Amerikaanse universiteit betaalt ransomwarelosgeld ondanks aanwezigheid back-ups

Een universiteit in de Amerikaanse staat Utah heeft bijna een half miljoen dollar betaald na een ransomware-infectie. Opvallend genoeg had de universiteit wel back-ups gemaakt, maar de daders dreigden de gestolen data daarna vrij te geven.

De aanval vond plaats op servers van de University of Utah, specifiek op de afdeling van Sociale en Gedragswetenschappen. Die servers werden op 19 juli van dit jaar getroffen door ransomware. Over welke ransomwaresoort het gaat en hoe de aanvallers precies konden toeslaan schrijft de universiteit niet.

Na de aanval wist de universiteit de servers van de getroffen afdeling te isoleren van de rest van het netwerk. Daardoor werd slechts een klein deel van de computers getroffen. Uiteindelijk zou volgens de universiteit slechts 0,02 procent van alle data op de universiteit zijn getroffen. Daaronder vielen gegevens van werknemers en studenten. De gegevens konden wel worden teruggezet vanaf een back-up.

Ondanks dat laatste betaalde de universiteit toch losgeld aan de aanvallers. Dat gebeurde deels door de verzekeringsmaatschappij. In totaal werd 457.059 dollar betaald, omgerekend zo'n 388.000 euro. "Dat werd gedaan als een proactieve en preventieve stap om te zorgen dat geen informatie op internet zou worden gelekt", schrijft de universiteit. Tegelijkertijd onderzoekt de onderwijsinstelling nog hoeveel data er in totaal is buitgemaakt.

Ransomwareverspreiders stappen de laatste maanden steeds vaker over op een dergelijke aanpak. Daarbij versleutelen ze niet alleen informatie, maar dreigen ze die ook openbaar te maken als er niet betaald wordt. Daardoor zijn met name bedrijven sneller geneigd het losgeld te betalen. Onderwijsinstellingen zijn bovendien een aantrekkelijk doelwit, vanwege hun vaak minder goede beveiliging en de aanwezigheid van gevoelige en belangrijke data. Eind vorig jaar werd de Universiteit Maastricht getroffen door ransomware. De onderwijsinstelling betaalde 197.000 euro als losgeld.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 21-08-2020 21:01215

21-08-2020 • 21:01

215 Linkedin

Lees meer

Hogeschool en Universiteit van Amsterdam zijn getroffen door cyberaanval Nieuws van 17 februari 2021
Maker van laptops voor Apple, HP en Dell is getroffen door ransomware Nieuws van 10 november 2020
Belgische AP Hogeschool blijft woensdag dicht na cyberaanval Nieuws van 30 september 2020
Ransomware treft systemen Veiligheidsregio Noord- en Oost-Gelderland Nieuws van 14 september 2020
Nederlandse bedrijven zijn gehackt hoewel melding dat had kunnen voorkomen Nieuws van 17 augustus 2020
TU Delft en Universiteit Utrecht waarschuwen alumni voor datalek Nieuws van 11 augustus 2020
'Garmin heeft ransomware-losgeld betaald' Nieuws van 2 augustus 2020
Nederland loopt nog steeds veel kans op digitale ontwrichting Nieuws van 29 juni 2020
Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware Nieuws van 22 mei 2020
Meer producten en artikelen
Beveiliging en antivirus Ransomware

Reacties (215)

-Moderatie-faq
215
208
108
9
0
95
Wijzig sortering
freaxje
21 augustus 2020 22:13
Wat ik goed vind aan deze periode van data-afpersers die succesvol zijn, is dat IT afdelingen nu echt een kwantificeerbaar bedrag van hun waarde op hun hoofden gestempeld krijgen.

Dat was wel eens nodig. Voorheen deed men alsof het allemaal zo erg niet was dat er data zou lekken. Of deed men alsof het net allemaal extreem erg was dat er data zou lekken. Of deed men van alles wat.

Nu is de prijs door de markt vastgelegd: enkele honderdduizenden Euro's voor de gegevens van een universiteit.

Hoeveel zijn jouw gegevens waard, beste CEO of CTO? De kans dat de komende maanden jouw concurrenten ze allemaal gewoon kunnen aankopen is zeer groot. Zou je niet wat meer investeren in jouw IT-security? Er is nu een prijs. Een geldbedrag. Dat bedrag is x. Het is niet y. Maar x. Voor een universiteit. Wat is jouw data waard? x? y? Het zal gelekt worden. Bijna zeker. Tenzij je investeert in beveiliging. Jij doet dat niet? Dan kost het x, en niet y. En jouw CEO hoort jouw als CTO te ontslaan wanneer je niet de juiste afweging maakte tussen bedragen x en y.

Zo hoort het ook: jij hoort genadeloos gestraft te worden wanneer je de foute afweging maakt.

En we leven nu in tijden dat het sowieso zal gebeuren dat ALLE gegevens van jouw organisatie gehacked zullen worden als je de foute afweging maakte. Zonder meer. Of je dat nu leuk vindt of niet. Wat je mening er ook over is. Ongeacht. Wat dan ook. Het is zo. Effectief en anders wacht je maar af.

En als je dat doet, zonder voorbereid te zijn, dan is het jouw CTO carriëre die volledig ten onder zal gaan.

Ik vind dat een goede zaak. Nu zal er eindelijk, hoewel het veeeeeeeel jaren zal duren, iets effectief gaan gebeuren op vlak van IT security: want er zullen best wel veel CTO's zijn die carriëre en geld, echt geld, gaan verliezen.

Dat is altijd goed. Het is altijd goed wanneer mensen écht geld verliezen. Echt extreem veel geld. Dan veranderen de dingen. En dat is goed. Dat is altijd goed.
pauldebra
@freaxje21 augustus 2020 22:56
De taak van een CTO is helaas een beetje onmogelijk. Hij of zij is "verantwoordelijk" voor een infrastructuur die bestaat uit hardware en software die wordt ingekocht of gehuurd, en die ook als ze goed up to date wordt gehouden vatbaar is voor ransomware aanvallen.
De aanvallen zijn niet helemaal tegen te houden en een klein foutje van een willekeurige medewerker is al genoeg om slachtoffer te worden.
De CTO kan als "verantwoordelijke" wel ontslag nemen, "occupational hazard" zeg maar, maar dat helpt een bedrijf ook niet verder.
Je kan criminaliteit niet oplossen alleen maar door de slachtoffers steeds beter te beveiligen. Je kan je huis ook beter beveiligen tegen inbrekers, maar als wat er binnen in huis is maar interessant genoeg is komen ze toch wel binnen, alleen met meer braakschade. Er moet ook iets aan het pakken, veroordelen en echt straffen van de daders gebeuren. Wat met internationale cybercriminaliteit nogal moeilijk is, maar daarom nog niet onmogelijk.
freaxje
@pauldebra21 augustus 2020 23:14
Hoewel ik beaam dat nuancering nodig is, ben ik er toch grote voorstander van dat zij die goed verdienen om grote verantwoordelijkheid te claimen; ook net zo hard afgestraft worden.

Het is aan hen om al die dingen die jij net opsomde in hun optelsom op te nemen. Wanneer zij dat niet kunnen, dan waren zij ongeschikt in hun titel. Moeten we hun nu gaan troosten en op hun hoofdje strelen omdat ze dat waar ze voor betaald werden allemaal niet meteen doorhadden?

Nou kijk. Ze verdienen in tegenstelling tot de meeste burgers per maand niet duizenden maar wel honderdduizenden of miljoenen Euros. Ze claimen die bedragen waard te zijn (en ik geloof hen). Dan zijn ze ook de prijs waard die ze veroorzaken wanneer het fout gaat: ZIJ moeten daar privé voor opdraaien dan. Toch?

ALS zij dan toch zo enorm intelligent zijn, DAN hadden ze het toch kunnen voorzien dat één en ander NIET zou fout gaan? Het gaat wel fout? DAN zijn ZIJ verantwoordelijk. DAT is waarom hun salaris ZO hoog was. Dus DAT moet kunnen aangesproken worden om de schade mee te vergoeden.
kidde
@freaxje22 augustus 2020 01:16
Hoewel ik beaam dat nuancering nodig is, ben ik er toch grote voorstander van dat zij die goed verdienen om grote verantwoordelijkheid te claimen; ook net zo hard afgestraft worden.
U kiest volstrekt de verkeerde daarvoor; helaas iets dat gangbaar is bij degenen die voornamelijk de op servers / PC-draaiende IT-industrie kennen en vaak onbekend zijn met "product liability".

Defecte, foutief ontworpen producten verkopen en deze maandelijks terugroepen is de norm in de software-industrie. Uw oplossing is, om de klanten, de slachtoffers van deze defecte producten, verantwoordelijk te maken voor de schade veroorzaakt door de defecten.

Iemand bij Boeing had een grote verantwoordelijkheid, te kiezen of een extra lampje optioneel werd of niet bij de 737Max. Boeing verloor miljarden daardoor, zelfs nog vlak voor het Corona-gebeuren.

Takata liet wat steken vallen met het fabriceren van airbags, o.a. met de chemicaliën in Mexico. Takata ging door alle schadeclaims failliet en drie medewerkers werden voor het strafgerecht gedaagd omdat ze data vervalst hadden.

Iemand bij Intel had een grote verantwoordelijkheid, met een keuze tussen veiligheid en prestatie. Deze persoon koos prestatie. Gevolg was een grote 'virtuele terugroepactie' waarbij alle Intel CPU's trager werden. Daardoor moesten de klanten, om dezelfde prestaties te halen, extra Intel CPU's kopen. Het gevolg was een recordwinst voor Intel.

Het is volstrekt idioot, dat een maker van een complex product als een autopiloot + vliegtuig aansprakelijk is voor de rotzooi die ze leveren, maar een software-leverancier in de EULA heeft staan dat ze nooit voor een hoger bedrag dan de waarde van de software aansprakelijk zijn, en de rest van de schade op de klant afwentelt.

Neem Lion Air uit Indonesie: Zij kochten een defect product van Boeing; en dat defect had betrekking op veiligheid. De "duurbetaalde" mensen (CTO?) bij Lion Air, investeerden er niet in, om de 737-Maxen beter te beveiligen.

Uiteindelijk volgt er een claim voor de overleden mensen. Moet nou de CTO bij Lion Air ontslagen worden, omdat ze geen veiligheids-medewerkers in dienst hebben genomen om de rotzooi van Boeing te patchen? Moet de CEO bij Lion Air nou voortaan gaan bedenken, hoeveel geld hij wil steken (en dat afwegen tegen schadeclaims van verloren mensenlevens) in het onderzoeken en fixen van de rotzooi van Boeing?

Schrijft Boeing / Airbus in de autopiloot EULA, dat ze niet verantwoordelijk zijn voor schade veroorzaakt door de autopiloot? Toen de Uber-autopiloot een voetganger doodreed, schoof Uber toen de schuld in de schoenen van degene die achter de "computer" zat met ontoereikkende Uber-software erop?

Uiteindelijk is het de leverancier van de software die een afweging maakt:

-We investeren niet een bedrag A in formele verificatie van onze software, of een bedrag B bijv. om data van iedere gebruiker geencrypteerd op te slaan; zodat een eventuele hacker de prive-gegevens niet kan gijzelen.

-We weten dat X universiteiten hierdoor bedrag Y aan schade gaan oplopen,

-A en B betalen we lekker niet, X en Y betaalt de klant.

Dit totaal gebrek aan aansprakelijkheid voor PC / server-software, zorgt er in grote mate voor, dat er voor een autopiloot veel meer geld in beveiliging is gestoken, dan in de software waar de privacy van onze data van afhankelijk is.

Het is een bezopen kunstmatig onderscheid, in stand gehouden door de walgelijke politieke lobby van Microsoft, Adobe (Flash uch uch), Apple, Oracle en andere serie-verspreiders van defecte producten en institutionaliseerders van geplande en gebundelde* (!!!) terugroepacties van hun defecte producten.

* want meer dan 1 defect per keer wordt gerepareerd

Ooit waren vliegtuigen en auto's ook niet veilig, en de makers daarvan riepen (zoals de gatenkaas-software-industrie nu) dat het te complex was om het te beveiligen. Maar kijk wat je met aansprakelijkheid in een halve eeuw kan bereiken!

[Reactie gewijzigd door kidde op 22 augustus 2020 01:39]

dsdevries
@kidde22 augustus 2020 09:42
Ik moet deze post toch even nuanceren.
Het is waar dat vliegtuigen en auto's de afgelopen decennia veel veiliger zijn geworden. Maar de toename van het aantal vliegbewegingen en het aantal auto's op de weg zorgt er toch voor dat er elk jaar meer ongelukken plaatsvinden met letsel of dood tot gevolg. Het aantal verkeersdoden is momenteel gigantisch!

Hetzelfde gebeurd ook in de IT. De beveiliging van software(systemen) en netwerken is ook enorm verbeterd, maar de enorme digitalisering van de afgelopen jaren zorgt wereldwijd voor veel meer aanvallen en diefstallen.

Ik denk dat de persoon die verantwoordelijk is voor de beveiliging bij deze universiteit zijn werk goed gedaan heeft. Vergelijk het met de beveiliging van je huis. Je kan je huis nog zo goed beveiligen, als een inbreker heel graag binnen wil komen dan lukt dat uiteindelijk altijd. Het is daarom zaak je huis zo goed te beveiligen dat het risico dat je loopt zo klein mogelijk wordt en dat de baten ervan opwegen tegen kosten. De extreemste gevallen laat je dekken door een verzekering.

Risico = Kans x Gevolg. Het is dus zaak de kans dat het gebeurd en de gevolgen ervan zo klein mogelijk te maken. Een inbreker weegt ook zijn baten af tegen de mogelijke risico's. Hoe groter de beloning hoe meer beveiliging je nodig hebt om de kans op een aanval klein genoeg te maken. Wanneer een aanval toch slaagt, moet je voldoende maatregelen genomen hebben om de gevolgen ervan zo klein mogelijk te maken. De verzekeringsmaatschappij verwacht uiteraard ook dat jij afdoende voorzorgsmaatregelen hebt genomen anders keren ze niet uit.

Volgens mij is dat in dit geval allemaal van toepassing. Er is geen data verloren gegaan, ze hebben de gestolen persoonsgegevens teruggekocht en de verzekering heeft uitgekeerd.

Bovendien is wat jij zegt over de luchtvaart niet waar. De reden dat de luchtvaart zoveel veiliger is geworden, zelfs relatief veel veiliger dan alle andere vormen van vervoer is omdat ze JUIST NIET iemand verantwoordelijk stellen als er spraken is van een gewoon ongeval. Er wordt altijd onderzoek gedaan naar de oorzaak van een ongeluk en de resultaten daarvan zijn uitsluitend bedoeld om vergelijkbare ongelukken in de toekomst te voorkomen. De meeste schades worden vergoedt door fondsen en niet door verzekeringen.

Alleen als uit het onderzoek naar boven komt dat er sprake is van grove nalatigheid wordt er daarnaast ook een strafrechtelijk onderzoek gestart. Daarbij worden verklaringen die in vertrouwen zijn afgelegd ook niet overgedragen. Bij het strafrechtelijk onderzoek moeten deze verklaringen dus opnieuw worden afgelegd of er moet expliciet toestemming worden gevraagd om de afgelegde verklaring te mogen gebruiken. Dit is juist zodat iedereen aan zo'n onderzoek meewerkt.
De zaak rondt Boing is zo'n uitzonderlijk geval.

[Reactie gewijzigd door dsdevries op 22 augustus 2020 10:06]

CAPSLOCK2000
@dsdevries22 augustus 2020 13:02
Bovendien is wat jij zegt over de luchtvaart niet waar. De reden dat de luchtvaart zoveel veiliger is geworden, zelfs relatief veel veiliger dan alle andere vormen van vervoer is omdat ze JUIST NIET iemand verantwoordelijk stellen als er spraken is van een gewoon ongeval. Er wordt altijd onderzoek gedaan naar de oorzaak van een ongeluk en de resultaten daarvan zijn uitsluitend bedoeld om vergelijkbare ongelukken in de toekomst te voorkomen. De meeste schades worden vergoedt door fondsen en niet door verzekeringen.
Het is een beetje een stokpaardje van mij, maar dit is een van de redenen waarom ik zo een fan ben van Open Source software en waarom OpenBSD zo legendarisch veilig is. In de OpenBSD wereld is er een cultuur van veiligheid voor alles. Als er ergens een nieuw probleem gevonden wordt dan gaan ze niet alleen het probleem onderzoeken en oplossen, maar vervolgens ook alle andere code controleren op datzelfde probleem. Pas als het probleem overal is opgelost en er maatregelen zijn genomen om te voorkomen dat het opnieuw kan ontstaan gaan ze verder. Ook als dat betekent dat ander werk maanden vertraging oploopt.

In de software wereld zien we steeds weer dezelfde fouten en leren we daar maar heel langzaam van. Steeds weer worden dezelfde fouten gemaakt. Steeds weer zie je beginnende programmeurs die code kopieren van andere amateurs die ook maar iets van een website hebben gekopieerd. Steeds weer zie je applicaties die oude libraries bevatten die nooit worden bijgewerkt. Vaak zelfs de zelfde libraries die door tal van applicaties worden meegeleverd.

Ik stel me wel eens voor dat we software gaan behandelen zoals we vliegtuigen behandelen, namelijk geen geheimen. Als er een probleem wordt gevonden dan krijgt iedereen alle informatie die nodig is om het probleem ook in de eigen code te vinden en op te lossen. Dan hebben we wel een of andere instantie nodig om te controleren dat ontwikkelaars dat ook echt doen. Bv door boetes te zetten op bekende problemen die je niet tijdig oplost, of leveranciers te straffen die dat soort code opnemen in hun eigen product.

Een groot deel van de problemen zou kunnen worden opgelost met betere standaardoplossing. Zo hebben we al duizenden verschillende inlogsystemen bedacht die allemaal niet heel veel meer doen dan een username & wachtwoord controleren. Er zijn wel een hoop standaardoplossingen en frameworks, maar op de een of andere manier hebben we er daar ook honderden van, en van zeer wisselende kwaliteit.

Het nadeel van het vliegtuigmodel is dat innovatie in die wereld pijnlijk traag gaat, die wereld lijkt de jaren 90 niet uit te zijn gekomen. Maar misschien is software wel zo moeilijk dat dit het juiste tempo is, terwijl andere sectoren juist veel te snel gaan waardoor er zo ontzettend veel softwareproblemen zijn.
kdekker
@CAPSLOCK200022 augustus 2020 13:33
Ook een (te) grote source code base van een open source product kan niet (volledig) gecontroleerd worden, als er geen inkomsten tegenoverstaand van degene die de controle doen. Hoewel open source op dit vlak wellicht een voordeel heeft, kunnen ook malafide zaken in zulke code komen.

Persoonlijk heb ik voor werk vaker gebruik gemaakt van zulke code, met voornaamste reden dat het sneller/eenvoudiger/goedkoper was. Dan is er echt geen ruimte miljoenen regels code te beoordelen. Te complex voor een enkele persoon en te veel tijd. En dan maar afwachten, als je iets vindt, of de OSS Community het probleem ernstig genoeg vindt cq het probleem op de juiste wijze is gerapporteerd. Achter veel OSS producten zit een club vrijwilligers, waar je niet van weet hoeveel tijd ze hebben en welke intenties. OSS is niet echt een finaal antwoord op dit probleem.
CAPSLOCK2000
@kdekker22 augustus 2020 14:56
Open Source alleen is inderdaad niet genoeg, maar het heeft een voordeel boven gesloten systemen. Problemen kunnen makkelijker gevonden worden en oplossingen makkelijker gedeeld. Of dat in praktijk ook gebeurt is een ander verhaal, maar het is in ieder geval mogelijk.

Een extra voordeel van Free Software is dat je niet afhankelijk bent van de leverancier/programmeur. Als die geen tijd/geld/zin heeft om je te helpen kun je zelf een oplossing (laten) maken en die delen met andere gebruikers. Wederom is het niet zo dat het allemaal vanzelf gaat maar het is in ieder geval mogelijk.
HooksForFeet
@CAPSLOCK200023 augustus 2020 12:36
Dat is nooit echt bewezen. Er is bij mijn weten geen vergelijkingsmateriaal waaruit je de eenduidige conclusie kan trekken dat bij OSS problemen/oplossingen makkelijker/eerder worden geconstateerd gedeeld dan bij CSS. Het feit dat er “veel ogen” zijn zegt natuurlijk weinig. Het gaat om ogen die hier regelmatig actief naar zoeken - dat kunnen er bij CSS van een redelijk groot bedrijf makkelijk meer zijn. Bovendien zal een commercieel bedrijf er eerder grote commerciële belangen bij hebben dat fouten worden opgelost (en daar dus veel prioriteit aan geven), waar dat bij OSS die beheerd wordt door vrijwilligers niet het geval hoeft te zijn.

[Reactie gewijzigd door HooksForFeet op 23 augustus 2020 12:37]

CAPSLOCK2000
@HooksForFeet23 augustus 2020 21:02
Je mist het punt, het gaat er om dat de open source wereld /kan/ samenwerken, terwijl de closed source wereld alles zelf moet doen en informatie vaak niet kan delen.

Dat die samenwerking in praktijk beter kan klopt, maar daar is iets aan te doen. Zo werken Linux-distributies aan het onderling delen van patches en informatie en aan het stroomlijnen met de communicatie met upstream.

Closed source zal per definitie niet de wereld laten meekijken en kan dus eigenlijk geen hulp van buiten accepteren.
lennybrit
@dsdevries22 augustus 2020 22:20
Even on-topic. Wat hier en elders over IT-mensen en salarissen wordt gezegd is absoluut niet waar. Jaren geleden was dat anders, maar nu werken veel IT-ers gewoon voor hun brood. De meesten kunnen er goed mee verdienen, maar dat is het wel. Ik kan het weten, want ik heb veel IT-ers onder mijn cliéntèle.
Net zoals in mijn economische en fiscale beroep werken IT-ers met heel veel regels. Zeker in een grote administratie. Iets veranderen kan ook niet zomaar.
Goede IT-ers zijn COBIT-geschoold en kennen de draaiboeken. Helaas zijn organisaties nogal eens laks en krijgt IT niet meer de ruimte.
Ik vind dat misdaad niet mag lonen en ik vind het een verwerpelijk standpunt IT bij voorbaat de schuld te geven. Het management had zich veel proactiever dienen op te stellen. Er wordt te weinig geinvesteerd en de leiding onderkent de problematiek onvoldoende. Er zijn heel geweldige vakmensen in dit en naburige landen en samen kunnen we dit soort problemen best aan. Bij goed speurwerk blijken de daders uiteindelijk vaak te achterhalen. Dit houdt in dat het probleem onderkent dient te worden en dat betrokken overheden meewerken. Ik heb een paar keer gezien hoe men in staat foute mensen via internet te achterhalen. Soms is de voorgeschiedenis wel driekwart jaar. Uiteindelijk is de dader toch de klos. Dus dat afkopen is allemaal is wel leuk en aardig, maar dit betekent voor de overheid en belastingdienst gewoon dat de bedragen te klein zijn en voor de overheid niet interessant (niet direct en niet indirect). Hoewel de belastingdienst moeilijk doet als je €50 fout doet, werkt het bij fraude anders. De aanpak is erg duur. De kosten moeten dan ook helaas te rechtvaardigen zijn. Daar profiteren ransomewareboeven van, tpt de overheid er genoeg van heeft.
Ransomware en malware zijn een hele slechte zaak.
Overigens denk ik dat het gebruik van open source software niets verandert. Zeker nu er steeds meer hybride systemen ontstaan. Ik gebruil met twee pc's en een laptop met verschillende besturingssystemen alles door elkaar. Af en toe gebruik ik ook mijn mobieltje. Want alles zit in de cloud. Zelfs MS Office, Teams en Skype kan ik gewoon gebruiken onder Linux. Dit brengt natuurlijk ook nieuwe kwetsbaarheden met zich mee.
kdekker
@kidde22 augustus 2020 13:22
Een nuancering: perfecte software maken, zonder fouten, is ingewikkeld en misschien zelfs onmogelijk. Meer testen levert waarschijnlijk/mogelijk betere software op, maar ook een hogere vraagprijs. Dit is het deel waar de softwareleverancier invloed op heeft.

De leverancier wil wel verkopen, dus kan de prijs niet te hoog zijn. De koper bepaalt wat hij over heeft voor software (en beveiliging). Hier zit een spanningsveld, waar koper en softwaremaker tussen balanceren moeten (aanname: er zijn meerdere aanbieders, geen monopolie).

Daarnaast heeft ieder systeem en software te maken met configuratie. Die kunnen grote impact hebben op security (naast bugs en ander menselijk handelen).

Kortom: het is zelden zo zwart/wit dat de schuld van gehacked worden bij 1 partij ligt. Kennis/kunde/gedrag/budget spelen allemaal een rol, bij leverancier, beheer en gebruik.

[Reactie gewijzigd door kdekker op 22 augustus 2020 19:19]

kidde
@kdekker22 augustus 2020 16:17
Klopt; perfecte airbags en vliegtuigen maken lukt ook niet; en de veiligheid is afhankelijk van de eindgebruiker; hoe veilig het product ook.

Maar het gaat me om de cultuur binnen de sector en gedrag: Bij de automotive tekent iedere werknemer ieder jaar ervoor, dat je hoofdelijk verantwoordelijk bent voor de veiligheids van de eindgebruiker. Bij grove nalatigheid verschijn je voor het gerecht. Als je iemand een klusje binnen het bedrif laat doen, ben je als opdrachtgever persoonlijk aansprakelijk voor diens veiligheid. Dat verandert uiteindelijk het veiligheidsbeleid en de _hele_ cultuur binnen de organisatie. Dat neem je zelfs mee naar huis: Thuis ga je bij het klussen minder snel gevaarlijke domme dingen doen. Het wordt automatisch een deel van je leven. En van grotere professionele leveranciers (Mercedes A Klasse / elandproef) ligt de verwachting hoger dan van kleine amateurs (Stint van voor het ongeluk); maar zelfs van de kleine prutsers (Georg Hotz bijv) wordt een minimale eis gesteld qua veiligheid.

Hadden we die verantwoordelijkheid maar bij de bedrijven die miljarden opstrijken in de software-wereld; en ook de bancaire sector. Vloog er af en toe maar eens een criminele witte boordenbankier in de cel (alleen in IJsland gebeurd, de klootviolen die jarelang bonussen opstreek en toen ABN Amro failliet lieten gaan lopen vrij rond), of een datagraaiende directeur van Facebook in de cel. Want bedrijfs-boetes schrikt hun niet af.
kdekker
@kidde22 augustus 2020 19:19
Ik snap je punt, maar je schiet door in te veel veralgemeniseren. Daardoor komt het als overdrijving over. Er zijn, zeker in de Benelux, niet veel software bedrijven die miljarden verdienen.

En als een fout iemand potentieel voor de rechter kan laten komen zal dat eerder passiviteit en maximale afschuiving van verantwoordelijkheden veroorzaken. Het veroorzaakt nl. een omgeving waar fouten niet gemaakt mogen worden. Dat maakt het nagenoeg onmogelijk om ergens van te leren.
kidde
@kdekker23 augustus 2020 23:22
Nee, het veroorzaakt niet een omgeving waar fouten niet gemaakt mogen worden; het veroorzaakt als het goed is een omgeving waarin veiligheid voor alles gaat en medewerkers elkaar aanspreken als het gaat om kwaliteit en veiligheid. En op die manier worden fouten voorkomen; niet omdat ze niet gemaakt mogen worden maar omdat je bij alles wat fout had _kunnen_ gaan erover nadenkt hoe je dat definitief voorkomt. Althans, zo werkt het in de gemiddelde fabriek; maar ik begrijp het als niet iedereen ervaring heeft met zo'n omgeving.

Veralgemeniseren doet de software industrie helaas zelf: In bijna iedere EULA s die ik gelezen heb staat een disclaimer wat betreft verantwoordelijkheid.

[Reactie gewijzigd door kidde op 23 augustus 2020 23:23]

Sandor_Clegane
@kidde22 augustus 2020 07:47
Dit is een goede post. :)

Het is wel frappant hoe gemakkelijk dingen normaliseren. En software is moeilijk, heb ik begrip voor, ik doe het zelf ook.
theobril
@freaxje22 augustus 2020 01:40
Serieuze vraag: " Ze verdienen in tegenstelling tot de meeste burgers per maand niet duizenden maar wel honderdduizenden of miljoenen Euros"
Zijn er bij de universiteit Maastricht mensen die dat verdienen? edit typo
Anoniem: 310408
@theobril24 augustus 2020 13:19
Wel nee, een CTO is meestal gewoon een manager met een standaard manager salaris.
Vizzie
@freaxje22 augustus 2020 08:28
Dus iemand met een hoog salaris en veel verantwoordelijkheid die zij of haar werk echt goed doet maar waarbij er toch iets mis (want je zegt volgens mij zelf ook dat 100% veilig niet betaalbaar/werkbaar/haalbaar is) gaat verdient het daar persoonlijk voor op te draaien en zij of haar carrière in de soep te zien lopen? Ik ben blij dat jij het niet voor t zeggen hebt in de wereld.

Als iemand er een zootje van heeft gemaakt en alleen aan t golfen was en t gaat mis dan ben ik t met je eens, maar klakkeloos stellen dat diegene waar iets mis gaat daar altijd persoonlijk voor moet opdraaien met geld en carrière is onzinnig.

Verantwoordelijkheid nemen is wat mij betreft niet straf krijgen en weggestuurd worden, maar erkennen wat er mis is gegaan zorgen dat het beter wordt. Hard werken om eventuele fouten recht te zetten. Dat is hoe volwassenen verantwoordelijkheid horen te nemen wat mij betreft, in de hoek gezet worden omdat je stout was is voor de kleuterschool.
pauldebra
@freaxje21 augustus 2020 23:24
Ik moet je gelijk geven dat wie zich dik laat betalen voor een functie die hij niet kan vervullen daar persoonlijk ook mag voor opdraaien. Maar de kern van het probleem is dat *niemand* die functie echt kan vervullen. De veilige IT infrastructuur waarvoor de CTO eindverantwoordelijk is is met de huidige technologie onmogelijk dan wel onbetaalbaar. Een duur betaalde CTO aanstellen voor een onmogelijke taak, dat is pas echt dom. Dat zou een bedrijf niet moeten doen. Dus is het eerder de fout van de CEO.
Op zich wel slim natuurlijk van een CEO om een "kandidaat zondebok" in de persoon van CTO aan te stellen... maar niet heel eerlijk.
freaxje
@pauldebra21 augustus 2020 23:35
Eerlijke mensen zullen komen bovendrijven, en hun prijs zal aanzienlijk redelijker zijn dan de sales-jongens met gel in het haar.

Eerlijke mensen zullen zeggen wat jij zegt, En zullen duidelijk maken dat één en ander onmogelijk dan wel onwaarschijnlijk is tenzij we als bedrijf en organisatie we maatregels nemen die de organisatie kapotmaakt.

Bekwame mensen zullen de middenweg en het compromis vinden. Daarom betalen we deze mensen. Omdat ze de zaak kennen, en omdat ze het gevaar kennen, omdat ze de middenweg nemen. Omdat ze afwegingen maken. Omdat ze dat doen wat precies juist is voor de organisatie. Juist gegeven de omstandigheden.

Ik vind de huidige evolutie prettig vooral omdat het de gevaren duidelijker maakt. Dat het de middenweg beter definieert. Dat het de afweging vanzelfsprekender maakt.

Het is nu zo dat je zonder uitgebreide beveiliging zal gehacked worden.

Dat staat eigenlijk vast.

Een CEO moet dat in geld en marktwaarde uitdrukken en vastleggen, en moet daar kapitalistisch doelstelling en focus aan geven voor zijn grote bedrijf.

Een CTO moet daar uitwerking aan geven. Binnen het budget en moet desnoods om meer budget vragen aan de CEO.

In ieder geval is het de schuld van de CTO wanneer er toch ingebroken wordt. De CEO heeft dit aspect immers uit handen gegeven aan de CTO.

Waarom anders heeft de CEO de functie van CTO in het leven geroepen?

Precies. OM hier VERANTWOORDELIJK over te zijn.
coffey
@freaxje22 augustus 2020 01:32
Interessant om te melden is dat bij mijn werkgever (amerikaans bedrijf) de CIO (CTO) recentelijk is gaan rapporteren aan de CFO in plaats van de CEO. IT security staat bij ons hoog in het vaandel en werknemers worden ook regelmatig getraind. Ik kan alleen maar gissen maar het zegt mij dat er bij ons erkend wordt dat IT security geld kost en er ook in geïnvesteerd moet worden. Ben benieuwd of andere bedrijven dit ook gaan doen (CTO -> CFO ipv CEO).
Marcel Br
@coffey22 augustus 2020 09:40
Is dat dan beter, voor mij lijkt het alsof de IT geen topprioriteit meer is.?
De CEO staat bovenaan voorzover ik het begrijp (als voorzitter van het bestuur)
Direct rapporteren aan de voorzitter lijkt me belangrijker dan aan de CFO
Blokker_1999
@coffey22 augustus 2020 09:45
Ik vind het net vreemd dat de CTO gaat rapporteren aan de CFO ipv de CEO. Dat klinkt bijna alsof technologie niet als belangrijk wordt aanzien en de tijd van de CEO niet waard zou zijn. CTO en CFO zouden net op hetzelfde niveau moeten staan. En als de beveiliging van informatie zo belangrijk is, dan zit je je CISO ook nog eens op datzelfde niveau.
kdekker
@coffey22 augustus 2020 22:39
Uiteindelijk draait het om de centen. Daar gaat de CFO over en de CIO of CTO is daar gewoon van afhankelijk. Als de CFO zich niet laat adviseren over de risico's van IT problemen, tja, dan kun je problemen verwachten. Andersom: als IT alleen maar meer geld wil, meer dan wellicht beschikbaar is, dan heb je ook een probleem. Het is dus een afweging. Ik ben benieuwd of dat soort afwegingen beter door techies/betas of door sales/alphas gemaakt kunnen worden. W.s. is de mix noodzakelijk en die is wellicht dungezaaid :-)
Blokker_1999
@freaxje22 augustus 2020 09:42
Verantwoordelijk zijn is meer dan moeten opdraaien wanneer het misloopt.

Ik kan je morgen het veiligste computersysteem ter wereld geven. Hoeft zelfs niet veel te kosten maar heeft wel 1 nadeel. Je zal er niet veel mee mee kunnen doen in deze tijden. Een CTO moet keuzes maken binnen de beperkingen die hie/zij krijgt opgelegd. Er is een beperkt budget, er zijn een beperkt aantal manuren beschikbaar. Er worden vanuit andere diensten zovele projecten gevraagd dat zowel budget als manuren onvoldoende zijn. Je moet alles ook nog eens op een veilige manier doen.

Je moet dus keuzes maken, je moet die keuzes kunnen verantwoorden en, wanneer het mis gaat, moet je kunnen aantonen dat je je best gedaan hebt om dit te voorkomen en dat dit probleem niet te voorzien was.

Jij beweerd dat CTOs honderdduizenden tot miljoenen per maand verdienen. Ik zeg: toon mij eens CTOs die dat geld verdienen. Je zal al naar grote multinationals moeten gaan die meerdere miljarden per jaar aan omzet draaien en ook nog eens een focus hebben op tech om dat soort bedragen te zien voor een CTO. Je zult ook al een vrij grote onderneming nodig hebben voor een CTO die op jaarbasis de 7 cijfers aantikt. Bruto.

En een CTO is natuurlijk geen expert op alle gebied. Er zijn afdelingen onder de CTO die advies geven. 1 daarvan zal over security gaan. Als die een probleem niet signaleert, dan heb je daar een slechte manager zitten, maar dat is ook niet altijd even eenvoudig op te sporen.
ucsdcom
@pauldebra24 augustus 2020 12:54
De taak van een CTO is helaas een beetje onmogelijk. Hij of zij is "verantwoordelijk" voor een infrastructuur die bestaat uit hardware en software die wordt ingekocht of gehuurd, en die ook als ze goed up to date wordt gehouden vatbaar is voor ransomware aanvallen.
De aanvallen zijn niet helemaal tegen te houden en een klein foutje van een willekeurige medewerker is al genoeg om slachtoffer te worden.
De CTO kan als "verantwoordelijke" wel ontslag nemen, "occupational hazard" zeg maar, maar dat helpt een bedrijf ook niet verder.
Je kan criminaliteit niet oplossen alleen maar door de slachtoffers steeds beter te beveiligen. Je kan je huis ook beter beveiligen tegen inbrekers, maar als wat er binnen in huis is maar interessant genoeg is komen ze toch wel binnen, alleen met meer braakschade. Er moet ook iets aan het pakken, veroordelen en echt straffen van de daders gebeuren. Wat met internationale cybercriminaliteit nogal moeilijk is, maar daarom nog niet onmogelijk.
Nu de bankpassen standaard alleen betalingen uit Europa pakken en pas na het omzetten van een switch in de app de rest van de wereld, is het skimmen van passen door buitenlandse skimmers van de ene op de andere dag afgelopen.

Vertaal dit naar het netwerk verkeer en je gaat toch andersom denken: wat zou er gebeuren als webverkeer buiten Europa door bedrijven standaard geblokt wordt? Tot je iets tijdelijk open zet.

OK: dit is te omzeilen, maar het maakt je bedrijf of universiteit tijdelijk minder aantrekkelijk voor het afvuren van ransomware. Het blijft een kat en muisspel en je hebt bedenktijd nodig om je volgende actie in te gaan zetten.
dasiro
@freaxje22 augustus 2020 08:12
wie zet die prijs? Een bende criminelen die je afpersen en dan ben je nog zo dom om te geloven dat ze jouw data eerlijk beloofd niet zullen verspreiden. Dit heeft niets met de waarde van werknemers te maken, maar eerder met de incompetentie van beleidsmakers.

Data is geen uniek tastbaar goed, daarom vind ik het een belachelijke drogreden om alsnog te betalen, want als er 1 ding is waar je zeker van moet zijn: eens een oplichter, altijd een oplichter.

Wat het extra pijnlijk maakt, is dat het hier niet om een bedrijf gaat dat dan jammer maar helaas wat minder winst maakt voor de aandeelhouders, maar om een universiteit die nu minder werkingsmiddelen zal hebben voor de studenten of investeringen in bvb security indien het losgeld uit het IT-budget moet komen.
SunnieNL
@dasiro22 augustus 2020 08:45
Als er betaald is om de data niet naar buiten te brengen wordt dit door hackers niet snel gedaan. Zouden ze dat wel doen, dan stort hun businessmodel in. Nu krijgen ze er voor betaald. Sturen ze het alsnog naar buiten, dan krijgen ze de stempel dat deze hacker/groepering niet betrouwbaar is en wordt er de volgende keer niet meer betaald.

Echter, dat zijn niet alle kosten waar het nu om gaat. De uni is op wat voor reden dan ook vatbaar voor de ransomware en moet ook investeren om de beveiliging op te krikken. Uiteindelijk gaat het hier dus zeker om een miljoen aan kosten: betaling aan de hackers, backup terug zetten, beveiliging opkrikken.

Overigens mijn complimenten aan de uni dat ze de afdeling zo snel kon isoleren. Dat houdt in dat ze sommige zaken echt wel in orde hebben. Detectie was redelijk snel en er is aktief op gereageerd. We hebben gezien bij Maastricht wat er gebeurd als je dat niet in orde hebt.
dasiro
@SunnieNL22 augustus 2020 11:00
ransomware-hackers zijn niet uit op reputatie, maar op geld. Moesten ze bekend raken, vliegen ze achter slot en grendel. Ze kunnen dus makkelijk onder een andere naam opereren, omdat ze anoniem willen blijven. Het verschil met hackers die uit zijn op reputatie is dat zij juist willen tonen welke doelen ze kunnen aanvallen en daar hun voldoening uit halen
SunnieNL
@dasiro22 augustus 2020 13:04
Hackers en groeperingen wisselen echt niet bij elke hack van naam, die blijven bekend onder dezelfde schuilnaam.
108rogar
@SunnieNL22 augustus 2020 13:27
Ik vind dat toch wel een verschil. Als je een sleutel koopt om je data te decrypten weet je direct dat het werkt, maar als je betaalt om niet te lekken heb je geen enkele garantie dat ze het weggooien. En als ze later toch je data gaan lekken, dan weet je toch niet of zij het waren of dat er een ander lek was.
conces
@SunnieNL23 augustus 2020 06:24
Businessmodel? We praten nu hier echt over een hackergroep als zijnde een bedrijf? En als ik jouw verhaal volg rijst de vraag op bij mij: Publiceert dat bedrijf dan ook wie ze zijn, zodat ik hen kan bedanken voor hun eerlijke en goede diensten? En er positief reclame voor hen kan worden gemaakt? Of zoals jij impliceert "negatieve reclame" in de vorm van een stempel dat ze niet betrouwbaar zijn, wanneer ze toch publiceren? Hebben ze een plek waar ik een objectieve review kan achterlaten? 8)7
Echt? Moet ik nou die "gasten" echt gaan zien als een partij dat een dienst levert?
Het is uitermate "laag bij de gronds" dat zelfs instanties zoals universiteiten en ziekenhuizen door dit soort groeperingen worden aangevallen en moeten betalen om de maatschappij verder te kunnen bedienen. En dat er hier mensen zijn die deze acties bijna goedpraten, omdat ze vinden dat een organisatie dan maar hun beveiliging 100% op orde had moeten hebben. Ik gun die mensen een leven waarin alles wat zij doen ook 100% is. Praktijk is jammer genoeg anders.

[Reactie gewijzigd door conces op 23 augustus 2020 06:27]

vmcsnekke
@freaxje22 augustus 2020 00:45
wat een onzin, het is natuurlijk helemaal niet goed dat er gehacked wordt!
stel bij jouw wordt ingebroken... en er wordt tegen je gezegd:

dat is heel goed! want jij had veel betere sloten op de deur moeten hebben..
oh .. en je hebt veel geld verloren? mooi! hoe meer hoe beter want dan komen
die betere sloten er eindelijk en tevens het politiekeurmerk veilig wonen (die
je natuurlijk al lang had moeten hebben)

wat goed zou zijn is dat er goed gespeurd wordt en deze vuile boeven gepakt worden...
freaxje
@vmcsnekke22 augustus 2020 00:54
Ik ben het met je eens dat ongeacht de huidige beweging in de samenleving er moet opgetreden worden.

Maar ik blijf er bij dat het positief is, uiteindelijk, dat bepaalde organisaties en dus bedrijven het kei hard meemaken dat ze gehacked worden.

Niet omdat ik denk dat het in de samenleving goed is dat er gehacked wordt. In tegendeel. Maar wel omdat zij dan eens wakker worden opdat ze hun IT security op orde krijgen.

Dat is nl. nodig omdat bedrijven toch zo veel van zichzelf vinden dat ze de burgers al hun privacy kunnen beheren. Wel. Ik denk van niet. En ik denk dat ze moeten gehacked worden, em hun zaakvoerders en CTO's in de gevangenis moeten belanden opdat ze zouden door hebben hoe extreem incompetent ze wel niet zijn.

Ik wil effectief gevangenisstraffen, ik wil effectief harde gevolgen voor CEO's en CTO's en aandeelhouders. Ik wil dat de samenleving dit eist. Dat ze dit eist alvorens men hun privacy opgeeft aan deze bedrijven. Dat men eist, vanuit de samenleving: geef ons garanties, of ga de gevangenis in.

Zij die dit niet kunnen beantwoorden, horen niet bedrijfsleiders te zijn die mee mogen spelen in dit speelveld.

M.a.w. wanneer bepaalde boeven aantonen dat een bepaald bedrijf haar IT-security niet op orde had: dan moet niet enkel de boef de gevangenis in. Maar ook de hele top van het bedrijf. Allemaal. Zodat de andere bedrijven wel eens twee keer zouden nadenken over IT-security. Iets wat ze nu niet doen.

Iets wat ze wel moeten doen. En iets wat zolang ze het niet doen, extreem zware schade aan de samenleving veroorzaakt.
Sandor_Clegane
@freaxje22 augustus 2020 08:03
Je klinkt alsof je een beetje gefrustreerd bent met management. Nu ben ik de laatste die opkomt voor managers, begrijp me niet verkeerd, maar IT is gewoon een ondankbaar beroep.

Zelfs al ben je beste IT manager of beheerder of wat dan ook, dan kun je nooit 100% zeggen dat alles afdoende is beveiligd. Gewoon al het feit hoe snel dingen gaan met patches, versies, zero days etc. etc.

Gewoon al vanwege het feit dat jij het altijd goed moet doen en zij het maar een keer. Komt nog eens bij dat we ook nog te maken hebben met informatie asymmetrie, want niet alle zero days worden netjes doorgegeven.
_Pussycat_
@vmcsnekke22 augustus 2020 04:03
Om een één of andere reden vinden veel Tweakers online-inbraken geweldig. Inderdaad zouden ze het in de gewone wereld nooit zo zien.

Dat inderdaad dankzij ransomware er beter op beveiliging wordt gelet is wel een pré maar geen reden het als geweldig af te stempelen.
HoppyF
@freaxje21 augustus 2020 22:28
Mee eens.
Dit dwingt het management en directies voldoende budget voor ICT beveiliging te reserveren.
freaxje
@HoppyF21 augustus 2020 22:34
Geen villa voor jouw, CTO. Wees ontslagen.

Zo hoort het te zijn.

Dan pas zal het verbeteren.

Is dat hard? Jazeker. Je verdient als CTO dan ook genoeg om hard aangepakt te worden.
GeeEs
@freaxje22 augustus 2020 09:47
En wat als die CTO een enorm bedrag uitgeeft aan goede beveiliging en IT? En er in dat opzicht vanuit zijn/haar positie/binnen de taakomschrijving alles aan doet?
Is de IT afdeling dan niet met zo goed (deels) verantwoordelijk?
Maw. als dit wordt uitbesteed?
En eigenlijk is de inbreker/hacker natuurlijk verantwoordelijk. Of niet?

[Reactie gewijzigd door GeeEs op 22 augustus 2020 09:48]

_Pussycat_
@freaxje22 augustus 2020 04:04
Misschien komt het door een fout van de admin. Moet die ook meteen ontslagen worden? Of alleen de CTO die door jou alvast als oorzaak is aangewezen?
Dion2000
@freaxje22 augustus 2020 11:21
Ik zeg dit niet vaak, maar wat een onzin.. ben jij op de hoogt van het % bedrijven dat uberhaupt een cto heeft? Ik kan je vertellen dat zijn er niet zo gek veel.. er zijn zoveel mkb bedrijven die ook gehackt en kapotgemaakt worden. Niet perse omdat ze hun zaakjes niet op orde hebben, maar het simpelweg onmogelijk is alle risico's af te dekken of simpelweg onbetaalbaar om dit te doen. Zelfs als je onmogelijke bedragen neerlegt voor topnotch beveiliging dan is de mens de zwakste schakel en zelfs met trainingen maken mensen fouten.. in mijn ervaring vaak oudere mensen die simpelweg niet meer mee kunnen komen.. zullen we die ook maar aansprakelijk stellen of zullen we ze meteen onze maatschappij uitzetten.. want op zo'n stompzinnige manier beschrijf jij hier een en ander.. wat ik overigens vreemd vind... Uit de manier van schrijven maak ik op dat je toch een goed stel hersens hebt.
lennybrit
@Dion200022 augustus 2020 22:36
Goed gezien. De nadruk word hier zo gelegd op de 'CTO'. Dat zegt me helemaal niks. Bij kleine bedrijven heb je zoveel briljante jongens en meisjes die zich beslist geen CTO noemen, maar vaal gewoon 'coder'zelfs als ze in de leiding zitten. Hacken is niet alleen eem beheersingsmaatregel van IT, maar het is iets waar de top vam het bedrijf van doordrongen moet zijn. Dan volgen de kritische diensen, zoals CRM, webshop e.d., de financiele afdeling en logistiek. Het zwaartepunt moet zo laag mogelijk in de organisatie liggen en desbetreffende mensen dienen doordrongen te zijn hoe te handelen en waarom.
Uiteindelijk hoeft de beveiliging zich vooral te richten op echte gevaren. Een installatie van een preventief malware systeem kost misschien zó'n 10.000 euro per jaar. Een Engelse leverancier heeft me tijden aan het hoofd gezeurd. Dus het is ook een beetje dom. Van de CTO, de CEO/CFO of allemaal. Maar de hacker is echt de boef. Dat wordt hier goedgeproken. Daar ben ik het helemaal niet mee eens. Aanpakken en kaal plukken die lui.
Sandor_Clegane
@freaxje22 augustus 2020 07:51
Wat een domme post, het is de stroom waarmee mijn RAM het moet opslaan en mijn videokaart het moet tekenen niet eens waard.

Kunnen we eens ophouden met dit "victim blaming"? Meer is het niet.
Xerpan
@freaxje22 augustus 2020 08:56
Als ik jou relaas mag vertalen tot een paar zinnen:
"Blame the victim".
Hackers (lees: afpersers) zijn maatschappij verbeteraars.

Misschien moet je ze aanmelden voor een lintje. Ze (de afpersers) doen immers maatschappelijk goed werk volgens jouw redenatie. En de slachtoffers verdienen geen hulp, want die zijn stom.

Ik snap niet hoe je dit kan goedpraten.
dezwarteziel
@freaxje22 augustus 2020 09:30
Goed punt, maar je moet je gebruikers opvoeden. Een cursus veilig internetten van Certified Secure had hier wellicht preventief geholpen. Sommige idioten klikken namelijk overal op. Ik wil er wel eens naast gaan staan, met een liniaal voor een ferme tik op de muishand. De zwakste schakel in elk ICT systeem is altijd de mens of dat nu een beheerder is of een gebruiker.

[Reactie gewijzigd door dezwarteziel op 22 augustus 2020 09:32]

chaogai
@dezwarteziel22 augustus 2020 10:38
dan moet je ook zorgen dat die mensen niet op die knop willen klikken.
dezwarteziel
@chaogai22 augustus 2020 16:02
Dat zeg ik https://www.certifiedsecure.com/certification/view/45
chaogai
@dezwarteziel22 augustus 2020 16:16
dat is niet willen, maar indoctrineren.

je moet dus ook systemen maken die mensen willen/kunnen gebruiken om efficient te werken, anders voelen ze zich gedwongen een eigen oplossing te vinden.

[Reactie gewijzigd door chaogai op 22 augustus 2020 16:18]

dezwarteziel
@chaogai22 augustus 2020 19:54
Nee hoor, dat is het niet.
chaogai
@dezwarteziel23 augustus 2020 08:49
helaas beseffen veel mensen in IT niet dat dat heel belangrijk is
dezwarteziel
@chaogai23 augustus 2020 12:57
Een cursus informatieveiligheid is geen indoctrinatie maar een stukje bewustwording. Mensen vinden overal een "oplossing" voor, in het bedrijf met 70000 werknemers waar ik werk is er een GPO die er voor zorgt dat computers na 5 minuten gelocked worden, vanwege informatieveiligheid als iemand van zijn werkplek gaat. Nu had iemand dat opgelost door een nietmachine op de spatiebalk te zetten. En dan maar klagen dat de thin client traag wordt.
chaogai
@dezwarteziel23 augustus 2020 15:40
dat bedoel ik dus, maak het onwerkbaar en mensen zoeken een alternatieve oplossing. Als je tien twintig keer per week tijdens een telefoongesprek je password moet intikken, dan word t je creatief
dezwarteziel
@chaogai23 augustus 2020 20:50
Het is gewoon werkbaar, doe het al jaren zo, en met mij 69999 anderen. Een ww invullen duurt 2 seconden. En het mooie is dat gebruikers zelf geen .exe of msi bestanden kunnen installeren, mousemover of cafeïne downloaden is er niet bij.

[Reactie gewijzigd door dezwarteziel op 23 augustus 2020 20:52]

chaogai
@dezwarteziel24 augustus 2020 07:51
ik ben blij dat je die andere 69999 heb kunnen controleren. En onder de indruk hoe je ze als volwassenen met eigen verantwoordelijkheden weet aan te spreken.
dezwarteziel
@chaogai24 augustus 2020 11:15
Ik bepaal het beleid niet, ik voer het enkel uit. En daarbij, gebruikers moet je opvoeden, die verzinnen de raaste dingen, daarbij kun je niet vertrouwen op eigen verantwoordelijkheden. Vertrouwen is goed, controle is beter. Dus is het aan het beheer om alles dat je niet wil dicht te timmeren. Speciaal daarvoor heeft Microsoft Group policies voor (enterprise) beheer. En als gebruikers een behoefte hebben dan kunnen ze die in mijn organisatie gewoon aanvragen via speciaal daarvoor aangewezen functionarissen, wellicht is een cursusje ITIL iets voor jou.

[Reactie gewijzigd door dezwarteziel op 24 augustus 2020 11:27]

SkyStreaker
@freaxje22 augustus 2020 07:15
Waarom vergeet je de CFO die het bedrag maar moet gaan goedkeuren terwijl de haren in de nek overeind staat omdat het onder het mom van chantage gaat?
Blokker_1999
@SkyStreaker22 augustus 2020 09:46
CFO keurt zo een bedrag niet goed. Dat is echt een goedkeuring die vanuit het hoogste management moet komen.
C. C.
@freaxje22 augustus 2020 08:08
Een touwtje uit de voordeur kan natuurlijk niet meer. Maar hoe ver moet beveiliging gaan? Komt er een keurmerk met klasseaanduiding zoals bij sloten? We hebben nog steeds veel inbraken. Criminelen zullen altijd blijven proberen.
Een heilloze weg bij it-beveiliging lijkt me sowieso. Temeer daar telkens weer blijkt dat hard-en software beveiligingszwaktes bevat.
Deze schets vraagt om veel meer effort gericht op de criminelen. Zij maken deel uit van de it-wereld en proberen "beter" te zijn dan welke CTO dan ook en zeker heel wat it-ers. De houding van de gewone it-er over die daden kan helpen om een cultuur van stoerheid bij ransom(ware) tot nul te reduceren.
Het opsporen en bestraffen van die criminelen dient daarom de maintarget te zijn. De strafmaat dient rekening te houden met de maatschappelijke waarden en normen omtrent eigendom alsmede (schade aan) organisaties en privacy. Verwacht daarom dat er hoge, onvoorwaardelijke gevangnisstraffen uitkomen.
kozue
@freaxje22 augustus 2020 09:05
Ik vind niet dat iemand “genadeloos gestraft” moet worden of “ten onder moet gaan” als ie een keer gehacked wordt. En niet alleen omdat ik geloof in tweede of zelfs derde kansen (iedereen maakt fouten, ook jij).
Tegenwoordig is het niet meer te overzien waar allemaal lekken in kunnen zitten. Eigenlijk in alles. En er worden dagelijks nieuwe gevonden, ook door kwaadaardige lui die er meteen een slaatje uit willen slaat. Dan kun je nog zo goed bezig zijn en altijd de laatste versies draaien, helemaal veilig ben je nooit.
Dus als ik jou was zou ik je punten een beetje door een reality check heen halen en bijstellen. Anders hoop ik dat jij een keer CTO bent van een bedrijf dat gehacked wordt door een onbekende zero day en de gevolgen zelf mee kan maken.
K-aroq
@freaxje22 augustus 2020 10:18
Ik vind eigenlijk dat je die verantwoordelijkheid ook wel een stuk lager in de organisatie mag leggen. Er zijn veel te veel mensen die zich verschuilen achter iemand hoger in de organisatie, maar wel klagen als ze exacte opdrachten krijgen en niet op basis van hun professionaliteit zelf mogen bepalen hoe dingen te doen. Dus een senior sysadmin die grove fouten heeft gemaakt moet daar ook de gevolgen van ondervinden. Op z'n minst een demotie naar junior waar iemand anders de inhoud van de activiteiten bepaald.
ExManolo
@freaxje22 augustus 2020 15:16
Je ziet aan de berichtgeving ook hoe men er nog steed over denkt. Hierboven: "Die servers werden op 19 juli van dit jaar getroffen door ransomware" - "getroffen", alsof het om een onvermijdbare ziekte gaat waar niets tegen te doen is. En uiteindelijk betaalt de gemeenschap.
djwice
@freaxje22 augustus 2020 18:28
Helaas denken CSO's wellicht dat als ze maar alle tools van een grote partij afnemen en die door een 3e partij laten inrichten en dan een SaaS abonnement afnemen op de nieuwste updates incl. scans van traffic (ja, je leest het goed: mirror al je traffic naar een SaaS).

Dan ze dan een grote stap gezet hebben.

Vaak is de praktijk veel weerbarstiger en is het probleem helemaal niet 'de bestaande tools'. Dus bestaande tools voor nieuwe inwisselen lost vaak nauwelijks iets op.

Meer geld dus ook niet als het besteedt wordt aan 'alles van een (nieuwe) vendor'. Hoe ouder de groter de vendor is, hoe ouderwetser hun gedrag. Vaak kennen ze monderne mitigatie methodes niet, moderne rapportage api's niet, en kunnen die al helemaal niet geautoriseerd inrichten en gebruiken.
Het beste wat ik van de top3 gezien heb is 'handmatig' per URL (door ander systeem de configuratie laten aanpassen via API is ook handmatig: logica zit dan niet in de security engine) inrichten van moderne settings. Uiteraard werkt dat niet.

[Reactie gewijzigd door djwice op 22 augustus 2020 19:21]

The Realone
21 augustus 2020 21:06
Als ze daadwerkelijk die data in handen hebben gaan ze die echt niet netjes verwijderen na het betalen van losgeld, daar kun je ook wel zeker van zijn.
fRiEtJeSaTe
@The Realone21 augustus 2020 21:08
Idd, alsof er zoiets bestaat als ethiek onder afpersers.
0xygen500
@fRiEtJeSaTe21 augustus 2020 21:10
Lijkt mij wel anders betaald nooit iemand meer iets.
TerraGuy
@0xygen50021 augustus 2020 21:41
Misschien is dit een aardige aanpak om het te 'verzieken' voor alle ransomware bedrijven: door overheid gesponsorde/aangestuurde hackers die na betaling je alsnog geen sleutel geven, nóg meer geld eisen of juist alle data openbaar maken. Als er daar een aantal van zijn dan betaalt er na een tijdje geen hond meer en houdt het hopelijk ook vrij snel op.
Batiatus
@TerraGuy21 augustus 2020 22:03
Lijkt me als overheid ook niet de meest ethische oplossing die je kan verzinnen, al begrijp ik je denkwijze wel.
Ik ben bij al deze gevallen toch wel benieuwd naar de maatregelen die genomen zijn tegen o.a. dit ransomware risico. Er zijn voldoende opties op de markt die je hier, redelijkerwijs, tegen kunnen beschermen.
Darkstriker
@Batiatus21 augustus 2020 22:38
The needs of the many...

Het is een zuiver stukje utilitarisme. Maar het risico is enorm. Zodra mensen erachter komen dat een overheid dit deed ben je terug bij af.
HoppyF
@TerraGuy21 augustus 2020 22:13
Goed punt.
Daarmee ondermijn je de criminele organisaties die achter de ransomware aanvallen zitten.
Als de criminelen ongeloofwaardig worden (de echte of de nep criminelen) dan is hun verdienmodel weg en zullen bedrijven niet meer geneigd zijn te gaan betalen.
Nu wordt tegen betaling de echte sleutel gegeven omdat de criminelen immers geld willen verdienen.
Gaan criminelen behalve ransomware ook data stelen zoals hier blijkbaar gebeurd is verandert de situatie omdat je na betaling natuurlijk niet weet of de gestolen data ook vernietigd zal gaan worden.
Het kan wel eens meer geld opleveren als zinvolle data doorverkocht wordt.
Groningerkoek
@TerraGuy21 augustus 2020 22:14
1 klokkenluider en het is kabinetscrisis en de belastingbetaler draait voor alle geleden schade op.
Keypunchie
@0xygen50021 augustus 2020 21:29
Het is een 'prisoner dilemma'. Je kunt er overigens echt niet altijd zonder meer uitgaan dat een 'bad guy' zich rationeel opstelt.

Korte termijn geld vs. lange termijn geld speelt voor afpersers mee.
Darkstriker
@Keypunchie21 augustus 2020 22:45
Het is inderdaad een prisoners dilemma, maar met meerdere rondes voor een partij. De uitkomst daarvan is anders dan de simpele prisoners dilemma die overal als voorbeeld van game theory wordt onderwezen.

En hoewel de meeste zakkenrollers waarschijnlijk niet altijd even rationeel zijn kun je er bij georganiseerde misdadigers die dit soort aanvallen uitvoeren gewoon van uitgaan dat ze bijna altijd wel rationeel zullen handelen.
FreakerTweaker
@0xygen50021 augustus 2020 21:48
Precies. Mensen missen het punt: dit zijn criminele ondernemers met veel investering in hun zaak. Meeste ransomware aanvallers hebben vaak zelfs een helpdesk waarbij ze slachtoffers hulp bieden om bitcoins te kopen, tips geven om het in de toekomst te voorkomen en een proefkey geven om de decrypten.

Als ze niet 'leveren' wat ze beloofd hebben, betaalt nooit meer iemand en kunnen ze vaarwel zeggen naar hun zakelijke investering.

[Reactie gewijzigd door FreakerTweaker op 21 augustus 2020 21:48]

Luchtbakker
@0xygen50021 augustus 2020 21:26
Lijkt mij wel anders betaald nooit iemand meer iets.
Zolang de schade groter is dan het verlies zullen ze blijven betalen. En je weet nooit wie de data wel of niet online slingert dus het zal altijd een risico blijven.

Als je geen of slechte backups hebt dan zul je toch wel betalen en dat weten de criminelen dondersgoed.
BlaTieBla
@fRiEtJeSaTe21 augustus 2020 21:13
Ook criminelen zullen ergens afspraken moeten nakomen om geld te blijven verdienen. Als blijkt dat partijen betalen en dan geen data terugkrijgen gaan bedrijven/instellingen immers niet meer betalen.
Het is immers ook 'gewoon' een verdienmodel...
fRiEtJeSaTe
@BlaTieBla21 augustus 2020 21:17
Ook criminelen zullen ergens afspraken moeten nakomen om geld te blijven verdienen. Als blijkt dat partijen betalen en dan geen data terugkrijgen gaan bedrijven/instellingen immers niet meer betalen.
Het is immers ook 'gewoon' een verdienmodel...
Klopt. En als je weet dat een bedrijf al 1 miljoen heeft betaald, waarom zou je er niet nog een paar ton uit persen?
HolyDemon
@fRiEtJeSaTe21 augustus 2020 21:20
Omdat andere bedrijven dat dan ook doorhebben en niet meer gaan betalen, want waarom zou je betalen als je daarna steeds weer rekeningen blijft krijgen?
fRiEtJeSaTe
@HolyDemon21 augustus 2020 21:30
Je gaat er gemakshalve vanuit dat ransomware aanvallers optreden als een organisatie. Volgens mij zijn het vooral eenlingen of kleine groepjes, die weinig met elkaar van doen hebben. Dan is het een kwestie pakken wat je pakken kan, en daarna onder de radar.

[Reactie gewijzigd door fRiEtJeSaTe op 21 augustus 2020 21:31]

Groningerkoek
@fRiEtJeSaTe21 augustus 2020 22:16
Dit soort misdaad wordt steeds bedrijfsmatiger.
Daoka
@fRiEtJeSaTe21 augustus 2020 23:54
Ik denk dat mensen niet zou gauw er mee stoppen. Kan het even niet zo snel terug vinden maar onder een andere ransomware artikel stond zo iets als "aanvaller bekent onder de naam ..... staat bekend om de die de informatie echt naar buiten brengt als er niet betaald wordt".

Ook dingen als opslag hebben voor de vele data op te slaan (voor het publiceren van al er niet betaald wordt) klinkt niet alsof "hobbyisten" die eenmalig een aanval willen doen. Lijkt mij tenminste dat je het in eigen beheer wil houden zodat het niet verkocht of gewist wordt door anderen. Met zulke dingen in gedachte verwacht ik wel dat het een organisatie achtig iets is.
leonbong
@fRiEtJeSaTe21 augustus 2020 21:33
Doet de maffia al jaren succesvol. Mensen blijven dwingen te betalen voor steeds hetzelfde pressiemiddel.
Groningerkoek
@leonbong21 augustus 2020 22:17
Er zit wel een verschil in tussen je boekhouding op straat of je kinderen op de bodem van de rivier.
Blokker_1999
@fRiEtJeSaTe22 augustus 2020 09:55
Omdat je die tweede keer niet meer betaald. Dan ben je geen man van je woord. Want als je een tweede keer komt vragen dan kom je een derde, en een vierde en ... oh en je volgende slachtoffer? Die heeft natuurlijk ook al gehoord dat jij geen man van je woord bent dus die betaald zelfs de eerste keer al niet meer.
Luchtbakker
@The Realone21 augustus 2020 21:08
Als ze daadwerkelijk die data in handen hebben gaan ze die echt niet netjes verwijderen na het betalen van losgeld, daar kun je ook wel zeker van zijn.
Precies. De garanties zijn 0. En ga ze maar eens zoeken als ze het toch wel online gooien.
darknessblade
@Luchtbakker21 augustus 2020 21:24
Volgens mij gooien ze het wel online maar op het darkweb {tegen betaling}.

Het kan zijn dat ze dreigen met het Overal waar mogelijk te verspreiden als Plain text.
Waardoor het zichtbaar is voor iedereen.
bn326160
@darknessblade21 augustus 2020 22:18
Anderzijds is er bij gebrek aan betaling van de universiteit wel nog een duit uit te slaan door het te verkopen. Lijkt me niet dat ze dit ooit gratis als plaintext zouden publiceren.
bamboe
@The Realone21 augustus 2020 21:10
dat weet je niet, het kan ook zo zijn dat ze gewoon te veel data hebben om het serieus door te spitten, en als bekend word dat ze het achter houden en verder doorverkopen dan hadden ze in dit geval waarschijnlijk geen geld ontvangen omdat de backup in orde was....
ook als piraat kan het lonen om nog eerlijk te zijn.
Orangelights23
@The Realone21 augustus 2020 21:53
Juist wel. Als je weet welke groep verantwoordelijk is voor de ransomware en zij bekend staan als ‘betrouwbaar’, kandat een reden zijn om losgeld te betalen. Dit zie je steeds vaker gebeuren in de praktijk.

Overigens is mijn advies aan mijn klanten altijd als eerste om niets te betalen.
The Realone
@Orangelights2321 augustus 2020 23:49
Dat geldt wanneer je je bestanden unlocked wil hebben. Als het daadwerkelijk om interessante data gaat kun je mij echt niet wijsmaken dat ze dit niet in hun bezit houden voor het geval ze daar iets mee kunnen.

Blijkbaar is de instelling er veel aan gelegen om dit niet op het internet te laten belanden dus we mogen er best vanuit gaan dat dit mogelijk geld waard is.
conces
@Orangelights2323 augustus 2020 06:52
Hoe kan je nou zeker weten wie er verantwoordelijk is voor de ransomware? En daardoor een label "betrouwbaar" te geven? Heb je daar een bewezen voorbeeld van?
Orangelights23
@conces23 augustus 2020 08:36
Dan zou ik het internet en mijn LinkedIn feed moeten gaan afspeuren naar papers, of wat dan ook en daar heb ik geen zin in op mijn vrije zondag :) . Dit is puur persoonlijke ervaring vanuit mijn werk als cybersecurity specialist en mijn netwerk, waar onderzoekers die dit onderwerp hebben onderzocht aanwezig zijn.
conces
@Orangelights2323 augustus 2020 09:24
Aha. Betekent dit dan dat de gemiddelde persoon die slachtoffer wordt van Ransomware advies moet gaan inwinnen bij een kundige partij die met zekerheid weet te vertellen door wie hij wordt gegijzeld en of het safe is losgeld te betalen?
Orangelights23
@conces23 augustus 2020 11:03
Wanneer een organisatie - geen individuen - geen of onvoldoende aandacht besteed aan cyber security, is dat inderdaad het geval. Ik heb dit jaar al vier klanten gehad die slachtoffer zijn geworden van ransomware. Gelukkig was ik daar eerder bij betrokken en was de schade minimaal, maar een collega heeft zijn klant geadviseerd om toch het bedrag te betalen. De dag daarna was alle data weer beschikbaar en hebben ze zelfs tips gekregen van de ‘aanvallers’. Uiteraard is dit nooit een verzekering dat ze geen slachtoffer meer zullen worden, maar tot op heden is er niets gebeurt.

Overigens is het advies nog steeds om niet te betalen, maar mocht er geen andere keuze zijn, is het een redelijk business besluit om te bekijken welke partij erachter zit om te bepalen of het zinvol is om het bedrag toch te betalen. Ik merk wat scepticisme bij je, maar dit is echt een speciaal en vooral nieuw vakgebied met nieuwe kwaadwillenden - zeker sinds COVID.
VriendP2
@The Realone21 augustus 2020 23:57
Dat is nog maar zeer de vraag. Als ze betaald worden en daarna alsnog die data dumpen dan slopen ze hun eigen verdienmodel. En ik denk daarbij dat een klein half miljoen ook wel zorgt voor een goed humeur. Twijfelachtig is het wel, je zou bijna denken dat die uni echt iets te verbergen heeft.
Knorretje-
21 augustus 2020 21:05
Wat is ransomware een ongelofelijk triest iets.. Jammer dat het net als DDoS bijna niet te voorkomen is.
Eminus
@Knorretje-21 augustus 2020 22:10
het is een simpel model:

business wat kost het om het bedrijfsnetwerk ransomware proof te maken

vs

de kans lopen dat je een succesvolle ransomware aanval voor je kiezen krijgt.

helaas wordt er nog gewoon te vaak geroepen "wij zijn geen primair doelwit" dus ONS zal het niet gebeuren. Overigens een goede eye-opener: kijk bekijk het rapport "the state of ransomware" eens van Sophos.
latka
@Eminus21 augustus 2020 23:35
En wat kost het dan om het ransomwareproof te maken? Heel veel geld: het kan via internet komen (virusscanner/malware scanner helpt, maar alleen voor bekende threats). Dan nog de social engineering vector (gebruikers misleiden). Dan nog het telewerken (iedereen een dongle?). Dan ook nog patchmanagement, goede firewalls+onderhoud. Het is allemaal best duur en veel werk.
erwinb
@latka22 augustus 2020 00:38
Best duur??
Maar het is een eenvoudige rekensom, wat is je data je waard,?
Is dat veel, dan moet je ervoor zorgdragen dat je de zaakjes goed op orde hebt, en ja, dat kost geld. En hoe hoger de waarde van de data, hoe meer je kan/moet besteden om die data veilig te houden.
Is je data je niets waard, leg dan ook de beveiliging op het niveau wat daar bij hoort.
Je 100% beveiligen kan bijna niet, maar je kan het ze wel zeer lastig maken.
theobril
@erwinb22 augustus 2020 01:48
En je bent baas van een universiteit, in Nederland nogal vaak betaald door belastinggeld. Goh, zullen we ons geld uitgeven aan AIO's of aan ICT? Of de krantenberichten "ictmedewerker/externe krijgt 20.000 euro per maand vanwege onontbeerlijke security-kwaliteiten". De bedragen die Freaxje noemt. Daar ga je ook gedoe mee krijgen vanuit de politiek.
OriginalFlyingdutchman
@theobril22 augustus 2020 08:10
De goede IT-security mensen die als ZZP'er werken verdienen dit ook al hoor. Dat is ongeveer 120 euro per uur. Die kom ik er genoeg tegen.

Zelfde als data-engineers. encryptiespecialisten etc. En terecht, beloning moet in verhouding staan tot de meerwaarde die je creeert en niet tot het aantal uren dat je werkt.

[Reactie gewijzigd door OriginalFlyingdutchman op 22 augustus 2020 08:12]

theobril
@OriginalFlyingdutchman22 augustus 2020 08:43
120 per uur is inderdaad niet veel (wel veel, maar hoor ik zulke bedragenwel meer ja). Dus ik had mijn voorbeeld beter moeten kiezen. Freaxjes voorbeeld echter stelt "Nou kijk. Ze verdienen in tegenstelling tot de meeste burgers per maand niet duizenden maar wel honderdduizenden of miljoenen Euros."
Laten we voor het gemak 2000.000 per maand nemen. Dan zit ik op 12000 euro per uur. Dat zou binnen mijn organisatie (het is geen debiel grote hoor, maar toch) onverkoopbaar zijn.
K-aroq
@OriginalFlyingdutchman22 augustus 2020 10:23
Ik denk dat het vaak al fout gaat als je security mensen als ZZPer aanneemt. Die mensen moeten gewoon vast in je organisatie zitten (en die mogen best wat kosten). Als er een leukere klus aankomt is die ZZP-er weg. Bij de bedrijven die ik ken waar de security goed op orde is zijn IT-security mensen altijd in vaste dienst.

[Reactie gewijzigd door K-aroq op 22 augustus 2020 10:24]

CivLord
@erwinb24 augustus 2020 09:26
Je data kan behoorlijk veel waard zijn. Maar wanneer je de omzet niet hebt om je een beveiligingsspecialist van € 120 - € 150 per uur te kunnen veroorloven. Wat dan?

En dan ligt je hele bedrijf krom om alles volledig dicht te timmeren en alles bij te laten houden door een deskundige, is er een zero-day waardoor je systeem alsnog open ligt. Wat dan?
Praetextatus
@Eminus21 augustus 2020 23:31
Ransomroof bestaat natuurlijk niet. Zeker niet zolang je menselijke factoren hebt en die zijn natuurlijk feilbaar. Ik heb gewerkt bij grote bedrijven die vrijwel helemaal dicht getimmerd waren. Vrijwel alle systemen waren helemaal dicht en niemand had enige rechten behalve tot bepaalde applicaties en shares. Bij de 2e pen test gaf een applicatie beheerder ww door via de mail aan een externe en de volgende dag waren de ethical hackers de belangrijkste systemen binnen gedrongen.
Freeaqingme
@Praetextatus22 augustus 2020 02:58
Het kan wel. Ik meen dat de FSB sinds een paar jaar weer veel op papier doet omdat ze een best interessant target voor nation-state hackers waren. Hoewel het natuurlijk allemaal heel makkelijk is, is het niet zo dat van alles per se digitaal moet. Voor pak-en-beet 2000 konden we het ook op papier.
timberleek
@Freeaqingme22 augustus 2020 11:23
Alsof papier het meteen veilig maakt.

Ja het verminderd hacken. Maar ouderwets inbreken, verloren dossiers, hoge kosten, brandgevaar en diverse andere zaken lopen gewoon door op die manier
dezwarteziel
@Praetextatus22 augustus 2020 09:35
Wachtwoorden doorgeven per e-mail over het internet, zowat regel 1 informatieveiligheid. Hij staat in ieder geval hoog op de lijst. Helemaal als beheerder https://www.watbenjedan.nl/

Een stukje bewustwording in combinatie met duidelijke interne regelgeving is de enige oplossing. https://www.certifiedsecure.com/certification/view/45

Verder heb je natuurlijk gelijk, errare humanum est, perseverare diabolicum.

[Reactie gewijzigd door dezwarteziel op 22 augustus 2020 09:41]

K-aroq
@dezwarteziel22 augustus 2020 10:21
Veel zakeleijke laptops hebben tegenwoordig vingerafdrukscanners*. Gebruik die (naast wachtwoorden) en doorgeven van wachtwoorden wordt al een stuk zinlozer. 2FA zal ook niet werken want dan bel je de persoon die de authenticator gewoon even op voor de code. Vingerafdrukken zijn lastiger door te geven.


*) en als die er niet op zit kan je gewoon een losse scanner gebruiken.
HoppyF
@Praetextatus22 augustus 2020 09:36
De menselijke factor is de zwakste schakel. Daarom moet je ook daar flinke maatregelen treffen zodat een simpel wachtwoord via een e-mail versturen zoals je zegt, verboden is of straffe van ontslag op staande voet. Maar zelf als is een wachtwoord bewust of onbewust gelekt dan nog moet er een tweede drempel zijn zodat je daarmee alsnog van buitenaf niet in de systemen kunt komen.
Met alleen een wachtwoord kun je dus niks als buitenstaander.
AmigaWolf
@Knorretje-21 augustus 2020 21:30
Wat is ransomware een ongelofelijk triest iets.. Jammer dat het net als DDoS bijna niet te voorkomen is.
Ja Criminaliteit loont, en dat zal alleen maar meer en meer woorden, als er steeds meer en meer bedrijven en zo ransomwarelosgeld betalen.
HoppyF
@AmigaWolf21 augustus 2020 22:08
Daarom moet het betalen van losgeld aan criminelen ook verboden worden.
Ook al de schade gedekt wordt door een verzekering.
Het niet verbieden zorgt er immers voor dat het belonen van criminaliteit in stand gehouden wordt.
mschol
@HoppyF21 augustus 2020 22:14
als door het niet betalen (of ook wel verbod op betalen) bedrijfsgeheimen op straat terecht komen waardoor je niet goed meer kan concurreren kan je net zo goed na een aanval gelijk failliessement aanvragen
HoppyF
@mschol21 augustus 2020 22:17
Daarom loont investeren in goede beveiliging altijd.
Ieder bedrijf of (grote) organisatie zou dit zo langzamerhand wel moeten weten.
De laatste jaren zijn er genoeg voorbeelden geweest waarbij het fout gegaan is.
Anoniem: 14842
@HoppyF21 augustus 2020 23:16
Het loont ook om te investeren in zonnepanelen. Toch heeft niet iedereen de middelen daarvoor...

Dit is net zoiets als zeggen dat het loont om brake assist te hebben voor als je even niet oplet. Is leuk, maar je moet wel een auto kunnen betalen met die optie.

Misschien moeten we hier eens meer naar de opsporingsdiensten kijken. Het is hun taak om dit te voorkomen en indien dat is mislukt de daders te straffen zodat dat als afschrikmiddel werkt. Dat dat "heel moeilijk is" mag geen excuus zijn. Dat is het namelijk ook voor een Universiteit of bedrijf om miljoenen per jaar te spenderen aan security waarbij je nog steeds geen 100% score zult halen.
latka
@Anoniem: 1484221 augustus 2020 23:33
Hogere pakkans helpt, maar dit soort criminaliteit is internationaal. En als je als bedrijf je beveiliging niet goed voor elkaar kan krijgen dan airgap je de boel: kost niets. Draai dan vervolgens je klantgerichte systemen op het internet (mag in de cloud, mag lokaal). Alle attachments uit in de e-mail en geen browser op de desktop van gebruikers en een knappe crimineel die daar nog bij komt. Dan zijn er duizenden eenvoudigere doelen.
mkools24
@latka21 augustus 2020 23:53
Dat kan maar het is natuurlijk niet echt gebruikersvriendelijk en de vraag is of het echt veiliger is want je klantsystemen maken vaak ook verbinding met je bedrijfsdatabases. Vroeg of laat ga je toch tegen muren aanlopen en dan moet je toch wat firewalls aanleggen, een DMZ etc en dan wordt het weer ingewikkelder en kostbaarder.

Geen attachments in email is voor veel klanten ook onwerkbaar. Maar je kunt al veel voorkomen hoor, als je homebrew executables allemaal verbiedt en je staat enkel bepaalde emailextensies toe, en je patches zijn enigzins up-to-date dan ben je al voor 99% safe. Kost weinig moeite.

Het zijn vaak juist de bedrijven die absoluut niets doen die gepakt worden. Die installeren jarenlang geen enkele patch want 'alles werkt toch'.
theobril
@latka22 augustus 2020 01:50
Er was eens een airgapped opwerkingsfabriek in Iran :)
edit typo
Anoniem: 14842
@latka22 augustus 2020 10:33
Dus jij draait al je klantgerichte systemen wel gewoon aan het internet? Maar daar staat dan geen klantdata op die gegijzeld kan worden?

En informatie uitwisselen met je interne systemen is niet nodig? Dan heb je mijns inziens helemaal geen interne systemen nodig.

En air gapped lost enorm veel geld wegens productiviteitsverlies. En dan nog is het niet waterdicht, tenzij je helemaal geen data verwerkt.

Sorry, maar je hele reactie is echt veel te simplistisch gedacht en raakt kant nog wal.
latka
@Anoniem: 1484223 augustus 2020 00:35
Voor een goede discussie helpt het om een oplossing te geven, hoe onpraktisch ook, en dan te werken naar een werkbare oplossing. De boel de boel laten en pleisters plakken is een gebed zonder einde. Dus als je van de oplossing die ik aangeef werkt naar een oplossing die werkt in jouw situatie is je eindoplossing waarschijnlijk veiliger dan proberen de gaten in je huidige oplossing te dichten. Ik snap dat airgapped niet handig is, maar je kunt niet ontkennen dat het veilig is. Welk bedrijfsproces heb je wat niet airgapped kan? Moet de degene die de inkomende facturen in de boekhouding verwerkt rechten hebben om op het internet te kunnen voor dit werk of is dat alleen voor de lol. Als het het laatste is, is een internet privilege wellicht niet op zijn plek.
En qua klantdata: op de klantgerichte systemen heb je dus niet je boekhoudig staan met alle transacties. Alleen een basale aankoophistorie ten behoeve van de klant.
Voor informatieuitwisseling met de binnendienst moet je inderdaad iets verzinnen. Als je airgapped bent gegaan is dat bewerkelijk, dus is het waarschijnlijk dat hier iets van een link naar binnen zit.
M.a.w. in de eindoplossing zou de binnendienst airgapped kunnen zijn met 1 gaatje in de firewall van buiten naar binnen. E-mail blijft een uitdaging, maar attachments filteren/verbieden en je bent een heel eind. Dan is je binnennetwerk airgapped op 2 gecontrolleerde gaten na.
Anoniem: 14842
@latka23 augustus 2020 08:30
Ik ga er verder niet op in want ik ben oprecht van mening dat je niet weet waar je het over hebt.

Airgapped kun je niet openzetten met een firewall, gezien daar geen fysieke koppeling is.

Jij bedoelt gesegmenteerd. En dat is weer kwetsbaar voor vulnerabilities in de firewall zelf...
Daoka
@HoppyF21 augustus 2020 23:36
Ik denk dat het toch lastiger is dan dat het lijkt. Een goede backup heeft dus geen zin als men dreigt met publiceren van data. En als het echt allemaal zo simpel zou zijn dan zouden er ondertussen wel bedrijven zijn die beloven van "Als je ons inhuurt en ons laat doen wat we moeten doen (dus geen beperking op budget, juiste software aankopen, ect) dan garanderen wij dat je nooit last heb van ransomware". Maar zulke bedrijven zie ik ook nog niet.
HoppyF
@Daoka22 augustus 2020 09:30
Honderd procent garantie krijg je niet maar je kunt het criminelen wel erg moeilijk maken zodat ze uitwijken naar een makkelijker te pakken doel. Weg van de minste weerstand.
CivLord
@Daoka24 augustus 2020 09:13
Dan zie ik meer kansen voor een 'schimmig' opsporingsbureau dat officieel in Somalië of een dergelijk 'ongereguleerd' land gevestigd is. Voor 10% van de gevraagde losgeldsom zetten ze zelf hackers in om de hacker op te sporen, waarna een 'boksbeugelbrigade' even uit komt leggen waarom het niet zo netjes is wat hij doet.
Daoka
@CivLord25 augustus 2020 13:22
De vraag is natuurlijk hoe lang gaat het duren voordat opsporingsbureau ze gevonden heeft. En mocht die ze überhaupt vinden wie zegt dat ze dan niet voor 15 of 20% van het bedrag omgekocht worden om te zeggen dat ze niet gevonden konden worden.
CivLord
@Daoka25 augustus 2020 15:09
De meeste van dit soort hackers zijn een stuk minder slim dan ze zelf denken. En zelfs de slimsten maken wel eens een klein foutje. (En dan heb ik het al helemaal niet over de script-kiddies die ransomware-as-a-service inschakelen.) Een paar goede hackers die zich niet al te veel zorgen hoeven te maken over de legaliteit van hun opsporingsmethoden zouden toch een groot deel van deze gasten moeten kunnen vinden.
Succes is de beste advertentie. Wanneer je te weinig succes hebt omdat je je te vaak laat afkopen door criminelen zal niemand je inhuren.
Blokker_1999
@HoppyF22 augustus 2020 09:50
Ik blijf het vreemd vinden dat mensen denken dat je met wat te investeren in veiligheid elke vorm van hacking kunt voorkomen. Je mag miljoenen investeren en dan nog heb je geen enkele garantie. Net het feit dat het blijft gebeuren ondanks de steeds grotere bewustwording zou toch net moeten aantonen dat dit een probleem is dat je niet zomaar kunt oplossen.

Aanvalsvector nummer 1 is en blijft de mens. Social engineering. Daar zijn we allemaal vatbaar voor.
HoppyF
@Blokker_199922 augustus 2020 09:59
Het gaat inderdaad niet alleen maar om veel geld investeren in beveiliging.
Maar het maakt het voor criminelen wel een stuk lastiger als de beveiliging op orde is om in te breken eb ransomware los te laten. Idem voor het stelen van data.
Criminelen kiezen liever voor een zwakke organisatie of bedrijf dan eentje waar nauwelijks in te komen is.
Mensen blijven een zwakke schakel maar ook daar kun je als organisatie maatregelen nemen om ze op te voeden wat ze wel en niet moeten doen. Simpele wachtwoord lekken kun je ook afvangen door hiermee geen toegang tot systemen te geven. Alleen een account/wachtwoord geeft nog geen toegang tot belangrijke of gevoelige data.
Het belang van dit alles mag onderhand bekend zijn met wereldwijd zoveel data lekken door ransomware.
timberleek
@HoppyF22 augustus 2020 11:48
Beveiliging is geen absoluut iets.

Ook als je je shit voor elkaar hebt hoeft er maar 1 foutje, 1 onbekende bug, 1 onoplettende gebruiker, 1 onkoopbare gebruiker te zijn om een lek te vormen.

Dat hoeft geen lek te zijn om het hele bedrijf te infiltreren, maar soms is 1 pc voldoende om iig vervelende informatie te kunnen bereiken.

Combineer dat met het feit dat het bedrijf geen bolwerk is van security neuroten. We werkt allerlei volk, ook met beperkte ict skills die werk te doen hebben. En bij data moeten kunnen. En moeten mailen. En een keer slecht slapen.

Losgeld betalen verbieden is leuk voor de bühne, maar een waardeloos voorstel. Zij hebben de overhand in de onderhandeling. Dan kun je leuk principes hebben, maar het enige wat die opleveren is een waarschijnlijk faillissement na een mooi aangekondigd datalek.

Cybercriminelen spelen niet volgens de morele regels. Daarom zijn ze begonnen met data lekken als extra incentive. Ook al heb je je backups goed voor elkaar. En als data lekken niet helpt zoeken ze wat anders. Bijvoorbeeld persoonlijke info van je werknemers erbij zoeken. Als jij niet betaald ruïneren we naast jouw bedrijf ook het privé leven van al je werknemers.
GeoBeo
@HoppyF21 augustus 2020 23:40
Daarom moet het betalen van losgeld aan criminelen ook verboden worden.
Ook al de schade gedekt wordt door een verzekering.
Hoe stel je voor dat de verzekering de door jouw geleden schade (als gebruiker van een dienst of universiteit of overheid) door het uitlekken van jouw gegevens moet gaan vergoeden dan?

Je hoeft je volledige identiteit en andere gevoelige gegevens over jouw en je naasten maar 1x te laten uitlekken en dan ligt het voor altijd op straat.

Wat je voorstelt is dat bedrijven die jou prive-gegevens laten lekken, verdere verspreiding van die gegevens niet mogen voorkomen door losgeld te betalen?

Ik ben het daar niet mee eens. Ik heb liever extreem harde straffen voor bedrijven, overheden en organisaties die prive-gegevens verzamelen zonder hele erge noodzaak.
theobril
@GeoBeo22 augustus 2020 01:58
Ook bij niet-privacy-gevoelige gegevens kan men zich genoodzaakt voelen te betalen. Jaren van kostbare research down the drain omdat de concurrent het nu gratis leest? En onderbouw maar aan de verzekeraar wat de schadepost is. Ik verbaas mij er sowieso over dat een verzekeraar aan dit soort verzekeringen begint.

[Reactie gewijzigd door theobril op 22 augustus 2020 02:03]

mkools24
@HoppyF21 augustus 2020 23:44
Dat is heel lastig te verbieden. Als ik bedrijf A inhuur die opereert vanuit de Kaaiman eilanden en ik betaal die 3 miljoen om mijn 'ICT projectje' uit te voeren waarna zij het losgeld betalen is het ook opgelost. Zo wordt het nu ook vaak gedaan.

En ook bij geijzelingen op boten wordt vaak losgeld betaald. Nu gaat het over data maar als je dit verbiedt moet je dat ook verbieden en daar gaat het over levens.

Ik vind dat je bedrijven gewoon zelf de keuze moet laten of ze wel of niet betalen. Er zijn er veel zelfs voor verzekerd tegenwoordig dus die maatschappijen draaien er voor op. Ik vind alleen wel dat losgeld bijv niet aftrekbaar mag zijn als bedrijfskost bijv. maarja ook lastig te bewijzen, zie punt 1.

Ransomware is gewoon een businessmodel geworden en het blijkt ook erg goede business. Zolang bedrijven hun beveliging nog steeds niet op orde hebben zullen er slachtoffers blijven vallen.
CAPSLOCK2000
@HoppyF22 augustus 2020 11:17
Daarom moet het betalen van losgeld aan criminelen ook verboden worden.
Dat vind ik een slecht idee. Het betekent namelijk dat als je 1 keer betaalt je daarna niet meer naar de politie kan. En mensen zullen betalen, verzekering of niet. Chantage is juist gebaseerd op zorgen dat betalen de makkelijkste oplossing is en minder pijnlijk dan naar de politie gaan.
Als we het moeilijker maken om naar de politie te gaan helpen we de afpersers dus.

En wat is precies losgeld.?Als iemand in een donker steegje een mes tegen je keel drukt en zegt "je geld of je leven", is dat dan losgeld betalen?
HoppyF
@CAPSLOCK200022 augustus 2020 11:20
Ik vind toegeven aan chantage veel kwalijker dan naar de politie te moeten gaan.
Als bedrijf of organisatie zou je daarover al helemaal geen zorgen moeten maken.
Veel zorgelijker is het imago van je organisatie, die ligt op straat want je kunt het toch niet onder de pet houden. Dus buiten de directe kosten om is er ook grote imago schade.
CAPSLOCK2000
@HoppyF22 augustus 2020 11:50
Ik vind toegeven aan chantage veel kwalijker dan naar de politie te moeten gaan.
Als bedrijf of organisatie zou je daarover al helemaal geen zorgen moeten maken.
Is het ook, maar je gaat het niet tegen houden.
De negatieve gevolgen zijn al groot genoeg, daar hoeven we niet nog een extra straf bovenop te leggen. We kunnen beter zorgen dat we het aantrekkelijker maken om wel aangifte te doen.
Dus ik zou je voorstel haast willen omdraaien: niet straffen maar belonen. Als je direct met je zaak naar de politie gaat in plaats van het illegaal te regelen, dan betaalt de overheid mee aan het herstel van de schade uit een daartoe opgericht fonds (uiteraard moeten we wel wat voorwaarden stellen om misbruik en nalatigheid te voorkomen).
HoppyF
@CAPSLOCK200022 augustus 2020 13:38
De overheid als verzekeraar?
Lijkt mij niet nodig.
Hooguit dat het NCSC bedrijven en organisaties tips geeft om hun beveiliging in orde te brengen.
Dat vind ik al een beloning genoeg.
De rest moeten bedrijven zelf maar ophoesten. ICT is geen kostenpost maar een noodzakelijk onderdeel van het bedrijf.
Caelestis
@Knorretje-21 augustus 2020 21:11
Het is zeker wel te voorkomen maar de systemen dat je moet opzetten zijn dusdanig duur dat het je moet kunnen rechtvaardigen. Als alles goed gaat merk je niks en krijg je het idee dat het weggegooid geld is voor de volgende budget ronde.
Het is onrealistisch om te verwachten dat een universiteit over deze middelen beschikt en is eigenlijk niet alleen triest maar vooral erg laf van de hackers.
Wim-Bart
@Caelestis22 augustus 2020 02:49
De vraag blijft, is alle extra beveiliging duur. Een aantal voorbeelden:
  • Beheerders die admin rechten hebben op hun "kantoor" account, versus, gescheiden rollen en accounts.
  • Mensen die rechten op alle data systemen hebben omdat het makkelijk is, versus, minimaliseren rechten op basis van rollen
  • Automatisch unlocken account want dat is makkelijker, versus, verplicht contact met service desk bij 3 maal fout wachtwoord
Dit zijn maar voorbeeldjes van kleine zaken die zo veel impact hebben. En niets kosten.
Caelestis
@Wim-Bart22 augustus 2020 03:39
Ransome-ware richt zich voornamelijk op bugs, zero-days en Social engineering.
Je druk maken om wachtwoorden en rechten haalt weinig uit als je software zo lek is als een mandje.
Tevens is onderhoud nog altijd het duurste onderdeel.
Wat nu foolproof werkt kan met 6 maanden een risico vormen als je niet de juiste mensen in dienst hebt om het bij te houden.
Nu betaalt zo'n uni een paar ton maar om het preventief tegen te gaan zijn ze waarschijnlijk datzelfde bedrag kwijt per jaar aan onderhoud.
1 extra ITer kost je al gauw tussen 50-100k per jaar en dan is er nog niks uitgevoerd.
Wim-Bart
@Caelestis22 augustus 2020 03:41
Dit zijn dingen die je zonder extra IT'er in place moet hebben. Wanneer je dit al niet in place hebt kom je niet eens door bepaalde ISO audits heen.
Caelestis
@Wim-Bart22 augustus 2020 03:49
Hehe ISO normen... De dingen die niemand bijhoudt en alleen maar gebruikt als marketing praatje.
Wim-Bart
@Caelestis22 augustus 2020 03:53
Ja, met het gevolg dat wanneer de bedrijven waar ik voor werk, hun werk niet meer mogen doen omdat ze dan vergunningen verliezen bij het niet meer hebben van een bepaald certificering.

Al die jaarlijkse audits, moeten we van af..... misschien voor een kleine toko. Maar tja, niet alles is een klein onbeduidend bedrijfje.

[Reactie gewijzigd door Wim-Bart op 22 augustus 2020 03:54]

Caelestis
@Wim-Bart22 augustus 2020 04:23
Ja ik weet het. Wij hebben er ook een boel en elk jaar komen we er weer doorheen.
Maar als je weet waar je echt moet graven zie je al gauw wat er blijft liggen en verborgen wordt.
Wim-Bart
@Caelestis22 augustus 2020 04:34
Probleem is weerstand van mensen. "Vroeger werkte het toch ook, waarom moet ik veranderen...". Een "managed service account, dan moet ik een aanvraag indienen, gebruik mijn eigen admin account wel". "We willen graag een enkel account voor alle secretaresses, kunnen we makkelijker samenwerken".... "Ik probeer in te loggen met account van mijn collega, want die kan meer, maar zijn wachtwoord doet het niet meer, kan je die voor mij aanpassen...."

Soms denk ik. Zijn mensen zo dom of lijkt dat maar.
Caelestis
@Wim-Bart22 augustus 2020 05:28
Wij hebben een tool voor de TD om meldingen te maken en reparaties bij te houden. Al jaren heeft letterlijk elke account het wachtwoord Welkom01. Er zit niet eens een reset timer op maar de software draaide op een aparte afgesloten netwerk dus niet belangrijk en de meldingen werden niet gezien als kritisch.
Het werd ook verborgen voor de ISO audits.

Onlangs kregen we een nieuwe hoofd TD die wat meer met ZZPers wou werken dus moest dat stoffige tooltje naar de voorgrond en ingezet worden als uren registratie. Ondertussen is de server verbonden met het algemene interne netwerk en elke account heeft nog steeds Welkom01.

Maar we komen nog steeds door de audits...dus om je vraag te beantwoorden... Ja.
Edit: Voor de duidelijkheid moet ik zelf 2fa met vingerafdruk gebruiken dus de verhouding ligt een beetje scheef.

[Reactie gewijzigd door Caelestis op 22 augustus 2020 05:36]

CAPSLOCK2000
@Caelestis22 augustus 2020 12:21
Maar we komen nog steeds door de audits...dus om je vraag te beantwoorden... Ja.
Er zijn veel misverstanden over audits.
Een audit is geen ondergrens maar een bovengrens.
Als je de audit niet haalt, dan weet je zeker dat de beveiliging niet in orde is.
Als je de audit wel haalt dan zegt dat nog niks over de praktijk.

Als je de audit niet haalt dan heb je vooral bewezen dat je zelfs niet in staat bent om een formulier in te vullen. Ik ga er dan van uit dat je net zo onzorgvuldig bent in je werk en dus geen geschikte partner bent. Maar het enkele feit dat je een formuliertje kan invullen is niet genoeg om je vertrouwen, het is de eerste stap, meer niet.
Caelestis
@CAPSLOCK200022 augustus 2020 14:58
Dat coulance om een formulier in te vullen dat je daarna met adviezen zaken nog mag aanpassen om toch aan de norm te voldoen is maar de eerste paar jaar mogelijk.
Wat er daarna gebeurt valt niet onder datzelfde coulance.
mae-t.net
@CAPSLOCK200023 augustus 2020 15:21
Je noemt de audit een bovengrens maar je beschrijft vervolgens een ondergrens (het minimale dat je moet doen). De beschrijving lijkt me correct.
CAPSLOCK2000
@mae-t.net25 augustus 2020 16:14
Ik bedoel toch echt een bovengrens.
Als de audit zegt "er zijn geen backups" dan is er niks dat het nog beter kan maken. "Geen backup"s is geen backups. Beter wordt het niet meer.

Als de audit zegt "er zijn wel backups" dan kan in praktijk blijken dat de backups niet goed zijn. "Wel backups" kan dus betekenen dat er toch geen backups zijn Het kan dus wel slechter worden.

Vandaar dat ik audits een bovengrens noem.
Wim-Bart
@Caelestis22 augustus 2020 05:48
Ik heb daar een oplossing voor gevonden. Ik zet die machines gewoon uit. En dan krijgen we een escalatie, management, hoge dames en heren. En uiteindelijk, budget.

Maar heb meer dingen meegemaakt mee bij diverse omgevingen. Een beheerder had een ESX omgeving ingericht, met VCenter account root en wachtwoord.... root. Kon niet veranderd worden want hij had van 1 of ander wazige tool de source code niet meer, waardoor de tool zou omvallen. Met als gevolg dat, ESX en VCenter niet geugraded kon worden, het wachtwoord niet veranderd mocht worden.

En achteraf... Zijn dingetje kon gewoon in PowerCLI gedaan worden.
OriginalFlyingdutchman
@Wim-Bart22 augustus 2020 08:18
Tsja zo lang het 3 dagen duurt voordat de servicedesk je vraag fatsoenlijk beantwoord krijg je dat. Goede servivedeskmedewerkers zijn schaars, want die werken niet meer op de servicedesk, daar verdien je te weinig.

Dan ga ik ook even iets fixen met het account van een collega. Wat moet ik anders? 3 dagen met mijn armen over elkaar zitten, wie betaalt dat?
CAPSLOCK2000
@OriginalFlyingdutchman22 augustus 2020 12:32
Tsja zo lang het 3 dagen duurt voordat de servicedesk je vraag fatsoenlijk beantwoord krijg je dat. Goede servivedeskmedewerkers zijn schaars, want die werken niet meer op de servicedesk, daar verdien je te weinig.

Dan ga ik ook even iets fixen met het account van een collega. Wat moet ik anders? 3 dagen met mijn armen over elkaar zitten, wie betaalt dat?
Ik snap het helemaal hoor, maar dat is wel deel van de redenen waarom we zoveel gedoe hebben.

De juiste oplossing is eigenlijk dat je naar je baas gaat en zegt "ik kan mijn werk niet doen in overeenstemming met het beleid". Dan zou je baas eigenlijk voor een oplossing moeten zorgen.

Mijn ervaring is helaas dat "bazen" de laatste zijn die zich aan het beleid houden. De gebruikelijke reactie is dat de baas precies gaat doen wat de goede werknemer probeert te voorkomen, namelijk ter plekke een amateuristische oplossing te vinden zodat het werk gedaan wordt ook al breekt het alle regels. Veel bazen zijn echter op hun plek gekomen omdat ze pragmatisch ingesteld zijn en dingen gedaan krijgen, niet omdat ze zo goed zijn in de regels volgen.

Uiteraard generaliseer ik en ik probeer niet te zeggen dat alle bazen dom zijn of zo iets, maar dat het gewone mensen zijn, en gewone mensen ervaren IT-beveiling als iets waar omheen gewerkt moet worden, ook al weten ze eigenlijk beter.
CAPSLOCK2000
@Wim-Bart22 augustus 2020 12:09
Soms denk ik. Zijn mensen zo dom of lijkt dat maar.
Terechte vraag, mijn antwoord is dat mensen niet dom zijn, maar onderbewust een risico-analyse uitvoeren waarin IT-beveiliging maar een klein onderdeel is.

IT'ers verliezen wel eens uit het oog dat mensen in een bedrijf zijn om een taak te doen. Het is hun werk om problemen te overwinnen zodat het werk gedaan kan worden. IT-beveiliging wordt ervareren als een van de hobbels die moet worden overwonnen.
Wij Tweakers facepalmen bij het idee van onversleutelde data op een USB-stick. De gemiddelde werknemer is trots dat het gelukt is om data zelf op die USB-stick te zetten zonder hulp van IT. Wij Tweakers facepalmen bij het idee dat je wachtwoorden deelt. De gemiddelde werknemer is trots dat de collega's elkaar zo goed vertrouwen dat ze wachtwoorden delen zodat het werk op tijd af was.

Een ander deel van die risico-analyse is het afwegen van de (persoonlijke) gevolgen. Dat werkt ongveer zo:
"Ik krijg mijn werk niet op tijd af. Als dit rapport morgenochtend niet op het bureau van mijn baas ligt dan is de baas de rest van de week boos op mij. Als ik data laat lekken, dan krijg ik over drie maanden een boze e-mail van de IT-afdeling en zeg ik een keertje dat het me spijt en dat was het dan."

Mensen kiezen er altijd voor om hun doel te bereiken, IT-beveiliging is geen doel op zich (voor normale werknemers) en komt er dus altijd slecht vanaf.
CivLord
@Wim-Bart24 augustus 2020 09:03
Nee. Mensen zijn niet dom, Ze willen gewoon hun werk doen.
Beveiliging is nog te veel een kwestie van drempels opwerpen voor alles en iedereen. Wanneer je je werk wilt doen kom je al die drempels elke dag keer op keer weer tegen. Wanneer er dan een methode is om één of meerdere drempels te omzeilen, moet je net gek opkijken wanneer die methode gebruikt gaat worden. Zelfs wanneer dat de beveiliging schaadt.

Een goede hacker gebruikt ergens een configuratiefout of zero-day (of een nog niet gepatcht bekend lek) om ongehinderd binnen te komen, maar alle reguliere gebruikers worden dagelijks gehinderd door de beveiliging van hun bedrijfssystemen en verspillen daar enorm veel tijd aan.
Er moet een flinke omslag komen in de ICT-beveiliging. De manier waarop het nu werkt, werkt het omzeilen ervan alleen maar in de hand.
CAPSLOCK2000
@Wim-Bart22 augustus 2020 12:14
Dit zijn dingen die je zonder extra IT'er in place moet hebben. Wanneer je dit al niet in place hebt kom je niet eens door bepaalde ISO audits heen.
De meeste IT-bedrijven werken niet met ISO normen. De meeste software bedrijven bestaan uit een handvol medewerkers die relatief eenvoudige websites en applicaties bouwen voor het MKB. Die MKB'ers vragen niet om ISO normen of audits en zijn niet bezig met IT beveiliging. Die willen een website of applicatie om een probleem op te lossen en zijn verder niet geinteresseerd in wat er achter zit. Ze gaan er van uit dat de leverancier dat wel zal verzorgen. Ze moeten wel, want ze weten zelf niet genoeg van IT om de juiste vragen te stellen.
Pinkys Brain
@Caelestis23 augustus 2020 07:15
Ze komen misschien meestal binnen door te zoeken naar bekende bugs, maar voor een paar 100k kunnen ze neem ik aan nog wel even handmatig zoeken naar superidiote dingen om de schade te vergroten. Email en source repositories doorzoeken naar login zal wel automatisch gaan, maar hoe ze te gebruiken is neem ik aan maatwerk.
RoestVrijStaal
@Knorretje-22 augustus 2020 00:16
De schaal van de schade valt zeker te voorkomen.

Bij een DDoS wordt vaak gebruik gemaakt van apparaten die geen updates meer krijgen. Denk aan je router, de smartphone van oma "die het nog goed doet", enzovoorts.
In dat geval zou het helpen als er een duidelijke updatecycle komt (liefst van een decennium) en dat het apparaat daarna zichzelf vernietigd zodat het niet gebruikt kan worden.

In het geval van ransomware is er ook een middel om de schade te beperken: enkel de klantgegevens opslaan die nodig zijn. Voor een online dienst is er geen NAW gegevens van de klant nodig. En bij een webshop het archief van klantenbestand voor de fiscus kan losgekoppeld worden van de huidige webshopsysteem. Maar het is allemaal duur en lastig. En blijkbaar is het risico nemen en losgeld betalen lucratiever.
theobril
@RoestVrijStaal22 augustus 2020 02:06
Maersk (botenboer) ging volgens mij niet om klantengegevens. Waar komt, ook bij een universiteit, het idee vandaan dat er enkel waardevolle persoonsgegevens ontvreemd kunnen worden? Hoe veel geld kost het bij een universiteit als door ransomeware terecht goedbetaalde wetenschappers voor langere tijd hun werk niet kunnen doen?
CivLord
@RoestVrijStaal24 augustus 2020 09:34
Maar dan wordt door de ransomware die beperkte set klantgegevens, incl. je productdatabase van je website versleuteld, incl. de laatste backups. Dan mis je a snel een paar dagen tot weken omzet, totdat je weer kunt draaien.
En misschien zijn het wat weinig gegevens die echt gevoelig zijn. Maar wanneer in de krant zou komen te staan dat van webshopX.nl de complete lijst van klanten is uitgelekt (enkel de klantnamen, niets anders) zal dat ook al een flinke daling van de omzet leiden. Potentiële klanten zullen de site mijden, omdat ze het met het uitlekken van gegevens associëren.
keesellen
21 augustus 2020 22:51
Ik ben er vorige week zelf ook door getroffen, gewoon als particulier.
Ze vroegen of ik inderdaad met Bitcoins wilde betalen.
Ten eerste ik heb helemaal geen geld.
Ten tweede ik heb helemaal geen geld.
Maar dat weten zij natuurlijk niet , en het interesseert ze ook niet.
In ieder geval ik heb niet betaald, maar wel alles moeten formatteren.
Ben alles kwijt, alle foto's ( hele dierbare) en noem maar op.
En ja ik had overal backups van, maar op het moment van besmetting had ik de backup aan mijn computer hangen om de backup weer up to date te maken, dus ook daar was alles besmet en niet meer bruikbaar.
Ik heb andere pasjes aan moeten vragen, overal andere wachtwoorden.
En als je pech hebt overkomt het je volgende week weer.

[Reactie gewijzigd door keesellen op 21 augustus 2020 22:55]

pauldebra
@keesellen21 augustus 2020 23:29
Slimme ransomware wacht tot je backup-schijf is aangesloten om dan toe te slaan.
Daarom moet je ook minstens twee backup schijven gebruiken, om en om...
Je kan nooit teveel backups hebben.
keesellen
@pauldebra21 augustus 2020 23:48
Klopt, maar zelfs dan .
Het is in ieder geval niet fijn om mee te maken.
Maar zoals je overal kunt lezen, ik ben niet de enigste.
Ik gun het in ieder geval niemand.
mrmrmr
@pauldebra22 augustus 2020 01:08
12 backup schijven, voor elke maand 1. De disks moeten nooit worden hergebruikt en in read-only stand worden gelezen. Dat kan met hardware.

Offline hardware backup is de enige haalbare remedie voor de meeste organisaties.

Cloud backup is zo goed als nutteloos omdat de creditials daarvoor ook verkrijgbaar zijn voor de ransomwarecriminelen. Die hoeven alleen maar een delete opdracht te geven.

Het businessmodel van ransomware is tamelijk onduidelijk want je moet als organisatie sowieso alles opnieuw installeren. Of je betaalt of niet. Het enige voordeel dat je kunt behalen is een kans op het terughalen van de meest recente data. Maar dat is niet zo simpel als een restore, je moet dat via air-gap methoden realiseren, en controleren. Dat is kostbaar.
Blokker_1999
@mrmrmr22 augustus 2020 09:59
Daarom dat cloud providers zelf ook de mogelijkheid bieden om vorige versies van bestanden terug te zetten en verwijderde bestanden te herstellen gedurende x tijd.

En je moet het terughalen van je data na het ontsleutelen helemaal niet via air-gap doen. Daar bestaan gewoon goede procedures voor die je security mensen je gaan geven. Gewoon een gescheiden netwerk met bepaalde file transfer mogelijkheden is voldoende. Zeker in deze tijden waarin vele servers virtueel draaien heb je zelfs geen optie meer om niet netwerkgebonden te werken.
HADES2001
@keesellen24 augustus 2020 09:55
tip, bewaar je externe schijf en hoe encryptie info sites in de gaten. soms komt er een oplossing uit voor bepaalde ransomware software en dan kan je weer bij je data
keesellen
@HADES200124 augustus 2020 13:31
Heb ik inderdaad gedaan, misschien in de toekomst weer de data vrij kan maken.
bedankt in ieder geval voor het meedenken.
gr

[Reactie gewijzigd door keesellen op 24 augustus 2020 13:32]

continue12345
21 augustus 2020 21:21
Maar het helpt niet als dit soort zaken in het nieuws zijn. Dat maakt dat er nog meer mensen dit gaan proberen want het loont. En nog meer bedrijven gaan betalen want dat doen de andere bedrijven ook.
SuperDre
@continue1234521 augustus 2020 21:49
Vergeet niet dat er toch wel wat expertise bij komt kijken om dit soort zaken uit te voeren, vooral om zoveel mogelijk buiten schot te blijven. Dan vergeet niet dat het voor verzekeringsmaatschappijen ook een grote business is, dit soort zaken is ergens weer reclame om nog meer verzekeringen te verkopen..
T2000Nl
21 augustus 2020 21:48
Het klinkt nobel, maar ik kan me nauwelijks voorstellen dat ze zoveel betalen, met hulp van de verzekering nota bene, om persoonsgegevens te beschermen.
Kennelijk gaat het om gevoelige/waardevolle data. Om die data te vangen in die 0,02% moet je, lijkt me, toch wel heel gericht en doelbewust te werk gaan...
eliasje
21 augustus 2020 22:00
Hoe zoude de afperser betaald worden met los geld of digitaal? Je zou toch zeggen dat het betaalde geld een spoor na de daders zou moeten achter laten. Zou ook leuk zijn als er een keer bericht komt dat ze opgepakt zijn.
HoppyF
@eliasje21 augustus 2020 22:16
Het bekende follow the money.
Dit gaat ook op bij betalingen in crypto, ook dit is te achterhalen al kost het wel meer moeite.
thibaultvdb
@HoppyF21 augustus 2020 23:25
Ik vrees dat dit verhaal niet meer opgaat met monero. Onlangs lekten er documenten van de fbi waaruit bleek dat ze niets konden traceren.
Tr1pke
@eliasje21 augustus 2020 22:18
Bitcoins
Daoka
@eliasje22 augustus 2020 00:23
Het is mogelijk maar vast niet zo makkelijk als ze op tv laten zien. Die mensen zullen wel van vpn naar vpn naar vpn naar vpn sturen. En die vpn bedrijven zullen vast in landen zitten die niet hoeven mee te werken aan opsporen van zulke mensen. Dus tegen de tijd dat je het einde gevonden heb zullen ze allang weer een keer vertrokken zijn naar een ander gebied of zelfs land.

En ik verwacht dat de banken die hun gebruiken ook niet staan te popelen om die informatie te delen. Of bijvoorbeeld dingen gebruiken zoals een openbare wifi. Gezicht compleet bedekken tijdens pinnen of zelfs iemand anders laten pinnen. Zoal dat je een kind van 12 ofzo 500 euro betaald om even snel te pinnen en geld te geven aan jou. Leuk verdient voor het kind en jij blijft buiten de camera.

Dus ik verwacht zelf dat het oppakken van zulke mensen echt niet makkelijk is.
Anoniem: 1330988
21 augustus 2020 22:03
Kunnen we dit niet beter extortionware gaan noemen?
mikeoke
21 augustus 2020 22:17
Ook is Brown-Forman (bekend van Jack Daniels) getroffen door ransomware waarbij 1TB data is gestolen.
schijnbaar zijn hun gegevens niet encrypted en ook al wordt er gedreigd met openbaar maken van hun data wil Brown-Forman niet losgeld betalen

bron1 - bloomberg
bron2 - bleepingcomputer
bron3 - Sophos Nakedsecurity
HoppyF
@mikeoke21 augustus 2020 22:39
Uit bron 3 is deze uitspraak mooi:
Brown-Forman has supposedly told the criminals to stick their blackmail demands where the sun doesn’t shine.
Blokker_1999
@mikeoke22 augustus 2020 10:01
1TB aan data klinkt leuk, maar het hangt natuurlijk af van welke data ze hebben en hoe gevoelig deze ligt in de onderneming. Als dat de ruwe footage is van het kerstfeestje van vorig jaar, dan mogen ze ermee doen wat ze willen. Als dat de hele boekhouding, klantenbestand en marketingstrategie voor de komende jaren is, dan zit je met een ander probleem.
HADES2001
@Blokker_199924 augustus 2020 09:53
ik kan je melden dat menig bedrijf de kerstfeestjes nog wel is flink uit de hand lopen en mensen liever hebben dat je de financien gegevens steelt als dan wat er zich daar afspeelt op "gezellige" feestjes.
JWHtje
21 augustus 2020 22:24
Op deze manier zal dit altijd een probleem blijven. Het levert ze goed geld op ;)
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee