Gemeente Hof van Twente heeft geen toegang tot systemen door grote cyberaanval

De gemeente Hof van Twente is getroffen door een cyberaanval. Het is niet duidelijk wat er precies gebeurd is, maar de systemen van de gemeente zijn niet bereikbaar. Het lijkt om een ransomware-infectie te gaan, maar dat is niet zeker.

De gemeente is sinds dinsdag niet meer bereikbaar, meldt de gemeente op haar website. De gemeente zegt niet om wat voor cyberaanval het gaat, maar het lijkt om ransomware te gaan. "Onbekende derden hebben toegang gekregen tot al onze systemen en onze servers ontoegankelijk gemaakt", zegt burgemeester Ellen Nauta. De omvang van de aanval lijkt groot. "We kunnen veel van deze gegevens als onbruikbaar beschouwen", zegt ze. De gemeente is van plan een compleet nieuwe ict-infrastructuur op te bouwen.

Volgens de gemeente zijn er bij de aanval ook allerlei persoonsgegevens getroffen. Het gaat om 'soms zeer privacygevoelige informatie', maar de gemeente wil niet zeggen wat daar precies mee gebeurd is. "Inmiddels is een groot deel van de situatie geanalyseerd en zijn er gelukkig vooralsnog geen aanwijzingen gevonden dat er daadwerkelijk gegevens bekeken of verspreid zijn", zegt de gemeente.

Het komt steeds vaker voor dat bij ransomware ook data wordt gestolen van gebruikers, waarvoor vervolgens extra losgeld wordt geëist. Het is dus niet duidelijk of dit in dit geval ook is gebeurd. "Gelukkig kunnen we melden dat het erop lijkt dat er geen gegevens in verkeerde handen zijn gevallen", schrijft de burgemeester.

De gemeente zegt dat het mogelijk nog maanden nodig heeft voor het de uitkomsten van het onderzoek naar de aanval kan toelichten. Ondertussen is er een melding gemaakt bij de Autoriteit Persoonsgegevens, de politie en zelfs het ministerie van Binnenlandse Zaken. De gemeente probeert ondertussen de dienstverlening weer op te starten, al kan het dat sommige aanvragen langer kunnen duren.

Door Tijs Hofmans

Redacteur

03-12-2020 • 16:56

97 Linkedin

Reacties (97)

Wijzig sortering
Het is wel leuk om alle commentaren te lezen met alle goed bedoelde adviezen en minder goed bedoelde veroordelingen. De mogelijkheden voor de oorzaak zijn voor alsnog zo legio dat niet bij benadering te zeggen valt wat er nou gebeurd is.

Denken we even terug aan de hack van de Uni Maastricht, nu bijna een jaar geleden. Alle hens aan dek, was het daar. Uiteindelijk bleek dat, als ik me goed herinner en zoals hier ook al een paar keer opgemerkt, de boosdoeners al maanden in het netwerk zaten. Toen ze genoeg hadden gezien werd de tijdbom geplant. De backup was netjes meegenomen.

Is dat hier ook het geval? Was dit een toevalstreffer? Een boze burger met rancune? Of een puber met €50 van papa’s creditcard en wat darknet handigheid? Een lek vpn of spearphishing? Misschien wel een geïnfecteerd usb stickje.

Wat voor zo’n kleine gemeente geldt: het ict budget is laag. Vaak zijn er maar 1 of 2 mensen mee bezig en is dat van het niveau omhoog gevallen typist. Goedwillende amateurs. Steeds meer digitale dienstverlening en steeds complexere infra terwijl het aantal mensen en hun kunde zelden meegroeit. Security? Ja dat is er wel. Firewall, vpn, etc. Maar patchen, tjah, als er tijd voor is. Zoveel componenten, zo weinig tijd.

Een ongepatcht vpn appliance en geen interne filters maken dat inbrekers ineens lateraal door je netwerk gaan, zich server na server toe-eigenen, extra toegangen/backdoors aanleggen voor het geval de eerste wordt gevonden. Ga dat allemaal maar eens zoeken. In dat kader: Alles platgooien en opnieuw beginnen is wel het beste devies. Hopelijk zonder erfenissen
Mij lijkt dit toch ietwat voorbarig zonder de feiten te weten of gebrek aan budget en kennis van zaken daadwerkelijk het geval is en daardoor zo zwak beschermd was of.. dat het weer een sterk staaltje amateurisme is.

Ik heb ooit in m'n studentijd een tijdje mogen meedraaien in een gemeente en er werken in het algemeen toch wel een apart type mensen waar van een klein clubje zeer goed betaald wordt voor hetgeen wat ze doen. Het idee dat met de helft van het personeel meer gedaan kan worden was daar zeker het geval.

Zelf vraag ik me af hoe het uberhaubt mogelijk is dat een kleine gemeente op een zo'n amateuristische wijze kan functioneren en dat er top down geen middelen noch regels lijken te zijn hoe het eigenlijk moet. Schandalig en wederom de burger is weer de dupe, enerzijds diens data, anderzijds mogen zij weer betalen voor de onkunde van de gemeente.
Dat een backup versleuteld wordt zonder dat je daar achter komt is natuurlijk een gotspe.
Wanneer ik vandaag een restore test van een off-line backup van gisteren op een off-line machine, dan kan ik dat zeker weten volgend jaar ook nog (desnoods met de systeemklok een jaar teruggezet indien daar code voor is ingebakken). Originele data blijft in te lezen.

Dus van tweeën een: of de backup was on-line beschikbaar om te versleutelen, of de backup was versleuteld opgeslagen en niet correct getest.
Nu kunnen we wel alles op een gemeente afschuiven, een saillant detail is dat de IT uitbesteed is aan een externe partij.

Link naar Computable

Opmerkelijk is dat deze partij dit nieuws enkele dagen geleden van hun eigen website gehaald heeft.
klopt, staat nu ook op Tubantia.
https://www.tubantia.nl/h...gevens-inwoners~aec9c0a6/
"Systeembeheer
Overigens heeft de gemeente in 2018 haar ict-systeembeheer voor een deel uitbesteed aan Switch IT Solutions in Enschede. Een woordvoerder van dat bedrijf wil geen uitspraken doen over de zaak en verwijst naar de gemeente.
"
Uit het artikel op het FD:

"Op woensdag hoopte de gemeente, die in de buurt van Almelo ligt, nog op een hardnekkige
storing. Donderdagmiddag maakte burgemeester Nauta bekend dat de zaken er een stuk
slechter voorstaan dan gedacht. De volledige administratie van de gemeente is gegijzeld,
niemand kan meer bij de servers van de gemeente komen. Een back-up was er niet."

'De database van de gemeente wordt als vernietigd beschouwd. Alle gegevens zijn
onbruikbaar gemaakt en niet meer terug te halen. 'We staan voor de immense taak om een
geheel nieuwe infrastructuur voor onze gegevens te bouwen en daaraan nieuwe “schone”
gegevens toe te voegen.'

Dit is een gotspe, Natuurlijk is een cryptoware aanval een uitdaging. Maar ik heb geen woorden voor een incompetentie waarbij er niet eens een backup is!

Ik bedoel maar, zelf een klein bedrijf weliswaar in de it maar toch. Incremental Back-ups van de data van het afgelopen jaar, op dagbasis terug te halen. Versleutelde kopie in de cloud. Seperaat netwerkverbinding naar een NAS voor de backups met een account los van de interne AD security structuur. Aparte beheers accounts voor lokaal PC beheer, lokaal serverbeheer, Azure beheer en lokale AD-server. Hoe moeilijk is het?
Die back-up zal er vast wel zijn, maar kan ook gesaboteerd zijn door de aanvallers. En als ze er niet rechtstreeks bij kunnen kunnen dan wachten ze gewoon net zo lang tot de versleutelde data de volledige retentie heeft doorlopen. Dan zijn zelfs je tapes die offline in een kluis liggen versleuteld...
Juist met de opkomst van datagijzeling de afgelopen jaren zou je verwachten dat de ICT organisatie van grote bedrijven en overheidsinstellingen dit wel opnemen in hun disaster recovery protocol. Dit soort bedrijven hebben niet een backupje voor als de schijf van hun PC stuk gaat. We hebben het hier over een serieuze database met unieke gegevens waar een herstelplan voor moet zijn in het geval van meerdere rampscenario's. Daarbij hoort ook de controle van je backups. Zodat je nooit (door anderen) versleutelde gegevens in je kluis gaat stoppen.
Dat zou je verwachten ja. Maar aangezien dat soort zaken nog steeds (veel) geld kost en ze dat geld liever besteden aan andere zaken, zal ICT altijd een ondergeschoven kindje zijn.
Er zijn bijzonder weinig bedrijven en instanties waarbij de beveiliging van de ICT infrastructuur als belangrijk en zelfs cruciaal wordt beschouwd. En al dat soort bedrijven zijn vroeg of laat de klos. Soms hebben ze geluk en komen ze er vrijwel zonder kleerscheuren vanaf. Maar elke keer dat zoiets in het nieuws komt, is het weer een negatief geluid over dat bedrijf en kost het potentieel klanten.
Inderdaad. Ik werk zelf bij een gemeente (niet bij IT maar wel veel mee te maken) en ik kan het me bijna niet voorstellen. Er zijn zelfs systemen waarbij er naar tape wordt gebackupt. Meen zelfs dat het een verplichting is.

Daarnaast ligt er een dedicated fiberkabel naar een buurtgemeente waarbij dagelijks de hele omgeving naar wordt gebackupt. In geval van fysiek indicent op ene locatie kunnen we de volgende dag dan gewoon doorwerken via andere locatie. (En voor de buurtgemeente geldt dus het omgekeerde.)

Anyway, helemáál geen backup lijkt me stug. Maar wellicht zijn ze onbruikbaar. Hoop dat het allemaal snel goed komt daar!
ik heb wel bij een aantal gemeentes als interim beheerder gewerkt,, heb wel wat bizarre dingen gezien....
Voor het ene maakt het echt niet uit wat het kost, en een cleaning tape voor de backup kan weer te veel zijn ...

structureel te weinig mensen en eigen kennis in huis, die eigenlijk helemaal niet zo bijzonder goed betaald worden dus die vertrekken vaak. mensen die aangesteld worden om bepaalde politieke redenen niet dat ze de beste kandidaat waren.
te veel mensen bemoeien zich met dingen waar ze echt geen moer van snappen maar wel van alles van vinden. verstikkende bureaucraten ambtenaren cultuur
... gemeentes ...
structureel te weinig mensen en eigen kennis in huis, die eigenlijk helemaal niet zo bijzonder goed betaald worden dus die vertrekken vaak. mensen die aangesteld worden om bepaalde politieke redenen niet dat ze de beste kandidaat waren.
te veel mensen bemoeien zich met dingen waar ze echt geen moer van snappen maar wel van alles van vinden. verstikkende bureaucraten ambtenaren cultuur
Dat dus...
Als iemand die hier al jaren dagelijks mee te dealen heeft bij 'een gemeente onderdeel' kan ik dat voor de volle 100% onderschrijven, helaas. Ook mijn vriendin werkt sinds kort als ZZP'er voor 'een ander gemeente onderdeel' en wist dus al voor ze begon al enigszins wat haar te wachten stond, toch schrok ze nog flink van de schaal van de gemeentelijke wanorde. Als je het niet zelf meemaakt lijkt het nog wel mee te vallen, als je er middenin zit weet je pas hoe erg het kan zijn! ;)
Klinkt ook als de zorgsector... daar is dezelfde cultuur aanwezig. Tijd voor een minister van ICT die dit soort instanties gaat controleren en waar nodig ingrijpt.
NEEEE!!! NEEEE!!!! NEEEE!!!
Het probleem is al zo groot, maak het niet nog groter.
IT is een business waar 3 dagen wachten op een beslissing soms al te lang kan zijn.
Hoe hoger de bestuurslaag, hoe langer de doorlooptijd en hoe minder verstand ze ervan hebben.

En kijk naar dat forum standaardisatie waar overheden hun wijsheid vandaan halen...
Het hang en sluitwerk moeten allemaal aan de nieuwste standaarden voldoen, maar er blijkt niemand verantwoordelijk te zijn om de deur daadwerkelijk op slot te draaien.
Ieder security project verzandt in regelneukerij en ellelange projectplannen, maar gewoon updaten wordt hierdoor onmogelijk....
Wat dacht je van een minister van ICT met verstand van zaken, korte lijntjes, geen eeuwige besluitvorming, managers die nergens verstand van hebben maar wel beslissingen nemen... dat lijkt mij juist heel positief!
Volgens mij maakt een minister wetten, die eerst door de tweede en vervolgens door de eerste kamer goed gekeurd moeten worden.
Er is een uitgeklede versie hier van. Dat is de Agentschap Telecom. Deze organisatie zou beter, in mijn ogen, als een soort ombudsman met executive mandaat moeten kunnen werken. Dit om gemeentes dan wel andere overheidsinstanties soort van te dwingen om alles op orde te brengen. Echter het kabinet/rijksoverheid moet zich ook realiseren dat de kosten voor IT gewoon zeer hoog zijn.
Tape is geen verplichting. Dat is jullie beleid. (het onze is anders)

Hoewel ik BIO en GEMMA en NORA en ieder voorschrift van de VNG en god weet wat nog meer niet uit mijn hoofd ken denk ik dit wel met enige zekerheid te kunnen zeggen.
Je gooit met termen die ik niet ken (zoals ik al zei: werk niet bij de IT-afdeling) dus ik geloof je meteen! ;) Zou goed kunnen dat het dus eigen beleid is.
Ik werk wel op een IT afdeling en ken de termen ook niet. Maar ik werk dan ook niet bij een gemeente.
Misschien moeten de gemeenten wat minder op procedures vertrouwen en wat meer hun verstand gebruiken.
Gemma, Nora zijn architectuur raamwerken. Bio zijn security voorschriften voor de Nederlandse overheid.

Volgens mij is het juist goed dat er minimale eisen zijn opgesteld voor overheidsinstanties.

Is niet handig om dingen te roepen als je niet weet waarover het gaat. En als Google nou zo moeilijk was... Maar ik snap het wel hoor, soundbites zijn leuk. En feiten zijn stom en saai. Dat heeft dit jaar meer dan eens bewezen.
Air Gapping is key! Daarom backup ik nog steeds veel naar grote LTO tapes naast eventueel disk backup....
Bekende werkwijze is dat de infectie eerst plaats vindt en pas later op een bepaald tijdstip geactiveerd wordt. Je recentere bacup's zijn dan ook geinfecteerd en in het ergste geval waardeloos. En de waarde van een backup van pakumbeet 6 maanden of langer geleden is ook relatief.
Hoewel ik zelf ook zeer benieuwd ben naar de analyse van wat er allemaal is misgelopen, blijft zonder enige informatie alles natuurlijk gewoon giswerk.

Het kan zijn dat het neefje van de burgemeester alles snel in elkaar heeft gezet of het kan ook zijn dat er wel degelijk een IT afdeling is die, bijvoorbeeld door budgetaire beperkingen, geen goede disaster recovery heeft.
..

[Reactie gewijzigd door Zack_Leonhart op 5 december 2020 10:45]

Uit eigen ervaring kan ik zeggen dat een groot deel van de gebruikte applicaties bij een doorsnee gemeente juist niet in de cloud staat. We hebben denk ik een ander referentiekader, misschien weet jij meer van de specifieke gemeente uit dit nieuwsbericht. ;)

Voor het Sociaal Domein, vaak met de meest gevoelige gegevens van de meest kwetsbare doelgroepen, ben ik tot nu toe bijzonder weinig gemeenten tegengekomen die het niet lokaal draaien. Documenten worden weliswaar steeds vaker in de cloud van een DMS bewaard, maar de database met persoonsgegevens en dossiers niet. Dat is in ieder geval zo bij de applicatie van de grootste leverancier van Nederland. Hetzelfde overigens bij de twee grootste leveranciers van Nederland voor vergunningenapplicaties, al zijn ze daar nu i.v.m. de Omgevingswet wel aan de weg aan het timmeren. Binnen het Sociaal Domein zijn ze er ook al mee bezig, maar dit gaat naar verwachting nog wel een aantal jaren duren.
..

[Reactie gewijzigd door Zack_Leonhart op 5 december 2020 10:45]

Ik bedoel maar, zelf een klein bedrijf weliswaar in de it maar toch. Incremental Back-ups van de data van het afgelopen jaar, op dagbasis terug te halen. Versleutelde kopie in de cloud.
Het zal je verbazen hoe vaak je voor backups moet vechten als ITer bij zelfs grote bedrijven. Of dat men vergeet admin accounts voor dat soort zaken los te koppelen van alles, inc. de password database die ook aan AAD gekoppeld zit...
Als je geen offline backup in de vorm van tapes of externe schijven hebt dan kan het goed zijn dat ook de backups gegijzeld zijn door de ransomware.

Wij doen uurbackups tussen 6:00 en 23:00. 's nachts wordt de backup van 23:00 naar een NAS overgezet die aan de andere kant van ons terrein staat (~400 meter). En iedere week wordt er een backup van kritieke data (fileservers, 1 domaincontroller, div. databases) op USB schijf gezet die we afkoppelen en mee naar huis nemen.
Ouch... data mee naar huis nemen...rillingen over mijn rug
Ik hoop dat die schijven wel geencrypt zijn en geen namen van contactpersonen bij leveranciers of klanten bevatten! Je bent dan immers zwaar in overtreding als het om AVG/GDPR gaat.
Verloren schijfje moet je in dat geval melden bij Autoriteit Persoonsgegevens en de boete is dan niet mals.
Die data is alleen te recoveren met Quest Rapid Recovery, waar ze ook mee gemaakt zijn.
Zulke omgeving hebben normaal gesproken een SAN i.p.v. een NAS. NAS is meer voor thuisgebruik.
De definitie van een NAS/SAN is heel simpel:

NAS = Filebased storage als CIFS/NFS over het netwerk.

SAN = Block based storage waar de server via directe bekabeling bijv Fibre Channel direct toegang heeft om op blocklevel te kunnen schrijven op disk.

Tegenwoordig kan volgens mij de meest simpele Synology al iSCSI waardoor je dus naast je NAS al een SAN in huis hebt.

Sowieso heb je tegenwoordig Fibre Channel over Ethernet en iSCSi die over de tcp/ip stack data uitwisselen. Dus dan heb je weer een NAS 😜

Ons SAN EMC Unity doet ook beiden. Ik hou het op een SAN/NAS

NAS is in MKB overigens heel gangbaar hoor. Zeker niet alleen voor thuisgebruik.

[Reactie gewijzigd door Hoicks op 3 december 2020 20:30]

"Sowieso heb je tegenwoordig Fibre Channel over Ethernet en iSCSi die over de tcp/ip stack data uitwisselen. Dus dan heb je weer een NAS"

Nee dan heb je geen NAS.
FC / FCoE en iSCSI is alles Block Storage. Het gebruik van FC of FCoE of TCP/IP heeft er NIETS mee te maken. Er bestaat ook Fibre Channel over IP (FCoIP). Maar het blijft Block-storage.
NAS is echt heel wat anders (CIFS/SMB en NFS).

Een DELL Unity bied beide (technisch wezenlijk verschillende) kern-functionaliteiten. Daarom heten zulke oplossingen ook "Unified Storage" (wat een Unity of een NetApp etc. is).
NAS voor thuisgebruik? Kan ook ja. Ik ken bedrijven waar voor een aantal honderden miljoenen aan NAS-spullen staat voor business critical gebruik. Echt niet voor thuisgebruik.
Ik weet niet van NL maar in BE is het steeds een probleem van centen.
Als je niet wil betalen voor degelijke infrastructuur en mensen krijg je zo'n zooi.
Volgens het artikel hierover in het FD was er wel een back up, maar 'maakt deze onderdeel uit van de gegevens die weg zijn'.

Nog steeds niet goed, maar net iets minder slecht.

En een beetje slimme crypto-ransom aanval wacht natuurlijk met de gegevens onbereikbaar maken tot ook de back up onder controle is...
Ik vraag me toch altijd wel af hoe dit soort dingen kunnen gebeuren. Is dit nou iemand die gewoon onvoorzichtig is geweest en op een verkeerde link heeft geklikt/usb maar gewoon ingeplugd heeft? Of heeft iemand gericht het op deze gemeente gemunt waarbij ze een weg naar binnen hebben gezocht?
In veel gevallen is het antwoord "ja".
Ja ze gooien een groot net.
Ja zodra ze iemand te pakken hebben gaan ze kijken hoe interessant de target is.
Ja ze gaan daarna gericht het doel aanvallen.

Ransomware is helaas niet " if" maar "when".

Wij blokkeren alles dat uitvoerbaar binnen mail (inclusief macro files).
Blokkeren alles dat uitvoerbaar is (within reason) binnen de userspace (TEMP folders etc).
Draaien een endpoint protectie en blijven up2date.
Zorgen voor aparte admin accounts per "level" (desktops / servers / domein controllers).
Trainen gebruikers waar ze op moeten letten.

En dan nog is het niet IF... maar WHEN...

De hacker hoeft namelijk maar 1 lekje te vinden in ALLES dat je draait (en hoe groter je bent, hoe meer software je onder je vleugel hebt).
En als het niet een lekje is in alles dat je draait, dan is het wel een "lekje" in 1 van alle werknemers.

Het is eigenlijk meer bijzonder hoe Google en consorten _niet_ gehacked worden tot nu.
Een bijna onmogelijke taak.
Het is eigenlijk meer bijzonder hoe Google en consorten _niet_ gehacked worden tot nu.
Een bijna onmogelijke taak.
Ik blijf dit lezen en het blijft fout. Het is niet onmogelijk, bedrijven willen er alleen geen geld tegenaan gooien. Je kan een bestaande puinzooi niet beveiligen, het ontwerp moet al veilig zijn. Dus als je anno 2020 nog niet berekend bent op ransomware, dan zit er niks anders op dan de bouw van een nieuw netwerk met nieuwe IT bedrijfsvoering en een migratie daar naartoe.
Hoe dan? Hoe voorkom je domme acties van je werknemers. Hoe voorkom je fouten in soft- of hardware van je leveranciers?

Kun je de aanvalsvector kleiner maken, dat denk ik wel. Maar onmogelijk, dat denk ik niet.
Zoek eens op “Google zero trust networking”. Superinteressant.
iVanti schil gebruiken. Vroeger heette deze software RES. Dit is een schil bovenop je OS. Alleen geauthoriseerde executable zijn toegestaan. Ransomware krijgt dan geen kans op te mogen opstarten.
Applocker werkt ook heel goed 👍🏻
Ehm al eens van privilege escalation gehoord? Ik kan je dingen laten zien dan ben je binnen 15 min domain admin impersonaliseerd, iets met PSEXEC, HASHDUMP MIMIKATZ enz. enz. enz.

[Reactie gewijzigd door Skywalker27 op 4 december 2020 08:09]

Klopt bijna ;)

Vroeger had het Nederlandse RES Powerfuse wat later hernoemd werd naar Workspace Manager. RES is overgenomen door Ivanti (die het concurrerende Appsense al in zijn portfolio had) en heeft WSM hernoemd naar Workspace Control.

Appguard is inderdaad een hele mooie tool binnen Workspace Control. Als je het goed inzet zal het zo goed als alle executables tegenhouden (100% veiligheid bestaat niet).

[Reactie gewijzigd door duderuud op 3 december 2020 20:29]

Ivanti is leuk, maar deze functie zit ook in ingebakken in Windows. Applocker doet hetzelfde.
Je voorkomt werknemers niet, wel kan je het design zo maken dat er niet zomaar blind door het netwerk heen gewormed kan worden.

Dit vereist interne processen met bijbehorend beleid, separatie tussen servers/programma's en alles dichtgooien waar iemand niet bij hoort te komen. Dit kost inderdaad tot op enig niveau productiviteit (gezien er mogelijk wat meer papierwerk of bureaucratie is) maar voorkomt dat je op een dag als bedrijf compleet op je gat gaat.

Een heel goed begin zou bijvoorbeeld al zijn dat een gebruiker niet zomaar zelf .exe bestanden kan openen en compleet via een image werkt (voorbeeld; citrix omgeving)

[Reactie gewijzigd door smiba op 3 december 2020 18:07]

Het grote punt dat je aanspreekt is natuurlijk:
Dit kost inderdaad tot op enig niveau productiviteit
..en daar gaat het mis. Security en usability gaan niet hand in hand. Integendeel, hoe zwaarder de security, hoe meer overhead je ook voor je medewerkers creeert. Ieder bedrijf zoekt een balans tussen de twee. Hopelijk bewust, vaak onbewust.

Maar als je teveel op security focust en de usability uit het oog verliest, dan kost het je zoveel productiviteit dat je jezelf ondertussen wel uit de markt hebt geprijsd. En 100% veilig ben je nog steeds niet.

[Reactie gewijzigd door Garyu op 3 december 2020 18:18]

Hoe dan? Hoe voorkom je domme acties van je werknemers. Hoe voorkom je fouten in soft- of hardware van je leveranciers?
Als voorkomen het enige was wat een expert in informatiebeveiliging kon bijdragen, dan zouden ze een stuk minder goed betaald worden dan nu. Wat dat betreft is wel duidelijk dat de dreiging overschat wordt en het nut/de kunde van een infosec architect onderschat. Nee, hij gaat het niet onmogelijk maken dat je ransomware oploopt. Maar hij zorgt er wel voor dat de kans minimaal is en, belangrijker dan dat, je na een infectie niet meer dan een ochtend kwijt bent aan recovery.

Dus wederom, het is niet onmogelijk om jezelf in te dekken, dat is een doorsnee dooddoener die geroepen wordt door mensen die verstand hebben van computers maar niet informatiebeveiliging. Laat een infosec architect los in je bedrijf, afhankelijk van de grootte van je bedrijf heb je met een paar weken een plan van aanpak. Met een beetje mazzel wil de verzekeraar je premie nog verlagen ook.
Hoe erg dat ene lekje is hangt er natuurlijk van af hoe het netwerk is ingericht, security by compartmentalization is dan ook van groot belang.
Die zijn ook wel in meer of mindere mate gehacked in het verleden. Maar ze hebben inmiddels zo'n groot security afdeling dat het erg moeilijk is om daar binnen te komen.
Is vaak een opstapeling van meerdere zwakke punten. De initele access wordt vaak verkregen door middel van (spear) phishing, zwakke wachtwoorden of kwetsbare VPN installaties. Zodra de kwaadwillenden in het netwerk zitten is het vaak een kwestie om misconfiguraties of andere kwetsbaarheden ontdekken om zo meer rechten te verkrijgen. Zodra de hoogste rechten verkregen zijn (Domain admin) dan kan de ransomware uitgerold worden op alle machines met een paar klikken.
Vergeet ook het niet tijdig patchen niet mee te nemen in de opstapeling.

Ik zit me in deze vooral ook af te vragen of ze misschien een fortigate vpn hadden en in de laatst gepubliceerde lijst stonden.
Dat is helemaal niet zo moeilijk. Je kan aanvallen van buiten naar binnen, en van binnen naar buiten. Het eerste kan bijvoorbeeld als een instelling gebruik maakt van een ongepatchte VPN appliance. Pulse VPN, Fortigate etc zijn geregeld in het nieuws dat er grote lekken bekend zijn en duizenden servers zijn niet gepatched.

Dan is er de andere, daar gebruik je een social engineering aanval voor, in combinatie met iets anders. Een geïnfecteerde USB stick laten vallen, een phishing aanval om iemand te laten klikken. Er zijn zat mensen die hun zakelijke mail privé gebruiken. Ik heb wel eens de Christine le Duc nieuwsbrief langs zien komen. Als je dat doet lekt je adres ook uit naar spamlijsten.

Eenmaal binnen moet je een zogeheten proxy opzetten. Een machine (liefst een server) met internettoegang. Wat je doet vanaf je point of entry (VPN server, PC van gebruiker) is het netwerk afzoeken naar niet gepatchte servers waar je een "privilege escallation" op kan doen. Vanaf dat punt kom je dan het hele netwerk over en naar buiten. Dan is het in kaart brengen en infecteren en als het moment daar is je destructieve werk in gang zetten.

Iets van dat moet het geweest zijn en ze zijn waarschijnlijk al 2 maanden binnen.

[Reactie gewijzigd door asing op 3 december 2020 19:30]

Ik heb het idee dat ze graag slachtoffer willen zijn. Alsof een gemeente van 35K zo'n enorme druk bezochte webserver heeft dat ze niet even een VM over het probleem heen kunnen plempen, desnoods met een redirect naar een ander ip. En workstations met wat voor malware dan ook zouden helemaal als grap beschouwd moeten worden. Niemand daar is afhankelijk van een specifieke computer met een bepaald probleem.

[Reactie gewijzigd door blorf op 3 december 2020 18:20]

Toen ik destijds bij deze gemeente werkte hadden ze allemaal thin clients en werd er 100% remote gewerkt. Dit was ook geen Windows maar een properetair besturingssysteem. Ik kan me dus niet goed voorstellen of ergens een medewerker met een USB onzorgvuldig is geweest. Eerder is er wat via de mail binnen gekomen of is er een link aan geklikt.
Hackers hebben blijkbaar steeds meer tijd. Of het 'beroep' wordt steeds populairder. Infra opnieuw opbouwen, hopelijk met goede (nog niet besmette) backups is inderdaad een goede zet.
Evengoed dramatisch dat dit soort dingen gebeuren. Vooral bij overheidsinstellingen, waar men de systemen echt nodig heeft. Aan de andere kant is dit en de andere aanvallen die dit jaar hebben plaatsgevonden een goede les voor iedereen die denkt het patchen nog wel te kunnen overslaan voor deze keer. Of dat zij geen goed target zijn voor een cyberaanval. Iedereen is een target.

Ik kan mij een artikel, hier op Tweakers dacht ik, herinneren van een universiteit (was dat ook niet in Twente?) waarbij de boel in de brand ging. Zij waren ook nog eens internet toegangspunt of iets in die richting, dus half Nederland was toen getroffen door de gevolgen. Met hulp en medewerking van hun leveranciers is toen in no-time een heel nieuw DC opgezet.
Tenminste...zo komt het naar boven in mijn herinnering. Maar ik ben al oud, dus die herinneringen zijn niet altijd betrouwbaar :+
Is het niet een beetje te vroeg om te zeggen dat het blijkt dat geen gegevens bekeken of gestolen zijn? Hoewel ze niet helemaal zeker zijn, zou ik dan liever gaan, we weten nog niet 100% zeker als er data gelekt is. Met het uitspraak "Gelukkig kunnen we melden dat het erop lijkt dat er geen gegevens in verkeerde handen zijn gevallen" creëer je in mijn ogen een schijnveiligheid gevoel :/

Anyways, misschien is dit de wake-up call nodig om ook bij kleinere gemeentes en instanties de ICT onder de loep te nemen, waarom moet ieder gemeente het wiel opnieuw uitvinden? Kunnen wij niet een landelijk instantie maken die verantwoordelijk is voor het ICT infrastructuur, beveiliging en up-to-date houden hiervan?

Zit lang niet meer in de IT (was software tester voor ene Bedrijf die software maakte voor overheidsinstanties) en bij bijna alle klanten, m.u.v. de grote gemeentes en provincies, had de rest sowieso de standaard wachtwoord van de database in een plain tekst in een config file. En we kregen zo maar DB dumps met alle gegevens om dingen te testen / nieuwe modules te ontwikkelen.
Ze willen dat het Nationaal Cyber Security Centrum (NCSC) wat meer mandaat krijgt, om af te kunnen dwingen dat kritieke infrastructuur en overheidsorganisaties beter mee kunnen gaan met de veiligheid. Op dit moment worden er door net NCSC vooral nog adviezen gegeven en zijn de organisaties zelf verantwoordelijk voor de uitvoering en implementatie.
Het zal mij benieuwen als inwoner van deze gemeente. Met name omdat er met deze gegevens natuurlijk heel makkelijk identiteitsfraude kan worden gepleegd.

Ter info, ook onze minister van defensie Ank Bijleveld is inwoner van deze gemeente, dus daar liggen dan ook gegevens van op straat.

[Reactie gewijzigd door 3dmaster op 3 december 2020 17:53]

Zie hier ook toelichting van de burgemeester op Youtube. Aan haar mimiek te zijn lijkt het of de gemeente zojuist is gebombardeerd.
Voor de dienstverlening naar de burger toe is het effect vergelijkbaar. Afhankelijk van bij welk bedrijf je werkt is het bijna onvoorstelbaar dat je jaren werk opnieuw moet doen...
Deed Gemeente Hof van Twente niet mee aan GGI-Veilig, of heeft de SIEM/SOC-dienstverlening van KPN gefaald bij het tijdig detecteren van deze infectie/aanval?
Nog even los van backups vind ik het opmerkelijk dat dit soort kritische systemen niet op z'n minst via snapshots zijn beveiligd. Het is verreweg de simpelste verdediging tegen ransomware. Al encrypten ze elk bestand op de server, roll back naar een paar uur eerder en klaar. Je bent hooguit een paar uur data kwijt.
Ransomeware is soms al manden in de omgeving aanwezig waarbij backups op de achtergrond al versleuteld blijken te zijn!
Daarom zeg ik snapshots en niet backups. Een snapshot is, in een degelijk systeem, read only en dus niet te versleutelen door een virus. De laatst opgeslagen versie voor versleuteling zou dus altijd te herstellen moeten zijn.
Het is sowieso bedenkelijk dat systeemonderdelen veranderd kunnen worden en dan de boel gewoon blijft draaien. Een beetje beveliging knalt gelijk op rood als dat gebeurt
Helaas ESX komt er ook niet onderuit. En ook snapshots niet je zet ze terug en beginnen meteen weer te versleutelen.
Je hebt een partitie of ander soort volume. Deze levert een checksum waarde op...
Dat werkt zo niet. Leuk voor een simpele standalone applicatie server, maar een DC/Exchange/DB server restoren vanaf een snapshot van een paar maanden oud is nutteloos en vaak zelfs onmogelijk. Je krijgt daar meer ellende mee dan dat het je iets oplevert.
correct heb zelfs gevallen gezien waar de storage zelf was versleuteld was dus alle VM's gewoon weg.
Hoezo dan? Als je een snapshot terugzet van een paar uur eerder zit de malware er toch al lang in?
Zal afhangen van het type malware en het type aanval, maar ik doel voornamelijk op de integriteit van de data. Op z'n allerminst kan je terug gaan naar een moment waar de data nog niet is versleuteld en kun je een read-only backup trekken van de meest recente spullen. Zelfs als je de bron van de infectie dan nog niet weet beperk je de schade wel aanzienlijk. Op een degelijk ingericht systeem kan je dat soort schade zelfs beperken tot een enkel uur dataverlies of nog korter. Dat is nog steeds vervelend, maar niet onoverkomelijk, en heeft toch zeker de voorkeur boven het verliezen van dagen/weken/maanden aan werk of zelfs volledig corrupte backups die jaren terug gaan.
De schade zit hem vaak vooral in dat systeem bestanden van de werkstations versleuteld zijn en dat medewerkers niet meer kunnen werken. Voor een gemeente in deze vorm kan het goed betekenen dat ze weer 300 werkplekken up and running moeten krijgen terwijl ze ondertussen ook nog de malware van de servers moeten verwijderen en de oorzaak moeten achterhalen. Het bedrijf ligt gewoon erg lang plat en dat staat dan nog los van of er eventueel gegevens verloren zijn gegaan. Dus ja een backup is er erg belangrijk, maar ook niet de oplossing voor dit probleem.

[Reactie gewijzigd door dafallrapper op 3 december 2020 18:58]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee