte it-beveiliging die ze hanteren. Het is dan ook niet de eerste keer dat een ziekenhuis het doelwit is van een cyberaanval. Vorig jaar werd bijvoorbeeld een ziekenhuis in de VS getroffen door ransomware. De instelling besloot om de 15.000 euro aan Bitcoinlosgeld te betalen om zijn bestanden terug te krijgen.

Reacties (91)

Wijzig sortering
Zet in ziekenhuizen overal 2 computers naast elkaar neer:

1 die aan het internet hangt en helemaal stuk mag (en verder niet op het intranet zit), om "dingen op te zoeken" en te werken aan documenten/emailen/onderlinge communicatie/fappen etc.

1 die uitsluitend aan het intranet hangt (geen enkele toegang tot het internet op dat netwerk, geen USB sticks) voor het opslaan van patiŽnt-data, aansluiten op apparatuur, diagnoses, etc.

Probleem opgelost?

Leg het mij uit. Waarom denk ik nu te simpel?

[Reactie gewijzigd door GeoBeo op 14 januari 2017 16:36]

Op welke van de twee computers beheer je de patientgegevens die naar inspectiedienst gezondheidszorg, ambulancediensten, ministerie van volksgezondheid, andere ziekenhuizen, speciale bestellingen voor patiŽnten, wetenschappelijk onderzoek, verzekeringsmaatschappijen, enzovoort moeten gaan?
Op welke van de twee computers beheer je de patientgegevens die naar inspectiedienst gezondheidszorg, ambulancediensten, ministerie van volksgezondheid, andere ziekenhuizen, speciale bestellingen voor patiŽnten, wetenschappelijk onderzoek, verzekeringsmaatschappijen, enzovoort moeten gaan?
Op die van het intranet. Ambulance diensten kunnen die info via de portofoon krijgen. Iemand in de centrale die het voorleest vanaf het intranet, ongewtijfeld/hopelijk gaat dat nu ook zo aangezien me dat sneller en efficiŽnter lijkt dan ambulance personeel die het op een touchscreen moet opzoeken tijdens een wilde rit.

De rest kan handmatig door ICT beheerders overgezet worden van intranet naar de volledig onveilige databases van gezondheidszorg, ministerie, andere ziekenhuizen, verzekeringsmaatschappijen, etc. Bijvoorbeeld 1x per dag.


NB: het is IMO echt te gek voor woorden dat zoveel instanties/mensen Łberhaupt bij patientgegevens moeten kunnen. Dat is garantie voor uitlekken. Iets dat we nu dus ook in de praktijk zien: er gaat geen week voorbij zonder dat er weer een ziekenhuis "gehacked" is. Dat krijg je ervan als er 10.000'en mensen bij "beveiligde" gegevens kunnen.

[Reactie gewijzigd door GeoBeo op 16 januari 2017 05:17]

Dat lost het probleem perfect op... totdat iemand even een documentje van zijn mail in het systeem wil zetten. Want hoe onbekend mensen ook zijn met computers, ze moeten en zullen die ene factuur die via de mail komt in het systeem krijgen.

Of nog erger, mensen die eigen systemen gaan bijhouden in een excel documentje op de internetcomputer, die ze dan aan het eind van de maand in het echte systeem gelijk trekken. Want dat is makkelijker da het echte systeem gebruiken omdat je anders geen internet hebt.
Dan moet je dat de mensen gewoon heel duidelijk maken dat dat verboden is en consequenties aanhangen, geldboete of iets dergelijks. Zal dan vast keertje voorkomen maar daarna weet iedereen het, want daar zal bij de koffie uitgebreid over geklaagd worden. :D
Alsof IT iets te zeggen heeft in een ziekenhuis... Als voor Prof. Doktor X programma Y moet werken, dan zal IT moeten zorgen dat het werkt. Veilig of niet.
Zo werkt het niet.
Maar heel vaak wel
Ik heb IT gedaan in een ziekenhuis zo werkt het wel.
Dan maken we dat tegen de regels en iedereen moet een contact ondertekenen waarin hij verklaard de regels na te leven. Zo niet, dan volgt onmiddellijk ontslag en civiel rechterlijke vervolging met een minimum boete van 40.000 euro per vastgestelde overtreding.

