Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware

Bedrijven en instellingen die slachtoffer worden van ransomware zouden daarover meer in de openbaarheid moeten treden, zeggen de Universiteit Maastricht en wetenschapsinstituut Wetsus. De instituten werden zelf slachtoffer van gijzelsoftware, en roepen bedrijven op daarover te praten.

Instellingen die meer vertellen over hoe zij slachtoffer zijn geworden kunnen anderen daarmee helpen. Ransomware-infecties moeten 'uit het verdomhoekje' komen, zegt ict-directeur Jacques Beursgens van de Universiteit Maastricht tegen het programma De Kennis Van Nu. Hij verwijst daarbij naar de Universiteit van Antwerpen, die op dezelfde manier door ransomware werd getroffen als zijn eigen universiteit, door vermoedelijk dezelfde criminelen. "Als informatie over die infectie in internationaal verband beter was gedeeld hadden wij ons daar beter tegen kunnen wapenen."

Volgens Beursgens zijn er nog te veel bedrijven die een infectie liever stil houden. "Wij hebben het heel open gedeeld met de wereld, maar je ziet nog steeds dat de rolluiken naar beneden gaan bij bedrijven die dit dagelijks overkomt." Beursgens zegt dat bedrijven zich bij andere bedrijven moeten voegen die worden getroffen. "Maar help elkaar."

Naast de Universiteit Maastricht werd ook wetenschappelijk onderzoeksinstituut Wetsus onlangs getroffen door ransomware. Het bedrijf zegt daarmee naar buiten te zijn gekomen 'om mensen te waarschuwen'. "Je kunt jezelf van alles verwijten, maar van de andere kant is dit een risico dat levensgroot is voor iedereen", zegt algemeen directeur Johannes Boonstra tegen het tv-programma. "Als het je overkomt, wees dan goed voorbereid zodat je niet zoals wij moet overleggen met criminelen."

Zowel de Universiteit Maastricht als Wetsus betaalden het losgeld voor de aanval. Bij de eerste ging het om een bedrag van 30 bitcoins, destijds 197.000 euro. Wetsus wil niet zeggen hoeveel het betaalde. Wel zegt het instituut dat het bedrag 'lager was dan de schade als we niet zouden betalen'.

De universiteit trad later tijdens een symposium naar buiten met meer informatie over de aanval. De universiteit zei toen al zoveel mogelijk openheid van zaken te willen geven om andere onderwijsinstellingen en bedrijven te waarschuwen en te laten leren van de situatie.

Door Tijs Hofmans

Redacteur privacy & security

22-05-2020 • 17:18

53 Linkedin

Reacties (53)

Wijzig sortering
Heeft deze Jacques Beursgens last van een selectief geheugen?
Universiteit Maastricht heeft het pas "heel open" gedeeld met de wereld nadat er naar de pers gelekt was wat de oorzaak was van de ICT problemen binnen de Universiteit. Met andere woorden, toen ze geen keus meer hadden. Anders hadden ook zij het zo lang mogelijk onder de pet proberen te houden. Jezelf dan later nog een schouderklopje geven hoe goed je het gedaan hebt, vind ik dan ook niet echt gepast.
Universiteit van Antwerpen maakte eind oktober bekend Clop aanval te hebben.

nieuws: Universiteit Antwerpen is getroffen door Clop-ransomware

Schijnbaar heeft deze communicatie en 1,5 maand de tijd niet geholpen voor Maastricht.

nieuws: Deel diensten Universiteit Maastricht offline door Clop-ransomware - ...
Heb je daar ook een bron of bewijs van? Het lijkt mij nooit in je voordeel om tijdens een aanval heel open te zijn. Achteraf, als je zeker bent dat de aanval voorbij is, dan is het pas veilig om openheid van zaken te geven, lijkt mij.
Toch heeft hij wel een punt. Ik durf te wedden dat heel veel onderwijsinstellingen hun beveiliging nog een keer nagelopen hebben toen de situatie bij Uni Maastricht bekend werd.
Denk overigens niet dat andere bedrijven en instellingen niet kwetsbaar zijn en delen van gebruikte kwetsbaarheden kan dan wel degelijk helpen.
Dat is een aanname die je doet, of heb je daar ook bewijs voor?
Ja, en dan kom je er achteraf bij de evaluatie achter dat het beter had gekund. Voortschrijdend inzicht heet dat.
Ik heb het destijds best goed gevolgd maar kan me dit niet goed herinneren, heb je hier ergens een bron van? Ik heb het idee dat ze al best snel voor openheid gingen, maar misschien heb ik iets gemist.
Ik ben zelf student aan de Universiteit Antwerpen (UA), ik kan mij voorstellen dat de UA niet zo heel veel informatie over de ransomware heeft gedeeld omdat het niet zo'n grote impact heeft gehad op de UA.
Zover wij weten (en misschien wat je kon afleiden uit de informatie) is er niet betaald door de UA.
Als student was de grootste impact waarschijnlijk dat er een tijdje (1 dag) spraken was dat we niet zouden kunnen betalen in de studentenrestaurants. Voor de administratieve afdeling was er wel een grotere impact.
Op minder dan 6 dagen was alle infra die invloed heeft op de studenten terug operationeel.
Ik heb hier al eens wat extra info gegeven: LEDfan in 'nieuws: Deel diensten Universiteit Maastricht offline door Clop-ra...
Moeten de universiteit die het verkeerd heeft gedaan nodig zeggen. Betalen aan ransomware is mijns inziens crimineel gedrag. Ga dan vooral lopen verkondigen "hoe het wel moet." En het is al helemaal erg dat zij ons belastinggeld eraan hebben besteed.

[Reactie gewijzigd door Trommelrem op 22 mei 2020 17:36]

Tegelijkertijd, als zij NIET betaald zouden hebben zou er flink wat werk van studenten en onderzoekers verloren zijn geraakt - die vertegenwoordigen ook flink wat geld. Plus dat het langer duurt voor ze weer volledig up&running waren geweest, waardoor dingen nog meer vertragen of verloren gaan.

Het is achteraf een kosten/baten-analyse: wat kost het om de afpersers te betalen? En wat kost het om het niet te doen? In beide gevallen is het belastinggeld, ik hoop dan ook dat ze de keus gemaakt hebben voor wat het minste belastinggeld kostte.

En achteraf is het makkelijk praten: ze hadden van tevoren de beveiliging & back-up beter op orde moeten hebben, dan had het wellicht minder belastinggeld gekost (en zelfs dat weet je niet zeker... minder IT-werk, minder kosten voor een back-up, als je dat lang genoeg zonder inbraak voor elkaar krijgt scheelt dat ook geld)
Tegelijkertijd, als zij NIET betaald zouden hebben zou er flink wat werk van studenten en onderzoekers verloren zijn geraakt - die vertegenwoordigen ook flink wat geld. Plus dat het langer duurt voor ze weer volledig up&running waren geweest, waardoor dingen nog meer vertragen of verloren gaan.
Ja, dat geld was dan gegaan naar onderzoek (ook al is het redundant op dit punt) en niet naar criminelen die het investeren in het kopen van nieuwe zeroday lekken om nóg meer slachtoffers te maken.
Het is achteraf een kosten/baten-analyse: wat kost het om de afpersers te betalen? En wat kost het om het niet te doen? In beide gevallen is het belastinggeld, ik hoop dan ook dat ze de keus gemaakt hebben voor wat het minste belastinggeld kostte.
Wat een egoïstische en vooral kortzichtige manier om er naar te kijken. Niet alleen geef je de criminelen meer resources om nog harder en grootschaliger toe te slaan, je richt ook alle pijlen op jezelf omdat je aangeeft bereid te zijn tot betalen.
En achteraf is het makkelijk praten: ze hadden van tevoren de beveiliging & back-up beter op orde moeten hebben, dan had het wellicht minder belastinggeld gekost (en zelfs dat weet je niet zeker... minder IT-werk, minder kosten voor een back-up, als je dat lang genoeg zonder inbraak voor elkaar krijgt scheelt dat ook geld)
Al decennia wordt er geroepen om IT beveiliging in iedere branche. Dit is niet 'achteraf makkelijk praten', dit is 'ik zei het toch'.
Wat een egoïstische en vooral kortzichtige manier om er naar te kijken. Niet alleen geef je de criminelen meer resources om nog harder en grootschaliger toe te slaan, je richt ook alle pijlen op jezelf omdat je aangeeft bereid te zijn tot betalen.
Laten we wel even duidelijk houden dat de echte criminelen de aanvallers waren en deze universiteiten de slachtoffers. Iedereen roept altijd dat je niet zou moeten betalen bij een gijzeling en dat weten de slachtoffers dus ook wel, maar de aanvallers ook. Gijzelingen en ransomware zijn zo populair omdat de slachtoffers in praktijk niks te kiezen hebben. Ze worden in een positie gebracht waar ze enorm veel ellende kunnen voorkomen door een relatief klein bedrag te betalen.
Je moet er niet aan denken dat 10.000 studenten een jaar studievertraging krijgen, de ellende en de kosten die daar bij zouden komen kijken.
Nergens in de wet staat dat betalen crimineel is, dus je verhaal klopt niet.

Tevens wat als ze niet betaald zouden hebben en veel, zo niet alle gegevens kwijt zouden zijn. Wat had je dan gezegd, zeker als je zelf slachtoffer zou zijn?

De hoeveelheid belastinggeld stelt niks voor.

De hoeveelheid over de balk gejaagd belastinggeld wegens mislukte ict projecten bij de ambtenarij is vele malen groter.
Ik stel duidelijk dat het mijn mening is dat betalen aan ransomware gelijk staat aan crimineel gedrag. Ik denk wel dat velen die mening met mij delen.

Een boef geld geven is behalve belonen ook gewoon onethisch.

Los daarvan: Via een ticket bij Microsoft kun je gewoon een snapshot terughalen van je Exchange Online en je SharePoint. Een week aan data kwijt is mijns inziens minder erg dan een boef geld geven. Het is aan het publiek niet uit te leggen dat je een boef sponsort omdat je de allerlaatste week aan data niet kwijt wilt raken.

[Reactie gewijzigd door Trommelrem op 23 mei 2020 00:28]

Je kunt nog zoveel maatregelen getroffen hebben, vaak is betalen de snelste en goedkoopste optie.

Het terugzetten van backups, opnieuw synchroniseren van data en processen etc. De tijd die daar over heen gaat en de business die je in die tijd mist wegen vaak niet op tegen de kosten. Dan is betalen en tegelijkertijd patchen en maatregelen treffen vaak de goedkoopste oplossing vanuit een business perspectief. En zolang het nog niet strafbaar is, gaan bedrijven dit blijven doen. Dus je kunt het ‘crimineel gedrag’ vinden, volgens de wet is dat niet zo...

Interessant artikel hierover:
https://www.volkskrant.nl...-wordt-gehackt~bf580bf6//

[Reactie gewijzigd door RobbieB op 22 mei 2020 17:54]

Betalen aan ransomware is mijns inziens crimineel gedrag.
Zo ver zou ik niet willen gaan, maar helemaal met je eens dat betalen niet echt handig is. Zo verstrek je de criminelen die dit flikken namelijk van de fondsen en de motivatie om ermee door te gaan.
Maarja 'moeten zij nodig zeggen' is natuurlijk een vrij kort door de bocht reden om iets te verwerpen. Als het nou iets geks was om te zeggen, maar je kan toch achteraf in zien dat er iets moet veranderen? Juist als zoiets bij je is gebeurd heb je daar info over, dus waarom zou je het dan wegwuiven met 'Maar het is bij hun gebeurd'. Als je wilt weten hoe iets is, en opgelost kan worden, dan vraag je dat aan degene die het heeft meegemaakt, niet aan de person waar dat een ver van zijn bed show voor is.
Betalen aan ransomware is mijns inziens crimineel gedrag.
Het is makkelijk zat om slachtoffers ook nog eens de schuld te geven. Als ik op straat word bedreigd door een overvaller met een revolver, dan ga ik ook netjes mijn portefeuille afgeven. Steun of doe ik dan ook crimineel gedrag? Moet ik dan lekker stoer tegen de overvaller zeggen: "Ik geef je mijn geld niet, want dan beloon ik jouw crimineel gedrag?" En met een kogel in mijn hoofd eindigen? Ik begrijp bedrijven die betalen aan makers van ransomware. Beter betalen dan failliet gaan. Even de bittere pil slikken en de nodige lessen trekken qua beveiliging.
bedrijven die dit dagelijks overkomt
Als dit je dagelijks overkomt kan je je toko wel sluiten ;)
Of eens denken hoe goed je eigen beveiliging/firewall situatie is.

Als dit dagelijkse kost is, klopt er volgens mij echt iets niet...
Iets zegt me dat het verkeerd is opgeschreven. Er zal bedoeld zijn dat het dagelijks voorkomt bij bedrijven (in het algemeen, niet bij een individueel bedrijf).
Hij zegt:
"Maar je ziet nog steeds, dagelijks dat bedrijven die dit overkomt, dan gaan de rolluiken naar beneden."
~23:23 https://www.dekennisvannu...nnis-van-Nu/VPWON_1308687
(Ik snap best dat dat als citaat niet verbatim in het artikel terecht is gekomen, want het is bepaald geen mooie zin. Maar goed, daar ga ik niet over.)

[Reactie gewijzigd door zonder.h op 22 mei 2020 17:45]

Er is nog een andere reden om direct in de openbaarheid te treden: op het moment dat je getroffen bent door ransomware is er dus een malware op een diepe laag in je software geïnfiltreerd. Deze malware kan ook eventueel persoonsgegevens hebben gescraped en verzonden naar de afzender zonder dat de instelling zich daarvan bewust is.

Het is heel lastig na te gaan of dit al dan niet is gebeurd bij een besmetting, maar als besmetting heeft plaatsgevonden dan lijkt het me uit voorzorg goed om dit te melden juist omdat er wellicht ook persoonsgegevens (al dan niet in groten getale) zijn gelekt.
Als mijn bedrijf slachtoffer wordt van een losgeldvirus, dan betaal ik gewoon het losgeld om mijn apparatuur terug te krijgen, en daarna verzwijg ik voor de hele wereld dat ik hier überhaupt ooit slachtoffer van ben geweest.

Het is gewoon het eergevoel. Ik voel mij gekrenkt in mijn eer als ik moet toegeven dat ik geld betaald heb aan (zware) criminelen om mijn gegevens terug te krijgen. :'(
Je weet dat er geen belangrijk onderzoek is dat heeft aangetoond dat een LINUX backbone veiliger is?
Je weet dat er geen belangrijk onderzoek is dat heeft aangetoond dat een LINUX omgeving met hacking-minded Linux specialisten veiliger is?
Ik denk ook dat het security through het is niet 90% van de markt is. Het is vrij simpel natuurlijk, Windows is het grootste doelwit, want bijna iedereen gebruikt het. Dezelfde reden waarom Mac weinig virussen heeft, het is gewoon een minder aantrekkelijk doelwit. Dat is natuurlijk niet de enige reden, maar Linux is niet per definitie veiliger, het is gewoon een minder groot doelwit.
Ik geef je hier wel ongeveer gelijk in. Maar stel dat er bijv. 50-50 windows-linux omgevingen waren. Dan blijft het nog de vraag: binnen welk systeem/architectuur en cultuur kan het snelste gereageerd worden?
Maar kan is daar natuurlijk wel het sleutelwoord. Want bedrijven gaan natuurlijk niet de open-source oplossing die binnen een dag beschikbaar is meteen hun systemen op slingeren, daar is dan eerst testing voor nodig. Precies waar de updates voor Windows zo lang door duren. Microsoft heeft natuurlijk ook genoeg slimme mensen in dienst die prima een OS kunnen maken, dus ook daar kan snel gereageerd worden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True