Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Gevolgen WannaCry-aanval voor Britse ziekenhuizen waren eenvoudig te voorkomen'

De gevolgen van de aanval met WannaCry-ransomware voor Britse ziekenhuizen hadden met een aantal simpele stappen voorkomen kunnen worden. Dat is een van de conclusies uit een rapport dat het National Audit Office heeft opgesteld.

De organisatie, die overheidsuitgaven controleert voor het parlement, schrijft in het rapport dat 'alle organisaties die door WannaCry waren getroffen dezelfde zwakke plekken gemeen hadden'. Zo gebruikten ze allemaal ongepatchte of niet langer ondersteunde Windows-versies. Het overgrote deel van de organisaties draaide Windows 7, maar zonder de nodige patches uit te voeren. Een minderheid draaide het niet langer ondersteunde Windows XP, dat bijvoorbeeld embedded draait bij bepaalde medische apparaten.

Het rapport concludeert bovendien: "Of organisaties nu ongepatchte systemen hadden of niet, de infecties hadden ook kunnen worden voorkomen door een juist beheer van de internetfirewalls." WannaCry verspreidde zich in mei via een kwetsbaarheid in SMB door gebruik te maken van de NSA-exploit EternalBlue. Microsoft had twee maanden voor de internetaanval patches uitgebracht voor deze kwetsbaarheid. De NAO schrijft dat de malware zich ook via het interne N3-netwerk van de ziekenhuizen verspreidde. De organisaties waren in 2014 al gewaarschuwd om verouderde systemen te upgraden en er waren in maart en april patchwaarschuwingen uitgegaan. Er bestonden tot de aanval echter geen procedures om vast te stellen of dit advies werd opgevolgd.

Uit het rapport is verder op te maken dat er weliswaar een rampenplan was, maar dat er geen praktijkoefening had plaatsgevonden. Daardoor verliep de reactie op het incident niet optimaal, mede doordat het gebruik van e-mail vaak niet mogelijk was. De NHS meldt dat 34 procent van de zogenaamde trusts, oftewel zorgdiensten, door WannaCry was getroffen en schat dat in totaal 19.000 afspraken afgezegd moesten worden. Geen van de getroffen organisaties zou het gevraagde losgeld hebben betaald.

Vrijdag maakte het VK bekend dat het ervan uitgaat dat Noord-Korea voor de aanval met de WannaCry-ransomware verantwoordelijk is. Deze overtuiging zou 'breed gedragen worden in de inlichtingencommunity en door verschillende landen'. Het is niet de eerste keer dat de aanval in verband wordt gebracht met het land. Verschillende beveiligingsbedrijven zagen al eerder een connectie.

Door

Nieuwsredacteur

38 Linkedin Google+

Reacties (38)

Wijzig sortering
Wait, maar waarom zijn de medische apparatuur verbonden aan het internet? (Direct of indirect) dat moet toch gescheiden blijven?

Ik heb op bedrijven gewerkt waar we machines met Windows 98 en XP hadden, maar uiteraard zijn ze niet verboden aan het internet.
Dat is net als geld automaten, sommige draaien nog op een verouderd systeem, maar ze zijn geïsoleerd van het internet.

Verder vraag ik mij af waarom de Windows 7 computers niet up-to-date waren, het is vragen naar problemen.
Updaten mag vaak niet van de leverancier, want dan zou het wel eens stuk kunnen gaan, en ze hangen uiteraard aan het netwerk om metingen door te geven aan het centrale systeem.

"weliswaar een rampenplan was, maar dat er geen praktijkoefening had plaatsgevonden", dat is normaal bij ziekenhuizen. Ze testen ook nooit de noodstroom of evacuaties op de intensive care. Afweging van risicos.

De impact was waarschijnlijk daarom ook niet zo groot. Ik vermoed dat de ziekenhuizen niets gaan veranderen aan hun procedures, want er zijn verder geen doden gevallen.

