Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen leggen Belgisch lab dat coronatests uitvoert plat en eisen losgeld

Criminele hackers hebben het operationele systeem van het Algemeen Medisch Laboratorium in het Belgische Hoboken platgelegd. Het laboratorium voert per dag zo'n 3000 coronatests uit, wat neerkomt op vijf procent van het landelijk totaal.

Volgens de Gazet van Antwerpen vragen de hackers om losgeld om de systemen weer werkend te maken, maar het laboratorium zegt daar niet op ingegaan te zijn. In plaats daarvan is het naar de autoriteiten gestapt. De Belgische Computer Crime Unit heeft een onderzoek in gang gezet. Er lijken geen patiëntengegevens gestolen te zijn bij de inbraak, zeggen de betrokken partijen. De systemen bij het Algemeen Medisch Laboratorium liggen door de hack sinds maandag 28 december stil.

Het is niet de eerste keer dat een instantie die zich bezighoudt met de bestrijding van het coronavirus het doelwit is van een hack. Begin december was het Europees Geneesmiddelenbureau EMA, dat de coronavaccins van Pfizer/BioNTech en Moderna moest keuren, het doelwit van een digitale aanval. De aanvallers hadden toegang tot de documenten over de werking van het vaccin. Ook waren de aanvallers op zoek naar informatie over de toelatingsprocedures van de vaccins en over betrokkenen bij de onderzoeken daarnaar. Het is niet duidelijk of ze die informatie ook hebben weten te bemachtigen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

29-12-2020 • 12:52

220 Linkedin

Reacties (220)

Wijzig sortering
Dit vind ik persoonlijk nog erger dan het stelen van data bij een bedrijf. Hier ben je gewoon bewust de gezondheidszorg van mensen aan het ontwrichten. Dit is meer een aanval op de samenleving naar mijn mening
Voor zover gekend is er geen data gestolen, uit berichtgeving blijkt ook dat niet het volledige systeem geïnfecteerd is.

"Volgens het labo is enkel het operationele systeem getroffen. "Er is geen informatie gestolen.""

&

"Met zogenaamde ‘ransomware’ vergrendelden hackers het computernetwerk om vervolgens losgeld te eisen om het netwerk weer vrij te geven. ‘Na een uitgebreide analyse door onze beveiligingsteams werd beslist het netwerk los te koppelen’, zegt ICT-manager Maarten Vanheusden in Gazet van Antwerpen."

Het lijkt er dus eerder op dat een ransomware is binnen geraakt, het is zelfs niet zeker of het doelgericht was waarbij het gedetecteerd is en men zelf het netwerk heeft stil gelegd.(ik doe hetzelfde als ik morgen een ransomware detecteer op mijn bedrijfsnetwerk)
Dat wilt zeggen dat men nu alles aan het afgaan is en alle computers aan het herinstalleren is waar men vermoed dat de infectie op staat. Vermoedelijk zal men gefaseerd het netwerk terug terug online brengen.

Als het enkel operationieel is wilt dat zeggen dat de resultaten zelf niet geïmpacteerd zijn, echter zolang het netwerk volledig plat ligt zal men niet aan de resultaten zelf geraken. Gezien het een labo is en men spreekt over operationieel vermoed ik dat we hier spreken over computers die interfacen met medische/labo apperatuur. Grote kans dat dit computers zijn die aangeleverd worden door 3th party samen met de apperatuur met héél niché software en dat het 3th party is die de boel moet komen herinstalleren. Bovendien is de kans groot dat de toestellen opnieuw afgesteld moeten worden of gekeurd moeten worden, daar zitten vast strikte regels aan.

Met andere woorden, het gaat hun tijd kosten om de schade ongedaan te maken, veel meer dan bij meer klassieke computers/servers. Dat enkel de operationale geraakt zijn, uit mijn ervaring met niche software op computers die geleverd worden samen met apperatuur, vergeet het dat die dingen updates krijgen, vaak vergrendeld de leverancier die ook onder het motto zo zijn we zeker dat de klant er niet aan prutst (en kan je iedere keer dik betalen als er iets mee moet gebeuren) en is dat een black box voor de IT afdeling.
Allemaal goed en wel, tot je die dingen aan het netwerk begint te hangen, want dat is o zo gemakkelijk als je die info over het netwerk kan uitwisselen, tot het fout loopt natuurlijk.
Er zijn vaker ziekenhuizen en universiteiten platgelegd. Het is gewetenloos, want de schade is enorm. Ziekenhuizen spreekt vanzelf, zoals hier ook, maar ook aan universiteiten worden experimenten gedaan die erg van tijd afhangen, bijvoorbeeld omdat ze met dieren, planten of chemische processen te maken hebben. Het levert risico's op, stress, uren overwerk en zomaar miljoenen aan schade om zo'n heel netwerk op slot te zetten met ransomware. Het is echt iets anders dan iemands vakantiefoto's vergrendelen.
Die vakantie foto's hebben soms ook enorm veel emotionele waarde....
Dit moet je gewoon simpel houden, standaard strafmaat: 10 jaar.

Daar kunnen ze die crypto scammers ook onder schuiven. Dit is gewoon keiharde criminaliteit.
Alleen jammer dat dit soort tuig moeilijk te arresteren is...
Persoonlijk vind ik het vreemd dat je deze systemen niet "simpel" kan resetten. Ja oude tests zijn weg, maar een nieuwe chip OS etc moet toch geregeld kunnen worden.

Wat is er precies gehacked?
In zo'n situatie kan een backup niet zomaar teruggezet worden omdat:
- er (zeker in het begin) niet geweten is hoe lang de ransomware zich al in het systeem bevind, dit kan al maanden op voorhand zijn (maar pas geactiveerd word op een bepaalde datum)
- als je 1 systeem terugzet terwijl dat de andere nog aanstaan, kan dit terug geinfecteerd worden door de nog besmette servers
- het backup systeem kan ook naar de ruk zijn door de ransomware

Om veilig terug op te starten moet je:
- alle electronica (die op het netwerk verbonden is) afzetten
- een nieuw netwerk opzetten
- de servers opnieuw 1 voor 1 opzetten en configureren (dit gebeurd meestal nog manueel)
- de bedrijfsspecifieke toestellen (die verbonden moeten worden met het netwerk) grondig te onderzoeken, veilig te verklaren (of reset, en misschien zelfs opnieuw calibreren) en aan te koppelen op het nieuwe, veilige netwerk.

Dit is allemaal zeer arbeidsintensief en kan niet op hetzelfde moment gebeuren. De capaciteit van de IT dienst is beperkt (in eender welk bedrijf).

Neem de ransoware aanval bij Asco: het heeft ~18 maanden geduurd voordat die volledig terug operationeel waren
Wat is er precies gehacked?
Precies die vraag is het antwoord waarom je niet "simpel" kan resetten ;)
Als iemand een virus gedownloadt heeft wat nog niet actief is kan je het simpelweg even naar de prullenbak slepen (bij wijze van...), als het een worm is welke UEFI, BadUSB of vergelijkbare hardware infecties uitvoert kan je vrijwel alles in de kliko gooien en een rondje Dell/HP bellen voor nieuwe apparatuur met bijbehorend prijskaartje en zeker nu met al vaak een wachttijd want hoge vraag vanwege het thuiswerken.

Oftewel het hangt volledig af van de situatie maar een grote rode 'Reset' knop zal je niet gauw gaan zien. Als dat er wel komt zullen hackers zich erop richten om die knop te saboteren enz enz.
Snap ook niet waarom men geen Greenfield recovery strategie heeft. Alle hardware leeg maken en omgeving opnieuw opbouwen. En dan gewoon met 0 data beginnen. En parallel hieraan kan men op een afgesloten, airgap omgeving data proberen te restoren welke na de nodige testen getransporteerd kan worden naar de nieuwe omgeving.

En de Belastingdienst snapt best wel dat je data van ouder dan een jaar niet meer hebt. En je bent ook af wan oude zooi.
Hoe maak je gehackte hardware leeg? UV-lamp op je bios? Want slimme hackers gebruiken ook de cache in je harddisk, je netwerkkaart, je bios e.d. om na een format gewoon dood leuk terug te komen.

Soms zelfs een verborgen partitie aan het einde van de schijf een MB of 36. Wie ziet dat nu op een TB of wat...

Sterker nog bij ons is elke update van software en patch van een OS gewoon weer Greenfield. Door verre gaande automatisering kost het een medewerker 1,5 minuut per keer voor alle installs bij elkaar. Maar wij zijn uitzonderlijk. De meeste bedrijven, zeker in de zorg, hebben die verregaande automatisering nog lang niet, veel systemen zijn fysiek en eenmalig handmatig neergezet.
CMD
Diskpart
SEL DISK 0
Clean

Hele schijf leeg en opnieuw beginnen...

Als het een simpele ransomware is dan zal het hooguit op de disk zitten en niet in je bios.

Maar goed, het is gissen zonder verdere informatie.
Qua fiscus is het probleem dat je een bewaartermijn hebt van 7 jaar. En nee, daar zit echt nul beweging in. Toevallig laatst nog nagebeld over een BTW aangifte van 2011 (Waarvan de jaarrekening allang kloppend was bevonden door accountant en fiscus. Waarom ik bepaalde zaken daarvan had afgetrokken en of ik de betreffende facturen kon overleggen.

Met 0 beginnen is sowieso nodig op hardware en os niveau, maar op dataniveau is dat gewoon lastig. Historische data heb je soms bijvoorbeeld ook nodig om zaken uit te rekenen voor bijvoorbeeld een uitkering van lijfrente, pensioen, overlijdensrisicodekking, ik noem maar even wat dwarsstraten.
Als het over 2011 is kan je gewoon zeggen:jammer dan, langer dan 7 jaar geleden, heb ik niet meer
Dat kan je wel zeggen, maar dat is een erg goede manier om een dieper onderzoek van de Belastingdienst tegen je te krijgen. Beroepen op de bewaartermijn kan, maar niet vervolgens bijdehand gaan doen.
Sorry, in het kader van de AVG mag ik persoonsgegevens van klanten niet langer bijhouden dan dat ik er een gegronde reden voor heb. Wegens het vervallen van de bewaartermijn, worden alle documenten dus automatisch vernietigd na het verstrijken van die termijn.
Wil je aandacht van de fiscus? Want zo krijg je aandacht van de fiscus. Ik heb alles netjes bewaard, dus het was verder geen probleem.

Ik geloof dat de bewaartermijn na beëindigen van bedrijf zelfs nog langer is, maar dat durf even niet zo te stellen.
Salaris en pensioenen zijn ook beschikbaar bij externe partners. Geen bedrijf dat nog zelf 100% doet. En van 0 beginnen geeft de mogelijkheid om weer in business te komen. Parallel daaraan kan je weer alles reconstrueren.
Wij voeren de het pensioenbeheer uit, vanuit excasso gaat er uiteindelijk geld naar de rechtmatige deelnemers. Zonder die pensioendata hebben we geen idee over opbouw, arbeidsongeschiktheid, pbremievrijepensioen, nul, niks. Zonder de pensioendata kunnen wij niks aan excasso geven, en komt er ook geen pensioen bij de pensioengerechtigden.

Uiteraard probeer je je fallbackscenario's zo goed mogelijk in te regelen, maar een Greenfield strategy is vaak gewoon enorm tijdrovend, en die is er vaak niet. Los nog even van de kosten, dus ik kan begrijpen dat bedrijven in die situatie zeggen; we betalen gewoon.

Dat het de enige juiste methode is ben ik overigens roerend met je eens.
En toch kiest men vaak technologie wat gewoonweg niet werkt. Ik ken een (Europees maar niet NL) bedrijf, ik zal de naam niet noemen, die ook betaald heeft (voor de uitzoekers, geen klant van mij of mijn werkgever). Welke een VMware SRM implementatie hadden, maar geen offsite Backup. Want 2 x SAN, op 2 locaties (2 datacenters), Site A was primair, Site B draaide Acceptatie en Test. Op beide Sites werd met Veaam een backup getrokken naar NAS op NFS niveau.

Scenario Site-A gedeeltelijk gegijzeld. Op het moment dat men er achter kwam waren de SRM snapshots op B al besmet en waren beide backup servers ook gegijzeld. Daar zit je dan. Dure VMware SRM oplossing maar geen enkele recovery. Gezien de gebruikte technologie (NFS) bleken dus achteraf ook alle snaps corrupt.

Bron van besmetting is nog onduidelijk, maar verspreiding door beheerder die al jaren daar werkte en vond dat hij overal rechten moest hebben met zijn niet beheer account. Ook via zijn desktop op NFS shares...
In je laatste alinea leg je eigenlijk al de doodzonde die begaan is uit. Nooit, maar dan ook nooit meer permissies geven dan strikt noodzakelijk. Wijzig en/of schrijfrechten zijn buiten een serviceaccount als het goed is niet nodig voor dagelijks beheer. En als je iets moet wijzigen/schrijven, zou dat moeten met een NPA uit een passwordvault als Cyberark.

Overigens maken die persistent attacks het opnieuw opbouwen van je omgeving een uitdagende klus. Hoe lang moet je terug? Welke data is er verloren?

Mijn stelling is: met chanteerde wordt niet onderhandeld, maar ik kan begrijpen dat bedrijven gewoon betalen. 1 ding is dan wel zeker: Ze komen terug.

[Reactie gewijzigd door Spacecowboy op 31 december 2020 12:46]

En hoe zie je dat dan, van nul beginnen?
Berichtje op LinkedIn met de vraag of alle klanten hun lopende bestellingen opnieuw willen doorsturen? En graag ook de openstaande facturen betalen, want we weten niet meer dewelke dat zijn. Zelfde bij de leveranciers.
Ja gewoon met 0 beginnen. Dan heb je alle systemen weer draaien. Parallel hieraan ga je langzaam data identificeren vanuit backups en andere bronnen om zo je data weer op te bouwen.

Het meest kostbare is namelijk helemaal niets doen. Wanneer je de mensen weer aan het werk hebt dan heb je twee trajecten.
Traject 1 is de dagelijkse operatie, daar wordt de data langzaam weer gevuld, misschien niet snel maar zeker gevuld.
Traject 2 is de parallelle recovery van data uit verschillende bronnen, hiermee kan je denken aan een database van een systeem, wanneer deze is schoon gemaakt kan deze terug gezet worden, of gemerged. Het zelfde gaat voor andere documenten.

Wat je niet wil is dat 50 mensen niks zitten te doen. Dat kost klauwen met geld.
Je hebt jouw post in de omgekeerde volgorde geschreven ;) . Het begint met jouw vraag "Wat is er precies gehacked?", als daar een goed antwoord op is gevonden kan gekeken worden naar een passende oplossing. Waarbij "passend" bedoeld is om verdere (toekomstige) schade te voorkomen, verlies van data/services zoveel mogelijk voorkomen en de downtime zo goed als mogelijk te minimaliseren.

[Reactie gewijzigd door Primal op 29 december 2020 14:00]

Gewoon alles weg en Greenfield. Desnoods op nieuwe hardware. Oude data en omgeving isoleer je. Parallel kan je data uit oude omgeving via een airgap terug halen na de nodige testen en scans. Alleen wel verleiding weerstaan oude netwerk te koppelen met nieuwe omdat dat makkelijk is.
Er is een cryptolocker op de PC's terecht gekomen lijkt me. Zo'n toestel om te testen werkt wel nog, maar de data moet op een PC of server komen om zo door te gaan in het systeem. En daar mankeert het nu.
Dat is het kutte van ransomware

Ja je kan resetten maar je moet resetten naar een periode dat je systeem nog niet gecomprimeerd was.
Dat moet je eerst uitzoeken, forensics onderzoek etc

Gaat vaak wat tijd inzitten.

Ransomware is een miljarden-markt en 90% van de bedrijven betalen uiteindelijk
EDIT: Anecdotisch bewijs op eigen ervaring
Blijkt meer 70% te zijn https://www.pindrop.com/b...ctims-paid-up-data-shows/

[Reactie gewijzigd door Gunneh op 30 december 2020 09:57]

Heb je een bron bij deze cijfers? Vind 90% wel wat aan de hoge kant namelijk..
Meer persoonlijke ervaring dus waarschijnlijk meer anecdotisch bewijs, had ik erbij moeten zetten. My bad

Lijkt erop dat het meer 70% is
https://www.pindrop.com/b...ctims-paid-up-data-shows/

[Reactie gewijzigd door Gunneh op 30 december 2020 09:57]

Je kan het ook anders zien. Ze discrimineren niet :+

Alle gekheid op een stokje, als je al tegen de wet bezig bent en systemen van bedrijven, instelling of individuelen gijzelt, waarom zou je dat dan niet doen met zorgsystemen? Want als je weet dat zorgsystemen met rust worden gelaten, waarom zou niet iedereen gaan roepen naar hackers dat ze in de zorg werken?
Om dat er een hele grote stap is tussen informatie gijzelen en de gezondheid van mensen ten tijde van een wereld crisis. Want dit kan de dood als gevolg hebben voor (veel) mensen. Er zijn zat hackers die het verschil niet (kunnen) zien, maar voor velen is dit wel degelijk een stap te ver.
Inderdaad, de gezondheid hebben mensen veel meer voor over..

Na universiteiten, met daar waarschijnlijk ook onderzoek dat indirect levens gaat redden is dit natuurlijk weinig schokkend.
Het is de vraag of het bewust is, over het algemeen zoeken deze figuren met een botnet hele subnets af op zoek naar uitbuitbare zero-day's en machines met achterstallig onderhoud.
Het kan net zo goed volledig automatisch zijn versleuteld en nog geen mens aan te pas zijn gekomen.

Mijn conclusie is dat er ook gesteld kan worden dat er weer eens een bedrijf dat medische informatie bijhoud van de bevolking, weer eens de zaakjes niet op orde had.

[Reactie gewijzigd door Mathijs op 29 december 2020 13:35]

Ook criminelen zijn onderhevig aan de wetten van de economie: Je wilt de grootste winsten met de kleinste risico's.
Steeds meer woningovervallers hebben het op ouderen gemunt, zo blijkt uit politiecijfers. Bij de 460 woningovervallen in 2015 was 28 procent van de slachtoffers 66 jaar of ouder. Een jaar eerder was het percentage 24 procent.
https://www.destentor.nl/...-voor-criminelen~a25c302f

In dat opzicht is het aanvallen van ziekenhuizen net zo logisch: Kwetsbare doelen die veel hinder ondervinden door downtime.

Goed? Natuurlijjk niet. Maar criminaliteit is ook onderdeel van de economie en als wij daar als maatschappij geen rekening mee houden, dan maken we het wel erg makkelijk. Meer geld naar de gezondheidszorg is dus zeker nodig, zodat ze ook in betere IT kunnen investeren.

[Reactie gewijzigd door Eonfge op 29 december 2020 14:02]

(vraag van een complete leek op dit vlak)

Is het technisch niet mogelijk/wenselijk om een afzonderlijk "intranet" op nationaal niveau op te richten waarop alle kritische infrastructuren (ik denk aan electriciteitscentrales, overheidsdiensten, kritische medische diensten, etc) aangesloten zijn, fysiek afgesloten van het internet? Zo dat eventuele hackers effectief lokaal moeten aanwezig zijn om toegang te krijgen, maar er toch nog een netwerkinfrastructuur aanwezig is om het werkbaar te houden?

Het is toch echt overantwoord dat nationale levensbelangrijke instanties zomaar voor pakweg Russische hackers toegankelijk zijn via het algemene internet?
Op voorwaarde dat je u "intranet" 100% waterdicht kan maken, ja. Maar afhankelijk van hoe kritisch je bent word het alsmaar lastiger dat af te dwingen. Dat gaat van medewerkers die even een andere netwerkkabel nemen (want ze wouden hun bureau verhuizen) tot men komt effectief lokaal via de kuisploeg apperatuur aansluiten tot men infiltreert de leverancier zelf of onderschept de hardware onderweg om er malware of achterdeurtjes in te plaatsen.

Het via de kuisploeg scenario heb ik al meegemaakt, kan ik ook publiekelijk zeggen gezien het in de kranten heeft gestaan. Hoe groter je bent als doelwit hoe intressanter je bent hoe lastiger het is om effectief 100% waterdicht te maken.

Een ander groeiend probleem is dat men claimt dat men een "intranet" heeft dat is afgesloten van het internet maar in dit geval komen die resultaten terecht op de computer van de huisarts. Tenzij iemand die data manueel zit over te typen (doesn't happen) moeten die resultaten toch echt ergens van dat afgesloten "intranet" over het internet naar de huisdokter. Bijkomstig als je echt dat "intranet" afgesloten maakt dan kunnen de interne medewerkers er via het gewone netwerk ook niet aan, de facturatie dienst zal willen weten hoeveel testen er genomen zijn en aan wie men ze moet factureren tenzij je dat apart gaat bijhouden maar het is uiteraard veel effecienter dat 1 keer te doen. En zo zijn er altijd wel redenen waarom dat core netwerk toch ergens data moet uitwisselen naar buiten toe.

Dus ook al bouw je een volledig apart internet, ergens zal er toch data heen & weer moeten. Bovendien krijg je een pervers effect wat ook met dat "afgesloten intranet" gebeurd, doordat men claimt dat het "niet aan het internet hangt" is er vervolgens ook geen reden meer om nog aan security te doen. "Men moet al lokaal zijn en dan is het toch te laat" dus waarom nog een risico nemen met updates te installeren? "Het hangt toch niet aan het internet?"

In de praktijk heb je dus eerder een core netwerk dat verbonden is met het gewone bedrijfsnetwerk waarbij het gewone bedrijfsnetwerk wel naar internet kan, al dan niet met een gedemilitariseerd netwerk er tussen. Uiteraard op het moment je die overgang maakt kan je er een boel security tussen steken maar ook daar weer, 100% waterdicht krijg je dat niet.

Echter in de praktijk is security een lastig verhaal, het is een verzekering tegen een risico en zolang men het risico niet meegemaakt heeft of heeft zien gebeuren, je krijgt dat heel moeilijk verkocht. Dat is zoals je verzekeren tegen virussen die mogelijks ooit eens een pandemie zouden kunnen veroorzaken (wat gigangtisch veel belastingsgeld zou kosten) ondanks alle waarschuwingen, ondanks Ebola, ondanks HIV met 36 miljoen doden, je kreeg het maar niet verkocht een polis te nemen door preventief antivirale middelen te maken voor SARS. Er zijn uiteraard andere kandidaten van virussen die mogelijks ooit zouden kunnen overspringen op de mens, vrij groot kostkaartje om daar overal preventief een polis voor te nemen. In cyber security gebeurd hetzelfde, men moet het eerst is goed voelen voor men bereid is er iets aan te doen, als het brand is veel mogelijk maar als het opgelost is "als het nieuwe normaal normaal word" dan neemt die bereidheid snel weer af.

Bijkomstig 100% security bestaat niet, niet in cyber security maar ook niet door preventief een polis te nemen op virussen die mogelijks ooit zouden kunnen overslaan op de mens. Mogelijks slaagt er een virus over dat we nog niet kenden waardoor al onze duur betaalde preventief ontwikkelde antivirale middelen nutteloos zijn, mogelijks muteerd het virus waardoor het preventief ontwikkelde antivirale middel niet werkt. Bijkomstig hadden we wapens klaar gehad dan was die SARS uitbraak iets ver van ons bed show gebleven met minimale impact, die dure polis zou in vraag gesteld worden want het viel toch mee? Zoveel geld voor een paar honderd Chinezen? Als we dat geld in onze eigen zorg hadden gestoken dan hadden we duizend Nederlanders kunnen redden!

Security is en blijft een kat & muis spel. Hoe veilig voel je u, hoe veilig ben je echt, wat is je risicoprofiel en zijn de draaiboeken als het fout loopt bestaande en afdoende?

[Reactie gewijzigd door sprankel op 29 december 2020 19:29]

Ja en nee.

Ik zal je een extreem voorbeeld geven: Kernreactoren in Iran. Deze werden air-gapped bediend, dus zonder netwerkkabel. Nu wil het natuurlijk dat die reactoren ook software nodig hebben, en dat deze software op andere computers werd geschreven. Via-via wisten hackers uiteindelijk toch op de computers van de kern reactoren te komen, en deze hebben ze toen in de soep laten lopen.

Dat zelfde zal je ook hebben met zo'n overheidsnetwerk in Nederland. Je kunt niet honderdduizenden mensen toegang geven, en het dan alsnog gescheiden houden. Vroeg of laat steekt iemand een USB stick in een computer op het stadhuis, en dan kun je vanuit daar verder het netwerk in.

Het model kan echter wel helpen op kleinere schaal: Je kunt bijvoorbeeld binnen een ziekenhuis alle afdelingen hun eigen netwerk geven, zodat een aanval bij cardiologie, geen impact heeft of neurologie. Eenvoudiger voorbeeld: Bij mij op kantoor zijn front en backoffice gescheiden. Als ontwikkelaar kan ik niet bij de CRM systemen, en sales kan niet bij de code.
Volgens mij waren het de centrifuges in Iran, niet de reactoren. Tenminste, als je Stuxnet als voorbeeld neemt hier.

Overigens wel een gechargeerd voorbeeld; Stuxnet zat geen verdienmodel aan vast wat wel een vereiste is voor normale criminelen. Want ook bij criminelen moet de schoorsteen roken.
Goede toevoeging trouwens. In de economische strijd tussen bedrijven en criminelen, moet je er uiteindelijk voor zorgen dat je geen lucratief doel bent. Laat ze maar bij de buren inbreken.
Kleine off-topic toevoeging: wat hieraan extra leuk is, in dit geval was “Via Via” de Nederlandse AIVD. Wij doen aardig mee in die wereld.

[Reactie gewijzigd door Dennisdn op 29 december 2020 17:13]

Wel mogelijk, zeer wenselijk, niet voldoende.

Je zal je data moeten categoriseren in mate van belangrijkheid, en per categorie een set maatregelen nemen. Voor deze categorie had ik inderdaad op z'n minst een apart netwerk verwacht, maar dan ben je er nog niet. Helemaal voorkomen dat je wordt aangevallen is niet mogelijk, dus zal je ook een passende recovery strategie moeten hebben. Off-site backups waarbij de beheerorganisatie binnen het bedrijf de backups met regelmaat (wekelijks) controleert op een machine die überhaupt niet op een netwerk zit.

Het valt allemaal wel op te vangen, alleen moeten we van het idee af dat er alleen een aantal technische maatregelen nodig zijn. Net als met consumentenelektronica: je krijgt waar je voor betaald. Als je belangen zó groot zijn, dan is een eigen beheerdienst en minimaal één keer per jaar een audit van een security architect echt geen overbodige luxe.
Ik weet niet of meer geld een oplossing is.
Ik zie zelf op veel plaatsen in het bedrijfsleven veel onkundige managers die weer onkundige mensen onder zich aannemen zodat ze zelf niet door de mand vallen, waardoor wanneer er iets moet gebeuren dat weer extern wordt aanbesteed.
Dus kans dat meer geld naar nog meer onkundige overhead gaat en het probleem niet oplost.
Waarschijnlijk zal bij veel bedrijven en instellingen met een structuurverandering veel meer opgelost worden.
Maar ook onder hackers/criminelen zijn er ethische grenzen. Inbreken in kerken/moskeeën of Synagogen is bij veel inbrekers not done (ook al is er vaak veel goud te halen) Volgens mij legt de Italiaanse Mafia je zelfs om als je dat doet en lid bent.

Ook onder hackers kun je veel doen. Maar val jij een ziekenhuis aan met ransomware en vallen er mogelijk doden. Dan kom je zelf ook in de problemen. De hackers gemeenschap is net een maatschappij inderdaad, normen en waarden liggen misschien anders, maar ze zijn er wel degelijk.

Betreft de EMA aanval: er zijn veel Alu hoedjes hackers. Die hacken het Pentagon voor UFO info. Ik denk dat daar met de EMA ook zo'n hack is geweest.
Exactly, de kans dat ze net dat labo eruitgekozen hebben is erg klein (er zijn interessantere doelwitten als je echt in Belgie impact op de corona plannen wil hebben). Gewoon iemand die ransomware aangeklikt heeft; dat gecombineerd met van presumably een of andere crappy VB6 applicaties om die testapparatuur aan te sturen wat enkel werkt met admin rechten (fictief voorbeeld maar niet ongebruikelijk op een ‘technische pc’)... en prijs.
Exact ook de reden waarom juist dit bedrijf is gepakt. Er zit een maatschappelijk belang achter met flinke tijdsdruk. Elke dag plat is 3000 testen minder in een tijd waar elke test telt.

Dan is de keuze om het losgeld te betalen uiteindelijk makkelijk gemaakt.
Dat, en klaarblijkelijk had men de IT bedrijfsvoering niet op orde.
Waarom denk je dat? Ik kan dat niet afleiden uit het artikel.
Om de doodeenvoudige reden dat ze (nog) geen disaster recovery hebben kunnen doen. Ransomware is geen onoverkomelijke terugslag.
Misschien moet je jezelf als security consultant gaan verhuren. Als jij dat zo makkelijk en snel geregeld krijgt dan kun je goed geld verdienen.
Toch heeft hij gelijk vind ik. Het is vaak een ondergeschoven kindje omdat het geld kost, wat men niet terug ziet in productiviteit. Heb in de afgelopen 15 jaar dit bij 1 bedrijf gezien, wij deden daar elk jaar een recovery test( kostte klauwen met geld ) maar we hadden alle systemen in de lucht vanaf scratch in 1 week, inclusief 40 werkstations. Maar zoals gezegd, dit wordt weinig gedaan omdat het vrij duur is. Maar niet onmogelijk zoals nst6ldr zegt.
We gaan nu langaam de diepte in maar hangt natuurlijk ook af van hoe je disaster recovery geregeld hebt. Als je met de inrichting van het 2e datacenter rekening hebt gehouden met een bomaanslag, kapotte spullen maar niet met ramsomware en je synced dat vrolijk naar je recovery omgeving en/of je backups dan krijg je dit ook als je overgaat. Je zult terug moeten naar een moment dat je zeker weet niet geinfecteerd te zijn, dan moet je omgeving eerst gewapend worden tegen deze aanval zodat het niet direct nogmaals gebeurd als je live bent. En dan zit je nog met een gat aan gegevens tussen dat je laatste goede backup was tot nu. Als je bijv. 2 weken gegevens kwijt bent is dat een enorm probleem.
Klopt, dat bedrijf maakte gebruik van tape, we konden dus maximaal een jaar terug in de tijd, maar er ontbreekt een x aantal dagen data inderdaad. Maar je was wel weer in de lucht met alle systemen in 5 dagen.
Ik heb nergens gezegd dat het makkelijk en snel kon, het kost geld en manuren maar draagt niet bij aan productie. Om niet in de herhaling te vallen had ik hier en hier al een aantal dingen getypt die men 99 van de 100 keer niet doet maar hiermee wél productie binnen zeer korte tijd kan hervatten.

En het is daadwerkelijk m'n werk om me hier mee bezig te houden. Mijn organisatie (70k gebruikers) krijgt dagelijks met verschillende aanvallen te maken, nog nooit hebben deze dermate veel invloed gehad omdat we gewoon een nette infrastructuur en beheerdienst hebben. Ja, dat kost geld, maar daar zijn onze belangen dan ook naar. Als je de investering niet nodig vond dan moet je achteraf ook niet huilen.

[Reactie gewijzigd door nst6ldr op 31 december 2020 10:27]

Dus deze hackers gaan over levens en zijn dus nu moordenaars ipv hackers. Zo zouden ze dan ook in mijn ogen veroordeeld mogen worden.

*Dit geld voor alle hackers etc die levens bedreigende of hulp organisaties targetten voor inkomsten*
Daar heb je een punt. Ik denk dat dit onder terrorisme valt.

overtreding -> misdrijf -> landsverraad.

Gegeven dat veel westerse landen hebben aangegeven partij te zijn in de “oorlog tegen terreur”, zou je in extremis zelfs het oorlogsrecht kunnen hanteren. Het zou een aardig voorbeeld stellen.
Volgens de gangbare definitie is er sprake van terrorisme als er een politieke of religieuze motivatie is.

In deze situatie gaat het gewoon om geld.
Ik ben niet overtuigd dat je hier terrorisme hard kan maken. Normaal heeft terrorisme een bepaald ideologisch karakter, en als doel om bepaald maatschappelijke veranderingen teweeg te brengen of om maatschappelijke handelingen te forceren. De enige verandering waar men hier op uit is, is het aantal nullen op iemands bankrekening.
Misschien een dag of twee vertraging in je test zou ik nu niet direct terrorisme noemen. Denk niet dat de gemiddelde persoon door één hack op één lab bang word dat ie niet meer getest kan worden.

De gezondheidszorg aanvallen mag best strafverzwarend zijn als je het mij vraagt, maar ik hou de grens voor "enemy combatant" achtige taferelen liever wat hoger.
Ik volg die redenering niet:

Criminelen stelen data en zien dat bedrijf X software van bedrijf Y gebruikt, potentiele bron om aan te vallen.
Criminelen stelen data en hebben gebruikers en wachtwoordgegevens van bedrijf Y.
Criminelen stelen data en hebben gebruikers en wachtwoordgegevens van bedrijf Z, wat onderhoud doet aan systemen van bedrijf Y.

Alles wat geld kost (lees: gestolen wordt) komt ten laste van de samenleving. Je kunt dat nu eenmaal niet meer uitgeven aan beter gezondheidszorg, beveiliging, onderwijs, etc.
Een ondernemer kiest bewust voor zijn eigen ondernemersrisico. Qua verantwoordelijkheid zou alleen de ondernemer daar de lasten en lusten van moeten hebben.

Een hacker loopt bewust risico met andermans systemen.
Criminelen kijken alleen naar kansen om (gemakkelijk) geld te verdienen. Verder hebben ze totaal geen geweten en lijken ze eerder aangetrokken te worden door problemen in de samenleving, dan dat ze die proberen te ontzien.

De pakkans en strafmaat is nog ver onder de maat, maar met dit soort acties zullen de opsporingsinstanties wel geprikkeld worden om de pakkans te vergroten. Het vervelende is dat de daders zich over de hele wereld kunnen bevinden en niet alle landen meewerken aan opsporing en uitlevering.
Dit zou onder terrorisme moeten vallen.
Hoog tijd dat Bitcoin traceerbaar wordt, zodat de geldstromen niet meer anoniem kunnen doorgaan, als de criminelen geen centen te pakken krijgen, of de pakkans zeer hoog wordt, verdwijnt ook deze misdaad grotendeels.
Bitcoin is perfect traceerbaar.. alleen het koppelen van een account aan een persoon is vrij moeilijk te zien, zo niet onmogelijk..
Zwaar straffen als ze deze lui pakken. 10 jaar de bak in.
Terreurwetgeving mag hier van toepassing zijn, wat mij betreft.
Dit vind ik persoonlijk nog erger dan het stelen van data bij een bedrijf.
Ten eerste: het lab is een bedrijf, dus je moet iets specifieker zijn.
Ten tweede: genoeg voorbeelden te bedenken van data roof die nog veel meer doden kunnen veroorzaken.

Zomaar een voorbeeld: het stelen van data over geloofsovertuiging (jodendom) van Nederlandse gemeentes (toen nog uit kaartenbakken) door de Duitsers tijdens de 2e wereld oorlog. Daarmee konden ze extra efficient de joden "ophalen".
Elke reden is goed om (criminele) kapitalisten nog rijker te maken.
Nouja, het is natuurlijk maar hoe je het ziet. Er zijn behoorlijk wat foutieve resultaten, en die zorgen allemaal voor extra paniekcijfers...
Dan snap je niet hoe deze software werkt.

De software heeft geen idee wie de eigenaar is van het systeem of waar deze systemen voor gebruikt worden. Alles wat het weet is dat het het systeem weet binnen te dringen en de bestanden kan versleutelen om vervolgens losgeld te eisen.
Dit soort software valt aan zonder enig gevoel of interesse in bepaalde systemen het doet alleen drie hele simpele taken uitvoeren, dring binnen, versleutel alles wat niet essentieel is om de losgeld eis te tonen en eis losgeld, oh en vier verspreid je zelf verder natuurlijk. Dat is het mooie van het systeem je hoeft er als boef niets meer aan te doen als je het eenmaal losgelaten hebt op de wereld dan kun je gewoon achterover leunen en de bitcoins rollen binnen.

Dit is dus niet het opzettelijk in gevaar brengen van mensen levens dit is alleen maar geld verdienen zonder er zelf iets voor te hoeven doen. Passive income if you will. En omdat alles met bitcoins en dus vrijwel geheel anoniem gebeurt is het als boef nog redelijk veilig ook.
Valt wel mee toch? Het is maar 5% van het totale, je kan dus ook ergens anders getest worden. Het is niet zo dat het testen nu platligt, sterker nog...., hoe gek het ook klinkt nu zijn de andere labs wel wakker en weten dat het gevaar aanwezig is.
Valt mee? Dit moet je gewoon scharen onder terrorisme. Het bewust ontwrichten van de maatschappij.
Waaruit haal je dat deze aanval gericht was op corona-laboratoria of andere medische doelwitten? Voor hetzelfde geld heeft er gewoon een medewerker op een link geklikt die aan enkele duizenden adressen is ge-emaild.

Als je verwacht dat een hacker eerst gaat vragen of de gedupeerde actief is in de strijd tegen Corona (of mensenhandel, of ...[vul zelf maar aan]) en dan pas losgeld vraagt, ben je toch echt niet mee met de realiteit.
De aanval hoeft niet gericht te zijn om toch een terroristisch motief te hebben. Ik ben persoonlijk van mening dat het loslaten van een ransomware op de algemene populatie opzich al een terroristisch motief heeft. Ongeacht of tante sjaan met haar slechte beveiliging het enige slachtoffer is of niet.

Dit is inderdaad het bewust willen ontwrichten van de maatschappij en het willen zaaien van angst met in hoofdzaak als doel het financieel gewin wat behaald kan worden uit mensen die er toch in trappen en betalen.

Wat mij betreft mogen dit soort daders dus ook vervolgd worden voor misdaad met terroristisch motief. Dus wat mij betreft zou in dit soort zaken levenslang als strafmaat behoorlijk dichtbij mogen liggen.
Ik snap het ontwrichten etc, maar de link met terrorisme en angst zie ik niet. Dit is gewoon ordinaire afpersing en chantage. Heel iets anders dan je ideologie opleggen en angst willen zaaien onder andersdenkenden. Dat gaat nog heel veel stappen verder.

Levenslang of erger lijkt me overigens passend voor iemand die in deze tijden geld probeert te verdienen aan de dood van anderen.
In mijn optiek hoeft terrorisme niet zo zeer een ideologisch doel na te streven. Het kan ook puur gaan om het zaaien van angst.
"Ze kunnen je computer gijzelen tot je bitcoins betaalt en als je niet binnen een week betaalt maken ze je computer kapot" is wat ik van bijvoorbeeld mijn huishoudster hoor. Schat van een mens, maar als je ziet wat een digibeet dat ze is, dan vraag je je ergens toch af waarom zij een smartphone en laptop heeft.

En op die manier dus een deel van de bevolking, dat waarschijnlijk groter is dan wij Tweakers denken, angst aanjagen om op internet te gaan, dat vind ik net zo goed terrorisme. Maakt wat mij betreft niet uit of het doel ideologisch is of puur financieel.

Ik houd het persoonlijk bij levenslang, stel dat na 3 jaar blijkt dat je de verkeerde had kan je nog proberen iets recht te breien. Doodstraf ben ik principieel op tegen, beetje lastig om een foutief opgelegde executie achteraf nog terug te draaien.
Begrijp me niet verkeerd: ik praat dat gedoe zeker niet goed. Maar ik ben het fundamenteel oneens met je als je stelt dat dit gelijk staat met terreur (ik leun aan bij @Znorkus ), en nog meer oneens met je standpunt 'angst aanjagen bij de gemiddelde internetgebruiker':
1. Het motief is uiteraard niet 'angst aanjagen', maar zuiver geldgewin. Of vind je dat 'ordinaire' dieven en afpersers ook allemaal terroristen zijn omdat ze (bij sommige medeburgers) angst aanjagen?
2. [lichte overdrijving] Voor mij mag een internet-bewijs worden ingesteld voor de algemene populatie - het zal het aantal geslaagde hacks sterk reduceren en het zal iedereen ten goede komen [/lichte overdrijving]
3. Zelfs zonder internet-bewijs staat het iedereen vrij om data veilig te backuppen. Easy-peasy oplossing tegen zogenaamde internet-terroristen - was het maar zo eenvoudig om je te beschermen tegen echt terrorisme...
En de gewone mens of nog algemener, de niet it-er, weet wat back-uppen is? Je ziet het te simpel.
En de gewone mens of nog algemener, de niet it-er, weet wat back-uppen is? Je ziet het te simpel.
Nee hoor. Iedere meerderjarige die zich op de openbare weg begeeft, wordt verondersteld de wegcode na te leven, zelfs als je te voet of met de fiets gaat en dus niet per se een rijbewijs hebt behaald. Zonder zo'n principe "iedereen wordt geacht de wet te kennen" zou iedereen kunnen ontsnappen aan sancties door zich te beroepen op het excuus 'ik wist het niet'.

Mijn standpunt is een extrapolatie van dat principe. "Weet je niet wat backuppen is? Spijtig, dan had je je maar moeten bevragen bij iemand die dat wel weet - nu kan je niets anders doen dan op de blaren zitten".

(en in deze discussie hebben we het over een bedrijf, niet over 'een gewone mens')
In mijn optiek hoeft terrorisme niet zo zeer een ideologisch doel na te streven.
Het is een woordenboekdiscussie. En in mijn optiek kan je jouw optiek beter iets bijstellen :+

De gangbare definities van terrorisme, inclusief die in het Nederlands strafrecht, hebben juist een ideologische component (politieke actie / verandering nastrevend) als onderscheidend kenmerk van pak'm beet geweld door drugsbendes of zo, wat er ook kan zijn om angst in te boezemen en tegenstanders te intimideren.

https://www.aivd.nl/onderwerpen/terrorisme

https://www.politie.nl/themas/terrorisme.html

https://www.amnesty.nl/en...rrorisme-en-mensenrechten

https://nl.wikipedia.org/...Definities_van_terrorisme
Nou, een poos geleden was ook een gezondheidsinstelling geraakt, waarvan de hackers de sleutels vrij gaven toen ze merkten dat het om een gezondheidsinstelling ging. Dan ben je in mijn ogen toch net een iets mindere rat, dan deze ratten.
Ik vraag mij bij dit soort hacks altijd twee dingen af:

A: hoe kan zo'n hack ontstaan? Een ziekenhuis of laboratorium is niet echt een omgeving die uitnodigen om vanuit huis een USB stickje mee te gaan nemen en zelf bestanden te gaan kopiëren. En vanwege bescherming van patiëntgegevens lijkt mij de rest ook dichtgetickt te moeten zijn, toch?

B. Een backup is snel gemaakt en het terugzetten duurt misschien een dag, maar dan ben je weer in business. Waarom hebben dit soort bedrijven niet standaard een backup?
A: hoe kan zo'n hack ontstaan? Een ziekenhuis of laboratorium is niet echt een omgeving die uitnodigen om vanuit huis een USB stickje mee te gaan nemen en zelf bestanden te gaan kopiëren. En vanwege bescherming van patiëntgegevens lijkt mij de rest ook dichtgetickt te moeten zijn, toch?
Het zou dicht moeten zijn, maar dat is makkelijker gezegd dan gedaan. Niemand werkt in isolatie, de meeste mensen moeten toch communiceren met elkaar en met de buitenwereld. Er is het afgelopen jaar overal ook een hoop extra software geinstalleerd om thuiswerken mogelijk te maken. Iedere extra ingang is ook een extra gevoelig punt.
Overigens wat het voor Corona ook al niet zo best gesteld met de veiligheid. Mensen beseffen niet dat software configureren onderhouden duur vakwerk is en dat de aanschafprijs maar een klein deel van de totale prijs is. Ik ziet steeds weer dat clubs een stuk dure software kopen en een consultant inhuren om de software voor ze te installeren. Die consultant kent alleen z'n eigen product en probeert zoveel mogelijk afstand te houden tot de rest van de infrastructuur van de klant, want als er iets stuk gaat krijgt de consultant de schuld.
Zodra die consultant weer vertrokken is weet niemand nog hoe de software onderhouden moet worden en schiet men snel in "afblijven zolang het werkt" stand. Zodra er wel een probleem is komen ze er achter dat het oplossen van dat probleem meer gaat kosten dan de oorspronkelijke aanschafprijs.
B. Een backup is snel gemaakt en het terugzetten duurt misschien een dag, maar dan ben je weer in business. Waarom hebben dit soort bedrijven niet standaard een backup?
Heb je het wel eens gedaan? Backups terugzetten is moeilijk. Zeker als je geen zeer goed uitgedachte procedure hebt. Een enkele computer is wel te doen, maar een hele omgeving is enorm lastig.
Ten eerste zal je bij je backups moeten komen. Hoe ga je dat doen als je geen gebruik kan maken van je normale computer omdat die gehacked is? Heb je een kopie van het wachtwoord op een veilige plek? Uiteraard is dat oplosbaar, maar je moet er wel van te voren over na hebben gedacht.
Dan heb je een schone computer nodig om die backup op terug te zetten. Ook dat zal je voorbereid moeten hebben.
Dan moet je gaan nadenken over de volgorde waarin je dingen gaat herstellen. Moet je eerst de fileserver doen of eerst Active Directory of eerst je DNS-servers? In veel omgevingen zijn dingen zo vervlochten dat er eigenlijk geen logische volgorde is, tenzij je daar van te voren heel goed over hebt nagedacht. Je komt heel snel in een kip-ei situatie terecht. Je kan bv niet inloggen op je DNS-server omdat je LDAP-server er nog niet is, en je LDAP werkt niet zonder DNS.

Dan zijn er nog certificaten, wachtwoorden en ander sleutelmateriaal dat door de software zelf is aangemaakt en uitgewisselt. Dat klopt niet meer als je sofware niet in de juiste volgorde terugzet en herstart. Tenzij je al je systemen precies tegelijkertijd kunt restoren zodat je alles in een keer terug aasn kan zetten.

Dan hebben we het nog niet gehad over praktische aspecten als tijd en bandbreedte. Als je organisatie een 50mbit glasvezel aansluiting heeft dan is dat voor dagelijks gebruik vast genoeg, maar als je 20TB aan data moet downloaden met zo'n lijn dan ben je maanden bezig. Is je backup software slim genoeg om de "juiste" data selectief te downloaden en terug te zetten? Heb je genoeg schijfruimte om alle tijdelijke bestanden op te zetten voordat je backup uitgepakt kan worden (als dat zo werkt)?

En zelfs als je al deze problemen hebt voorzien dan is er nog een probleem: kun je je backups wel vertrouwen? Bij virusaanvallen en ransomware zit er vaak een flinke tijd tussen de eerste infectie en het punt waarop de aanval zichtbaar wordt. Als je pech hebt zijn je backups ook besmet. Misschien kun je dan teruggaan naar een eerdere backup, maar dan verlies je al het werk dat in de tussentijd is gedaan.

Backups terug zetten is in praktijk dus vaak erg lastig, duur en traag. Dat doe je alleen als je echt geen andere mogelijkheid meer hebt.

In een ideale wereld zouden we hier regelmatig mee oefenen. Net zoals dat we twee keer per jaar een ontruimingsoefening doen samen met de brandweer. Een aardige gedacht in deze is dat een backup pas "af" is als je hebt bewezen dat je de backup kan restoren.
En vergeet niet, zelfs al heb je een procedure, dan moet je ook nog eens een backup vinden van voor de infectie
Juist in een crisis waar we nu in zitten zijn dit interessante doelwitten.
De beveiliging.... Ik denk dat je je daar in vergist of dat goed dicht zit getimmerd. Dit topic bewijst dat maar weer eens.

En een backup is niet altijd de oplossing. Wellicht is dit al tijden op hun netwerk geïnstalleerd en zit het dus ook in backups. Oudere backups terugzetten geeft vaak zoveel verloren werk dat men dit niet zo snel doet.

Daarnaast gaat het hier om inbraak op systemen waardoor een backup terug zetten sowieso weinig nut zal hebben.
De lek kan overal zitten. In een router, firewall, pc, wifi etc.

[Reactie gewijzigd door Hoover op 29 december 2020 13:32]

1. Absoluut waterdicht bestaat niet.
2. Een backup kan ook besmet zijn. Zeker als die heel actueel moet zijn. Terugzetten van een oude backup die nog schoon is heeft in de meeste gevallen geen zin omdat er al teveel gewijzigd is.
In ziekenhuizen hebben ze vaak een plethora aan IT systemen die op vage manier met elkaar verbonden zijn waarvan eigenlijk niemand van de hoed en de rand weet. Leuk om dat in kaart te brengen. Ook gezien bij een grote luchtvaartmaatschappij. "What does this do?! Who uses it?"
En dan met de piep-functie testen. (Service uitzetten en wachten tot er iemand gaat piepen.) Kan soms een maand duren of een kwartaal of zelfs een jaar in theorie. De langste die ik heb meegemaakt was een maandelijkse batchverwerking door een obscuur systeem op een vrachtafdeling.)

Heb ik het wel over 15 jaar terug.
Hoop dat ze het sindsdien wel in documentatie hebben bijgehouden. (Hahaha.. right!)
A: dit jaar nog zijn er persoonsgegevens uit een ziekenhuis gelekt middels USB stick. En dat komt vaker voor.

Ik heb familie die als inhuur voor meerdere ziekenhuizen heeft gewerkt, deze onveilige werkwijze is praktisch overal zo. Het is een wonder dat dit niet veel vaker voorkomt.

B: Omdat het geld kost, simpel als dat. Een beheerdienst is makkelijk op bezuinigd omdat de enige tastbare bijdrage die ze leveren het afhandelen van tickets is. Veelal zijn ze onderbemand en daarom doen ze slechts instandhouding.

Omdat ziekenhuizen hopeloos complex zijn, er lopen veel zaken door elkaar heen en overzicht is er niet. Architecten kennen ze amper of niet, en veel zaken worden extern afgenomen in de vorm van software licenties met rigoureuze en absurde requirements (e.g. serviceaccount voor een x-ray heeft domain admin nodig, documenten archief heeft sharepoint versie uit '98 nodig, etc). Het is het gevolg van commercialisering.

Omdat beveiliging in de bedrijfsvoering moet zitten. Doktoren en personeel hebben vaak al moeite om zich aan corona maatregelen te houden (jammer om te moeten constateren dit), het is nagenoeg onbegonnen werk om ze aan te leren verantwoordelijk om te gaan met materialen van de baas. Accountgegevens opschrijven en delen, passen uitlenen, foto's van dossiers met eigen smartphone maken, etc, het gebeurd allemaal en niemand zegt er wat van want dit personeel is nu eenmaal dun gezaaid.

Dus in het kort: beheerders kunnen het niet, het personeel wil het niet, en het bedrijf boeit het niet. Totdat het te laat is natuurlijk.
Ik zeg: opsporen en berechten met verzwarende omstandigheden.
Op basis van welke wet?
Informatiecriminaliteit, in gevaar brengen volksgezondheid, deze twee heb je sowieso al te pakken. Daarnaast wordt het tijd dat men dit soort aanvallen op onze gezondheidszorg voor het gerecht aan gaat vechten als zijnde terrorisme en bestraffen als dusdanig met levenslange straffen.
De wet van 28 november 2000 inzake informaticacriminaliteit.
Op basis van welke wet?
Er is vast wel iets van te maken ivm het in gevaar brengen van de volksgezondheid. Daarnaast zorgt deze daad er voor dat mensen op nationaal niveau in onrust blijven zitten over het feit of ze geinfecteerd zijn met een potentieel dodelijke en zeer besmettelijke ziekte, wat technisch gezien wellicht ook nog als terreurdaad gezien kan worden.

[Reactie gewijzigd door R4gnax op 29 december 2020 14:00]

Ach die zitten ver weg, Rusland, N-Korea, China of US, dus zeggen oppakken en veroordelen klinkt leuk maar is bijna ondoenlijk
Zitten ze echt daar? Of zegt hun VPN dat ze daar zitten?
Uiteindelijk maakt het niet uit, je vindt die mensen waarschijnlijk niet
Statistisch gezien is die kans groot want vooral die eerste twee hebben belang bij instabiliteit in het Westen, hoewel mensen zich hier ook wel eens laten opstoken en gekke dingen doen.
Meteen wereldwijd met de beste mensen die er zijn opsporen en berechten voor doodslag. We hebben al genoeg problemen, wegwezen met deze idioten.
Hoe erg dit ook is, je beschuldiging van doodslag slaat nergens op.
Niemand heeft hier medische gevolgen van of krijgt een andere behandeling, er zullen enkel mensen langer in quarantaine moeten blijven omdat ze nu langer op een uitslag moeten wachten of in het ergste geval opnieuw moeten getest worden.
Niet? Ik weet niet hoe het in België zit, maar hier in Nederland komt 5% van de tests neer op 3000 tests per dag, waarvan ongeveer 400 positieve.
Als die 400 positieve tests 48 uur vertraagd worden, betekent dat dat ongeveer 600 contacten 48 uur later in quarantaine zullen gaan. Wat dat betekent kan ik alleen schatten, bij gebrek aan cijfers. Op dit moment is ongeveer 0.6% van de bevolking besmettelijk. Die 600 zullen een grotere kans hebben dat ze besmettelijk zijn, anders werd er niet zo'n moeite gedaan voor contacten onderzoek. Laten we zeggen dat de kans 10x zo groot is, dan zijn van deze 600 personen 6% besmettelijk, dat is 36 stuks. Door deze 48 uur extra rond te laten lopen worden bij een R van 1.3 ongeveer 14 personen extra besmet. Bij een mortaliteit van 0.4% zijn dat 0.05 extra directe doden.
Dit getal kan (veel) groter of kleiner zijn door wat met de geschatte percentages te spelen, maar zeggen dat er geen medische gevolgen zijn is een beetje kortzichtig.
Zodra je verdacht wordt corona te hebben moet je in quarantaine, niet pas als de test positief is.
De test kan je daaruit ontslaan als die negatief is.
Jij gaat wel in quarantaine, maar de contacten die je de voorgaande dagen hebt gehad nog niet. Die worden pas ingelicht bij een positief resultaat.
Die personen kan je zelf hoe dan ook al inlichten als je ze kent, wat als het goed is al het geval is omdat deze testen gaan om situaties waarbij je al niet in contact met onbekenden hoort te komen. Als je ze niet kent dan gaat dat alleen om personen die te herleiden zijn dat ze een mogelijk risico lopen. Daarbij nemen we als gemeenschap hoe dan ook al voor lief dat veel mensen niet ingelicht kunnen worden (te weinig capaciteit, een van de betrokkenen heeft geen app, de app is niet perse betrouwbaar) en dat het hoe dan ook slechts preventief inlichten. En dan is zelfs preventief niet hetzelfde als ze zijn dus besmet of dragen het virus over.
Je legt een verband tussen niet testen en anderen besmetten die je niet hard maakt.

Het testen lijkt te gaan om situaties waarbij iemand zich laat testen omdat die al symptomen of een vermoeden heeft ziek te zijn. Dan hoor je (in Nederland) al in quarantaine te zijn gegaan om anderen niet te besmetten. De test geeft dan hooguit aan of je weer uit quarantaine mag. Zonder uitslag zou dat dus betekenen dat iemand zich net zo goed blijft afzonderen. Dat zij dus geen extra doden.

En statistische resultaten tonen nog geen verband. Een zelfde redenatie dat het niet beschikbaar zijn van uitslagen dus doden tot gevolg heeft en iemand schuldig zou maken kan je net zo goed doortrekken naar de situatie dat miljoenen volwassenen net zo goed laborant of een laboratorium kunnen beginnen maar omdat ze de moeite niet doen dus voorkomen dat er getest kan worden of er uitslagen kunnen zijn en dus schuldig zouden zijn. Of waarschijnlijk nog onethischer: dat je de slachtoffers de schuld kan geven dat ze zich statistisch gezien dus maar beter hadden moeten zorgen dat hun testen via meerdere laboratoria tegelijk zouden moeten worden gedaan omdat er altijd wel een kans is dat een laboratorium vertraging heeft of niet beschikbaar is.
Er zijn meer tests dan Corona, Corona wordt nu opgepikt, maar hoe zit het met de rest?
Goed punt, ik ging ervan uit dat het hier specifiek over het systeem voor coronatesten ging, maar dat is niet noodzakelijk zo.
Je stelt het véél te simpel:
Veel ziekenhuizen/artsen gaan pas behandelen als een negatieve test zeker is. Geen enkele arts wil besmettingsgevaar of complicaties tijdens grotere ingrepen, en bijgevolg worden transplantaties, operaties, chemo en dergelijke uitgesteld. Meestal gaat het niet enkel om Covid-tests.
Leuk sentiment, maar de realiteit is dat dit soort criminelen vaak opereren vanuit landen waar geen uitleververdrag mee is, en wiens overheid wenig oor heeft naar vervolging. Dus zelfs al kan je achterhalen wie het is, ze zijn ongenaakbaar.
Leuk sentiment, maar de realiteit is dat dit soort criminelen vaak opereren vanuit landen waar geen uitleververdrag mee is, en wiens overheid wenig oor heeft naar vervolging. Dus zelfs al kan je achterhalen wie het is, ze zijn ongenaakbaar.
Daarom: plak er het label terrorisme op. Want laten we wel wezen: dat is het feitelijk ook.

Je terroriseert burgers door ze langer in onrust over hun eigen gezondheid te laten zitten. En je vertraagt het afgeven van een hopelijk negatief testresultaat waarmee quarantaine eerder zou kunnen eindigen, en dusdoende ontwricht je de economie en samenleving.


Met dat label er op heb je internationaal gezien ineens een stuk meer mogelijkheden om gecoordineerd druk uit te oefenen op mogendheden, onder de noemer bekende terroristen in bescherming te houden.

[Reactie gewijzigd door R4gnax op 29 december 2020 14:09]

Maar het heeft niks met terrorisme te maken. Ja mensen worden er angstig van. Maar een sociale fobie is ook geen terrorisme.
Samenwerking voor opsporing is niet wereldwijd. Ransomware tot op zekere hoogte is een vorm van koude oorlog ...
Ja vanuit hacker perspectief een slimme zet , er is haast bij dus grote kans dat ze betalen om verder te kunnen.

Echter staan ze wel bovenaan het lijstje bij de cybersecurity afdeling van de overheid.

Echter ben ik zelf van mening dat als een hacker bijv een hospitaal of test centrum in dit geval aanvalt dat je ze moet kunnen aanklagen voor de directe gevolgen ( dus gaat er dankzij hun acties iemand dood dat je ze direct kunt aanklagen voor moord en ja dat mag dan best wel een celstraf van een 30-40 jaar worden... moet je zien hoe snel ze besluiten om toch maar weer bedrijven aan te vallen zonder kritieke functie.
Korte termijn een slimme zet, lange termijn zijn ze inderdaad nu een hele grote target, ik hoop dat ze hierdoor snel tegen de lamp lopen.
Je zou m.i. zeker een zaak kunnen maken voor moord door schuld. Overigens geloof ik er niet in dat een zwaardere straf criminelen meer afschrikt.
Potentiele indirecte gevolgen mogen ze wat mij betreft ook voor gepakt worden, ze weten donders goed aan welke risicos ze andere mensen aan blootstellen als het ze daar al interesse in hebben. Keihard aanpakken die lui.
Dat hoop je inderdaad. Helaas bleek het bij het overlijden van een Duitse patiënt niet onomstotelijk te bewijzen dat haar overlijden een direct gevolg was van het platleggen van dat ziekenhuis. Het is goed dat de instanties dit heel secuur aangepakt hebben, maar het had voor het precedent beter geweest als het wél bewijsbaar was geweest.
Vraag is maar hoe "specifiek" de hack was, mogelijk gewoon een random ransomware door matige/slechte beveiliging; het klinkt natuurlijk wel leuk om het "hackers" te noemen... Zonder meer informatie kunnen we weinig zeggen hierover imho
Omdat de beveiliging niet ok zou zijn (zelfs niet bewezen en niets in het artikel wijst daarop), is het geen hacker? Als iemand iets uit mijn auto ontvreemd omdat de ruit omlaag staat, is het ook geen dief meer?
Term hacker lijkt me gewoon terecht, zeker omdat de intenties duidelijk malafide zijn en zij geen toegang zouden mogen hebben tot die systemen.
Omdat de beveiliging niet ok zou zijn (zelfs niet bewezen en niets in het artikel wijst daarop), is het geen hacker? Als iemand iets uit mijn auto ontvreemd omdat de ruit omlaag staat, is het ook geen dief meer?
Term hacker lijkt me gewoon terecht, zeker omdat de intenties duidelijk malafide zijn en zij geen toegang zouden mogen hebben tot die systemen.
er is wel degelijk verschil

Een inbreker breekt iets om erin te
Een dief gaat naar binnen zonder iets te breken
Zie ook diefstal en diefstal met braak in wetboek van strafrecht

Iets vergelijkbaars is of (zou moeten) ook van toepassing op hacken en digitale diefstal en/of computervredebreuk

Dus ja als ik iets kapot maak om in jou systeem te komen zou de straf hoger (moeten) zijn dan wanneer ik admin123*! als password probeer

[Reactie gewijzigd door i-chat op 29 december 2020 13:41]

Ze eisen losgeld, dus het zijn hackers in de 'populaire' uitleg van het woord.
Zelfs dan nog zouden ze het moreel besef kunnen hebben van "Hè, dit is de zorg... Sorry jongens, hier is de ontsleutelcode of we geven je de toegang terug".
Ik vermoed dat het hier een volautomatische ransomware betreft; de criminelen, zijn mogelijks zelfs niet eens bekend met wat dit labo doet, mogelijks zijn het ook gewoon dat : criminelen die ransomware gekocht hebben als investering.

In tegenstelling tot andere bedrijven loopt dit labo vermoedelijk nog gewoon op de volle 100% door, waar andere bedrijven mogelijks een verminderde werking hebben door COVID en eindejaars vakantie... schandelijk, laf, fout : allemaal waar. Maar niet per definitie corona specifiek zoals dit artikel ons wel wil doen geloeven.
Het is mijn wereld niet, maar als je betaling verwacht, dan neem ik aan dat je een emailadres van het bedrijf hebt of zo? Of bel je?
Of wordt die mail ook automatisch gestuurd? Als alles zo geautomatiseerd is, dan had je kunnen weten dat je met je schot hagel ook medische bedrijven treft, en zit je toch in de hoek van dronken achter het stuur stappen. Ja maar ik was niet van plan iemand dood te rijden/een medische organisatie plat te leggen.
Absoluut, de software toont gewoon het ingestelde Bitcoin adres met instructies nadat het voldoende gelockt heeft.

Je hagel analogie klopt dus volledig, zeer schandelijk idd, maar het kan dus wel zo zijn dat het vol automatisch is. (of dat hier het geval is weet ik niet) maar de vaagheid doet me dat wel een beetje vermoeden...
Dat lijkt me niet meer dan vanzelfsprekend ja. Zo niet, dan heb je jezelf mi als een soort reptiel buiten je eigen soort geplaatst en doe je, om het met Jan jaap vd wal te zeggen, 'gewoon niet meer mee'.
Wat is volgens jou een hacker?

Wachtwoorden raden?
Script runnen?
Poorten scannen?
Virussen verspreiden voor toegang?

[Reactie gewijzigd door n3z op 29 december 2020 13:31]

Vraag is maar hoe "specifiek" de hack was, mogelijk gewoon een random ransomware door matige/slechte beveiliging; het klinkt natuurlijk wel leuk om het "hackers" te noemen... Zonder meer informatie kunnen we weinig zeggen hierover imho
Helemaal mee eens. Maar dit soort instellingen zijn wel vaak het doel omdat de maatschappelijke impact zo groot is en ze IT vaak niet goe dop orde hebben dat er snel bitcoins over de balk worden gegooid naar de cryptolockers en daarmee zijn ziekenhuizen vaker het doelwit van dit soort aanvallen lijkt het.
"Criminele hackers" vs "een employee heeft op een malafide link geklikt" en heel ons netwerk plat gelegd; De beschrijving is letterlijk alle ransomware van de laatste paar jaar; Er wordt gealludeerd dat dit over een bepaalde groep of personen gaat, terwijl het mogelijk gewoon slecht IT/beveiligingsbeleid betreft;

Als er sprake is van een specifieke aanval op medische targets dan is dat een verzwarende factor, maar dat leidt ik enkel uit de (opgeblazen) artikels af, niet uit de facts die bekend zijn.
Mooi staaltje Victim Blaiming.

Zelfs als de beveiliging van AML niet helemaal in orde was, is het alsnog een criminele en moreel verwerpelijke actie.
Black Hackers
Niet om te gaan azijnpissen maar bedoel je niet "Black Hat(s)" ?
Dit is toch een terreurdaad die direct de gezondheidszorg van onze samenleving aanvalt?
Dan zou er een religieus of politieke motivatie aan ten grondslag moeten liggen. Het is natuurlijk wel ernstig dat er een gezondheidsinstantie wordt getroffen, maar dit kan net zo goed een willekeurig doelwit zijn (dus zonder dat ze specifiek een doelwit waren)
Ik snap het niet. Ook al wordt er betaald om toegang weer te verkrijgen, het is altijd een spelletje van Follow the money. Ook de overheid zal een legio aan tools tot hun beschikking hebben om tot iedere laatste cent de stroom van coins te volgen, of ze nu gemixed worden of niet. Ergens aan de andere kant moet er wel iets aan opduiken aan wie die groep exact gelinkt is.

Aan de andere kant, men moet gewoon hun beveiliging beter op orde hebben, en daarbij mensen fatsoenlijk trainen niet op verdachte bijlages en toestanden te klikken. Door dat te doen zet je eigenlijk je systeem wagenweid open, en de gevolgen kunnen zich wel raden ...
Bron artikel achter betaalmuur.

Vraag me af hoe de afpers-ware op het systeem kwam. Was het een gerichte aanval? Of een gevalletje "zoontje die even iets moest doen op de pc van papa en daardoor de boel besmet"? Iemand een besmette usb stick ergens in gestoken? Via e-mail?
Dit is naar mijn mening terrorisme en de hackers mogen ook zo behandeld worden. Dit is niet een normale hack maar een aaval op de gezondheid van de samenleving en ze verdienen daarom een veel zwaardere straf dan alleen voor het hacken. Ik hoop dat ze gepakt worden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True