Aanval met NotPetya-malware kost Maersk tot 256 miljoen euro

Logistiekbedrijf Maersk zegt dat de malwareaanval waar het eind juni door getroffen werd, een financiële impact heeft van 200 tot 300 miljoen dollar, omgerekend zo'n 171 tot 256 miljoen euro. De exacte schade zal in het volgende kwartaal duidelijk worden.

Maersk maakt de schatting bekend in een tussentijds rapport over de cijfers van het tweede kwartaal. Het bedrijf zegt dat de financiële impact van de malwareaanval grotendeels pas in het volgende kwartaal zichtbaar zal zijn, door misgelopen inkomsten en 'buitengewone' it-kosten. Het Deense bedrijf heeft voor nu alleen een schatting gegeven. Mogelijk maakt het bij de presentatie van de cijfers over het derde kwartaal specifieker bekend wat de misgelopen inkomsten zijn en hoeveel is uitgegeven aan beveiligingsmaatregelen.

Vanwege de aanval met de NotPetya-malware waren de containerterminals van dochterbedrijf APM dagenlang buiten werking, waaronder die in de haven van Rotterdam. Ook tal van andere Europese bedrijven werden getroffen door de aanval, maar het is bij veel bedrijven nog niet bekend wat de financiële gevolgen zijn.

Begin augustus publiceerde Bloomberg een overzicht, waarin staat dat het Franse bedrijf Saint-Gobain, dat bouwmaterialen maakt, verwacht 250 miljoen euro aan inkomsten te verliezen. Een Britse fabrikant van schoonmaakmiddelen en condooms verwacht een impact van 90 miljoen pond en Beiersdorf zegt 35 miljoen euro aan inkomsten te zijn misgelopen in de eerste helft van dit jaar. Het Duitse concern moet nog bekendmaken wat de kosten zijn van het tijdelijk stoppen van de productie in zeventien fabrieken.

De NotPetya-malware werd hoofdzakelijk verspreid via de boekhoudsoftware MeDoc van het Oekraïense bedrijf Intellect Service. In eerste instantie leek het om de Petya-ransomware te gaan, maar later bleek dat alleen delen van de code waren hergebruikt. Daardoor ontstond de naam NotPetya. Ook was de malware volgens verschillende onderzoekers niet als ransomware bedoeld, maar als middel om zo veel mogelijk schade aan te richten.

IT-banen

Reacties (80)

DFyNt2U 16 augustus 2017 12:58

ff de titel fixen: "Slecht IT beleid kost Maersk tot 256 miljoen euro"

Je mag hopen dat dit een aantal bedrijven wakker schud dat beveiligingsupdates tijdig geïnstalleerd moeten worden en dat er anders significante onvoorziene kosten kunnen zijn. Leg dat maar eens uit aan je aandeelhouders.

Edit: Gezien ik duidelijk wat misinformatie echode/verspreidde zonder bronnen te checken, vind ik een correctie toch wel nodig:
- Maersk heeft in eerdere officiële berichtgevingen al gemeld dat de updates welzeker toegepast waren en dus niet verantwoordelijk waren voor dit incident. Dit was al vroeg in juli bekend en had ik moeten weten voordat ik me bek open trok. (beste nederlands [url]link[/url] die ik tot dusver kon vinden)
- We wisten al dat NotPetya ook andere technieken gebruikte voor verspreiding, zoals zoeken van administrator credentials, een bekende techniek en noemde ik dus niet apart. Tot hoever de admin accounts bij Maersk misbruikt zijn hiervoor heb ik niet snel ff kunnen vinden. (Ik ga natuurlijk niet in dezelfde fout vallen en daar weer aannames over maken

) Mocht ik nog een post-mortem of quote vinden dan voeg ik nog wel een link toe.

[Reactie gewijzigd door DFyNt2U op 22 juli 2024 23:09]

Luno @DFyNt2U • 16 augustus 2017 13:16

Ik weet dat ik afgeschoten wordt maar toch...
ICT van Maersk maakte dat Maersk goed kon werken. Niks mis mee.
Idioten van buiten helpen de boel om zeep. En nu zou eigenlijk aandacht eens moeten gaan naar die idioten te vangen, in plaats van ICT te zwarte pieten.

Wie wil er in een fort wonen, met tralies voor alle ramen. En een hek met prikkeldraad op 3000V om z'n tuin. En dan als er inbreker komt: had je maar 300KV op de 3 meter hoge hek moeten zetten.

Al dit geschreeuw om betere ICT is in essentie symptoom bestrijding. De oorzaak zou aangepakt moeten worden.

Ik wacht de -1 wel af. Iedereen weet het beter. Zelfs degene die geen virusscanner nodig hebben.

WillC @Luno • 16 augustus 2017 13:38

Dank je wel Luno.

Wij van de IT hadden dit ook nooit kunnen voorzien, evenals dat als je afhankelijk bent van honderden applicaties van derden is het zwemmen tegen de stroming in.

Naast het feit dat management vrij weinig te zeggen heeft in het beleid van welke Updates wel of niet mogen worden uitgevoerd, hebben wij ook een security team die ook hebben aangegeven dit een niet te controleren issue was. De nodige updates waren dan ook gewoon uitgevoerd.

Het zou op dit moment moeten liggen bij de eindverantwoordelijke, de personen die deze actie hebben uitgevoerd. Er zijn een hele hoop bedrijven die de zelfde problemen hebben ervaren en worden niet zo openlijk in het nieuws besproken. Maersk heeft gewoon zijn boeken open gedaan om het te delen met de wereld en daar kunnen meer bedrijven wat van leren.

MSalters

Economie en maatschappij

@WillC • 16 augustus 2017 14:51

Die honderden applicaties ziijn voor een groot bedrijf onvermijdelijk.

Wat wél vermijdelijk is, is dat die elkaar zo ernstig beïnvloeden. Een grote ICT organisatie zou moeten zorgen voor compartimentalisering. Waarom kan belasting software de kranen in een haven platleggen? Je wil niet alleen firewalls hebben aan de buitengrens van je bedrijf, maar ook erbinnen. Er had op z'n minst 1 firewall tussen de haven en de boekhouding moeten zitten, en misschien wel meer.

bbob

Economie en maatschappij
Netwerk en systeembeheer

@MSalters • 16 augustus 2017 15:28

Dat heeft natuurlijk alles te maken met de steeds grotere complexiteit en integratie van systemen.

Roep nu maar iets maar container wordt gelost door de kraan, daar staat dan ergens in een systeem ontladen van schip, staat nu op positie x. dit betekend dat vrachtkosten berekend kunnen worden, hetgeen dan wordt doorgegeven aan de boekhouding.

Wat je dan zou moeten doen i.p.v geïntegreerd systeem, aparte die dan xml bestand doorsturen dat door boekhouding geïmporteerd wordt.

Daarnaast moeten alle netwerken fysiek gescheiden zijn van elkaar. dit maakt alles natuurlijk nog stukken complexer en duurder.

Veel al zijn bedrijven gegroeid en alles aan elkaar geknoopt door de jaren heen en is door de bomen het bos niet meer zien.

Je hebt zeker gelijk maar de praktijk en vraag naar data wat waar wanneer lijkt steeds groter en maakt systemen dan kwetsbaar.

Blokker_1999

Economie en maatschappij
Ransomware
Netwerk en systeembeheer

@bbob • 16 augustus 2017 19:25

Dat mag gerust 1 systeem zijn waarbij zowel de afhandeling van de containers als de boekhouding gebruik maken van dezelfde applicatie die met dezelfde servers communiceerd. Dat is hie een goed ERP systeem werkt. Maar waarom moet dat workstation van de boekhouding kunnen communiceren met een workstation dat aan de dokken staat?

Ik verbaas er mij zelf ook over dat ik vanop mijn PC in Brussel aan andere PCs kan in o.a. Sydney en New York. Nergens voor nodig. Wel soms handig bij troubleshooting.

dasiro @MSalters • 16 augustus 2017 15:28

wij hebben in 1 winkel zelfs al 2 firewalls staan, het zou mij straf lijken dat maersk er dan per sites geen zou hebben, hoe die geconfigureerd zijn, da's dan weer hun interne keuken die ze nooit bloot zullen geven

TD-er

@Luno • 16 augustus 2017 13:27

Tuurlijk is het altijd een vorm van wapenwedloop.
Echter het achterwegen laten van hele simpele maatregelen omdat het anders onwerkbaar is, is meer een teken dat de aanpak verkeerd is.
Het is namelijk heel simpel om computers van de boekhouding en productie gescheiden te houden. En dat had hier veel kunnen schelen.

Timoo.vanEsch @TD-er • 16 augustus 2017 16:55

SAP bestaat bij de gratie van integratie van het geheel: MM/SF/BI/BO/etc. Productie en boekhouding zijn heel erg dicht met elkaar verweven, juist omwille van automatische verwerking van zowel productie als facturering als tracking als analyse.

Je kunt de PC's van medewerkers dan wel fysiek en virtueel van elkaar scheiden, maar op een gegeven moment wil PC A toch gegevens hebben die ook toegankelijk zijn voor PC B. Als je het voor elkaar krijgt één van de servers te besmetten, heb je de poppen aan het dansen...

Origin64 @Timoo.vanEsch • 17 augustus 2017 13:43

Als een server besmet is, hoeft toch niet zomaar een andere server die communicatie van de besmette server verwacht de slechte input te accepteren? Die zou kunnen zien dat hij alleen boekhoudingsgegevens binnen zou moeten krijgen, dus als de besmette server iets anders stuurt dan boekhouding, zoals een bestand wat uitvoerbare code kan bevatten, kan dat geweigerd worden.

Dan heb je alsnog het probleem dat een aanvaller onjuiste data in de boekhouding kan invoeren, maar dat is al een iets kleiner probleem dan een infectie van de server.

ATS @TD-er • 16 augustus 2017 13:56

Heel simpel? Natuurlijk is dat niet simpel! Systemen worden juist steeds meer gekoppeld, en daar zijn goede redenen voor. Zo wil je containers kunnen tracken, de factuur de deur uit doen op het juiste moment (zeg, als de container afgeleverd is) en bijhouden hoeveel je van wat nu precies gedaan hebt. Dat levert direct koppelingen op tussen de productiesystemen die de containers verplaatsen en de boekhouding die zorgt dat er voor al die handelingen ook betaald gaat worden. De cijfers handmatig overnemen is geen optie in zo'n omgeving.

TD-er

@ATS • 16 augustus 2017 15:14

Het is niet gezegd dat applicaties niet onderling met elkaar mogen praten.
Heel simpel voorbeeld van een dergelijke implementatie is een fysiek gescheiden netwerk (al dan niet dmv. VLAN) en dan alleen de communicatie toestaan tussen de machines en poortjes die met elkaar mogen praten.
Dus als die applicatie berichten binnenkrijgt op poort 1234, dan zet je alleen die poort open in de proxy, danwel firewall die je ertussen hebt zitten.

Je gaat tegenwoordig niet meer alles transparant open zetten naar elkaar, alsof ze in een groot netwerk zitten. Zeker bedrijfskritische applicaties moet je afschermen en volgens mij valt een systeem wat bij uitval een kwart miljard schade oplevert wel onder die noemer.
Het zou mij verbazen als al die gekoppelde applicaties/systemen naast elkaar staan, of zelfs op dezelfde computer draaien. Dus je hebt een redelijk beperkte vorm van communicatie nodig en dus kun je de rest dichtzetten.

Daarnaast wil je dat soort systemen ook op een of andere manier redundant hebben, al was het alleen al een image van het systeem, zodat je bij uitval van de computer (wat een gewiste Windows installatie eigenlijk ook is) een nieuwe naar binnen schuift, image eroverheen, laatste backup terugzetten en gaan. Dat kost hooguit een paar uurtjes als je het goed geregeld hebt.

MPAnnihilator @Luno • 16 augustus 2017 13:39

"Al dit geschreeuw om betere ICT is in essentie symptoom bestrijding. De oorzaak zou aangepakt moeten worden." Welkom in 2017. Iedereen weet dat de oorzaak zo versplinterd en malafide is, dat niemand dat op Internationaal niveau opgelost krijgt. Beter is dus, als je systemen en je apparatuur je lief is, om dit op de best mogelijke manier te beveiligen. Als men onvoldoende budget voorziet om de ICT beveiliging op niveau te houden en men ook de roep van de ICT naast zich neerlegt. Dan is dat een slecht risk-calculatie waar men nu de vruchten van plukt.

Origin64 @MPAnnihilator • 17 augustus 2017 13:45

Het kan best worden opgelost. Blokkeer internetverbindingen vanuit die landen. Dat is zo geregeld. Maar ja, dat zou meer kunnen kosten dan het aan schade voorkomt.

Verwijderd @Luno • 16 augustus 2017 13:29

Maersk kan ook goed werken zonder sloten op de deuren, maar toch hebben ze sloten en als een slot kapot is, dan vervangen ze die. Ik neem aan dat jij ook je fiets op slot zet. Er zijn nu eenmaal mensen die liever stelen, dan werken en op die manier welvaart verkrijgen. De oorzaak volledig oplossen is veel kostbaarder dan sloten plaatsen. En dit geldt ook voor IT.

Zoop @Verwijderd • 16 augustus 2017 14:02

Maar wat nou als je je fiets op slot zet maar wordt toch gestolen. Had je hem dan beter moeten beveiligen? Dikker slot erop? Ketting van 100kilo eraan?

Natuurlijk is het niet zo dat je de beveiliging helemaal links moet laten liggen, maar op een gegeven moment moet het toch een keer "goed genoeg" zijn. Als ze echt willen, komen ze er toch wel in. Net zoals dat ze altijd je fiets kunnen stelen, je kan het ze hooguit moeilijker maken.

Wat je wel kunt doen is risicobeperking zorgen dat niet alle systemen zover bereikbaar zijn via internet. Dus als ze binnen dringen dat er niet te veel te halen valt.

Verwijderd @Zoop • 16 augustus 2017 14:09

Alles naar proportie. Als je fiets 250 miljoen waard is, dan neem ik aan dat je hem beter beveiligd, dan je fiets van 300 euro.

Maar inderdaad, verschillende zones aanbrengen in je infrastructuur is een goede risicobeperkende oplossing. Ik neem aan dat veel bedrijven dit tegen het licht gaan houden.

Abom @Verwijderd • 16 augustus 2017 13:41

Je hebt wel gelijk. Maar wanneer er wordt ingebroken bij Maersk, is het niet de schuld van de fabrikant van de sloten of facilitairbeheer maar omdat de inbrekers een breekijzer, baksteen of lockpick hebben gebruikt.
Daarnaast willen gebruikers het liefst zo min mogelijk lastig worden gevallen door beveiligingsmaatregelen. Ik ken weinig bedrijven die alle beveiligings richtlijnen helemaal doorvoeren want dan wordt het werken heel erg lastig.

hakariki @Luno • 16 augustus 2017 13:30

Uiteindelijk is alles natuurlijk te hacken wat online staat. Maar er mag een redelijk niveau van beveiliging verwacht worden. Dit soort beveiligingsbeleid is meer het verschil tussen de voordeur wel of niet op slot doen. Dan betaalt de verzekering zelfs niet uit.

DFyNt2U @Luno • 16 augustus 2017 13:33

Waarom zou je -1 krijgen? Lijkt me dat je er inhoudelijk op in gaat.

Het gaat erom dat er een serieuze lek zat in windows welke het mogelijk maakte om op willekeurige systemen op het netwerk in te breken. Dit lek was bekend, en patches voor beschikbaar. Maar toch is er voor gekozen om de bewuste patches niet te installeren. Het verhaal doet de ronde dat Maersk management het niet wou, omdat het voor wat 'downtime' zou zorgen.

Nederland heeft ook de deltawerken gebouwd (als symptoom bestrijding), want de zee zal niet naar je luisteren. Beetje oneerlijke analogie, maar wel realistisch. Beveiligingsmaatregelen vallen onder 'the cost of doing business', hieronder valt ook "what if" protocollen, "wat doen we als systeem x geïnfecteerd is? wat zijn de consequenties? hoeveel gaat ons dat kosten en wat kunnen we er tegen doen?"
Criminelen die schade aanrichten moeten aangepakt worden, daar zijn we het over eens. Maar de schade was beperkt geweest als Maersk die patches wel had geïnstalleerd.

remydb @Luno • 16 augustus 2017 13:40

Aan de andere kant...
Als de kogels je om de oren vliegen ga je ook niet buiten kamperen in je tentje. Dan wil je ook lekker in je bunker zitten zodat je niet door verdwaalde kogels geraakt wordt.

Dat er constant nare dingen gebeuren op het internet is een feit. Als je gepakt wordt is de kans groot dat je zelf in een of ander opzicht nalatig bent geweest.. Maar goed, je moet ergens een balans vinden van wat de moeite waard is tegenover het risico.
Dat gezegd hebbende.. Security updates uitvoeren en OSen draaien die niet hartstikke EOL zijn is toch wel een beetje basis werk..

Gerelateerd: http://i.imgur.com/vwMu440.jpg

Brousant @Luno • 16 augustus 2017 13:53

Wie wil er in een fort wonen, met tralies voor alle ramen. En een hek met prikkeldraad op 3000V om z'n tuin.

Dat is een uiterste. Geen slot op je voordeur hebben is een ander uiterste.

Caelestis @Luno • 16 augustus 2017 15:08

"ICT van Maersk maakte dat Maersk goed kon werken. Niks mis mee." ?
Ja dat zien we en nu kost het ze 256 miljoen. Als ze niet hadden bezuinigd op beveiliging had het ze waarschijnlijk maar 25,6 miljoen gekost.
Het gaat niet om morele vraag stukken maar over werkelijkheid.

johnkeates @Luno • 16 augustus 2017 15:27

Beleid betekent niet dat je een 'extra beveiligd systeem' krijgt zoals non-IT'ers of basic-IT'ers denken, maar dat kan net zo goed inhouden dat je een airgapped schaduwsysteem draait, of een set hardware offline hebt staan om in elk geval te kunnen draaien, zij het zonder historische data of geïntegreerde communicatie middelen.

Met die 256 miljoen euro kan je heel veel doen, zonder dat de gebruikers daar last van hebben.

Blokker_1999

Economie en maatschappij
Ransomware
Netwerk en systeembeheer

@Luno • 16 augustus 2017 19:28

Goed werken is leuk, totdat blijkt dat het goede werken je veel geld gaat kosten. Of soms meer.

Heb eens het verhaal gehoord van een kok die er niet beter op gevonden had dan de deur van zijn microgolfoven af te halen en het contact te overbruggen. Bespaarde hem veel tijd en maakte dat hij efficienter kon werken. Ik moet er geen tekening bij maken hoe het met zijn handen is afgelopen neem ik aan...

Beveiliging is vandaag een inherent onderdeel van je ICT uitgaven en infrastructuur. Die moet je gewoon op orde hebben.

wiseger @Luno • 17 augustus 2017 00:38

Ik ben het niet met je eens, in dit geval was het duidelijk dat er problemen zaten in de ICT procesen bij Maersk. En ik maak dezelfde problemen mee op mijn eigen werk namelijk patchen gebeurt alleen nog maar centraal en daardoor duurt het extreem lang voor een patch goedgekeurd is door alle stakeholders, verspreid over de hele wereld. En die hele centralisatie is het gevolg van bezuinigingen, het is goedkoper om alles centraal in mega datacenters op exact dezelfde virtuele servers te laten draaien, dan in kleine, lokale datacenters. Het is puur gedaan uit kostenoverwegingen echter de bijeffecten zijn nimmer meegenomen in het totale kostenplaatje.

bkor @DFyNt2U • 16 augustus 2017 13:11

Dit lag niet aan een niet geïnstalleerde beveiligingsupdate. Dat was Petya. Deze malware heet expres NotPetya om aan te geven dat het niet hetzelfde probleem is.

DFyNt2U @bkor • 16 augustus 2017 13:19

NotPetya maakte gebruik van hetzelfde EternalBlue exploit die WannaCry ook gebruikte, daar was al een patch voor uitgebracht.
Het was overigens niet de enigste manier dat NotPetya over het netwerk verspreide.

spoller @DFyNt2U • 16 augustus 2017 13:40

Niet de enige maar wel de primaire methode. Het kwam binnen via de MeDoc boekhoudsoftware, maar die stond natuurlijk maar op een zeer beperkt aantal machines. De verdere verspreiding binnen Maersk is, voorzover bekend, daarmee deels te wijten aan het niet uitvoeren van upgrades maar deels ook aan slechte configuratie en inrichting van het netwerk.

Er wordt her en der nu wel heel makkelijk gezegd 'het ligt aan het management' en 'er is ook te weinig budget voor IT'. Dat hoeft niet onwaar te zijn maar kijkend naar wat er publiekelijk bekend is is dat op zijn minst maar een deel van het verhaal - en mag IT hier zeker ook naar zichzelf kijken.

Om ook nog even op @Luno te reageren: ik volg wel wat je zegt, maar er zit een hoop tussen jezelf opsluiten in een fort en -zoals in dit geval- op vakantie gaan en de deur open laten staan met de sleutel in het slot. Dat zit aan de andere kant van het spectrum.

bkor @DFyNt2U • 16 augustus 2017 13:39

Het was overigens niet de enigste manier dat NotPetya over het netwerk verspreide.

Waarom claim je dan dat het een niet geïnstalleerde beveiligingsupdate zou zijn? Zoals ik al gezegd heb, het lag daar niet aan. Graag anders duidelijk bewijs dat die patch niet geïnstalleerd zou zijn, want eh.. die patch en vele anderen waren wel geïnstalleerd.

Nogal makkelijk roepen op internet dit..

WillC @bkor • 16 augustus 2017 13:52

Dank je Olav.

En klopt! Onze systemen waren en zijn gewoon up-to-date ...

mocht iemand daar inhoudelijk over willen discuseren dan nodig ik je graag uit op locatie

DFyNt2U @WillC • 16 augustus 2017 14:41

Ik heb m'n toplevel post nog ff ge-edit, nadat ik wat bron-verificatie heb gedaan... zo zie je maar weer. Hopende dat mensen die in dezelfde misinformatie vallen dat eerst tegenkomen.

Overigens las ik elders dat Maersk anti-virus behoorlijk ineffectief noemde. Daar kan ik me vanuit ervaring wel in vinden.
Vaak genoeg gezien dat er iets toch doorheen komt en dat het gelukkig door sandboxing, netwerk isolatie en gelimiteerde privileges tegengehouden worden.

Er wordt voor zover ik begrepen heb een post-mortem uitgevoerd, weet je of er een samenvatting daarvan ook publiek gemaakt wordt, of uitsluitend voor partners?

Cyberthube1 @WillC • 16 augustus 2017 14:18

Laat maar komen dan die uitnodiging

Hoe zit het eigenlijk met de waarschuwingen die in het verleden zijn gegeven aan jullie ? dacht ergens iets te lezen over een boekhoud MeDoc systeem waarover jullie in het verleden gewaarschuwd zijn dat het een open deur was.. (kon geen bron vinden dus pin me er niet op vast

)

lijkt mij onwaarschijnlijk dat er inderdaad patching heeft plaatsgevonden, zoals overal hier al word aangegeven werd er gebruik gemaakt van de eternalblue exploit, waarvoor MS in december al patches uitbracht.

Veder misschien een goed idee om netwerk-segmentatie OID te introduceren ? had begrepen dat jullie administratieve afdeling op hetzelfde netwerk zit als de kranen waardoor die machines niet meer gebruikt konden worden? (again anonieme bron)

WillC @Cyberthube1 • 16 augustus 2017 14:40

Haha, je bent van harte welkom om langs te komen op ons kantoor in R'dam

Hier inhoudelijk zijn nooit berichten omtrend applicatie MeDoc binnen gekomen, wel weten wij dat de firma zelf die de applicatie ontwikkeld heeft waarschuwingen heeft gekregen met betrekking tot de veilige werking van de applicatie, deze zijn wel meerdere malen genegeerd en daar is wel wat over te zeggen.

Daarnaast is netwerk segmentatie wel een wat belangrijkere topic geworden. Naast dat gelukkig wel al wat seperaat is aangesloten op ons netwerk hadden meerdere zaken wel wat beter worden opgesplits, en waarom dit niet eerder is gedaan dat weet ik eerlijk gezegt ook niet, en is al lang voor mijn tijd zo opgezet. Daarom denk ik ook dat het concept wat er was gewoon verder is uitgebouwd, vandaar dat het binnen het netwerk als een lopend vuurtje ging, dit is gelukkig nu met een safety net afgevangen en zou niet meer mogelijk kunnen zijn.

Ik zou wel graag je anonieme bron willen weten

Cyberthube1 @WillC • 17 augustus 2017 15:58

Leuk dat je nog reageert

achteraf is natuurlijk altijd makkelijk te praten voor iedereen.. en kan enigszins begrijpen dat de bekendheid (nieuwsgang e.d.) wat frustratie meebrengt binnen een IT afdeling

Volgens mij heb ik in een artikel ergens gelezen dat jullie geen gebruik maakte van netwerk segmentatie waardoor de machines plat gingen tot zo ver de anonieme bron..

jpsch @WillC • 16 augustus 2017 16:38

Up-to-date systemen is niet echt in het nieuws geweest (ik had 't niet gehoord in ieder geval). Maakt de aanval wel enger.

DFyNt2U @bkor • 16 augustus 2017 13:56

Mijn reactie was op "Dat was Petya".

Jij noemde zowel Petya als NotPetya, dus ik vermoede dat je met 'Petya' de 2016 malware bedoelde. Ik gaf alleen aan dat de exploit waar ik het over had zowel in WannaCry en NotPetya (2017) zat, en dus niets met Petya (2016) te maken had.
Petya maakte ook al gebruik van beheerdersaccounts on te verspreiden, das niet nieuw, maar niet de SMB (EternalBlue) exploits, in tegenstelling tot NotPetya.

Het kan zo zijn dat de SMB patch _wel_ toegepast was op de systemen van Maersk. Maar het verhaal deed de ronde dat dit niet gebeurd was omdat management het (nog) niet wou. Dat betekend dat ik me mogelijk idd schuldig maak aan het echoën van onbevestigde informatie.

Verwijderd @DFyNt2U • 16 augustus 2017 14:09

Of in ieder geval geen Windows servers met fileshares op het internet zetten.

Er zijn nog duizenden Windows servers gewoon op het internet te vinden die niet de SMB patch hebben gehad. Het valt me mee dat iemand niet uit pure baldadigheid deze allemaal gewiped heeft. Laten we eerlijk zijn: ze verdienen toch niet anders?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:09]

Timoo.vanEsch @Verwijderd • 16 augustus 2017 17:11

...Het valt me mee dat iemand niet uit pure baldadigheid deze allemaal gewiped heeft. Laten we eerlijk zijn: ze verdienen toch niet anders?

Right.
En meisjes met korte rokjes die in het avondlicht over straat wandelen, verdienen het om aangerand te worden ("verkracht" is zo'n naar woord). Go Figure...

Powermage @DFyNt2U • 16 augustus 2017 13:39

De NotPetya malware kon ook met alle security updates gewoon binnen dringen dankzij t update process van de medoc software.
de bestaande lekken waren een van de mogelijkheden om zich te verspreiden, maar er waren zat manieren met "legitieme" processen voor het virus om zich verder te verspreiden.

Evil_king @DFyNt2U • 16 augustus 2017 14:22

Altijd maar dat makkelijke antwoord over slecht IT beleid. Maersk is een miljoenenbedrijf, die investeren echt ook een hoop in IT. Dus even zo roepen dat het slecht beleid is is gewoon te kort door de bocht. Mss is het idd zo en was het update beleid matig, maar mss is grote IT gewoon zo complex (denk aan legacy systemen, kritische applicaties waardoor je updates niet op de eerste patch-tuesday er doorheen gooit, etc) dat je niet alles kan afdekken.

Dat er over vervolgstappen wordt nagedacht mag ik idd wel hopen.

Despair 16 augustus 2017 13:01

tja de volgende keer zal je als directie je wel twee keer bedenken om de nodige ICT updates en verbeteringen tegen te houden, omdat dit impact heeft op je bedrijfsvoering. Ik vermoed dat deze impact toch wel wat duurder is uitgevallen dan enkele uurtjes geplande downtime.

beerse @Despair • 16 augustus 2017 13:11

Ik zou wel eens willen weten wat de 'winst' is geweest van het niet maandelijks updaten en jaarlijks upgraden. Laat de rekenmeesters dat dan maar eens tegen elkaar wegstrepen.

matroosoft @beerse • 16 augustus 2017 13:50

Bedenk wel dat er ook zoiets wordt gebruikt als kans x impact. Impact is hoog maar kans is erg klein. Hoge investeringen in IT verlagen de kans op zoiets wel, maar sluiten het niet uit. Dat is de rekensom. Triest maar waar

beerse @matroosoft • 16 augustus 2017 15:01

Dan moeten ze ook niet vergeten dat ze de afgelopen tijd aardig de publiciteit hebben gehaald. Volgens mij in de meeste gevallen negatief: Klanten zitten niet te wachten op ongeplande down-tijd, niet eens van een kwartiertje want het past hun planning aan. Welk kunnen klanten leven met geplande down-tijd. Dat voelen ze niet eens, dat staat gewoon in de planning.

batjes @beerse • 16 augustus 2017 17:38

Klanten gaan niet zo maar over naar een andere partij.

Mijn bedrijf werkt ook met Maersk, tja kut, we lagen 1,5 week zo goed als plat en daarna heeft het nog weken geduurd voordat alles weer echt op gang kwam.

En downtime is downtime voor klanten, of dit geplanned of niet is, maakt ze vrij weinig uit. Die gaan echt hun kerstinkomen niet uitstellen. Downtime van Maersk is downtime voor ons, is downtime voor onze klanten, is downtime voor onze leveranciers. Deze situatie is ook wat makkelijker uit te leggen en te begrijpen. Onderhoud is voor veel mensen een vaag of onbekend begrip.

beerse @batjes • 17 augustus 2017 09:12

1,5 week downtime en 3 weken problemen... dat weegt niet op tegen een avondje/nachtje down als het er even tussendoor kan. Of anders per systeem een uurtje in de maand, elk hun eigen uurtje.
Zie het als de slager die even tijd neemt om zijn messen aan te zetten en af en toe zijn messen laat slijpen. Voor bankiers, economen en managers heb ik helaas geen creatief voorbeeld, anders dan dat 1 keer per maand/kwartaal/jaar de cijfers moeten worden opgelepeld.

batjes @beerse • 17 augustus 2017 09:39

Een keer zo een week stil liggen of elk jaar of whatever een dag.

Het probleem bij dit soort netwerken en systemen is vaan de aan elkaar geplakte bende met een boel legacy. Wat de oorzaak van de problemen was. Dat red je niet met een uurtje downtime.

Lastige keuze hoor voor een bedrijf als Maersk. Daar zijn een boel partijen van afhankelijk.

NoUseWhatsoever @Despair • 16 augustus 2017 13:09

Ik zie nergens staan dat dit komt door ontbrekende security updates. In de slide van Maersk staat dat het gaat om een programma gebruikt voor belastingaangifte in Oekraine en in het artikel wordt het boekhoudprogramma MeDoc vermeld. Daar zal hetzelfde mee bedoeld worden neem ik aan.

Als dit inderdaad komt door ontbrekende updates is dat wel een hele dure fout en zal het inderdaad tijd zijn om dat op orde te brengen. Het kan ook komen doordat bij de partner keuze niet goed genoeg ge-audit is, of doordat 1 van de medewerkers van MeDoc ontevreden was en het bedrijf ten gronde wilde richten. Misschien heb ik wat gemist maar uit dit artikel maak ik niet op dat het om slecht update-policy gaat.

Edit: uit het NotPetya artikel:

Microsoft claimt bewijs te hebben dat de infectie plaatsvond door de updater van MeDoc-software, die het aanduidt als EzVit.exe.

Het lijkt dus zelfs meegekomen te zijn met een update.

Verder lijkt het ook door kwaadaardige websites en malware in Office bestanden te kunnen komen, maar:

Beveiligingsbedrijf FireEye bestrijdt dit en claimt er zeker van te zijn dat het gebruik van dit lek losstaat van de malware.

[Reactie gewijzigd door NoUseWhatsoever op 22 juli 2024 23:09]

DFyNt2U @NoUseWhatsoever • 16 augustus 2017 13:17

Voor zover ik had begrepen was het virus via MeDoc op systemen in het netwerk gekomen, maar het verspreide vervolgens over het network door het bekende (EternalBlue) lek waar Wannacry ook gebruik van maakte, Microsoft had daar al een update voor beschikbaar gemaakt. (Zo erg, dat Microsoft zelf nog een Windows XP hotfix uit bracht)

NoUseWhatsoever @DFyNt2U • 16 augustus 2017 13:20

Dat is 1 manier, maar ze gebruikten ook andere methodes volgens het Tweakers artikel.
reviews: Internetaanval treft grote bedrijven - Wat gebeurde er precies?

Zo konden ook systemen getroffen worden die wel van de uitgebrachte Microsoft-patches waren voorzien.

GravGunner @NoUseWhatsoever • 16 augustus 2017 13:15

Ik denk dat Despair het over dit artikel heeft waarin Dochterbedrijf APM al jarenlang slecht IT beleid zou hebben gevoerd.

Wim-Bart @NoUseWhatsoever • 16 augustus 2017 13:19

Vraag me af hoe veel een OTA gekost had voor deze applicatie. 10K per jaar, 20K per jaar? Wanneer de Patch in een OTA was geland dan was het nooit uitgebroken.

Te meer een reden om alles in een "geisoleerde" OTA te testen. En ik vermoed dat ze van deze schade ten minste 50 volledige OTA omgevingen konden bouwen.

g4wx3 16 augustus 2017 12:56

geen medelijden met het bedrijf, als dit nodig is om het management te overtuigen dat het It budget eindelijk moet worden verhoogd, en dat je mensen beter in eigen beheer hebt, en opleidingen en groei mogelijkheden geeft. zo niet, is het gewoon wachten op de volgende aanval. geen medelijden. Geen enkele pas afgestudeerde is in staat om de infrastructuur te beheren, enkel werken met externen is ook geen oplossing. Zelf (redundant) aanwerven, en investeren!!

[Reactie gewijzigd door g4wx3 op 22 juli 2024 23:09]

Lapa @g4wx3 • 16 augustus 2017 13:00

In dit geval ben ik het daar inderdaad mee eens. Tenminste, als de verhalen waar zijn dat vanuit het hoogste management de IT-afdeling tegen werd gehouden om noodzakelijk verbeteringen door te voeren, omdat ze geen enkele downtime wilden accepteren.

TheGhostInc @Lapa • 16 augustus 2017 13:58

Als je absoluut geen downtime kunt hebben, dan moet je soms ook gewoon even verder kijken qua technologie.
Een 'standaard windows servertje' is nu niet echt een voorbeeld van beheersbaarheid en continuïteit. Maar met de juiste architectuur is dat allemaal prima op te lossen.
Maar juist als downtime je tegenhoudt weet je ook meteen dat ALS het misgaat het meteen een ramp is.

In moderne softwareontwikkeling maken veel bedrijven gebruiken van snel & vaak updaten/releasen. Hoe vaker je een (kleine) update uitvoert, hoe meer ervaring je krijgt in de problemen die dat oplevert. En doordat de update klein is, is het probleem ook vaak te behappen. Hele grote 'big bang' updates zijn veel gevaarlijker en problemen lastig op te lossen, soms is er zelfs geen weg meer terug.
Dat is uiteraard de theorie, de praktijk is soms weerbarstiger

rhk22463 @Lapa • 16 augustus 2017 13:58

Bedrijven als deze maken zich vaker schulding aan het bagatelliseren van zaken die door hun interne/externe IT afdelingen als noodzakelijk aangemerkt worden. Downtime kan/mag niet maar kijk wat er gebeurde : nu had je een ongeplande downtime die vele malen duurder en vervelender blijkt.

Naar aanleiding van deze (non)Petya aanval weet ik dat wij door verschillende getroffen bedrijven benaderd zijn om hen te helpen hier weer snel bovenop te komen want men kreeg het zelf niet voor elkaar. Dit zijn dus nieuwe klanten, zou je denken, maar zodra men er bovenop is geholpen en je hen aanbevelingen hebt gedaan lijken ze te zeggen "bedankt wij doen het nu verder zelf wel weer"... back to business.
Het heeft dus nog heel wat voeten in aarde voordat het top management inziet dat dit structureel aangepakt moet worden en dat is wat anders dan brandjes blussen iedere keer.
Als je in een dergelijk bedrijf binnen IT werkzaam bent kun je blijkbaar niet duidelijk maken wat de IT strategie zou moeten zijn of je zit niet op het juiste niveau aan tafel. In alle gevallen ben je de klos want jij mag wel het geschreeuw van de gebruikers over je heen krijgen.

bigbadbull @rhk22463 • 16 augustus 2017 14:18

kom dat vaak genoeg tegen als je preventief een maintenace window aanvraagt, dan kan het maar nauwelijks. maar als zij wat moeten aanpassen of aangepast zien dan steekt het niet nauw.
of bij problemen, ja dan moet het direct en geeft het niet dat je een paar keer moet rebooten.

jpsch @bigbadbull • 16 augustus 2017 16:47

Of zeuren dat er door een storing een dag vertraging in een afsluitproces zit, maar wel een SLA getekend hebben dat er binnen 2 werkdagen aan een storingsoplossing gewerkt moet gaan worden.

bigbadbull @jpsch • 16 augustus 2017 17:01

klinkt inderdaad bekend

Verwijderd @g4wx3 • 16 augustus 2017 14:14

En realiseer je dat Maersk / APM alleen maar collateral damage was van een ruzie tussen de Oekraïne en Rusland.

Bij een gerichte aanval zou de schade nog duizend keer zo hoog zijn geweest. Ik denk dat dit soort cyberwapens bestaan en klaar staan, maar dat ze die alleen maar inzetten in tijden van oorlog of conflict.

Als op het Koreaanse schiereiland de pleuris uitbreekt zal je hier nog voorbeelden van gaan zien. En dan zullen de sukkels van politici zich eindelijk realiseren hoe kwetsbaar wij zijn met ons fantastische internet.

stresstak @Verwijderd • 16 augustus 2017 18:32

En dan zullen de sukkels van politici zich eindelijk realiseren hoe kwetsbaar wij zijn

Die politici kun je niet 'ontsukkelen'. Er ontbreekt een gen. Geen boetekleed zo zwaar of dreigend zal hen kunnen overtuigen.

tinzarian @g4wx3 • 17 augustus 2017 00:57

Ik heb kennelijk wat gemist, ik zie het in ieder geval niet terug in het artikeltje. Waaruit blijkt dat Maersk-personeel geen groeimogelijkheden heeft en dat hun infrastructuur wordt beheerd door simpele afstudeerders?

willyb 16 augustus 2017 13:28

256.
Of het boekhoudsysteem stopt na tinyint met tellen, of iemand haalt een grapje uit hier.

Sinned123 @willyb • 16 augustus 2017 13:46

Het bedrag is omgerekend van uit dollars. Puur toeval dus.

The Zep Man

Netwerk en systeembeheer
Economie en maatschappij

16 augustus 2017 12:58

Zie dat goedkoop, incompleet en incorrect je informatiebeveiliging inrichten duurkoop is. Al waren er systemen geplaatst die buitengewone activiteiten hadden gemeten (bijvoorbeeld het vlot uitlezen en opnieuw opslaan van veel bestanden in een onevenredige snelheid t.o.v. een baseline), dan kon de aanval veel sneller in de kiem gesmoord worden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 23:09]

Technomania

16 augustus 2017 13:01

omgerekend zo'n 171 tot 256 miljoen euro.

Vind het nog redelijk meevallen...

Behalve dat vele chauffeurs en havenmedewerkers niet aan het werk konden zullen er vast ook vele versproducten zijn geweest die onverkoopbaar waren geworden. (Denk bijv. aan bananen die per Zeecontainer aankomen.

core_dump @Technomania • 17 augustus 2017 08:53

Ik denk niet dat een stekker in een Reefer afhankelijk is van een windows machine...

II Stevow II 16 augustus 2017 13:02

Voor dat geld kun je toch heel wat IT beveiliging en update software/mankracht voor inhuren.

hoeveel er is uitgegeven aan beveiligingsmaatregelen.

Ben benieuwd wat voor spike dit zal zijn en of het iets tijdelijks is of dat er nu wel degelijk beter geïnvesteerd wordt in bedrijfskritische IT infrastructuur.

tweaker2010 16 augustus 2017 14:08

Ik zou het interessanter vinden om te weten wat nu de directe impact op de NL economie is geweest.
En dan denk ik meer aan bouwmaterialengroothandel Raab Karcher wat ook getroffen was bijvoorbeeld.

Verder is het vreemd dat er wordt gesproken over "Een Britse fabrikant van schoonmaakmiddelen en condooms" terwijl van alle overige bedrijven wel gewoon de naam genoemd wordt.

Verwijderd 16 augustus 2017 13:30

Vind het een vrij hoog bedrag. Ik ga dan filosoferen, en dit lijkt een goede manier om wat verliesgevende posten onder weg te schrijven als eenmalige bijzondere kosten, zonder veel kritiek van aandeelhouders.

WillC @Verwijderd • 16 augustus 2017 13:58

Denk bij dit soort bedragen aan schepen die stil liggen, gehele terminals waar containers vervoerd worden, personeel, overwerk, aanschaf extra hardware, kosten posten voor de gemaakte vertraging bij leveren goederen, extra brandstof voor bv. truck vervoer als alternatief. Personeel dat uit reist naar locaties om op niet IT bemande kantoren installaties uit te voeren, ik denk wereldwijd met zo'n 55 duizend medewerkers dat dit helemaal geen gek bedrag is.

bussie66 16 augustus 2017 13:19

Heel goed dat ze dit veel geld gekost heeft.

Zal de directie daar geleerd hebbenmag je aannemen zich nooit meer met it-updates te bemoeien en tegen te houden, de prutsers.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: