Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Keten van honderden Amerikaanse ziekenhuizen lijdt onder ransomwareaanval'

Het Amerikaanse Universal Health Services, dat vierhonderd locaties heeft in de Verenigde Staten, Puerto Rico en het Verenigd Koninkrijk, zegt dat het IT-netwerk van het bedrijf momenteel offline is. Volgens anonieme bronnen gaat het om een ransomwareaanval.

In een verklaring zegt UHS dat het volledige IT-netwerk onbereikbaar is door een 'beveiligingsprobleem'. In het bericht deelt de keten niets mee over het soort probleem waarom het gaat. Totdat de problemen zijn verholpen, gebruikt het ziekenhuispersoneel back-upprocessen, waaronder papieren documentatie. Het bedrijf benadrukt dat de gezondheidszorg nog steeds wordt uitgevoerd en dat data van patiënten en werknemers voor zover bekend niet is gestolen of ingezien.

Twee anonieme bronnen zeggen tegen TechCrunch dat de aanval zondagochtend plaatselijke tijd begon, waarbij computers en mobiele telefoons werden vergrendeld. Een van de bronnen zei dat er op computerschermen verwijzingen waren naar de 'shadow universe', wat zou wijzen op de Ryuk-ransomware. Het ziekenhuispersoneel werd verteld dat het alle computers moest uitschakelen en dat het dagen zou duren voordat de systemen weer gebruikt mochten worden.

Volgens een verpleegkundige waarmee NBC News sprak, zijn de patiëntenkaarten van de ziekenhuizen wel offline, maar wordt informatie over medicijnen digitaal opgeslagen. Het is onduidelijk of die geback-upte data wel toegankelijk is.

Eerder dit jaar zeiden verschillende ransomwarecriminelen dat ze gezondheidsorganisaties niet zouden aanvallen. De verantwoordelijken voor de Ryuk-software hoorden hier echter niet bij. Ziekenhuizen worden vaker getroffen door ransomwareaanvallen, zoals een ziekenhuis in Düsseldorf eerder deze maand. Door deze aanval stierf mogelijk een patiënt.

Door Hayte Hugo

Nieuwsposter

29-09-2020 • 10:12

241 Linkedin

Submitter: juliank

Reacties (241)

Wijzig sortering
Waarom is een backup niet snel terug te zetten?
Eerder: Waarom hangen dit soort cruciale systemen uberhaupt aan internet
Ah ja, de klassieke scheiding tussen het internet en het 'veilige' bedrijfsnetwerk. Lekker weer een eigen datacenter organiseren, geen gebruik kunnen maken van SaaS-diensten, patch management wordt super tricky, geen BYOD-management, veel meer personeel benodigd die allemaal bredere expertises moeten ondersteunen. Paar firewalls ervoor en je bent klaar!

De meerwaarde vanuit IT-perspectief? Niks, maar het is weer lekker secure zolang niemand binnen je bedrijfsnetwerk komt. Als ze eenmaal door je enige security control heen zijn (je scheiding internet / eigen netwerk) dan is het voor de hackers alsnog een groot feest terwijl je eindgebruikers continue over van alles aan het klagen zijn.
Dan neem ik nog niet in consideratie wat de impact is als je allemaal mensen hebt thuiswerken of over meerdere organisaties samenwerken (o.a. academisch onderzoek) en jij al je systemen in je eigen datacenter hebt staan. Dan kunnen andere gebruikers er niet bij tenzij jij ook weer vrolijk VPN's gaat uitdelen. Dit resulteert weer in allemaal vage regels in je firewall die niemand onderhoudt, en een jaartje later ben je weer een gatenkaas.

Uiteindelijk escaleert dit weer naar het bestuur, die dan de conclusie trekt dat er:
1) Uitsporig veel budget wordt uitgegeven
2) Eindgebruikers alsnog ontevreden zijn
3) Die 'gasten van security' alles tegenhouden, terwijl we puntje bij paaltje nog steeds insecure zijn.

Twee weken later loopt security weer te klagen dat niemand nog naar ze luistert. Gek he?

Wat dan wel?
Stap af van het idee van een scheiding tussen een bedrijfsnetwerk en internet. Stop met het gebruiken van IP-adressen om te bepalen of een systeem 'vertrouwd' of 'vreemd' is. Leg de nadruk op IAM en zorg dat je kan toezien wie bij systemen komt, daarbij is identiteit veel belangrijker.

Een systeem kan vanwege legacy-doeleinden insecure zijn, maar als jij kunt valideren dat alleen vertrouwde gebruikers bij het systeem kunnen komen is het security risico te overzien. Denk aan een proxy die eerst een gebruiker valideert voordat er uberhaubt gecommuniceerd kan worden met het systeem. Het maakt dan de-facto veel minder uit waar dat systeem staat (internet/datacenter).

BeyondCorp / Zero-trust zijn architectuurmodellen die wat meer insteken op deze nieuwere manier van denken. Echt de moeite waard om eens doorheen te lezen als je dit een interessant onderwerp vindt!

[Reactie gewijzigd door Viince1 op 29 september 2020 13:01]

Ik vraag mij af wat de meerwaarde van een wél gekoppeld ziekenhuis systeem is?

Je kan ook een intra-ziekenhuis-net maken als je zonodig wilt koppelen.

Internet verbinding op ziekenhuis computers is net als een FaceBook verslaving. We 'vinden' allemaal dat we het moeten hebben. Omdat men ons eraan verslaafd maakt.

Waarom klagen de medewerkers? Als ze zonodig FB willen nakijken dan koppelen ze hun mobiel maar op het gasten wifi waar wél internet is. Lekker alles opengooien daar. Niemand klaagt!

E-mail lezen als dokter? Dan gebruik je niet het computersysteem met al je gevoelige patientendata!! Dat is toch logisch!

Uiteraars zijn er wel voorwaarden aan verbonden.
Geen pc's (of terminals) meer met data poorten. Of dit uitschakelen. Of speciale hardware hiervoor ontwikkelen (heeft mijn voorkeur).
Hiernaast een monitor met twee video ingangen om te switchten van data omgeving naar internet omgeving voor e-mail. Mijn voorkeur gaat uit naar 2 schermen.
Vooral niet vergeten ook de afgeschermde omgeving up-to-date te houden. Een goede IT club kan dit echt wel 'offline'.

Stop met negatief denken en/verslaafd zijn aan internet.

Het kán offline. We willen het niet.
Ik werk als arts in een ziekenhuis, en ik ben toch erg blij dat ik richtlijnen kan raadplegen (een deel is ziekenhuisspecifiek, maar een groot deel wordt in Nederland gebundeld of is internationaal); of wetenschappelijk onderzoek.
Daarbij komt dat er ook regelmatig multidisciplinaire overleggen zijn met artsen uit andere ziekenhuizen, via videoconferenties.
Voor dat kleine beetje tijd winst zou je toch niet zo veel risico's met je patienten willen lopen?
Je kunt toch prima computers met Internet-toegang hebben in het ziekenhuis? Als die maar strict gescheiden zijn van alle essentiële systemen, zoals besturing apparatuur, electriciteitsvoorziening, opslag en raadpleging patiëntgegevens, enz. Het gaat om die scheiding.
E-mail lezen als dokter? Dan gebruik je niet het computersysteem met al je gevoelige patientendata!! Dat is toch logisch!
Internet verbinding op ziekenhuis computers is net als een FaceBook verslaving. We 'vinden' allemaal dat we het moeten hebben. Omdat men ons eraan verslaafd maakt.
Uiteraard zijn er wel voorwaarden aan verbonden.
Het valt mij op dat je in je post heel duidelijk voorschrijft wat jij vindt dat er moet gebeuren. In mijn ervaring zijn IT/security-specialisten niet de mensen die op de stoel van de business moeten gaan zitten.
We doen IT om business mogelijk te maken, en niet andersom. Toch?

Als je op deze manier security implementeert in je organisatie creeer je zoveel weerstand bij eindgebruikers dat ze inderdaad:
1) allemaal continue hun smartphones aan het guest-wifi netwerk gaan verbinden
2) Om security maatregelen heen gaan werken omdat ze niet werkbaar zijn en security vind het 'niet logisch' wat de business wil.
3) Security en business dermate slechte relaties ontwikkelen dat security geen actieve bijdrage meer kan leveren.

Ik denk zeker dat een goede IT-club dit echt kan, die zullen ook behoorlijk champagne open trekken op het moment dat zij de rekening hebben verkocht.
Een vraag over je opmerking om te stoppen met het kijken naar IP-adressen. Hoe bedoel je dit precies? En dan met name vanuit het oogpunt van threat intelligence. Er zijn dagelijks vele IoC’s die verspreid worden binnen communities/organisaties, waar juist actief gekeken wordt naar IP-adressen (maar ook payloads, mailadressen, etc.).

Hoewel ik het eens ben met je schrijven, zijn IP-adressen mijn inziens nog zeker wel van belang, ongeacht of je je een eigen bedrijfsnetwerk hebt of niet.
Goede vraag. Natuurlijk blijven IP-addressen van belang, specifiek in de context van Threat Intel zelfs onmisbaar.

Feitelijk zie je nu dat de meeste organisaties IP-ranges gebruiken om scheidingen te realiseren en IAM in te regelen.
Voorbeeld:
We zetten applicatie X achter een firewall, en alleen range 10.0.10.0/24 mag erbij want dat zijn alle gebruikers die in het accounting-VLAN zitten.

De genoemde IP-range dient feitelijk als identificatie attribuut ('als je in 10.0.10.0/24 zit, ben je een gebruiker die toegang nodig heeft tot deze applicatie'). Hiervoor zijn IP-addressen nooit bedoeld en het IP-protocol an sich is niet afdoende beveiligd om dit te gebruiken als IAM-attribuut. Denk aan IP-spoofing of hoe eenvoudig firewalls omzeild kunnen worden door laterale bewegingen in het netwerk.

Mijn pleidooi richt zich op het doorbreken van IP als identificatie-atribuut. Stop met laag 3 scheidingen, start met laag 7 scheidingen. Voorbeeld: proxy voor de applicatie die alleen doorstuurt wanneer gebruikers zichzelf kunnen identificeren met een certificaat middels de browser.

Feitelijk bereik je dan de scheiding waar je naar op zoek bent, maar je draait niet op voor alle beheerslast die komt bij laag 3 scheidingen (vpn/firewall).
Tuurlijk, SaaS-diensten bij een Amerikaanse cloud partij die verplicht is de data ter inzage af te staan in de USA als er bepaalde diensten om vragen en daarmee de Nederlandse veiligheidsdiensten er indirect ook inzage in hebben.
Geen EPD? Geen probleem, dan vragen we het wel even aan onze Amerikaanse vrienden.
Covid-19 onderzoek naar vaccin? Geen probleem als andere landen dan de USA het vaccin al hebben gevonden, dan vragen we als Amerikaanse overheid wel even na bij onze cloud diensten of we die data kunnen krijgen (evenals andere bedrijfsgeheimen?).

Hebben we dan helemaal niets geleerd van Snowden?
Positief dat je zo nadenkt over privacy. Zeker een belangrijk aspect van elke IT-implementatie!
Gelukkig zijn er anno 2020 betere opties dan degene die jij voorschrijft op het gebied van SaaS die prima rekening kunnen houden met privacy!