Ps dit is geen verdediging, maar een verklaring.

[Reactie gewijzigd door BCC op 27 oktober 2017 15:23]

Nee, begrijp ik, maar die machines zijn toch afgesloten van de normale netwerk?
Vervolgens kan de dokter wel vanuit zijn bureau computer informatie opvragen, maar dat gaat meestal dan of via firewalls.
Ook bij Siemens in Zoetermeer hadden ze grote machines met embedded Windows systemen, CE, XP, 98, maar ook niet aangesloten aan de normale netwerk, dus die vormde geen risico voor het systeem.

Daarnaast is de vraag waarom de computers die op Windows 7 draaien, ik neem het aan dat we over desktop hebben, niet up-to-date waren, de IT afdeling moet toch zsm gaan testen en certificeren dat een nieuw update geen problemen zorgt en deze uitrollen?

Want het helpt echt niet als bedrijven van Windows XP overstappen om vervolgens geen updates te draaien.
"Ze testen ook nooit de noodstroom of evacuaties op de intensive care. Afweging van risicos."

Hmm, ik heb ruim 20 jaar op een academische intensive care gewerkt. De noodstroomvoorziening werd iedere maand getest voor het hele ziekenhuis. Dat zat wel goed. Evacuatie oefenen is van een andere orde.
Stroomvoorziening wordt wel getest op intensive care ( we hebben er toevalig woensdag nog een getest, met ondersteuning van IT voor onze spullen). van begin tot einde. Met evaluatie. En evacuaties ook btw. Of toch bij ons.

Over de updates heb je wel gelijk, mag vaak niet van de fabrikant tenzij na een half jaar testen. Maar die verantwoordelijkheid ligt dan ook bij hun.

[Reactie gewijzigd door white modder op 27 oktober 2017 16:24]

Betalen ze dan ook de schade als het mis gaat door niet te patchen?
Ook de failover? Of alleen of het aggregaat nog start?

[Reactie gewijzigd door BCC op 27 oktober 2017 15:49]

Wat BBC zegt inderdaad. De leverancier laat vaak niet toe van een update te doen. Wij hebben de afspraak wel met al onze leveranciers dat security patches wel gedaan worden adhv. een bep. flow.

- Apart systeem puur voor update patchings wordt geupdate
- Tests worden gerund
- Patches worden doorgeduwd naar productiemachines

Indien een machine mocht bugs vertonen (tot op heden nog nooit gebeurd) dan wordt dit gemeld aan de leverancier en asap gepatcht.

Daarbovenop zit elk vlan van productie nog eens achter een aparte scada firewall (checkpoint).

Het grootste probleem is in de meeste organisaties een tekort aan mensen of gewoon dat er niet doorgehamerd wordt op procedures. Fouten maken en overwerkt zijn is menselijk.
"Wait, maar waarom zijn de medische apparatuur verbonden aan het internet? (Direct of indirect) dat moet toch gescheiden blijven?"

Staat in het artikel.

"De NAO schrijft dat de malware zich ook via het interne N3-netwerk van de ziekenhuizen verspreidde."

"Verder vraag ik mij af waarom de Windows 7 computers niet up-to-date waren, het is vragen naar problemen."
Geen prioriteit geven aan patch management waarschijnlijk. Het artikel beschrijft ook dat ze geen procedures hadden hiervoor.
En hoe komt die malware in het interne netwerk van het ziekenhuis? Het heeft zich verspreid via het SMB protocol.

Dit is wel wat anders dan die Iraanse centrifuges die besmet geraakt waren met een virus wat via USB sticks ('sneakernet') verspreid was.

SMB is /honderd/ procent incompatible met sneakernet, dat betekent dat er minstens 1 machine aan beide netwerken gehangen heeft, en niet alleen dat, maar dat die machine dus niet afdoende beveiligd is geweest. Effectief is dus het hele netwerk bereikbaar geweest via het internet, direct of indirect.
Het is al erg genoeg dat ze niet 2 fysiek (elektronisch of eventueel logisch middels vlan) gescheiden netwerken hebben. Het is ronduit absurd dat de computers die aan beide netwerken hangen niet aan extreme veiligheidseisen voldoen.

Iedere security expert die enige kennis van zake heeft zal je vertellen om kritieke/gevoelige apparaten op gescheiden netwerken te plaatsen, en indien koppeling /echt/ noodzakelijk is extra veiligheidsmaatregelen te nemen op die koppelpunten.
Er is een reden waarom BoJo zoveel man had weten achter zich te scharen door met een bus rond te rijden waarom stond "We pay the EU £350Million / week, let's fund our NHS instead". (niet waar hoor, eenmaal het referendum achter de rug was zijn ze daarvan heel snel teruggekrabbeld)

De NHS heeft gewoon de resources niet om te doen wat ze zouden moeten doen. En dat gaat dus blijkbaar verder dan resources om patienten te behandelen.
De medische apparatuur moet zijn meetdata kunnen opslaan op centrale servers zodat de dokters deze data kunnen raadplegen en de data kan opgeslagen worden in het dossier van de patient. Het is ook niet omdat er bij een audit machines op het netwerk gevonden werden met verouderde software dat deze ook effectief geïnfecteerd zijn geweest.

En het waarom dit mogelijk is? Simpel: gebrek aan middellen. Vergeet niet dat ze in de gezondheidszorg elke euro niet 2 maar 5 keer omdraaien voordat deze gespendeerd wordt. Gezondheidszorg is duur en bijkomstige uitgaven waar de patient niet direct voordeel uit haalt worden vaak tot een minimum beperkt waardoor IT afdelingen van ziekenhuizen vaak moeten roeien met de riemen die ze hebben. Als het misloopt zijn ze de grote boeman, maar de correcte budgetten om alles vlot te laten lopen? Die zijn er simpelweg niet.
Waar leidt jij uit af dat er medische apparatuur aan het internet verbonden was? Het lijkt voornamelijk (uitsluitend?) om Windows system te gaan, voor administratie dus.
Hoogtechnologische diensten in een random ziekenhuis in West EU.
Waar machine's staan die ettelijke miljoenen kosten.

Echter draaien de PC's, die de machine's aansturen op windows XP, of in het beste geval windows7.
Deze worden ook niet ge-update.
Dit allemaal omdat de software die gedraaid word op die pc's, de machine's moet aansturen.
En de fabrikanten het meestal nalaten om ervoor te zorgen dat de software van de machine's compatibel blijft met de laatste nieuwe windows versie's. (laat staan met de update's)

Ook de IT dienst laat toe dat een onbeveiligd Wifi netwerken zijn in het ziekenhuis.
Je kan zomaar op dat wifi zitten en allerlei programma'tjes laten rondsnuffelen, om de smartphone's van onschuldige gebruikers te hacken/bekijken.

De IT'ers in het ziekenhuis, zijn niet verantwoordelijk voor de verouderde software pakketten die fabrikanten verkopen aan ziekenhuizen en het nalaten om systematische updates door te voeren van hun software en de windows versie die ermee gepaard gaat.

De medische apparatuur is verbonden met het intranet, dat op zich dan weer via via verbonden is met het internet.

Ik ben er 200% zeker van, dat er ook in Nederlandse ziekenhuizen, véél computers te vinden zijn die medische apparatuur aansturen, verbonden zijn met het internet én op sterk verouderde windows versie's draaien.

[Reactie gewijzigd door Qinshi op 27 oktober 2017 15:50]

Captain Hindsight strikes again! Achteraf lijkt alles zóveel makkelijker te zijn. Ja, logisch dat ze getroffen waren! Ze gebruikten nog Windows XP! Ja, en ongepatchte versies van Windows 7! Achteraf zijn dat logische conclusies maar op het moment zelf wordt er simpelweg niet aan gedacht. IT in veel organisaties is van een bedroevend niveau, en veel specialistische apparatuur is afhankelijk van oudere versies van besturingssystemen. Genoeg machines in bijvoorbeeld de metaalbewerking die nog werken op een afgeleide van DOS.

[Reactie gewijzigd door SomerenV op 27 oktober 2017 15:05]

Ik weet genoeg systemen met XP, Win7, Server2010r2 waar SCADA applicaties op draaien waarvan automatishe updates uitstaan. En ook nog eens jarenlang niet geupdate worden. Simpelweg omdat de fabriek moet produceren/bedienbaar moet blijven. Gelukkig zijn deze meestal alleen te bereiken via een vpn oid.

[Reactie gewijzigd door DeKemp op 27 oktober 2017 15:24]

dit soort dingen is bij ons de reden dat we voor scada applicaties linux gebruiken, en als er een dist upgrade is, is er vaak ook al een nieuwere versie van het pakket
Helaas is deze industrie (voeding) gewend aan namen als Siemens, Rockwel en GE.
wij gebruiken ook siemens, werkt prima, voor ontwikkeling gebruiken we wel windows, maar voor communicatie met scada applicaties zijn er linux drivers
/frustratie modus aan ;)

Ja, en waarom wordt het niet vervangen?
Omdat de leverancier belachelijke bedragen vraagt voor upgrades.

siemens systemen, durf ik even niet te zeggen maar een paar ton makkelijk(per systeem).
1_PLC 350.000 (aansturing van industriele apparaten), Hiervan heb je tich dingen nodig in een mechanische lijn.
Technisch gezien: worden ook nog steeds dezelfde protocollen gebruikt als 20 jaar geleden alleen met een jasje eromheen, maar als IT-beheerder krijg je daar hartverzakkingen van.

Als ik dat soort bedragen zou vragen voor een nieuw computer systeem bij IT zou ik een serverpark kunnen opzetten, dat is te belachelijk voor woorden.
Denk wel dat er een markt is voor devices gemaakt met Rasperry Pi, deze zullen wel wat meer stroom moeten aankunnen. :P

microscoop systemen 750.000 (en je mag geen windows patches draaien want bibliotheken(DLL) mogen niet geupgrade worden, wat trouwens voor alles geldt hierboven).

Zelfs nieuwe software:
Als je als IT'er echt kijkt wat er wordt geleverd aan Software is het rampzalig, maar het kan gewoon omdat er maar 1 of 2 leveranciers zijn van dat soort software, er ontstaat een monopolie. Gevolg: de software leverancier bepaalt wat jij draait.

Naja uiteraart kan een IT bedrijf dat aangeven dat er dan problemen ontstaan maar een bedrijf/ziekenhuis moet blijven draaien.
Er kunnen speciale Zones gemaakt worden waar deze apparaten in komen te staan, en er niemand toegang toe heeft. Dit kost wel veel uren om dat goed in te richten(extra kosten die niet bij aanschaf worden berekend).

en uiteindelijk bij elke aanval moet dat systeem manual controleert worden, want natuurlijk houd de leverancier zich niet aan de standard, dat je bijvoorbeeld goede monitoring of logging hebt (it technisch).

Het gaat zelfs zover dat je standard handelingen zoals inloggen op een server (windows 2016) met RDP kan de software crashen...............

En programma's zijn zoo onstabiel dat ze vaak door een ervaren programmeur bijgehouden moeten worden anders is de volgende crash te voorspellen.

Oftewel de kosten zijn zo hoog, dat risicos worden genomen.

/frustratie modus uit, sorry :)
En de software die erbij hoort is bijzonder complex met honderden functies op specialistische data, vereist veel rekenkracht en moet aan een netwerk gekoppeld zijn om resultaten te versturen. Tenzij de eindgebruiker iemand full-time in dienst wil hebben om A4'tjes aan getallen over te typen.

Software kan enkel geschreven worden door mensen die zowel kennis hebben van het apparaat en de techniek er achter *en* ook nog een fatsoenlijk programma gaan schrijven. Het wordt getest op een systeem en alle functies werken prima. Vervolgens komt microsoft met een update van een paar cruciale DLL's en de hele boel stort als een kaartenhuis in elkaar.

Even de software herschrijven is een proces van maanden, als de bugs gepatched zijn moet het nog naar de eindlocatie en is er vaak meer tot gevolg. Nieuwe versie betekend nieuwe firmware voor apparatuur en in veel gevallen ook nieuwe validatieproces, zie hierboven.

De apparatuur waarvoor de software geschreven wordt, heeft een levenscyclus van 25+ jaar. En is van cruciaal belang voor het meten van medicijnen, bloedwaarden, grondwater, luchtstromen, reactiemengsels of zelfs de namaak duplo blokjes uit China waar soms wel eens iets te veel weekmakers in zitten.

Als ik hier op Tweakers met enige regelmaat een falende windows update voorbij zie komen die standaard dingen in Windows als sloopt, of zorgt dat een PC niet meer boot, dan kun je je voorstellen dat bedrijven het zich niet kunnen veroorloven dat apparatuur even een paar maanden wegvalt omdat een *verplichte* windows update de boel om zeep geholpen heeft.
Toch wel weer bijzonder om te horen dat het soms niet anders is. Voor meetapparatuur wordt software ontwikkeld en getest. Dat testwerk neemt soms wel 2 jaar in beslag, als onderdeel van het ontwikkelen van een nieuw apparaat. Even een windows update draaien die een softwareaanpassing nodig heeft vereist dus weer een x-aantal maanden test en validatiewerk. Dus soms is dat niet zo eenvoudig.

Logische vraag is misschien waarom er geen gebruik wordt gemaakt van Linux hiervoor? Soms wel, maar meestal niet omdat windows nogal hard doorgebakken zit bij de eindgebruikers. En "even" switchen naar een nieuw OS betekent vanaf scratsch je software opnieuw schrijven. Geringe verkoopsaantallen van specialistische apparatuur met hoge complexiteit zit dat er gewoon even niet in...

Of nog zo'n verhaal, windows update vereist update van de software op de computer. De nieuwe versie op de software op de computer vereist nieuwe firmware van apparatuur die er aan hangt. Nieuwe firmware van de apparatuur vereist een nieuw controllerbord en een nieuw rondje validatie door gecertificeerd personeel (validatie vereist metingen op referentie materiaal, waarbij bijvoorbeeld gekeken wordt naar consistentie van meetwaarden, lineariteit en dergelijke. Als een meting 3 uur in beslag neemt en je hebt er een paar 100 nodig voor de validatie, dan kan dat al snel 2 weken in beslag nemen). Zoveel gecertificeerd specialistisch personeel is er niet, dus vereist iets een update, dan ben je soms wel 4 maanden verder voordat je aan de beurt bent hiervoor. En in de tussentijd staat alles stil.

Eigenlijk zou ik van de alle IT techneuten liever een oplossing zien voor dit soort problemen. Iets met een sandbox ofzo waarbij specialistische software voor apparaatsturing en dergelijke, gebruik kan maken van oudere versies van windows onderdelen. Dat zou een hoop ellende schelen :)
Nog steeds zijn er mensen/bedrijven die "losgeld" blijven betalen: https://blockchain.info/a...ueZ9NyMgw519p7AA8isjr6SMw . Zelfs in september nog iemand die +- $4146 betaalt.
Afweging.

Los je het (mogelijk) op voor een relatief laag bedrag,
of schakel je allerlei instanties in waarbij je meerdere dagen praktisch stil kunt staan.
Als elk uur dat je stil ligt je 10000 euro kost, je geen goede backup strategie hebt (of nog erger, geen backups) en je dus nog naar weken downtime kijkt, denk je dat het dan niet interessanter lijkt om te betalen? Zeker wanneer je weet dat je na betaling netjes de decryptiesleutel krijgt?
Geen van de getroffen organisaties zou het gevraagde losgeld hebben betaald.
Dat klinkt bij mij als: Er was adequate backup aanwezig van _alle_ getroffen systemen, die van een dusdanige kwaliteit was, dat er geen (of nauwelijks) patientgegevens verloren zijn gegaan.

Dat leest toch best positief. Tuurlijk is voorkomen beter dan genezen, maar in dit verhaal ben ik allang blij dat ze de toko('s) weer draaiende hebben gekregen.
Besturing systemen niet patchen is vragen om problemen. Als je zelfs niet patcht na 1 of meer waarschuwingen, weet je dat er een virus op kan komen. Als ziekenhuis is dit toch wel een prioriteit, het gaat immers over belangrijke gegevens.
Het probleem is dat een ziekenhuisafdeling veel hoge prioriteiten heeft, met een budget dat de gevraagde standaard eigenlijk niet kan halen. kijk naar zembla over ziekenhuis calamiteiten, mensen sterven letterlijk omdat management $$$ wil.
Een minderheid draaide het niet langer ondersteunde Windows XP, dat bijvoorbeeld embedded draait bij bepaalde medische apparaten.
https://blogs.msdn.micros...ean-for-windows-embedded/
Windows Embedded Standard 2009. This product is an updated release of the toolkit and componentized version of Windows XP. It was originally released in 2008; and Extended Support will end on Jan. 8, 2019.
Windows Embedded POSReady 2009. This product for point-of-sale devices reflects the updates available in Windows Embedded Standard 2009. It was originally released in 2009, and extended support will end on April 9, 2019.

Waarom gebruikt men nog een niet ondersteunde embedded versie als er nog een versie is die wel ondersteund wordt.

[Reactie gewijzigd door batjes op 27 oktober 2017 15:59]

Waar ik voor het laatst werkte was het op zich vrij goed georganiseerd.

De lab diagnostiek was in verschillende stages aangepast.

Meet / lab was combinatie van XP en Windows 7. Uiteraard gepatcht. Hier kon je ook niet bij. Moest altijd ge-update worden door VLAN te openen.

De gebruikers hadden Windows 10 met uiteraard de allerlaatste updates. Elke week een nieuwe IMAGE gedraaid op de XenApp. De Citrix omgeving was alleen te benaderen via token en password. De USB op de machines was uitgeschakeld zodat de gebruikers niet zomaar troep op de machines kon plaatsen.

Daarnaast is het mailverkeer aangepast. Alleen TTL clients werden toegelaten. Had je geen TTL dan kwam het bericht in een portal die door ons vrijgegeven werd.

De infra zelf was via DMZ en firewalls beveiligd. 3 of 4 aparte Adressen voor elke deel van het bedrijf wat niet zichtbaar is voor bepaalde netwerken.
Deze conclusie/rapport is veelste simpel... Installeren van Windows 7 patches blijkt heel erg riskant en had het ziekenhuis net zo goed kunnen verlammen al da niet tijdelijk.
Het is gewoon Microsoft hoor, niet MicroSoft. Of doe je dat bewust om je overduidelijke, op belachelijke aannames gefundeerde haat jegens het bedrijf uit te dragen?

stumper :')
Nee hoor, ik heb absoluut niks tegen MS. Goed innovatief bedrijf. Toevallig is MS Windows het meest gebruikte OS, waardoor het commercieel aantrekkelijk is om te "misbruiken".

Wat ik probeer aan te geven is het belachelijke wijzen naar een dom en achterlijk voorgesteld land bij dergelijke technische aanvallen. Bovendien herinner ik er nog even aan dat het "lek" gevonden is door onze vrienden van de NSA. Kennelijk ontging je de cynische ondertoon.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*