M.a.w., we maken je helemaal kapot voor de rest van je leven en zelfs je kinderen zullen nooit meer op schoolreisje kunnen omdat JIJ de regels brak.

Niet zo moeilijk.

Maar ja, we leven in een baarmoeder, dus niemand krijgt echt straf want als je iets fout doet dan vinden rechters dat al zo erg voor je, dat je geconfronteerd werd met je eigen achterlijkheid, dat 3 maanden voorwaardelijke taakstraf al meer dan voldoende is.

Toch?
Het verschil tussen 8000 pc's en 16000 is nogal groot... Moet betaalbaar blijven
Probleem opgelost?
Leg het mij uit. Waarom denk ik nu te simpel?
Omdat je:
  • een meervoud aan PC's nodig hebt
  • aan meervoud qua netwerkinfrastructuur nodig hebt
  • een infectie op 1 "internet PC" de rest ook gewoon aantast
  • ondersteuning moet regelen op dit niet-bedrijfskritisch netwerk
  • uitwisseling van gegevens met andere ziekenhuizen, mutualiteiten en overheidsinstellingen moeten regelen. En kom niet af met apenwerkjobs om over te typen, want kosten moeten omlaag, ook in de zorgsector. Daar horen personeelskosten ook bij
Een beter oplossing is de middenweg. Toegang verlenen tot internet, maar websites die ook maar in de verte verdacht zijn, zonder meer blokkeren. Er bestaan trouwens genoeg oplossingen die dynamisch lijsten bijhouden met schadelijke websites. E-mail bijlage worden zeer streng gescand. Afbeeldingen of bijlage die ook maar in de verte verdacht zijn, worden zonder meer verwijderd. Uitwisselingsplatformen moeten TFA ondersteunen, enz... Veel van die maatregelen zijn niet altijd populair, maar als men meer wil surfen, moet men maar de smartphone en 4G gebruiken.

Als ziekenhuis IT moet je -naar mijn mening- geen omvangrijk vrijetijdsnetwerk voorzien, dat is belachelijk. De focus ligt op de patiŽnt en de zorg. Afleiding en ontspanning kan en moet, maar niet op die manier.

Edit: dit gaat overigens enkel over de administratieve PC's. Machines op intensieve zorgen, spoed, operatiekwartier zijn veelal afgescheiden van de rest van het netwerk. Vaak zelfs a.d.h.v. aparte kabels en switchen die volledig los staan van de rest van het netwerk, hetzij sterk ge-firewall-d.

[Reactie gewijzigd door mieJas op 16 januari 2017 10:54]

Zie wat ik eerder typte op een andere reactie:
Op die van het intranet. Ambulance diensten kunnen die info via de portofoon krijgen. Iemand in de centrale die het voorleest vanaf het intranet, ongewtijfeld/hopelijk gaat dat nu ook zo aangezien me dat sneller en efficiŽnter lijkt dan ambulance personeel die het op een touchscreen moet opzoeken tijdens een wilde rit.

De rest kan handmatig door ICT beheerders overgezet worden van intranet naar de volledig onveilige databases van gezondheidszorg, ministerie, andere ziekenhuizen, verzekeringsmaatschappijen, etc. Bijvoorbeeld 1x per dag.


NB: het is IMO echt te gek voor woorden dat zoveel instanties/mensen Łberhaupt bij patientgegevens moeten kunnen. Dat is garantie voor uitlekken. Iets dat we nu dus ook in de praktijk zien: er gaat geen week voorbij zonder dat er weer een ziekenhuis "gehacked" is. Dat krijg je ervan als er 10.000'en mensen bij "beveiligde" gegevens kunnen.
Ik ben niet echt overtuigd van je argumenten hiertegen:

-- een meervoud aan PC's nodig hebt
Ja en dus? Aan de kosten kan het niet liggen: het mogen lichte PC's zijn (of laptops of tablets) in de prijsklasse rond de 200-300 EUR per stuk. Ja dit zijn meerkosten, maar daar staat tegenover dat je geen complex netwerk onderhoudt meer hebt, omdat je infrastructuur zwaar versimpeld is. Geen gedoe met websites blokkeren, geen gedoe (op dit deel van het netwerk) met backups, zo goed als 0 risico's. Geen omkijken naar dus. Als er wat mis gaat reset je de image op alle goedkope bakken in het hele netwerk en klaar.

Sterker nog: je zou het voor het gemak kunnen doortrekken door deze apparatuur aan personeel aan te bieden in de vorm van een laptop met bedrijfskorting. Alle verantwoordelijkheid afschuiven op de eigenaar van de laptop (je personeel) en klaar ben je.

-- aan meervoud qua netwerkinfrastructuur nodig hebt

Nee. Wifi is er (bijna altijd?) al. Je kunt al die goedkope bakken prima op wifi laten draaien. Geen meerkosten dus behalve een extra stopcontact dat er al is op alle nodige plekken.

-- een infectie op 1 "internet PC" de rest ook gewoon aantast

De rest aantast in het volledig non-bedrijfskritische netwerk. Totaal geen probleem dus. Letterlijk met 1 command-line op te lossen door op alle speel-PC's de clean image terug te zetten.

In het geval de laptops van het personeel zijn kun je ze zelf een reset laten doen of de dienst aanbieden bij de ICT desk. De image reset kan met een USB-stick en 1 druk op de knop.

-- ondersteuning moet regelen op dit niet-bedrijfskritisch netwerk

Zie hierboven: dat is relatief makkelijk en wellicht zelfs makkelijker dan wanneer je maar 1 netwerk hebt.

--- uitwisseling van gegevens met andere ziekenhuizen, mutualiteiten en overheidsinstellingen moeten regelen. En kom niet af met apenwerkjobs om over te typen, want kosten moeten omlaag, ook in de zorgsector. Daar horen personeelskosten ook bij

Zie hierboven in de quote: dat soort gegevens worden door personeel direct ingevoerd op de intranet PC's. Gegevens uit het intranet netwerk worden (bijvoorbeeld) 1x per dag door ICT personeel overgezet. En dat hoeft niet overtypen te zijn, dat mag ook automatisch gaan. Het punt is dat er een kleine groep experts verantwoordelijk zijn voor het risicovolle "sharen" van data in plaats van een tsunami aan totaal onkundig personeel dat zich hier mee bezig houdt in het traditionele systeem.

[Reactie gewijzigd door GeoBeo op 17 januari 2017 04:53]

Er hoeft maar 1 medewerker op een link in een phisingmail te drukken en je hele systeem is ingepakt...

Elk uur een back-up en je verliest weinig data, maar natuurlijk kostbaar voor een groot ziekenhuis.
Elk uur een back-up en je verliest weinig data, maar natuurlijk kostbaar voor een groot ziekenhuis.
Moet je wel binnen het uur doorhebben dat er malware op je systemen zit, anders wordt die mee-gebackupt en ben je nog verder van huis. Toch?
Dan moet je inderdaad meerdere backups op verschillende tijden en locaties draaien. Moet je voorstellen als Cryptoware de boel en inclusief de backups heeft versleuteld.
Read-only snapshots.
De snapshot zal dan nog steeds leesbaar zijn.
Ja maar de inhoud nog steeds versleuteld. Kan je dus alsnog niets mee.
De nieuwe inhoud inderdaad wel. De (backup) snapshots dus niet, want die zijn read-only...
ja precies. Oudere snapshots zijn niet aantastbaar bedoel je. Echter valt dat vaak vies tegen. Oudere data wordt bijvoorbeeld gepopped om ruimte vrij te houden voor nieuwe dingen dus als jij dat weet te flooden door ineens heel veel nieuwe data te genereren dan willen die backups nog wel eens raar gaan doen en de goede snaps gaan verwijderen. Uiteraard moet je hier dus rekening mee gaan houden en als beheerder in een grote organisatie als dit ga je er vanuit dat een back-up die ineens 30 maal groter is niet kan kloppen (block vanuit de applicatie opleggen).
Ik mag hopen dat je daar monitoring op hebt. Als je storage meer snapshots op moet ruimen om een nieuwe snapshot kwijt te kunnen dan in je treshold ingesteld, dan moeten er bellen gaan rinkelen.
Nou nee. Dan moet de applicatie gewoon weigeren. Dat betekent namelijk dat er mutaties zijn in alle data op het systeem en waarschijnlijk nog wel meer als dit systeem ook naar netwerk directories kan schrijven.

Alleen alarmbellen is niet voldoende.
Een backup hoort incrementeel te zijn. Hierbij kan je terugrollen naar het moment voor infectie.
incrementeel of een full backup?
zoals hierboven al aangegeven,snapshots maken is de first-line of defence. werkt perfect voor gebruikers fouten (de oeps factor) en ook voor ransomeware. voor de second-line of defence gebruik je backup naar een ander medium. Replicatie op storage level werkt ook goed voor de second-line of defence.
Zoals je aangeeft is het dus beide. In de eerste plaats incrementeel. En om de zoveel tijd schrijf je die weg naar bijv. tape of externe drives en kan je eventueel met een volledig nieuwe backup beginnen. Maar je moet zeker in de recente geschiedenis redelijk fijn kunnen teruggaan om zo min mogelijk aan data te verliezen.
Read-only is wel belangrijk hier...
Niet als je ze voor langere tijd bewaard.
Uhm nee. Fatsoenlijk securitybeleid is er juist om te voorkomen dat gebruikersfouten gevolgen hebben voor belangrijke systemen. Wat dat betreft is het installeren van een beveiligingssuite, server of databasesoftware compleet andere koek dan het goed inrichten en beveiligen ervan.
Eťn van de beveiligingen is je personeel en/of gebruikers opleiden tot een verantwoord computergebruik.
Maar men gaat ervan uit dat tegenwoordig iedereen zomaar vanzelf goed met ict-systemen kan omgaan en ze op een veilige manier gebruiken omdat nu toch iedereen (buiten een paar rare uitzonderingen) rondloopt met smartphone, tablet of laptop of thuis een pc heeft staan.
Het is niet omdat je die dingen hebt en gebruikt, dat iedereen er goed mee en veilig mee om kan gaan.
Opleiding en opfriscursussen dienen continu te gebeuren en in welke bedrijven (overheid of privť) gebeurt dit op stelselmatige manier?
Helemaal waar. En dan nog, de gezondheidszorg staat onder druk, mensen moeten steeds harder werken, minder tijd, meer formulieren invullen, meer stress. Co-assistenten en doktoren die de specialistenopleiding volgen worden vaak afgebeuld, met te lange diensten en te weinig slaap. En er zijn altijd overal nachtdiensten en onderbroken slaapritmes. Geen klimaat bevorderlijk voor secuur computergebruik.
Maar als ze al op school zitten met de mentaliteit "als ik kan facebooken (noxa in haar geval, was een 12 jaartjes geleden) en kan Skypen (MSN back in the day) moet ik voor de rest niets weten" (echte quote van een leerlinge)....
Hoe goed je je medewerkers ook opleidt er zullen altijd klikgrage idioten tussen blijven zitten.

En ik moet de eerste serieuze antiransomware software nog zien.
Er hoeft maar 1 medewerker op een link in een phisingmail te drukken en je hele systeem is ingepakt...
Nou ja met de huidige malware/ransomware etc zijn alle bestanden waar de medewerker bij kan ingepakt.
Zou hier niet om ransomware gaan, aldus het artikel. Backups zijn leuk tegen ransom/cryotoware maar beschermen niet tegen diefstal van data...
Er hoeft maar 1 medewerker op een link in een phisingmail te drukken en je hele systeem is ingepakt...
Een werkstation wel. Maar op servers heb je geen mail (behalve de mailserver :+ )
Elk uur een back-up en je verliest weinig data, maar natuurlijk kostbaar voor een groot ziekenhuis.
Sowieso is veel data 'verstopt' in systemen. Daar kom je niet bij de (bron) bestanden.
Daarnaast zijn backups het 'goedkope' gedeelte van ziekenhuis IT systemen. Dat is echt het laatste redmiddel. Een restore kost namelijk uren of zelfs dagen....
Moet je voorstellen dat je 24 uur niet bij het EPD kan... ALLE niet spoedeisende ingrepen worden dan direct gestaakt.
Normaal ga je dan over op papier, maar als je ook de 'laatste stand' van het EPD niet kan printen, dan sluit effectief je ziekenhuis.

Windows XP hoeft dan ook niet meteen een ramp te zijn. Als de servers in de lucht blijven kun je de werkstations snel vervangen/imagen/fixen. En als een deel al nieuwer is blijft dat deel werken. Lastig, maar niet onoverkombaar.
Werkstations snel vervangen/imagen? Je hebt er geen idee van hoe specifiek de meeste werkstations zijn ingericht in een ziekenhuis...
Elk uur een backup over vijf dependances?? Poeh, als de robot dat maar bij kan benen.
Read-only snapshots.
Kosten qua opslag nagenoeg niets.
Ligt er volledig aan wat je wilt snapshotten. Een encrypted database zal naar 1 seconde al de volledige grote van de database benodigd hebben.

Trouwens: Snapshots zijn geen backups.. Voorbeeld:
http://www.oracle.com/tec...-fra-snapshot-322251.html

[Reactie gewijzigd door dycell op 14 januari 2017 13:28]

Niet als je disk blok snapshots gebruikt, alle ongewijzigde disk blokken kunnen natuurlijk worden hergebruikt. De kans dat de hele database in 1 seconde veranderd is natuurlijk klein...
Je gaat er dan van uit dat je storage differential block-based snapshots kan maken. Iets wat alleen met erg dure enterprise SAN controllers kan maar dat zou voor een ziekenhuis niet een probleem moeten zijn.

Een database zal afhankelijk van de encrypted inderdaad volledig gewijzigd kunnen zijn. Sommige crypto virussen encrypten alleen het begin van het bestand voor snelheid maar de meeste versleutelen het hele bestand. Dit bestand is dan volledig gewijzigd en een backup (block-based) is dan even groot als het bestand zelf. Alle data is immers gewijzigd. De storage heeft geen kennis van de inhoud. Hiervoor heeft deze immers de decryptie sleutels nodig. Daarom heeft encryptie ook een grote impact op de storage.
Zie hiervoor als voorbeeld:
VMware vSphere 6.5 Virtual Machine Encryption Performance
http://www.vmware.com/con...yption-vsphere65-perf.pdf
Shielded VMs in Windows Server 2016 Hyper-V
https://blogs.technet.mic...rotecting-tenant-secrets/

Neem daarnaast dit nieuws:
nieuws: 'Aantal gegijzelde MongoDB-databases stijgt snel'
Wanneer je een block-based snapshot maakt van deze gegijzelde database zal je bijna even veel ruimte nodig hebben als de database groot is (alle data is immers veranderd).

Dit probleem geld dus niet alleen voor databases. Ook encrypted volumes (Exchange 2016, iemand?) en encrypted VMs zijn een groot probleem voor storage based backup methodieken. Vandaar dat men steeds meer Software Defined Storage oplossing aangaan die hier beter mee kunnen omgaan.

Source: 3 jaar NetApp FAS consultant geweest. Snapmirror, Snapvault en Metrocluster designs gemaakt. Encryptie was een groot probleem binnen twin-datacenter en synchroon gerepliceerde volumes.
Als je de hele database als 1 groot ding versleutelt, verandert toch de hele database elke keer dat je een klein dingetje erin wijzigt?
Nee. Bovendien denk je hier in file-level backup. Snapshots werken op block-level, en kijken naar daadwerkelijk gewijzigde blokken op je disk, niet naar verandere bestanden. File-level backup is ontzettend ouderwets maar als je in die termen denkt ZOU je gelijk kunnen hebben, echter dan zou je hetzelfde probleem hebben wanneer de database niet encrypted is. Bij file level is 1 bit gewijzigd in een file --> hele file naar de backup.
Als je 1 bit verandert in een database, vervolgens de hele database in 1x versleutelt, dan veranderen toch alle blokken 100%? Denk aan b.v. een Truecrypt-container met een database erin. De enige manier waarop dat niet zo zou zijn is m.i. als je niet de database als geheel vesleutelt, maar elke waarde apart, of elk blok van de database apart, of iets soortgelijks, wat dacht ik allerlei nadelen heeft.

[Reactie gewijzigd door Cerberus_tm op 14 januari 2017 15:09]

Ook file/database encryptie werkt vaak op block-level. Dit is om te voorkomen dat een 200GB grote database bij iedere aanpassing de hele disk moet aanpassen. Dat is namelijk qua performance onbruikbaar.
OK als je software gebruikt die de database niet in zijn geheel versleutelt maar in delen, dan heb je het probleem niet dat Dycell aanduidde. Maar niet iedereen doet dat, toch?
Het is zeer ongebruikelijk voor encryptiesoftware die een grote file / disk encrypt, om _alles_ aan te passen.

Het is encryptie, geen hash die in z'n geheel veranderd bij de aanpassing van een letter.

De reden laat zich uiteraard raden: performance.

Er zal met encryptie altijd een performance-overhead zijn (zelfs puur hardwarematige encryptie heeft veelal een merkbare vertraging in benchmarks) maar als het hele encryptieblok aanpast bij iedere wijziging is het onwerkbaar. Als jij full disk encryptie op je laptop gebruikt wil je echt niet dat alles veranderd voor iedere muisklik die je doet.
Aan de andere kant heeft jouw idee het 'kleine' nadeel dat je elke paar seconden de volledige DB weer weg moet schrijven. ik wens je veel sterkte met een beetje een forse DB. Kan gewoon niet :)
Je kunt hem toch tijdelijk uitpakken en in het geheugen laden, of zelfs tijdelijk hard opslaan? Ja, dat kost opstarttijd, maar goed, als je versleuteling wilt... Als dat niet nodig is, heb je dit probleem natuurlijk niet. Maar Dycell gaf een versleutelde database als voorbeeld van waar een incrementele/decrementele back-up/snapshot niet mogelijk is.
Is het nog wel mogelijk voor de gebruiker om een gewijzigde file op te vragen?
Dacht je dat een ziekenhuis wat waarschijnlijk nog op XP draait hun databases zal encrypten?

Think again, geld wordt besteed aan andere zaken. Bovendien, het gaat niet om ransomware maar iets anders. Wat dat is is niet bekend gemaakt.
Windows XP is een desktop OS. Databases draaien op server besturingsystemen (2008/2012/2016) dus XP is hierin niet relevant.

Geld is trouwens meestal niet de reden om lang XP te draaien. Complexiteit, oude software welke niet te vervangen is of gebrek aan kennis en tijd zijn eerder redenen waarom er niet wordt ingegrepen.
Ik heb de afgelopen 4-5 jaar in ziekenhuizen gewerkt. Dus ik denk dat ik wel weet waar ik het over heb ;) .

Het is erger dan jij denkt :X .
Gebrek aan technische kennis is *juist* waarom die database wťl op XP zal draaien. Het is ooit een keer opgezet als test op een desktop en omdat het toch wel draaide en migraties "lastig" en "onnodig" zijn draait die XP desktop jaren later nog steeds de database. Zo gaat het naar mijn ervaring meestal bij toko's die nul verstand van IT hebben. "Want het werkt toch?"
Incrementele read only snapshots, via redirect on write (genre Netapp, maar de meeste storage vendors hebben zoiets) verbruiken niet veel capaciteit (afhankelijk van je wijzigingen), zijn instant, en binnen seconden data van teruggezet. Dit is geen backup, maar wel een zeer efficiŽnte en gebruiksvriendelijke first line of defence om snel terug te kunnen gaan. Een aantal klanten van ons heeft hiermee al heel snel een copy van max een uur oud kunnen terugzetten. En geloof me, je weet het als it dienst binnen het uur, omdat je telefoon heel snel begint te rinkelen in zo'n geval :-)
Valt qua kosten juist enorm mee. Peanuts in vergelijk met kosten van dataverlies en elk uur een back-up kost niet heel veel meer dan eens per 24 uur een backup
Tuurlijk kost dat meer: meer backups = meer opslag voor die backups.
Uiteraard zijn de kosten van dataverlies wel meer dan de investering om het achteraf te fixen.
Leg mij eens uit waarom de 24x het verschil per uur meer dataverschil oplevert dan 1x per dag? Ik ga dan uit van block-level backup, file-level backup is al lang een gepasseerd station.
Tja, dat is inherent aan alle backup technieken. Ik ga er even van uit dat je differentiŽle snapshots maakt (incrementele kosten enorm veel ruimte) maar maak eens een snapshot. Deze kost gewoon ruimte, als in: deze is nooit 0 KB zelfs als er niets gewijzigd is.

Als er wel iets gewijzigd is dan zal dit zeker meer data opleveren.
Stel dat een bestand ieder uur gewijzigd wordt, wanneer ik ťťn backup in 24 uur is dan kost mij dat het verschil van de originele bestand en de backup.

Wanneer ik ieder uur een backup maak dan kost mij dat het verschil van het originele bestand + 24x de wijzigingen van ieder uur. Of dit nu snapshot-based is of niet, er komen steeds meer blokken C bij dus kost dit meer ruimte.

[Reactie gewijzigd door dycell op 14 januari 2017 15:00]

Ik zei niet dat het niet meer kost, ik zei dat het niet heel veel meer kost. Dat is niet hetzelfde.

Voorbeeld: omgeving van 5,5 TB waarvan elke 2 uur een back-up wordt gemaakt.

Daar duurt het maken van een back-up 15 minuten en dat kost 25 GB aan extra opslag. On-site worden 28 revisies bewaard en 's nachts wordt de laatste revisie off-site geplaatst waar 14 dagback-ups en 12 maand-backups worden bewaard.

De nachtelijke off-site back-up neemt 55GB in gebruik. Dat is alleen het verschil t.o.v. 24 uur geleden, dus niet alle tussentijdse back-ups die elke 2 uur worden gemaakt.
Waarop baseer je dat filelevel al lang een gepasseerd station is?
Ik kom het in ieder geval met zeer grote regelmaat nog tegen bij heel veel bedrijven.
Marketing. :D
Ik heb een tijd lang storage oplossing geplaatst en dat vertellen de leveranciers je iedere dag. Het heeft zijn bron van waarheid maar na een tijdje kom je er zelf ook wel achter dat het ook niet de heilige graal is die men aangeeft.

Software Defined Storage is de nieuwe heilige graal. Alle voordelen van filebased backup met de snelheid van storage based backup.

Ik wacht wel van een afstandje af of het wat is...
Lijkt erop dat er geen strak securitybeleid is. Je zou er toch vanuit gaan dat ze ook een HIPS/IPS oplossing draaien om deze malware te detecteren en te voorkomen? Maar daar zal wss wel weer op bezuinigd zijn.
Geen enkel beveiligingssysteem is 100% waterdicht, er kan altijd wel iets doorheen komen als een onoplettende medewerker een verkeerder link of bestand opent.
True, maar een 'juiste' implementatie (van bijv. HIPS icm met gespreide IPS) zou dit gewoon moeten tegenhouden. Tenzij het natuurlijk out-dated is of bij gebruik van zerodays.
Maar waarom mag een medewerker willekeurige executables opstarten ? Ik neem aan dat je zelfs op Windows de boel zo in kan richten dat gebruikers alleen de door de IT afdeling geÔnstalleerde applicaties mogen starten ?
We horen dit soort zaken alleen maar van publieke organisaties omdat die daar min of meer toe verplicht zijn. Ben toch benieuwd hoe vaak dit soort dingen gebeuren binnen particuliere organisaties. Net als grote IT projecten die uit de hand lopen. Bij de overheid wordt dat breed uitgemeten, bij bedrijven wordt het versleuteld in de operationele kosten. En dat terwijl iedereen, ongeacht waar je werkt, dit soort dingen heeft meegemaakt.
We horen dit soort zaken alleen maar van publieke organisaties omdat die daar min of meer toe verplicht zijn.
Particuliere organisaties zijn dat in Nederland sinds begin 2016 ook verplicht.
afgezien van offline backups is ook een bestand systeem met voorgaande versies heel makkelijk om crypto malware terug te draaien.
Niet altijd - als de malware diep genoeg zit - schakelt die de snapshots gewoon uit of wist hij deze (zie windows). De oplossing daarvoor zijn opslagoplossingen waar de malware niks mee is. Hopelijk hebben die ziekenhuizen zoiets.
Vraag me af wat voor systemen die gerelateerd zijn aan patientenzorg in hemelsnaam een netwerkverbinding hebben, laat staan toegang tot het Internet/kantoornetwerk. Net zoals kerncentrales die aan het Internet gekoppeld zijn - dit zijn toch systemen die je niet aan een onvertrouwd netwerk koppelt? 8)7

Goed, wellicht een beetje overdreven reactie en ik begrijp dat het makkelijk is voor het beheer, en er zal vast een zinnige reden voor zijn, maar m'n punt blijft - een goede scheiding tussen kritische netwerksegmenten en al helemaal geen Internettoegang tot systemen waar mensenlevens van afhankelijk zijn.

Ik hoop dat ze bedoelen dat het roosterapplicatie voor personeel getroffen is en niet een controlesysteem voor het toedienen van medicatie oid...
Netwerkverbinding zo'n beetje alles, ECG apparaten, Rontgen,MRI, LAB, EPD
Een dossier moet overal toegankelijk zijn.
En internet is nodig voor communicatie naar landelijke databases, huisartsen, apotheken etc. die weer recepten of brieven nodig hebben uit het EPD.

Een ander ziekenhuis probleem is dat je netwerk wel helemaal up to date kan zijn maar dat los staande medische apparaten vaak hun eigen besturingssysteem draaien waaronder Windows, Linux en soms ook externe toegang voor updates en problem solving.
Vaak al een fikse taak om alles met elkaar te laten communiceren.
Iedereen spreekt van phising mails.
maar veel VPK/doctors gebruiken USB sticks (wel met paswoorden) om dossieren te transfereren, van thuis uit nog wat aan te werken.

Je kan als gewone man gewoon in een ziekenhuis binnenwandelen, met een USB stick vol krachtige malware/virus en die gewoon in een random pc droppen.
Het is niet dat deze beveiligd zijn met krachtige antivirussen.

Edit: en dan spreek ik nog niet van ziekenhuizen die een slecht beveiligde wifi netwerk hebben.
Zo werd er eens een reportage gemaakt, waarbij men vanaf de buitenmuren van het ziekenhuis, zittend in het park. Het inet/wifi/systemen kon hacken van een plaatselijk ziekenhuis.

[Reactie gewijzigd door Qinshi op 15 januari 2017 10:08]

De meeste gebruiken dropbox...
En als je weet dat er ziekenhuizen zijn die WEP encryptie gebruiken voor wifi weet je genoeg zeker?
Toch typisch hoe de eerste berichtgeving bij dit soort datalekken of malware infecties altijd is: " nee het valt best mee, zijn maar paar systemen, hebben alles onder controle en betreft vooral geen patient/klant/abonnee gegevens (haal door wat niet past), alleen maar wat oude en absoluut niet gevoelige documenten"

Interessant om de verdere berichtgeving te volgen hoe langzaam blijkt dat het toch ransomware is en er toch patient gegevens bij zitten.

[Reactie gewijzigd door Dasprive op 14 januari 2017 14:37]

Er is bij de NHS, National Health Service, niet eens genoeg geld om adequate gezondheidszorg te financieren door de draconische bezuinigingen van de afgelopen jaren. De verwachting is dat dit de komende jaren nog veel erger gaat worden.
Dus laat staan dat er geld is voor een goede ICT voorziening en beveiliging.

http://www.bbc.com/news/health-32057948
https://www.theguardian.c...atients-association-study

[Reactie gewijzigd door Bilbo.Balings op 14 januari 2017 12:46]

Een meerderheid van de pc's die onder het NHS vallen, zou volgens bepaalde bronnen nog altijd windows XP draaien - dat zegt denk ik bijna alles.
Tsja, 2 jaar geleden hebben ze de Tories een recordoverwinning bezorgd in de UK dus dit was te verwachten. Ben wel benieuwd hoeveel van de mensen die nu klagen toen op de Tories hebben gestemd.
Als of er de afgelopen 2 jaar enorm bezuinigd is op de NHS. Dat is dus niet het geval, het hele systeem is rot en dat is echt niet van de afgelopen 2 jaar Tories.
Ik vind het echt interessant dat zoveel arme mensen heel rechts stemmen. Dan weet je toch dat dat slecht voor je portemonnee zal zijn. Blijkbaar zijn de nationalistische aspecten van rechts belangrijker voor hen dan de financiŽle?
Als rechtse partij speel je gewoon heel fijn met wat cijfertjes en klaagt over het groeiend aantal migranten dat jobs van nationals afpakt. Daar heb je meteen de gevoelige snaar van die armen geraakt en heb je hun stem dus.
Wel zielig dat je malware naar een ziekenhuis stuurt. Ik vind ook dat dit wel wat beter beveiligt mag worden.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*