Vergeet ook niet dat we privacy een afweging moet zijn voor de data die erin staat. Dit moet natuurlijk centraal staan bij de afwegingen die worden gemaakt. Ik kan mij prima voorstellen dat een ziekenhuis vanuit privacy eisen ervoor kiest systemen zelf te hosten als daar kritische info in staat, maar ik denk ook dat een ziekenhuis een aantal systemen heeft die zonder privacy-impact prima geoutsourced/SaaS kan worden.
Ik kan me die discussie van 15 jaar geleden nog herinneren. IT-afdelingen die uit principe allerlei systemen gescheiden hielden van internet. Je kunt er wel principieel in blijven, maar het is anno 2020 niet meer werkbaar. Zeker niet in een academische setting.
Onderbouw dat eens?

Bij de bottomline kom je dan dus op budget / geld uit. Het is dus technisch zeker wel mogelijk.
Technisch is het uiteraard mogelijk (technisch is bijna alles mogelijk wat je kunt bedenken). Maar techniek is ondergeschikt aan bedrijfsprocessen. Heeft helemaal niets met geld te maken maar met hoe mensen willen en moeten kunnen werken. Je kunt prima allemaal stand-alone eilandjes maken die totaal niet met elkaar verbonden zijn, maar dan heb je dus al direct een probleem als mensen niet allemaal op dezelfde locatie werken. Praktisch voorbeeld: hoe laat je een expert die aan de andere kant van het land zit meekijken/meehelpen bij een complexe situatie? Als we willen accepteren dat we het moeten doen met kennis en kunde die op 1 site beschikbaar is kan je alle externe connecties verbreken. Maar of de zorg daar beter van wordt betwijfel ik.
Heel veel nieuwe (medische) systemen gaan er standaard al vanuit dat er een vorm van internetcommunicatie mogelijk is. Heartbeat naar de leverancier, analyses van data op basis van online databases, email (het zwakste punt), etc.
Technisch is het inderdaad allemaal te regelen maar dan wordt het een hel voor de medewerker om zijn werk te kunnen doen. Ook in supportcontracten met leveranciers staat dat ze op afstand toegang willen hebben anders kunnen ze niet voldoen aan een oplostijd van enkele uren.
Toen men van Windows XP overging op Windows 7 kreeg iedere dichtgespijkerde PC's alleen degene die het ECHT nodig hadden kregen redelijk open PC's. Twee dagen later had 90% een open PC omdat het technisch wel allemaal goed dichtgespijkerd was maar in de praktijk gewoon niet werkbaar was.
Zeer kritische systemen op een OK en op andere plekken zijn uiteraard nog steeds afgeschermd van het internet.
Omdat er zoveel afhankelijkheden zijn vandaag de dag tussen extreem gevoelige omgevingen en de minder gevoelige "office" omgevingen. Zo weet ik dat bijvoorbeeld een belangrijk gedeelte van een gedeelte van de nederlandse infrastructuur aan (zeer gecontroleerd) aan een office omgeving hangt om bv. data transport van bepaalde omgevingen mogelijk te maken (er zat wel een killswitch mogelijkheid in btw.). Natuurlijk kun je dat wel via een air gap doen en steeds met disks gaan lopen te slepen maar mensen verwachten vandaag de dag ook direct inzage te hebben van bv. hun patient dossier uit zo'n essentiele omgeving en willen daar niet een paar dagen op wachten.
SaaS....
Net als ieder ander bedrijf (ja, een ziekenhuis is ook een bedrijf) maken ook ziekenhuizen gebruik van behoorlijke hoeveelheden externe diensten. Zonder internet zullen een groot aantal zaken niet (volledig) werken. Daar hou ik basis zaken zoals Office 365 nog buiten die ook grotendeels leunen op externe diensten.

Maar uiteraard is het mogelijk, zet gewoon een heel apart netwerk neer met 2 computers op ieder bureau. Accepteer het continue geklaag van gebruikers dat er zo totaal niet mee te werken valt, het grote verlies in productiviteit en de enorme extra kosten van het onderhouden van 2x zoveel IT.
Als klachten van medewerkers en IT budget een probleem is in medisch gebied houd ik mijn hart vast voor het EPD in nederland. In mijn optiek moet een organisatie er alles aan doen om dit te beschermen, zeker als het (medische) persoonsgegevens betreft.
De zorg staat al jaren zwaar onder druk van bezuinigingen, dat zou geen nieuws moeten zijn.. en het EPD is gewoon een app in je desktop. Dat is Hix ten minste, volgens mij draait Epic in de browser: https://www.zorgvisie.nl/epd-overzicht/

De veiligheid van het EPD zal volledig afhangen van het ziekenhuis al zijn er natuurlijk wel gewoon minimale veiligheidseisen waar men aan moet voldoen.
De eerste collega die bij ons in het netwerk de root-CA met het netwerk verbind heeft echt wel iets uit te leggen. En zo zijn er wel meer toepassingen te bedenken.
Ze hangen sowieso aan het intranet. Want artsen en verpleegkundigen moeten erbij kunnen via het netwerk. En het intranet hangt aan het internet, want artsen willen medische sites kunnen raadplegen om hen te helpen diagnosen te kunnen stellen (en ze willen internet voor vele andere doelen natuurlijk).

Daarmee is het systeem kwetsbaar, ookal hangt het mogelijk niet direct aan het internet.

Een echt alternatief is er niet. Er zijn halve acties, zoals het systeem enkel via een restrictieve VM toegankelijk maken, maar dat leidt tot veel vaak gerechtvaardigde weerstand. Als radioloog wil je bijvoorbeeld je CT echt lokaal hebben, je wil geen beeldcompressie over deze beelden heen hebben (met veel subtiele grijstintverschillen, die compressie vaak wegwerkt), en ook geen tiende seconde vertraging op een plaatje als je door een scan heenloopt.

Overigens is een systeem enkel via intranet toegankelijk maken, terwijl je niet echt airgapped omdat er machines in dat intranet wel internet-toegang hebben, erg tricky. Je gaat namelijk snel updates achterlopen omdat je geen internet dus geen updates hebt voor bepaalde producten (Windows kan via een WSUS server, maar andere producten moeten vaak handmatig). En je kan toch bloodgesteld worden aan alle nieuwe meuk via de systemen die wel internet-toegang hebben.
Ik mag toch hopen dat updates op applicaties niet rechstreeks worden uitgerolt op de productie omgeving, maar door een degelijke OTAP straat heen gaat.
Op het AMC wel.
Je gaat dit niet geloven...
Ik was op het AMC en de driver waarmee hun PC verbinding maakte met mijn hoortoestel was verouderd.
De medewerker mompelde wat over systeembeheer nooit tijd, en ging zelf een update zoeken op de site v/d fabrikant. Uiteindelijk heb ik die upgrade gedaan.
Nu heb ik werkelijk geen enkel bewijs dat die PC verbinding heeft met cruciale systemen, maar echt goed is de situatie niet...
Ik ga dat prima geloven. Wat ik niet ga geloven is dat dit een standaard werkplek was. Dit was zeer waarschijnlijk een werkplek die onder beheer van een afdeling zelf valt. Er lopen in een gemiddeld ziekenhuis naast de formele afdeling ICT een hoop decentrale beheerders rond, en bij de UMC's nog een aantal extra vanuit bv onderzoek. Zonder de claimen dat er centraal geen fouten worden gemaakt zie de doorgaans wel dat hoe dichter je bij de uitvoering komt, hoe groter het hobbygehalte wordt.
technisch personeel van 3e partij (ik noem maar wat, radioloog) dat ook werk doet voor andere ziekenhuis groepen, moet data versturen die het ziekenhuis zelf weer in hun eigen systemen moet invoeren.

Dan kan je het ziekenhuis netwerk zelf nog zo afsluiten op een privaat netwerk, er moet een keer een data overdracht plaatsvinden, is die geïnfecteerd, met bijv. een zeroday, dan kan die infectie rustig zijn gang gaan.

Je kan nog zo ver gaan door iedere afdeling te airgappen, zwaarste beveiliging en gedrags-protocollen aanhouden, het blijft een kwestie van wanneer gaat het gebeuren, niet of het gaat gebeuren.
Je kan nog zo ver gaan door iedere afdeling te airgappen, zwaarste beveiliging en gedrags-protocollen aanhouden, het blijft een kwestie van wanneer gaat het gebeuren, niet of het gaat gebeuren.
Meest schokkende opmerking uit Zero Days (2016) was dat ze moesten lachen om airgapped computers. Die Iraans kerncentrale was ook goed beveiligd, maar als een monteur van Siemens bij die controllers moet om iets in te stellen of de firmware te updaten, is dat je ingang. Er is altijd een manier om iets te besmetten. In het geval van Stuxnet hebben ze 'gewoon' Windows besmet en dan komt die rommel vanzelf waar ie wezen moet...
Een beetje versimpeld, maar ze komen er inderdaad altijd bij.
zelfs al draait alles mechanisch en met ponskaarten :P, dan is er nog altijd ergens een kwetsbaarheid te vinden.

[Reactie gewijzigd door dakka op 29 september 2020 11:13]

Inderdaad. Er is altijd een ingang te vinden. Het is alleen een kwestie van het zo moeilijk mogelijk te maken, zodat ze bij de buren gaan kijken die de deur al op een kier hebben staan. Zowel het beveiligen als het inbreken is een kwestie van geld en inspanning.
Wie zegt dat ze aan het internet hangen? Wie zegt dat er geen zeroday gebruikt is om binnen te komen via een legitiem systeem wat aan het internet gekoppeld was? En dat ze vanuit daar verder zijn gegaan met recon werkzaamheden?
Omdat een offsite backup negen van de tien keer op tape gaat. Is tape snel terug te lezen? Nee.
Tape is best wel snel terug te lezen, als je daar bij het wegschrijven maar rekening mee gehouden hebt. Net zoals op disk, is de zoek-opdracht, het vinden van het begin van de gegevens, het grootste vertragende in de restore.

Het grote probleem van de meeste backups is dat die als backup gemaakt zijn en niet als voorbereiding op een restore (van een deel van de gegevens) of een recovery (van hele systemen).
Terabytes terughalen van tape is niet snel. Zeker niet als je maanden terug moet gaan zoeken naar een goede backup omdat de andere ook geïnfecteerd zijn.
De eerste zoektocht is naar het medium waar het op staat. Met goede offline en offsite opslag heb ik ervaren dat het ophalen van een medium zo'n 4 uur kan duren. Remote online zetten zou in theorie ook kunnen maar dan heb je de traagheid van je internet verbinding. Dat geldt zowel voor disks als voor tapes.

Een lto-8 tape spuugt gegevens met 300 (raw) tot 900 (max compressed) MByte per seconde (https://en.wikipedia.org/wiki/Linear_Tape-Open). Om dat via een netwerk te versturen is een 10Gbit netwerk nodig. Heb je een aansluiting die niet past op de tape-snelheid, dan gaat de tape harken en wordt het serieus trager.

Natuurlijk staat je backup van een paar jaar geleden op lto 2 of lto 3 tapes met 40/80 MByte/sec. Dan heb je nog altijd een gigabit netwerk verbinding nodig om dat te verwerken en een disk-omgeving die dat kan schrijven. Niet alleen de eerste blokken, maar de hele disk vol.
En dat is nog steeds niet snel. Ik weet niet hoe klein jouw backups zijn dat het in een paar uur kan :P Een paar honderd TB verplaatsen kost gewoon tijd.
Als je het over honderden terabytes hebt, dan heb je het niet over 1 systeem en 1 backup. En ja, een enkele backup die langer duurt dan een paar uur is te groot. Een hele backup-sessie zou zomaar cyclisch kunnen zijn, dat de volgende backup kort na de vorige begint. Een doorloop van een weekend voor een volledige backup is niet zo heel bijzonder.

Als je de genoemde wiki pagina bekijkt, zie je dat het meer dan 4 uur duurt voor de huidige/courante tapes om vol te schrijven. Dat duurt het lezen van die tapes ook.

Enneh: Never underestimate the bandwidth of a truckload full of tape.
Als we het over enkele machines hebben dan hebben we het ook niet over tapes he ;-) Dan hebben we het over SAN snapshots en die duren maar enkele seconden :P

Edit: was er niet ook iemand die een vliegtuig met blu-rays had uitgerekend qua transfer speed? Hoge latency, dikke bandbreedte.

[Reactie gewijzigd door johnkeates op 29 september 2020 14:19]

Uit de xkcd die ik beneden link:
Never underestimate the bandwidth of a station wagon full of tapes hurtling down the highway.
–Andrew Tanenbaum, 1981


Jazeker, er zijn meerdere bronnen op het internet die dit berekend hebben. Een goede bron is natuurlijk xkcd https://what-if.xkcd.com/31/.

[Reactie gewijzigd door Berendhoo op 29 september 2020 18:46]

Ik meen ergens gelezen te hebben dat je de grootste bandbreedte hebt met micro af kaartjes.
Je moet eerst opzoek naar servers die niet geinfectererd zijn. Daarna moet je in een afgebakend deel van het netwerk de data gaan terug zetten, en dan moet je ook nog je clients opschonen.
[
Je moet eerst opzoek naar servers die niet geinfectererd zijn. Daarna moet je in een afgebakend deel van het netwerk de data gaan terug zetten, en dan moet je ook nog je clients opschonen.
En verifiëren dat de backups niet besmet zijn.
Het zou me niets verbazen als je het hier over een petabyte aan data hebt oid. Een enkele CT-scan is bijvoorbeeld al snel 25GB.
Het zou me niets verbazen als je het hier over een petabyte aan data hebt oid. Een enkele CT-scan is bijvoorbeeld al snel 25GB.
Petabytes aan storage klopt maar een enkele CT scan is 30MB aan bestandsgrootte. Artsen willen graag snel die data terug kunnen zien middels programma's als Sectra pacs, vaak is een ziekenhuis netwerk (switch > werkstation) 1Gbit/s. Dat zou oneindig lang duren voordat een arts een diagnose kan stellen of een verandering kan waarnemen.
De meeste slaan data in slices. Elke slice dieper heeft meer data nodig. Scans samen zijn wel groot.
Het gaat om de lagen, een hoge resolutie X-ray kan rustig 1.000 lagen hebben en is dan al rustig 350GB, als we het hier over een ziekenhuis hebben met 400 locaties dan is die datastroom simpelweg gigantisch en bestaat er niet meer zoiets als "snel even terugzetten"
Is maar net hoe groot data is. Al mijn data kost tegenwoordig bijna 3 dagen (20 TB) om terug te zetten die van mijn moeder minder dan 10 minuten.
Met LT07 drives/tapes kan dit tot 6x zo snel als mijn hdd's.
Wat nou als blijkt dat de ransomware al 2 maanden geleden in de systemen zaten en dus ook in backups.
Dan hoop ik dat je een Tape Backup systeem gebruikt. Dan heb je waarschijnlijk nog altijd je jaar backups.
Backups van een jaar geleden zijn echt nutteloos. Dan kun je het haast nog beter van scratch opnieuw installeren.
Kun je het nog van scratch opnieuw installeren dan? Of moet je dan echt je hele architectuur opnieuw uitvinden, en kom je erachter dat de documentatie sinds 2016 niet bijgewerkt is? En dat sindsdien er een paar linkjes naar externe partijen anders zijn, en dat stiekem niemand het wachtwoord van die ene machine nog weet... want het werkte gewoon. Nog afgezien van dat hele stukken software ooit wel beschikbaar waren, maar waar vind je nu nog een werkende Windows 95 ISO, of dat programma dat we toen gebruikten om het netwerk in te zien? Bouwt voort op een dependency uit het jaar kruik, die nu alleen ergens in een backup kan zitten.

[Reactie gewijzigd door FreezeXJ op 29 september 2020 10:53]

Fair points...
Dat zijn allemaal tekenen van slecht onderhoud, maar die komen in de realiteit nog wel eens voor.
*kijkt met schaamrood op de kaken naar onze laatste Windows 95 bak*
*kijkt met schaamrood op de kaken naar onze laatste Windows 95 bak*
De prijs van technical debt komt altijd met rente.
Dat zijn allemaal tekenen van slecht onderhoud, maar die komen in de realiteit nog wel eens voor.
Ik denk dat het meer de regel is, dan de uitzondering. Onderhoud van het systeem of het up-to-date houden ervan wordt zeer snel op bespaard.
Fair points...
Dat zijn allemaal tekenen van slecht onderhoud, maar die komen in de realiteit nog wel eens voor.
*kijkt met schaamrood op de kaken naar onze laatste Windows 95 bak*
Hoeft niet per-se slecht onderhoud te zijn. Wij hebben op het werk een zeer specialistische drukstraat staan waarvan de fabrikant inmiddels is overgenomen en die partij ook weer, en die ook weer en toen is het failliet gegaan.
Ondertussen zijn we in de Benelux en Duitsland een van de weinigen die nog zo'n machine hebben staan en die ook nog werkt.

Dat ding draait een embedded vorm van NT4 en er is zo ongeveer niets meer courant aan die machine behalve het product dat eruit komt.
Met een handvol trucs houden we het apparaat aan de gang. Een atmel die doet alsof ie een POTS netwerk is die de challenge-response beantwoordt. Een air-gapped SuSE Linux machine die over BNC zachtjes tegen de drukstraat praat, want LS120 is zo lekker courant. En last but not least, een papieren kopie van de source van de firmware anders hadden we het ding nooit draaiend kunnen houden.

Het is een beste houtje-touwtje constructie, maar er was tot voor kort gewoon geen vervanging voor. Er is inmiddels een vervangende machine besteld, maar de levering daarvan is uitgesteld vanwege covid. Hopelijk zijn we begin 2022 van dit stuk antiek af.
Die problemen heb je net zo goed als je een backup van 4 maanden of een jaar geleden terug wil zetten...
Ik mag toch hopen dat bedrijven naast hun data back-up ook een back-up hebben van hun architectuur., als er veel gewijzigd wordt moet je wel meerdere versies terug kunnen anders kun je met het probleem komen dat je van een paar maanden terug geen goede combinatie van data en architectuur kunt vinden en dan zijn de rapen inderdaad gaar.
Dat mag je hopen, maar helaas ga je bij 9 van de 10 toch raar op je neus kijken. Als de hele infra vorig jaar opnieuw is opgezet dan zal het wel werken, maar bit rot is helaas een heel algemeen fenomeen. Ik ben nog geen bedrijf tegengekomen waar de hele boel binnen een maand uitgezocht is, ondanks dat er echt veel uren in gestoken zijn.
Yep, helaas heb je groot gelijk. Je komt echt alles tegen in de praktijk als het op ellende aankomt.

Simpel voorbeeldje uit de praktijk.

- Ja hoi, we liggen plat kun je langs komen.
Schakel dan even over naar secundair, knopje zit om de hoek van de deur.
- Daar draaien we al 2 maanden op, primair is defect en ligt in de container..

En dan hebben we het over de aansturing van alle meet en regel gebeuren bij een vrij grote fabriek die 24/7 draait... (nou ja, draaide...)

Zucht... :(
Ik werk veel liever met een patiëntendossier van een jaar geleden dan dat ik helemaal opnieuw moet beginnen.
En dan het probleem van nieuwe cliënten die het afgelopen jaar erbij zijn gekomen.

Daar loopt het dan spaak.

Maar dan nog iets is beter dan niets.
Niet alleen dat, de patient kan in dit jaar van alles overkomen zijn waardoor ze nu allerlei medische condities hebben die niet in een dossier van een jaar oud staan. Artsen kunnen hierdoor compleet verkeerde beslissingen nemen. Voor jonge mensen waar niet zoveel mis mee is, is een jaar missen niet erg, de problemen komen met mensen die al een slechte gezondheid hebben.

Nee, een patiëntendossier van meer dan een jaar oud is gewoon geen optie, sterker nog: Het is gewoon gevaarlijk.
Nee, een patiëntendossier van meer dan een jaar oud is gewoon geen optie, sterker nog: Het is gewoon gevaarlijk.
Dus als je niet weet of een patiënt het afgelopen jaar nieuwe medische condities hebt opgelopen wil je niet eens weten of hij daarvoor medische condities heeft gehad? Ik ben geen medisch specialist maar dat lijkt me sterk. Met die redenatie is iedere back-up waardeloos.
Als iemand mij waarschuwt voor glas dat gisteren op het fietspad lag dan ben ik dankbaar voor die waarschuwing. Wil ik liever weten of dat glas er vandaag nog ligt? Jazeker. Zou het beter zijn om te weten of er in de tussentijd glas bijgekomen is? Jazeker: maar dat maakt de waarschuwing niet onbruikbaar.
Blind vertrouwen op de correctheid van een medisch dossier is m.i. gevaarlijker dan een incompleet of afwezig dossier.

Ik heb echt wel operaties gehad in diverse ziekenhuizen. Ook in niet meer bestaande ziekenhuizen. Mijn dossier bij het lokale ziekenhuis is dus zeker niet compleet.

Als je bij een arts komt zal hij toch voornamelijk moeten afgaan op wat hij constateert en niet wat er in een dossier staat.

Een arts kan ook toevallig een buitenlandse toerist moeten behandelen. En dan heeft hij ook geen actueel dossier. Daar zijn gewoon internationale richtlijnen voor.
Dit val wel mee - als je iemand ziet en je weet dat het EPD een 1-jaar oude backup is, weet je dat je extra vragen moet stellen om te kijken wat er nu aan de hand is. Desnoods bel je de huisarts van patient, die alle brieven ontvangt van alle specialisten/ziekenhuisopnames. Het grote gevaar ligt vooral in alles wat er omheen zit. Medisch-inhoudelijke informatie kun je reconstrueren, mits je toegang blijft houden tot de bronbeelden en rapporten van je (in de tussentijd gemaakte) onderzoeken, maar als je je hele systeem van wachtlijsten en agenda's voor geplande onderzoeken, poli bezoeken en noem maar op kwijt bent is het kansloos om op een effectieve manier electieve patientenzorg te leveren. Klinische zorg op papier lukt vaak nog wel aardig (je kent de patiënten immers, en het EPD ondersteund vooral, en de aantallen zijn te overzien), maar het veelvoud aan poliklinische contacten, verwijzingen, digitale datauitwisseling (wat veel minder gebeurt dan je zou denken, de fax en de koeriersdienst zijn nog springlevend) en het enorme woud aan logistiek dat daaromheen zit, dat wordt een giga probleem. En het feit dat je achteraf dan alsnog van alles digitaal in moet voeren (DBCs, samenvattingen van opnames, MDO's, etc.) op het moment dat je weer live kan gaan. Je poliklinische en electieve zorg moet je dan wel stopzetten, lijkt mij.

Ik spreek uit ervaring als arts die tot twee keer toe migraties heeft meegemaakt van een EPD naar een ander, inclusief het handmatig over moeten zetten van alle patiënten van mijn afdeling in een avond tijd, samen met enkele collega's (en van elke andere afdeling ook een stuk of wat mensen). Dat is dan na maanden van voorbereiding om de tientallen legacy systemen die houtje-toutje aan elkaar hingen ofwel te vervangen, of opnieuw te verbinden.
Een backup van 1 jaar is bij een ziekenhuis waardeloos?

Ik weet niet of er bij Amerikaanse ziekenhuizen wachtlijsten zijn, dat patiënten nazorg krijgen of dat er flink verloop is van personeel, maar helemaal vanaf nul beginnen klinkt als dat je NOG meer data opnieuw moet invoeren, met alle administratieve ballast erbij.
Probleem is dat je niet weet hoe lang het er al in zit. Voor hetzelfde geld is het 2 jaar. Daarnaast schiet een ziekenhuis heel weinig op met een backup van een jaar eerder.
Wat heb je aan de backups van een jaar geleden? Dan ben je AL je patienten gegevens kwijt...
Maar hoe nuttig is een backup van 8 maanden geleden voor een ziekenhuis? Of elk bedrijf wat dat betreft.

Ja het is beter dan niks waarschijnlijk, maar het is niet alsof het "even onhandig is"
Jaar backups zijn er nooit voor Recovery doeleinden hoop ik. Alle jaarbackups die ik ken worden alleen maar gemaakt vanwege compliancy doeleinden. Dus men moet wettelijk nog 7 jaar terug kunnen gaan om te kijken hoe situatie X op specifiek moment Y was.
Dan mag ik hopen dat een degelijk archiefsysteem wordt gebruikt. Backupsystemen gaan gebruiken om juridische te kunnen verantwoorden is niet heul slim.
Bedrijfsleven moet met name financieel 7 jaar kunnen verantwoorden. Daarna wil je dat informatie uit de processystem en de daarbij behorende backups vernietigd is. Ziekenhuishuizen kennen (als het goed is georganiseerd) een vastgelegde selectie en waardering tbv primair en secundair process.
Totdat de nieuwere backups nu eenmaal niet meer werken, dan zal je toch echt moeten terugvallen op jaartapes.
Dan ben je ook afgelopen jaar aan gegevens kwijt. Ik mag hopen dat tegen die tijd alle patienten wel weer beter zijn, dus die data is minimaal relevant (voor het nu).
Dat is ook geen oplossing omdat een chirurg vaak zeer recente data nodig heeft.
Veel patiënten zijn hebben zelfs geen dossier v/d betreffende afdeling.
Dus het is leuk dat de hartchirurg 2 oude gegevens v/e backup kan inzien, maar ik betwijfel zeer sterk dat hij/zij op basis van die gegevens een operatie start.
De gemiddelde ransomware manifesteert zich ongeveer 6 maanden. Backups van 6 maanden terugzetten heeft geen zin, dan ben je simpelweg te veel data kwijt.
Heb je een bron voor die 6 maanden?
Waarom wordt deze zelfde vraag bij ieder ransomwarebericht opnieuw gesteld?
Omdat mensen denken dat een complex clusters aan ziekenhuissystemen makkelijk terug te zetten is via een zipje die op Dropbox staat.
Omdat het niet om een paar MB aan data gaat.
Daarbij weet je niet of de gebruikte back-up de ransomware al bevat of niet, dus dat moet eerst uitgesloten worden. Ook zul je moeten uitzoeken met welke zwakheden er is binnengedrongen, die moeten ook eerst weer gefixt worden.
omdat je eerst:
- zeker moet zijn dat als je een backup terug zet, er niet ergens nog een infectie is die dan de andere systemen vrolijk herinfecteert.
- zeker zijn dat je backup niet al weken besmet is
- er voor zorgen dat je met de backup geen andere problemen veroorzaakt
- grote backups kosten nu eenmaal tijd
- en de rest van het backup protocol afgaan

[Reactie gewijzigd door dakka op 29 september 2020 10:25]

Jammer dat deze vraag bij ELK nieuwsbericht over ransomware terugkomt en dan ellenlang besproken wordt.
Kwestie van tijd voordat er een XKCD comic tegenaan gegooid wordt ja ..
Tja, dat geeft aan dat de kennis erover nog niet zo wijdverspreid is dat die discussie zinloos is.

ps. er zijn ook nog discussies over of de aarde rond is, of niet stiekem afkoelt... Misschien een FAQ ervan maken zodat 1 linkje voldoende is?
Mss een FAQ bij het nieuwsartikel of link naar oudere discussies. Ik stop iig met lezen van comments bij dit soort nieuwsitems (wat erg jammer is)
Backups zijn voor data, niet handig voor systeem integriteit. Als je je hele VMs backupped zou je nog weg kunnen komen van een paar dagen geleden, misschien van een paar weken geleden, maar langer dan dat en je gaat tegen legio issues aanlopen!
IT landschappen zijn complex. Het is meer dan een verzameling databases met statische data, de data is constant in beweging over meerdere systemen. Alleen het uitzoeken van een herstelplan kan dagen duren, het terugzetten ook.

Vaak zijn er al geen goede backup-restore procedures voor een individueel systeem (droevig genoeg), laat staan voor een heel landschap.
Bedankt @claudior en iedereen die constructieve antwoorden gaf, ik ben weer een stuk wijzer.

Dan vraag ik me toch af of systemen niet van de grond af beter ontworpen zouden moeten worden, met meer samenhang.

[Reactie gewijzigd door Rutger Muller op 29 september 2020 12:43]

Omdat een backup terugzetten vereist dat je uberhaupt een omgeving hebt om op te restoren, ten eerste. Je zult bij een ransomwareaanval eerst moeten identificeren wat er allemaal besmet is geraakt, wat je wilt terugzetten en waarop. Daarnaast wil je ook geen forensisch bewijs vernietigen door rucksichtlos alles terug te zetten en/of zeker te weten dat je het lek gedicht hebt.
Verkeerde tools wellicht.

BCDR is echt wel hot, maar het is moeilijk om klanten te overtuigen, tot ze het nodig hebben. Beveiligen tegen ransomware is best kostelijk, ik ben eerder van het principe basis beveiliging en perfecte disaster recovery strategie.

Elke uur wordt er een back-up gemaakt, deze back-up wordt uiteraard ook getest (ja alle VM's). Screenshot verification, Kijken of bepaalde services opstarten etc, als dit allemaal in orde is de backup 'gelukt'. Hij controleert ook hoeveel files er gewijzigd zijn sinds de laatste backup, heb je dit een dikke encryptie, dan kan je een rollback doen naar het punt net voor die encryption. Je ziet onmiddelijke welke VM's aangetast zijn.

Data staat zowel lokaal als in de cloud, zijn je on-prem servers waardeloos, kan je je backups opspinnen in de cloud.

Hebben dit o.a. bij een groot transport bedrijf, niet alles zit in Azure en er draait nog legacy on-prem, dus die beschermen we o.a. op die manier.
Omdat de meeste backups geen DR omgeving bevatten. Met een goede DR kun je inderdaad binnen enkele minuten een backup van de servers terugzetten, maar de opzet om live-booten met backup streaming is duur.

Daarnaast moeten alle verpleegstations ook teruggezet worden. Met een goede infrastructuur kan ik 500 systemen terugzetten per uur.

In principe, met een degelijke DR, kun je inderdaad snel terug op gang, maar de meeste grote omgevingen geven liever geld uit aan een peper-dure ticketsysteem (vb. ServiceNow) om in te zien dat iedereen hun support op tijd begint en alle soorten tags en andere beschrijvingen van een probleem dan een degelijke beveiliging.
Wellicht de backup wel maar van werkstations zal geen ‘backup’ zijn masr zal een nieuwe standaard image moeten worden ingespoeld. Als het om grote hoeveelheden gaat kan dat best lang duren.

Van de databases hoop ik voor ze dat ze een goed backup regime hebben en niet te veel data verliezen en deze snel weer beschikbaar kunnen maken. Als ze het goed op orde hebben zijn de databases op de servers niet eens corrupt.
Bron vinden, isoleren, ZFS snapshot terug zetten. Hoeft toch geen dagen te duren? Dit wordt een dure les. Misschien leren ze nu wat een goede sysadmin waard is.
Niet alleen leren ze wat een goede sysadmin waard is, maar ook dat niet alle systemen gelijk zijn wat betreft implementatie van bepaalde functionaliteit. Met ZFS kom je al gauw uit bij een UNIX-achtig besturingssysteem, wat trouwens ook geen garantie is dat een systeem waterdicht is. Maar er is in ieder geval openheid van zaken.

Als je werknemers alleen kennis hebben van Windows en daarnaast NTFS (nog steeds) als "state of the art" beschouwen, heb je veel grotere problemen om je zorgen over te maken dan "slechts" ransomware. Het is dan veel meer een cultureel en sociaal probleem dan een technisch probleem, omdat alle technologie ruim en allang voorhanden is.
Ach, zolang alles werkt geven veel mensen en managers er gewoon veel te weinig om. Ze denken geld te kunnen besparen op IT, want alles werkt toch? Deze houding komt je tegenwoordig altijd een keer duur te staan. Ik denk dat goede sysadmins steeds meer gaan verdienen, als ze hun mond iig open durven te doen tijdens hun beoordelingsgesprek.
Zorginstellingen met ransomware besmetten, ik heb er geen woorden voor. Helaas blijven ransomware besmettingen voorkomen, ook bij grotere spelers. Zoals in de haven van Antwerpen
De grote Franse rederij CMA CGM is het slachtoffer geworden van ransomware.
Ik heb aan de andere kant geen woorden om zoveel te laten berusten op zo'n fragiele infrastructuur..
Dat is inderdaad de andere (en even pijnlijke) kant van de medaille. Met het up-to-date houden van je omgeving, geen gebruik maken van EOL software en een goed beveiligingsbeleid (geen local admins, aparte server admin accounts, aparte domain admin accounts) kom je al een heel eind. Je admin accounts ook beveiligen met MFA.
Als je het nog sterker wilt beveiligen, moet je met bastion domains gaan werken in combinatie met JIT en JEA, maar dan drijf je de boel wel behoorlijk ver door en ik heb dat in NL nog bij geen enkel bedrijf gezien.
Het hoeft geen gerichte aanval te zijn natuurlijk.Het kan best bijvangst zijn
Het hoeft niet, maar het kan zeer zeker wel. Als ik slechte bedoelingen zou hebben, zou ik juist gericht onderzoek doen. Welke sectoren zijn belangrijk op dit moment, welke bedrijven in die sector hebben hun beveiliging slecht op orde, hoeveel geld is er in die sector en bij die bedrijven beschikbaar, zouden ze verzekerd kunnen zijn?

Met hagel schieten zorgt er alleen maar voor dat je eerder in de belangstelling komt, gerichte aanvallen kosten misschien wat meer werk, maar de kans op uitbetaling van het losgeld is veel groter.
Een kwestie van zo efficiënt mogelijk werken, de kans op detectie zo laag mogelijk houden, terwijl de kans op uitbetaling veel groter is.
Waarschijnlijk een automatische scan die een lek gevonden heeft.
Nu is het een ziekenhuisketen en komt het groot in het nieuws.

Neemt niet weg dat 'men' had kunnen besluiten de aanval niet uit te voeren.
Het zijn bijna nooit gerichte aanvallen. De ransomware schrijvers schieten gewoon met hagel, in de hoop dat ze iets of iemand besmetten met genoeg geld om de ransom te betalen.
Heb je daar ook cijfers van? In mijn beleving is de manier van binnenkomen meestal het schieten van hagel. Daarna gaat iemand te werk om ransomware uit te rollen. Dat kan heel snel en ongecontroleerd gaan, maar ook heel zorgvuldig en doortast.

Ik heb best aardig wat ransomware-incidenten gezien, en op basis daarvan zou ik zeggen dat de meeste criminelen wel een klein beetje om zich heen kijken voor ze de ransomware uitrollen.
Tegenwoordig zijn zulke aanvallen, vooral Ryuk, volledig geautomatiseerd. Je kunt deze dingen al een tijdje gewoon aankopen op de zwarte markt. De enige reden dat het zo'n grote impact heeft is dat iemand in de IT leiderschap al jarenlang zijn job niet gedaan heeft.
Hoe kom jij aan je informatie? Voor zover ik weet is Ryuk de ransomware die uiteindelijk uitgerold wordt na bijvoorbeeld een Trickbot infectie. Daartussen zit handwerk.
Ik moet heel diep graven als ik probeer te herinneren welke ransomware volledig geautomatiseerd is uitgerold. Ik heb tientallen incidenten onderzocht of van dichtbij gevolgd, en geen daarvan is volledig geautomatiseerd geweest.

Het is wel een beetje flauw om te wijzen naar IT managers. Die hebben ook maar te maken met een organisatie die moet zorgen dat er mensen, tijd en geld zijn. Er zijn niet zoveel organisaties die alles helemaal op orde hebben. Hoe kom je er zo specifiek bij dat het dan aan IT ligt? Heeft de CISO daar geen verantwoordelijkheid in? En vervolgens de CEO en board?
De CISO is IT leiderschap, die moet aan de C-levels het risico doorgeven, indien het risico te groot is en de operationele kant wil er niets aan doen, dan kan die ook kiezen om op te stappen want uiteindelijk is het zijn verantwoordelijkheid.

Aan de andere kant zijn tools zoals Ansible/Puppet/Powershell wel gratis en met een beetje scripten kun je de hele vloot beter beveiligen zonder al te veel geld uit te geven, zelfs Windows machine. Deze ransompiraten kunnen het doen in een paar uur tijd met 1 of 2 personen en een paar e-mails, waarom kan hun IT dat niet dan?

Er zijn inderdaad veel IT organisaties die weinig op orde hebben, maar dat wil niet zeggen dat ze van de verantwoordelijkheid afkomen.

Er zit natuurlijk overal een beetje handwerk, maar eenmaal in orde, rolt die echt volledig automatisch uit, je kunt geen duizenden infecties manueel organiseren, daar zit toch wel een script in.

[Reactie gewijzigd door Guru Evi op 2 oktober 2020 15:04]

Ik doe hier even een paar simpele observaties:

Je zegt "er zijn inderdaad veel IT organisaties die weinig op orde hebben". Dat zeg je op zo'n manier dat het lijkt alsof ik zoiets gezegd heb. Dat is simpelweg niet zo. Ik zei dat er niet zoveel zijn die alles helemaal op orde hebben. Die opmerking maak ik met een reden op die manier. Je kunt namelijk 9 van de 10 dingen helemaal goed doen, en toch een aanvalsvector open laten.

Vervolgens heb je het over of de operationele kant iets wil doen. Ik had het over kunnen doen omdat er mensen, tijd en geld nodig zijn.

Dan probeer je nog iets te redden door te zeggen dat "natuurlijk overal" er een beetje handwerk zit. Sorry, maar dat is dus niet "volledig geautomatiseerd" zoals je beweerde.

Daarnaast negeer je even heel makkelijk mijn andere vragen. Waar haal jij je informatie vandaan?

En dan heb je het vervolgens over het automatiseren van taken om de vloot beter te beveiligen. Hartstikke handig en tof, maar het is slechts een van de componenten. Ik beschrijf dat in maar weinig rapportages als verbeterpunt. Het is veel vaker zo dat ik aanbevelingen doe op het gebied van detectie van lateral movement, detectie van abnormaal gedrag etc. En voor organisaties die daar iets voor hebben ingericht om er ook voor te zorgen dat er daadwerkelijk wordt opgevolgd en geanalyseerd. En dat valt niet mee, ervoor zorgen dat je de mensen hebt, dat ze de juiste kennis hebben en dat ze altijd foutloos zijn.

Security is niet simpelweg overal een firewall installeren, overal een paar registry keys wijzigen, enzovoorts. Het is ook het doen van aannames dat er wordt afgeweken van voorschriften of dat er weleens een systeem vergeten wordt. Dat je niet alles perfect doet. Tot nu toe heb je mij alleen maar gedemonstreerd meer deel uit te maken van het probleem dan van de oplossing.
Ik ben tegen de doodstraf, maar dit is een situatie waarin ik onbewust begin te denken over een uitzondering...
als ik al deze berichten eens bestudeer, kom ik tot navolgende
conclusie:
01.het schijnt heel erg gemakkelijk te zijn voor criminelen, om
ransomware (spellingscontrôle wordt genegeerd...ac) op com-
plete computersystemen te zetten, hetzij privaatrechtelijk als
zaakrechtelijk !!
02.zodra u een hele vreemds tekens ziet op het beeldscherm, dan
handelt u thans als volgt:
a.u haalt onmiddellijk de internetstekker uit het systeem, en
als dat niet meteen lukt, dan drukt u gedurende minimaal
7 à 10 seconden op de aan/uitschakelaar van het systeem,
zodat cybercriminelen geen toegang meer hebben tot uw
computer en daarna haalt u alsnog heel voorzichtig de in-
ternetstekker uit het computersysteem !! het systeem heeft
zich inmiddels uitgeschakeld !! u hoort dan een "pats" !!
b.daarna bekijkt u rustig op uw gemak, of de schijfbestands-
indeling van de computer in orde is en bestanden en/of
directories niet zijn beschadigd en zonodig geeft alle relevante
gegevens door aan uw computerprogrammeur, voor zover
hiervan sprake, zoals architectuur, schijfindeling of bestand-
systeem, alsmede algemene (bios)gegevens aan hem of
haar !! de computerprogrammeur zal met een oplossing
komen aandragen, danwel het gehele computersysteem op-
opnieuw gaan instellen, waar noodzakelijk !!
c.als dit allemaal achter de rug is, en de feitelijke oorzaak van
ramsomware, resp. cyberaanval is opgelost en/of is opgespoord
en uit de lucht gehaald, dan kunt u veilig uw computersysteem
weer gaan herstellen middels het restore en/of pcstore-programma,
danwel en/of een daartoe passend terugzetprogramma, wat bij dit
computersysteem behoort !! daarna kunt u de internetsessie gaan
hervatten !!

was getekend, 01 oktober 2020.
gjam.timmermans@gmail.com
====
auth.: /sys.1541.011020...ok
====
Het voornaamste wat mij opvalt bij dit soort aanvallen is dat het om grote organisaties gaat met vaak meerdere vestigingen, liefst internationaal.

Ligt het aan mij en gebeurt dit bij kleinere organisaties minder? Of is het vooral dat als het daar gebeurt dat het niet in het nieuws komt? De meeste van dit soort aanvallen zijn gericht op 1 doel, waar veel te halen valt. Dan zijn grotere organisaties betere doelen. Daarmee zou ik zeggen dat publieke organisaties niet te groot mogen worden: Natuurlijk mogen ziekenhuizen samenwerken. Maar in 1 keer in meerdere landen de ziekenhuis zorg kunnen bedienen houdt in dat het ook 1 aanvalsdoel is.

Wat mij betreft zouden de ziekenhuizen onconditioneel moeten kunnen draaien zonder koppelingen buiten de zorg-regio. Dat houdt in dat ze dus ook afgekoppeld van de internationale cloud providers moeten kunnen doordraaien. Denk daarbij ook aan betrekkelijk kleine services als een certificate-authority en een dns-provider.
Ik kan uit ervaring spreken dat dit kleinere organisaties net zo goed overkomt, alleen komen die minder in het (inter)nationale nieuws. Een ziekenhuis of universiteit (Maastricht anyone) die geïnfecteerd wordt is natuurlijk veel groter nieuws dan Henkies Hardware Huis uit Klazienaveen Hoogezand (om de alliteratie compleet te maken :) )

Heb al enkele keren een disaster recovery gevolgd door een restore van de offline back-up moeten uitvoeren voor verschillende bedrijfjes. Als je dan uitlegt hoe dit voorkomen kan worden, wordt dat een goed idee gevonden, een week later komen dan de vragen om alles weer terug te draaien, want Henkie moet nu ineens een gebruikersnaam en wachtwoord invoeren om extra software te installeren.

[Reactie gewijzigd door walteij op 29 september 2020 11:35]

Het voornaamste wat mij opvalt bij dit soort aanvallen is dat het om grote organisaties gaat met vaak meerdere vestigingen, liefst internationaal.

Ligt het aan mij en gebeurt dit bij kleinere organisaties minder? Of is het vooral dat als het daar gebeurt dat het niet in het nieuws komt?
Het is gewoon clickbait nieuws.
"Apple verliest $70 miljoen tgv een aanval."
"Bakker Jan verliest $7000 tgv een aanval."

Apple boekt het als "Potje met wisselgeld is gejat"
Bakker Jan gaat failliet.

Toch komt Apple in het nieuws want: Groot bedrag = stoer
Kan iemand mij uitleggen hoe ransomware op backups werkt? Ik lees telkens dat de backups al geïnfecteerd kunnen zijn, dus dat de backups waardeloos zijn geworden. Ik ga ervan uit dat de ransomware niet elk individueel bestand aantast voordat deze getriggert wordt. Dat vergt immers een stuk programmatuur dat elk soort bestand snapt. En volgens mij zit er ergens een stuk programmatuur verscholen dat op gepland moment X of na opdracht Y alle bestanden begint te encrypten. Voor dat moment zijn de individuele bestanden toch nog onaangetast?
Dat een volledige back-up incl. OS niet werkt snap ik. Maar als je een backup benadert met desnoods een ander OS (zeg een Windows Server backup die je met Linux benadert), zou je dan niet zaken als individuele documenten en SQL databases terug kunnen zetten (uiteraard na onderzoek naar infectie)?

[Reactie gewijzigd door mac1987 op 29 september 2020 14:43]

“ Dat vergt immers een stuk programmatuur dat elk soort bestand snapt.”

Nee, waarom? Zodra een programma een document opvraagt via het os decrypt het systeem het encrypted bestand, en op dag X is het enige dat gebeurt dat de sleutel wordt gewist. Geen sleutel aanwezig betekent dan melding over de betaling weergeven op het scherm.

Het encrypten kan dus al jaren eerder langzaam begonnen zijn. En de malware maakt het niet uit of het nu een pdf of een exe is, zolang het maar kan encrypten en kan decrypten bij file access door een ander proces. De gebruiker merkt niks behalve misschien wat traagheid.
En dit werkt ook als je individuele bestanden via een ander OS benadert en analyseert?
Als je dat doet via het geïnfecteerde os, dus bijvoorbeeld via een netwerkverbinding, dan ja. Het andere os krijgt enkel de bytes na decoding.

Trek je de schijf er uit en hangt hem aan een niet geinfecteerde machine dan zou je ontdekken dat alles encrypted is.

[Reactie gewijzigd door Sannr2 op 30 september 2020 11:02]

Is dat dan niet de oplossing voor dit hele probleem? Backup bestanden ipv een heel OS en doe periodieke scans via een separaat OS?
Dan ga je er vanuit dat je backup server /nas of wat ook niet besmet wordt. Reken maar dat dat een van de hoofddoelwitten is. De kunst is om pas de sleutel te wissen als alle systemen, inclusief backup servers, besmet zijn. En dan het liefst nog een flinke tijd later pas.

Bovendien gaat het trekken van een image van een partitie veel sneller dan bestanden los backuppen. Het beste is om de backups te controleren op bestandsniveau en om waarschuwingen in te bouwen als er plots veel meer data wijzigt dan normaal.
Echt, als ze dit soort grapjassen te pakken krijgen, levenslange verbod om computers te gebruiken en een flinke celstraf. Ziekenhuizen als doelwit nemen, veel lager kan je niet gaan. Hufters.
Maar sta eens in de schoenen van die grapjassen. Dan zijn ziekenhuizen juist ideaal voor de aanval aangezien de nood hoog is om dat weer up & running te krijgen. Keur het absoluut niet goed, maar ik snap wel waarom die doelwitten gekozen worden.
De enige reden dat ziekenhuizen worden uitgekozen is om zoveel mogelijk menselijk leed te veroorzaken. Als het ze om financieel gewin of anderszins zakelijke gevolgen gaat, dan waren andere instanties en bedrijven een meer logische keuze. Wat mij betreft worden deze hackers linea recta naar death row doorverwezen.
Er zijn zeker een paar groeperingen die mensenleed als een overwinning zien, maar het leeuwendeel van de criminaliteit draait echt om geld. Of denk je dat achter elk van dit soort acties een soort James Bond villain schuil gaat die een of andere persoonlijke motivatie heeft?

Ik vind wifikabelhuren een goed punt maken; ziekenhuizen hebben een directe plicht tot zorgen, dat kan niet een dagje wachten zoals dat bij de regering of andere instanties wel kan. Dit is een enorm zorgelijk feit en betekent eigenlijk dat ziekenhuizen geholpen moeten worden om IT en security te begrijpen en het daarmee zo goed mogelijk in kunnen regelen.

Als je het even laat bezinken, en als dit een trend wordt, is dit wel weer een stapje dichterbij een dystopie, naast Corona en wereldmachten die niet zo lekker lopen, stapelen de negatieve klanken zich voor mij toch wel op zo in 2020. Ja er is altijd slecht nieuws, maar we zijn het ook aardig aan het verprutsen met zijn allen zo. De globalisering is voor mij echt te ver aan het gaan, met bergen macht en geld kan de mens gewoon niet omgaan.

[Reactie gewijzigd door A Lurker op 29 september 2020 11:14]

Als je het even laat bezinken, en als dit een trend wordt, is dit wel weer een stapje dichterbij een dystopie, naast Corona en wereldmachten die niet zo lekker lopen, stapelen de negatieve klanken zich voor mij toch wel op zo in 2020. Ja er is altijd slecht nieuws, maar we zijn het ook aardig aan het verprutsen met zijn allen zo. De globalisering is voor mij echt te ver aan het gaan, met bergen macht en geld kan de mens gewoon niet omgaan.
Dit vat ik even niet. Wat hebben Corona en een paar losgeslagen politici te maken met globalisering? De Spaanse griep (1918-1919) speelde zo'n 100 jaar geleden en losgeslagen politici hebben we al last van sinds de mensheid bewust politiek is gaan bedrijven. Van globalisering was toen echter nog geen sprake. Dat veel mensen moeite hebben met macht en/of geld, is ook geen nieuws, ook dat is van alle tijden.

Waar zie jij een verband met globalisering?
Corona is voor mij in principe een los probleem, het staat naast globalisering en de corruptie die gepaard gaat met macht.

Ik noem het in een adem, omdat het voor mij beide enorm relevante problemen zijn op dit moment, en ik daarom met weemoed naar vorige jaren terugkijk. "Vroeger was alles beter". En ja ik ben me er ter degen van bewust dat vroeger ook niet alles perfect was.

Maar Corona heeft toch ook wel weer een relatie met globalisering. Globalisering heeft ook te maken met grenzen, en reizen, en handel, en hoe meer die open zijn en hoe meer we reizen, hoe makkelijker zo'n virus zich verspreid.

Bovendien zie je nu al dat iedereen op zijn eigen manier met vaccinonderzoek naar Corona omgaat, maar straks zal er ontzettend hard gelobbyd worden en ik verwacht ook bakken corruptie. Rusland roept nu al dat ze bijna een vaccin hebben. En hoe gaan wij daar dan mee om in Europa? Als wij liever zelf nog even onderzoek doen naar de veiligheid maar de hele wereld in Europa's of Nederland's nek hijgt met het idee "tbv de mondiale gezondheid zult gij dit vaccin accepteren". En dan moeten alle Nederlanders, de vrije geesten dat ze zijn, eerst allemaal weer demonstreren. En zijn we de laughing stock van Europa. Etc :)

Ik zeg niet dat we dat dan allemaal om moeten keren, maar we kunnen niet ontkennen dat er een aantal heel inherent vervelende dingen zitten aan alles delen met elkaar op wereldwijd niveau.

[Reactie gewijzigd door A Lurker op 29 september 2020 13:01]

Het zal aan mij liggen, maar ik begrijp jouw reactie nog steeds niet. Grenzen hebben nog nooit een ziekte tegengehouden, denk aan de pest, spaanse griep, maar ook aan bijvoorbeeld een ramp zoals Tsjernobyl. Ook daar werden hele continenten getroffen waarbij een flink deel van de wereldbevolking was betrokken.

Corruptie is ook al zo oud als de mensheid en ik zie globalisering eerder als een (kans op) verbetering bij de aanpak van corruptie, dan dat het een verslechtering is. Je hebt meer keuze, prijzen gaan dalen en er ontstaat minder ruimte voor corruptie. En door het delen van informatie, ben je eerder op de hoogte van vieze praktijken.

Dat globalisering ook nadelen heeft, dat is een uitspraak die altijd waar is. Maar andersom is ook waar, het heeft ook voordelen. Ik denk dat het voor een land zoals Nederland uiterst belangrijk is dat er eens een Europese Unie gaat ontstaan, met de nadruk op Unie. Ieder land binnen de EU zijn eigen Corona beleid, dat straalt niet heel veel Unie uit. De VS, Rusland en China lachen zich slap, klassiek gevalletje Verdeel & Heers. Zo snap ik bijvoorbeeld niet waarom de EU afhankelijk is van NATO voor de verdediging van de EU, de enige mogelijke vijand is Rusland en die is kleiner dan de EU. Dus waarom zou je dan afhankelijk zijn van de VS cq. NATO? Of is er eigenlijk geen sprake van een Unie? In dat geval heb je een heel aantal kleine landjes, die stuk voor stuk niets in te brengen hebben. En dus afhankelijk zijn van de VS/NATO voor hun eigen verdediging.

Wanneer een paar landen binnen een straal van een paar duizend kilometer al niet kunnen samenwerken, hoever zijn we dan met globalisering? Dat imho pas in zijn kinderschoenen en zal er op termijn nog heel veel veranderen.

We gaan wel heel erg offtopic :X
Best wel waanzin om te zeggen dat we de VS nodig hebben voor onze verdediging.
NATO en Wapens gekocht van de NATO hebben ver uit de meeste doden veroorzaakt in de afgelopen decennia.

Waarom wil je horen bij een clubje oorlogsmisdadigers ?
Je weet dat de VS sancties heeft ingesteld tegen onderzoekers van het international court of justice in Den Haag ?

Dat zijn niet onze vrienden maar onze vijanden. en dat geld voor elk land dat basis rechten van burgers overtreed (en niet alleen de burgers in eigen land)

We moeten juist NAVO verlaten.
Weg van het oorlogswapen kartel
De enige reden dat ziekenhuizen worden uitgekozen is om zoveel mogelijk menselijk leed te veroorzaken.
Dat denk ik niet. Het gaat puur om geld. Voor leed zijn effectievere manieren.
Ze gebruiken de angst voor dat leed als een hefboom.
Veel patiënten moeten geholpen worden zonder uitstel. Dood/leed is niet terug te draaien.

Als Apple even plat ligt vanwege een hack en daardoor ze geen nieuws kan aankondigen is dat lastig. Maar het geld komt toch wel. Misschien met een week vertraging, maar het komt.
Ziekenhuizen betalen wel, die kunnen het gezichtsverlies minder goed hebben dan weet-ik-welke overheidsinstantie. Daarnaast hebben ze geen weken de tijd om eens rustig uit te zoeken welke backup er goed is, het moet nu nu nu werken, en dan is er opeens best geld voor. Als de directeur door een horde journalisten overvallen wordt wat ie eraan gaat doen dat er mensen DOODGAAN!!!!! (voeg hier Telegrof/CNN-dramatiek toe) dan heeft ie zo een miljoentje over. Het enige andere net zo interessante doelwit is de belastingdienst...
De enige reden dat ziekenhuizen worden uitgekozen is om zoveel mogelijk menselijk leed te veroorzaken.
En dat baseer je op... wat!? Het idee van een cryptolocker is dat je je data, na het betalen van losgeld, weer terugkrijgt. Iemand die leed wil veroorzaken zou de data botweg vernietigen. Iemand die écht leed wil veroorzaken en een beetje competent is zou de data niet ontoegankelijk maken maar (zonder iets te laten merken) aanpassen. Een ziekenhuis dat foute data gebruikt zal veel meer en ergere fouten maken dan een ziekenhuis dat geen toegang heeft tot digitale gegevens en verder moet met de data op papier (die onvolledig is maar, voor zover beschikbaar, wel klopt).
Wat mij betreft worden deze hackers linea recta naar death row doorverwezen.
De beschaafde wereld heeft al decennia geleden besloten om de doodstraf af te schaffen. Laten we niet teruggaan naar de Middeleeuwen puur en alleen omdat een paar idioten proberen een ziekenhuis af te zetten.
Wie zegt dat het een doelgerichte actie is? Misschien heeft een medewerker op een link geklikt en is het daarmee begonnen? Of moet die medewerker dan ook maar de cel in?

Zonder achtergrond informatie weet je toch helemaal niets over de oorzaak.

Iedereen die Ransomware met het doel geld te verdienen maakt mag van mij vervolgd worden. of je nu een ziekenhuis aanvalt of een miljoenenbedrijf.
Omdat na en soms voor het klikken op het mailtje de ransomwareaanval altijd gericht wordt uitgevoerd.

[Reactie gewijzigd door xbeam op 29 september 2020 11:55]

Oh ja?! heb je hier een bron van?

want volgens mij zijn er autonome ransomware gevallen waar pas "achteraf" een gerichte actie is; die je als slachtoffer dient te starten door contact op te nemen of te betalen. zonder actie van degene die de mails heeft gestuurd.
Meest grote aanvallen worden heel bewust via spear-phishing gestart

https://www.cybercrimeinf...ij-meer-dan-150-bedrijven

En ze als perongeluk ergens geautomatiseerde bij een bedrijf binnen komen wordt eerst maanden rond gekeken wat voor bedrijf/instelling het is voor dat ze hoogte van het los bepalen.

https://nos.nl/l/2321732
Uit jouw bron: “ Een cybercrime-groep die sinds medio 2019 actief is, heeft de e-mailaccounts van hooggeplaatste leidinggevenden bij meer dan 150 bedrijven gehackt.”

Oftewel, 1 groep... niet echt representatief voor alle ransomware lijkt mij
Ik zou zeggen verdiep in de materie. Dan zou zien dat het bijna altijd zo gaat.

Echt heel leerzaam en interessant.

[Reactie gewijzigd door xbeam op 29 september 2020 14:32]

laat ze maar opdraaien voor de echte gevolgen, dus als er mensen overlijden per geval een casus doodslag/dood door schuld, dat is gewoon wat het is.

het is triest dat het gebeurt, het probleem is dat het waarschijnlijk niet eens een gerichte aanval is op ziekenhuizen maar dat alles waar de ransomware grip op kan krijgen een kans is voor die gasten.
Het zou mooi zijn als dat kan, maar ik vrees dat het dan hele lange rechtzaken worden.
Niet om het goed te praten, maar een ziekenhuis in Amerika is een pak anders dan eentje in Nederland of België. In Amerika draait het om winst en zijn ziekenhuizen niet veel beter dan een multinational (behalve het feit dat ze zorg dragen om mensen).

Ik kan ergens inbeelden dat een ziekenhuis in Amerika best wat vijanden heeft.
In Nederland / België draait het net iets meer om de gezondheid van de persoon en iets minder over hoeveel geld uit die persoon te kloppen valt.

Opnieuw, het valt niet goed te praten maar het is nog net iets anders.
Lijkt me ook dat ze ze verantwoordelijk mogen houden voor de gezondheid van de mensen die op dat moment niet geholpen kunnen worden. incl mogelijk overlijden.

[Reactie gewijzigd door m3gA op 29 september 2020 12:34]

Graag meteen samen met de verantwoordelijken voor de IT beveiliging. Als je ziet hoeveel ziekenhuizen in Amerika binnen raken, kan je gerust stellen dat het pure hebzucht of onkunde was om een ondermaatse beveiliging te hebben.
Denk je zo ook over het bestuur van die ziekenhuizen die in het (IT) budget hebben zitten snijden om te bezuinigen (om zo hun bonus binnen te halen)?
Je wordt gedownmod op het punt dat ik dit schrijf. Maar ergens zit er wel een kern van waarheid in de toegenomen kwetsbaarheid die inherent is aan het samenbrengen van zo veel ziekenhuizen in eenzelfde bedrijf. Of de hack nou bewust is of niet, deze zou geen honderden ziekenhuizen kunnen infecteren als ze onafhankelijk waren.
Je suggereert in 1 zin heel veel. Kan je die ook onderbouwen met feiten? Hoeveel is er in het IT budget gesneden bij deze ziekenhuizen en hebben bestuurders bonussen gekregen omdat ze gesneden hebben in dat IT budget?
Je suggereert in 1 zin heel veel. Kan je die ook onderbouwen met feiten? Hoeveel is er in het IT budget gesneden bij deze ziekenhuizen en hebben bestuurders bonussen gekregen omdat ze gesneden hebben in dat IT budget?
Je hebt natuurlijk volkomen gelijk met deze opmerking. Maar het is aanname waar je wel iets wat op kunt meevaren. Amerika is niet voor niets het enige land ter wereld waar medische failliet gaan een ding is. (AFAIK), en er zijn meer dan genoeg verhalen dat bij Amerikaanse bedrijven overal wordt gesneden en niemand dat erg vind zolang de aandeelhouders maar blij zijn, wat op C-level bonussen oplevert.

Winst maken mag en is noodzakelijk, maar in Amerika speelt er bij een fors aantal toch wel een hele enge “over lijken gaan” mentaliteit, lijkt het.
Die hoeven hun hele leven niet meer uit de cel te komen.
Ik denk dat de IT-ers en vooral de bazen ook moeten bestraft worden.

Een grootschalige ransomware infectie met een bekende aanval is iets dat in principe niet kan gebeuren met een degelijke bescherming en firewall.

Het zal wel uitkomen dat hun systemen nog steeds grotendeels op een oudere Windows versie draaien met een goedkope rommel antivirus zoals Symantec of Sophos, enkel een inkomende firewall.

[Reactie gewijzigd door Guru Evi op 29 september 2020 13:39]

Symantec een goedkope rommel antivirus noemen gaat veel te ver. Ik heb hier al jaren Norton Security draaien en het is een uitstekende suite.
Volledig mee eens. En dat in tijden van corona. Wat een criminele daad! Zware celstraf geven die onnozelaars!
In sommige staten hebben ze nog de doodstraf... Ik wil niks suggereren hoor.
Tijd om dit af te schaffen? Daar is het nooit te laat voor, maar staat volkomen los van een stuk malware.

Ik zou me niet schuldig willen maken aan datgene wat ik juist verafschuw. Vooral niet omdat je een verkeerde veroordeling niet kunt herstellen. Komt nog bij dat een langdurige/levenslange gevangenisstraf imho een zwaardere straf is.
Iemand levenslang opsluiten kost geld. Doodstraf is een eenmalige uitgave en dan ben je klaar.
Alleen is die "eenmalige" uitgave een stuk kostbaarder dan levenslang opsluiten. Check your facts!

Daarnaast ben ik van mening dat justitie en rechtspraak primair juist niet gaan over de kosten. Het moet gaan over gerechtigheid. Want als het over kosten gaat, wil je juist helemaal niemand meer opsluiten, maar veroordeelden altijd een boete geven of zelfs veroordelen tot dwangarbeid in een werkkamp. Of wil je ze "vrijwillig" hun organen laten doneren? Je kunt goed geld verdienen aan die criminelen!

Het wordt zo wel een beetje een glijdende schaal... Wanneer ik de geschiedenisboeken er op na sla, dan is dit iets wat je juist niet moet willen. Maar is slechts mijn mening.
De executie van Ronnie Lee Gardner in 2010 in Utah, door een vuurpeloton, kostte 165 dollar. Het meeste daarvan ging naar de medewerkers en 25 dollar werd uitgegeven aan ‘materiaal’ voor de executie, inclusief de stoel waarop hij zat vastgebonden en de kleding die hij droeg. Kogels zijn niet duur in Amerika.

Valt wel mee toch?
Check your facts. :)
Dus hij is zonder enig vorm van proces doodgeschoten? En dit is representatief voor alle executies in de VS? Des te meer een reden om de doodstraf af te schaffen...

Oh, volgens Wikipedia is het iets anders gegaan:
Gardner's case spent nearly 25 years in the court system
Ik kan me niet voorstellen dat dit geen geld heeft gekost. Ik kan me ook niet voorstellen dat alleen de executie 165 dollar is geweest, de kosten van het (verplicht) aanwezige personeel zijn al hoger.

Wanneer ik deze site mag geloven, is een doodstraf wel iets kostbaarder, het kost al snel enkele miljoenen per case.

Ik ben benieuwd hoe je een foute veroordeling gaat herstellen, reïncarnatie op verzoek?
Als ze iemand 30 jaar op deathrow houden kost dat geld. Maar dat kost een normale gevangene ook. Als ze niet 30 jaar wachten met een executie kost het veel minder. En zoals ik al zei, een executie an sich kost niet zo veel. 1 maand deathrow vs 60 jaar achter tralies. Wat is goedkoper? Precies.
Dus voor een paar euro wil je mensen gaan afschieten? Het moet niet veel gekker worden...
In China kreeg de familie van een doodgeschoten dissident de rekening voor de kogel. ;)
Iemand levenslang opsluiten kost geld. Doodstraf is een eenmalige uitgave en dan ben je klaar.
Alleen in China waar je na een veroordeling niet in beroep kunt gaan en binnen 24 uur terechtgesteld wordt. In landen met een werkend rechtssysteem is de doodstraf juist erg duur.
Zonde. Dan liever levenslang als proefkonijn inzetten. }>
Maar dan moet er wél degelijk bewijs zijn. In de VS komt het nog wel voor dat ter dood veroordeelden achteraf toch niet de dader blijken.
Als dit doelbewust is gedaan om geld, hoe laag kan iemand zinken.
Hetzelfde geld als je iemand doodschiet die je betrapt op het stelen van een horloge. En zo zijn er talloze trieste voorbeelden. Het lijkt wel of de bad guys steeds meer terrein winnen.
Het lijkt wel of de bad guys steeds meer terrein winnen.
Dat valt mee. Het is vooral de media aandacht waardoor het lijkt alsof criminaliteit toeneemt. Dat is wel eens onderzocht en het blijkt dat gevoelens van onveiligheid niet gerelateerd zijn aan toename van criminaliteit maar aan toename van de aandacht voor die criminaliteit.
Dat wordt dan heel vervelend als zo'n actie heel slim wordt uitgevoerd en bijvoorbeeld via jouw PC ransomware ergens wordt geinjecteerd en er geen enkel spoor is naar de echte dader. Dan wordt jij (weliswaar onterecht) schuldig verklaard. Ik denk niet dat je dan nog zo voor de doodstraf bent.
gewoon kijken waar het geld heen gaat
Iets met de verkiezingen in Amerika en Trump? Timing is natuurlijk weer subliem.
Waarom ga je uit van timing terwijl de vele verschillende ransomware al jaren dagelijks bij meerdere bedrijven over de hele wereld een probleem is? Dat het nu het nieuws haalt omdat het bij universal health services is legt geen enkel verband met je suggestie. Niet dat het plotseling meer is (geen cijfers). Niet dat het anders is (ziekenhuizen werden buiten verkiezingstijd ook aangevallen). Niet dat het altijd te verwachten is (sommige criminelen hadden soort van belofte gedaan om geen ziekenhuisen aan te vallen maar de crimineel achter deze ransomware niet). Niet omdat het veel locaties zijn door heel het land (gebeurt vaker dat het niet alleen lokaal bij een vestiging is als heel het netwerk last heeft).
Ik hoop echt dat als ze dit soort mensen te pakken krijgen ze ze levenslang achter de tralies steken. Ik ga niet zeggen dat een ander bedrijf hacken wel ok is maar dit is echt moord met voorbedachte rade.
Moord is altijd met voorbedachte rade ;)
Verder absoluut met je eens.
Dat hoeft toch niet altijd? Ik ben geen jurist expert hoor maar. Stel dat wij straks plotseling ruzie hebben en dat loopt fout af dan is dat toch niet met voorbedachte rade?
Klopt, maar dan is het ook geen moord maar noemen we dit doodslag.
Of mishandeling met de dood tot gevolg.
Ja dacht al dat ik het woord doodslag moest gebruiken. Ik was mis
Moord is echt het planmatig voorbereiden om iemand van het leven te beroven.
Dus met voorbedachte rade. In jouw voorbeeld spreek je van doodslag.

Als jij tijdens onze ruzie ineens de ingeving krijgt om mij om te brengen, dan spreek je van doodslag. Dit gebeurt veelal in een opwelling.
Als jij mij tijdens de ruzie een mep verkoopt waardoor ik vervelend ten val kom en kom te overlijden, dan is dit mishandeling met de dood tot gevolge. Dit komt omdat het niet je intentie was mij te doden.
Ook mishandeling kan mét en zonder voorbedachte rade. Wat ook weer uitmaakt voor je straf.

Dan heb je ook nog dood door schuld. Dat heeft te maken met gebrek aan voorzichtigheid en zorg waardoor iemand komt te overlijden. Dit is de enige waarbij geen opzet in het spel is.

Mand! :9
Is natuurlijk wel een beetje kort door de bocht.

Het ziekenhuis (en elk bedrijf) moet zijn ICT op orde hebben en mag daar imo ook best op aangesproken worden als dit niet zo blijkt te zijn.

Maar security is complex, zeker voor de eindgebruiker en waarschijnlijk ook voor de security staff die een permanente afweging moeten maken tussen security en usability.

Oude systemen die moeten blijven draaien omdat medische apparatuur nou eenmaal lang mee gaat. Die kun je prima offline halen, maar hoe haal je de onderzoeksresultaten eraf om in de EPD's van de wereld te zetten? USB stick? Betekent wel weer dat je gaat werken met rondslingerende flash drives die overal en nergens ingeplugd worden.
- Ja dit voorbeeld is kort door de bocht, maar laat imo wel de permanente tweestrijd zien.

En daarnaast nog alle lekken die continu gevonden worden, weliswaar gepatched, maar het was lek. En op een ander vlak zal het vast nog lek zijn.
En dan nog duizenden gebruikers, die allemaal (bewust of onbewust) domme dingen kunnen doen.


Naar mijn idee, loop je met de beste beveiliging, nog steeds risico. Significant minder, maar nog steeds risico. En die beste beveiliging is duuuur.
Wat heeft het ziekenhuis fout gedaan?
"Vrouwen moeten ook maar niet in een kort rokje rondlopen"
"Had je zelf ook maar een pistool moeten aanschaffen"
Hoeft niet meerdere ziekenhuizen te zijn, het kan ook 1 of meerdere Shared Service Centers zijn die besmet zijn. Neem aan dat als je zo'n keten hebt, je bepaalde processen het best kunt centraliseren.
Zwart-witdenken is lekker makkelijk, maar doet vrijwel nooit recht aan de daadwerkelijke situatie.
Waarom zo zwart-wil tussen niet acceptabel en wel acceptabel? Er werken mensen in het ziekenhuis en op de administratie. En die mensen zijn net mensen, ze maken ook fouten. Het is volkomen acceptabel dat mensen fouten maken, we doen niet anders. Of maak jij nooit fouten?

Wat niet acceptabel is, is opzet. Maar opzet is geen fout, dat doe je bewust. Mocht iemand bewust de virusscanners hebben uitgezet, of bewust de virusscanners al jaren niet meer updaten, dan kun je imho spreken van onacceptabel.

Het is ook onacceptabel dat criminelen dit soort virussen maken en rondsturen, en daarom is er ook een politieapparaat en OM om ze op te sporen en te veroordelen. De landsgrenzen zijn dan wel een probleem, al is dit "gelukkig" in de VS gebeurd, een land met meer internationale mogelijkheden om criminelen op te laten pakken en uit te leveren.
Ik spreek voor mezelf en niet voor anderen, maar natuurlijk vind ik het niet acceptabel dat een belangrijke instelling als een ziekenhuis slachtoffer wordt van een ransomwareaanval.

Maar het gaat erom dat jij de schuld bij het ziekenhuis legt en niet bij de maker van de ransomware, of degene die de ransomware bij het ziekenhuis in de systemen deponeert.

Wanneer jouw portemonnee wordt gestolen uit jouw afgesloten kluisje zeg je toch ook niet: "Ja, het is logisch dat 'ie gestolen is, ik had er geen tweede, derde en vierde slot op gezet!"
Dan heb ik de kluis niet voldoende afgeschermd of beveiligd! Is toch mijn eigen fout dan WTF
Nee, het zou pas jouw fout zijn wanneer je het kluisje überhaupt niet dicht en op slot had gedaan en de "inbreker" jouw portemonnee zo mee kon nemen.

Je zou er redelijkerwijs vanuit mogen gaan dat het kluisje veilig genoeg is om je spullen in op te bergen en dat wanneer het kluisje op slot is, een inbreker flinke moeite moet doen om jouw portemonnee te stelen.

Als het slot niet goed werkt en makkelijk zonder sleutel te openen is (een zero-day), moet de fabrikant er voor zorgen dat alle sloten op alle kluisjes die zij maken vervangen worden (een patch). Maar dan moet die "zero-day" natuurlijk wel bekend zijn bij de fabrikant.
Niet altijd, je kan zo je kluis, je huis, je auto zo goed beveiligen als je wil, maar wanneer men er echt in wil, komen ze er toch wel in. Je kan het ze alleen zo lastig mogelijk maken en zorgen dat ze jouw adres overslaan.
Daarnaast moet het nog werkbaar blijven. Je kan je huis met raam en al wel dichtspijkeren, maar vrolijk wordt je daar niet van. Dit is ook zo met netwerksystemen, zeker wanneer er zoveel personeel op zoveel verschillende vlakken gebruik van moet maken.

Dus buiten de fouten/gaten die in het netwerk sluipen moet het ook goed werkbaar blijven, wat het ook weer kwetsbaarder maakt.
Meerdere ziekenhuizen, maar wel van één en dezelfde organisatie. Zolang mensen fouten maken, zullen er dingen fout gaan. Dus alle mensen maar ontslaan? Lijkt mij geen constructieve oplossing, een gesloten ziekenhuis verzorgt vrij weinig patiënten...
Heeft niets te maken met dat wij het dan wel acceptabel vinden. Het is nogal zwart-wit om de beschuldiging meteen bij het ziekenhuis te leggen omdat je de situatie niet kent. Wat als b.v. het budget voor de beveiliging van het netwerk maar beperkt is en je moet roeien met de riemen die je hebt. Dan kan de schuld ineens bij de overheid liggen. Nu ga ik er wel even van uit dat het in Amerika ook zo in elkaar zit, dat weet ik niet zeker, misschien dat ziekenhuizen privé zijn.

Ook kan je backuppen wat je wil, slimme ransomeware kan (bijna?) overal bij wat online is. Sommige zitten dagenlang of zelfs weken in het netwerk verborgen of je moet offline backups bewaren en dan verschillende versies zodat als er een stel besmet worden je toch van een tijdje terug nog hebt. Dit gaat dan weer ten koste van het gemak/werkbaarheid. Ook een dure oplossing waarschijnlijk.

Dan ook nog mijn reactie van hieronder nog eens gekoppieerd:

Je kan zo je kluis, je huis, je auto zo goed beveiligen als je wil, maar wanneer men er echt in wil, komen ze er toch wel in. Je kan het ze alleen zo lastig mogelijk maken en zorgen dat ze jouw adres overslaan.
Daarnaast moet het nog werkbaar blijven. Je kan je huis met raam en al wel dichtspijkeren, maar vrolijk wordt je daar niet van. Dit is ook zo met netwerksystemen, zeker wanneer er zoveel personeel op zoveel verschillende vlakken gebruik van moet maken.

Dus buiten de fouten/gaten die in het netwerk sluipen moet het ook goed werkbaar blijven, wat het ook weer kwetsbaarder maakt.


*EDIT* Netwerkbeveiliging van zo'n grote organisatie is het heel lastig om een goede afweging tussen werkbaarheid en beveiliging te onderhouden .*EDIT*

Daarom vinden wij je beschuldiging zo zwart-wit, je weet de situatie niet. Ik hoop dat het wat duidelijk is nu.

[Reactie gewijzigd door Dunky555 op 29 september 2020 18:23]

Dit is ook hoofdzakelijk de fout van het ziekenhuis.
Als je naar buitengaat en wordt nat, is het dan de schuld van de regen of jouw eigen schuld omdat je geen paraplu bij je hebt?
En hoe houdt je die ransomware buiten je backups? Zoals gewoonlijk hebben veel tweakers van die open duer oplossing die alle professionele IT-ers al lang van tafel hebben geveegd omdat het niet werkt.
Indien er iedere 48h een backup is van de essentiële systemen en ieder 24h van de minfer essentiële systemen met een backup van personeels en patiënten dossier en iedere 4h? Dan zal er vast wel een moment aanwezig zijn waarbij er nog geen ramsolware was. In theorie zou je dan met minimale verliezen de goede backups aan elkaar kunnen koppelen.

Of mis ik hier iets
Ransomware kan al maanden inactief op de systemen staan en vanaf een bepaald moment worden geactiveerd. Dan zijn ook je backups vanaf het moment van infectie nutteloos, maanden geleden dus.
Je mist de datum waarop de infectie heeft plaatsgevonden. Dat kan al maanden geleden zijn, waardoor je vele maanden aan data kwijt raakt.
Dan nog! Als het er al 12 maand om stond, te wachten kan ik makkelijk de patiëntendossiers van de dag voor dat het actief werd verkrijgen, daar kom je al ver mee in een ziekenhuis hoor.

Ben trouwens zelf actief in de IT, en heb als 2de hogere opleiding verpleegkunde mogen volgen. Weet wel waar ik over spreek om eerlijk te zijn'
Ja, je mist iets. De "incubatietijd" is namelijk maanden. Dus al je backups van de afgelopen periode dagen/weken/maanden zijn zeer waarschijnlijk waardeloos omdat ze besmet zijn. Als je al een niet besmette backup vindt dan is die zo oud dat je nog steeds te maken hebt met dataverlies in de tussenliggende periode.
Maar dan zie ik bijvoorbeeld hier dat in Nederland een Chief Information Security Officer bij de Ziekenhuis Gelderse Vallei maar max 5,5k per maand verdient!!!

Pay peanuts, get monkeys.
Ik zie niet waarom je voor zulk soort bedragen niet gewoon goed werk kan leveren in die functie.
Wat ik wel betwijfel is of ze de juiste kandidaat vinden voor die functie, ongeacht het salaris.
Dus huren ze een monkey in....
Die man moet ook gewoon maar aansturen, als je dat niet kan met 5500 tja...
Het is een kwestie van vraag en aanbod. Waarom zou iemand dit gaan doen voor 5500 als ie ergens anders meer kan krijgen ?
Je weet ook wat er gebeurt als je zo'n persoon 10k per maand geeft. Dan gaat de tweede kamer over de rooie omdat het geld naar handen aan het bed moet.
"Maar" max. €5.500,- per maand? Ik zou persoonlijk niet weten wat ik met zo'n salaris zou moeten doen, en al helemaal niet met nóg meer geld. "Meer geld = meer beter" is een kortzichtige manier van denken.

edit: Oeps, reactie maar half gelezen, het gaat om een senior functie, dan is €5.500,- in vergelijking met de markt wel aan de lage kant. Aan de andere kant, het is een functie in de (semi-)publieke sector, dan is een vergelijking met de markt wellicht niet geheel op zijn plaats.

[Reactie gewijzigd door PCG2020 op 29 september 2020 12:47]

Nope. Meer salaris bieden is juist langetermijn denken. Je wilt juist iemand met ervaring. Iemand met ervaring gaat echt niet voor 5500 ergens werken. Genoeg andere opdrachtgevers om uit te kiezen.
Ik heb het niet goed gelezen, mijn reactie is aangepast O-)
Van mij mogen ze er alles aan doen om die gasten op te sporen en de doodstraf geven.
Ze moeten gewoon een beloning geven van $1.000.000 wat leid tot de aanhouding van deze gasten.
Er is vast wel iemand die ze dan verlinkt.
En wat als de ransomware via jouw PC verspreidt zou zijn (zonder dat jij dat weet) en het zo goed is gedaan dat het onomstotelijk lijkt dat jij het gedaan hebt?
Dan heb je het onderzoek verkeerd geleid/uitgevoerd. Een inbreker laat altijd sporen achter.
Dan heb je het onderzoek verkeerd geleid/uitgevoerd.
Dan heb je toch een reden om te glimlachen op de elektrische stoel :-)
Goed gezien.
Een hoge beloning zou best wel eens kunnen helpen om dit soort misdaden te bestrijden.
Verder proberen om in hackers groepen te infiltreren en ze van binnenuit aan te vallen.
Ja, dat kost geld en moeite maar de schade door dit soort aanvallen is ook enorm.


Om te kunnen reageren moet je ingelogd zijn


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True