A: hoe kan zo'n hack ontstaan? Een ziekenhuis of laboratorium is niet echt een omgeving die uitnodigen om vanuit huis een USB stickje mee te gaan nemen en zelf bestanden te gaan kopiëren. En vanwege bescherming van patiëntgegevens lijkt mij de rest ook dichtgetickt te moeten zijn, toch?
Het zou dicht moeten zijn, maar dat is makkelijker gezegd dan gedaan. Niemand werkt in isolatie, de meeste mensen moeten toch communiceren met elkaar en met de buitenwereld. Er is het afgelopen jaar overal ook een hoop extra software geinstalleerd om thuiswerken mogelijk te maken. Iedere extra ingang is ook een extra gevoelig punt.
Overigens wat het voor Corona ook al niet zo best gesteld met de veiligheid. Mensen beseffen niet dat software configureren onderhouden duur vakwerk is en dat de aanschafprijs maar een klein deel van de totale prijs is. Ik ziet steeds weer dat clubs een stuk dure software kopen en een consultant inhuren om de software voor ze te installeren. Die consultant kent alleen z'n eigen product en probeert zoveel mogelijk afstand te houden tot de rest van de infrastructuur van de klant, want als er iets stuk gaat krijgt de consultant de schuld.
Zodra die consultant weer vertrokken is weet niemand nog hoe de software onderhouden moet worden en schiet men snel in "afblijven zolang het werkt" stand. Zodra er wel een probleem is komen ze er achter dat het oplossen van dat probleem meer gaat kosten dan de oorspronkelijke aanschafprijs.
B. Een backup is snel gemaakt en het terugzetten duurt misschien een dag, maar dan ben je weer in business. Waarom hebben dit soort bedrijven niet standaard een backup?
Heb je het wel eens gedaan? Backups terugzetten is moeilijk. Zeker als je geen zeer goed uitgedachte procedure hebt. Een enkele computer is wel te doen, maar een hele omgeving is enorm lastig.
Ten eerste zal je bij je backups moeten komen. Hoe ga je dat doen als je geen gebruik kan maken van je normale computer omdat die gehacked is? Heb je een kopie van het wachtwoord op een veilige plek? Uiteraard is dat oplosbaar, maar je moet er wel van te voren over na hebben gedacht.
Dan heb je een schone computer nodig om die backup op terug te zetten. Ook dat zal je voorbereid moeten hebben.
Dan moet je gaan nadenken over de volgorde waarin je dingen gaat herstellen. Moet je eerst de fileserver doen of eerst Active Directory of eerst je DNS-servers? In veel omgevingen zijn dingen zo vervlochten dat er eigenlijk geen logische volgorde is, tenzij je daar van te voren heel goed over hebt nagedacht. Je komt heel snel in een kip-ei situatie terecht. Je kan bv niet inloggen op je DNS-server omdat je LDAP-server er nog niet is, en je LDAP werkt niet zonder DNS.
Dan zijn er nog certificaten, wachtwoorden en ander sleutelmateriaal dat door de software zelf is aangemaakt en uitgewisselt. Dat klopt niet meer als je sofware niet in de juiste volgorde terugzet en herstart. Tenzij je al je systemen precies tegelijkertijd kunt restoren zodat je alles in een keer terug aasn kan zetten.
Dan hebben we het nog niet gehad over praktische aspecten als tijd en bandbreedte. Als je organisatie een 50mbit glasvezel aansluiting heeft dan is dat voor dagelijks gebruik vast genoeg, maar als je 20TB aan data moet downloaden met zo'n lijn dan ben je maanden bezig. Is je backup software slim genoeg om de "juiste" data selectief te downloaden en terug te zetten? Heb je genoeg schijfruimte om alle tijdelijke bestanden op te zetten voordat je backup uitgepakt kan worden (als dat zo werkt)?
En zelfs als je al deze problemen hebt voorzien dan is er nog een probleem: kun je je backups wel vertrouwen? Bij virusaanvallen en ransomware zit er vaak een flinke tijd tussen de eerste infectie en het punt waarop de aanval zichtbaar wordt. Als je pech hebt zijn je backups ook besmet. Misschien kun je dan teruggaan naar een eerdere backup, maar dan verlies je al het werk dat in de tussentijd is gedaan.
Backups terug zetten is in praktijk dus vaak erg lastig, duur en traag. Dat doe je alleen als je echt geen andere mogelijkheid meer hebt.
In een ideale wereld zouden we hier regelmatig mee oefenen. Net zoals dat we twee keer per jaar een ontruimingsoefening doen samen met de brandweer. Een aardige gedacht in deze is dat een backup pas "af" is als je hebt bewezen dat je de backup kan restoren.