Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Opbouw IT-infrastructuur Hof van Twente na ransomware gaat twee jaar duren'

Bij de ransomware-aanval op de ict-infrastructuur van de gemeente Hof van Twente zijn volgens de burgemeester geen gegevens naar de buitenwereld uitgelekt. De volledige heropbouw van de infrastructuur zal minstens twee jaar duren en er is geen losgeld betaald.

Het crisisteam dat de gevolgen van de ransomware-aanval op 1 december 2020 bestudeerde, werkte met drie oplopende fases. De aanval zou beperkt zijn gebleven tot de groene fase. Bij de oranje fase zouden gegevens zijn uitgelekt en bij de rode fase zou er ook misbruik van gemaakt zijn. Burgemeester Ellen Nauta stelt dat er voorlopig geen aanwijzingen zijn dat er gegevens naar de buitenwereld zijn uitgelekt. "Op basis van rapportages van instanties constateren we dat we in de eerste fase zitten", aldus de burgemeester.

Ondertussen onderzoekt de gemeente hoe de ransomware-aanval heeft kunnen plaatsvinden. De gemeente doet daarvoor mede beroep op NFIR, een onafhankelijk Nederlands bedrijf dat zich specialiseert in forensische cybersecurity. Tegen einde februari verwacht burgemeester Nauta de eerste resultaten van dat onderzoek. Het Nederlandse Openbaar Ministerie heeft ook een eigen strafrechtelijk onderzoek geopend naar de cyberaanval. Wanneer de resultaten van dat onderzoek bekend zullen zijn, is nog niet duidelijk.

Volgens Nauta duurt het nog zeker minstens een half jaar om de basis IT-infrastructuur van de gemeente opnieuw op te bouwen. Daarna zou het nog zeker twee jaar duren voordat alle gegevens in het systeem ingelezen zijn alvorens de gemeente opnieuw kan werken op het niveau van voor de cyberaanval. In de periode na de aanval werd extra aandacht besteed om de meest essentiële burgerzaken als eerste opnieuw mogelijk te maken. De gemeente zou bovendien geïnvesteerd hebben in een ‘state-of-the-art’-beveiligingssysteem dat inmiddels optimaal zou werken.

Op 1 december 2020 werd de IT-infrastructuur van de gemeente Hof van Twente getroffen door een ransomware-aanval. Hierdoor had de gemeente geen toegang meer tot haar eigen systemen. Volgens De Volkskrant kregen hackers toegang tot de servers door wachtwoorden voor het remote desktop protocol te bruteforcen. Het hackerscollectief eiste vijftig bitcoin als losgeld en waarschuwde de data online te plaatsen. De burgemeester van Hof van Twente stelt dat er niet ingegaan is op de eis van de hackers om losgeld te betalen. De gemeente volgt het advies van de rijksoverheid dat zaken doen met criminele organisaties principieel weigert.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

22-01-2021 • 19:55

151 Linkedin

Reacties (151)

Wijzig sortering
2-3 jaar om een ICT infrastructuur te herstellen? Wat duurt zo lang? Moeten ze alles manueel intypen of scannen van papier?

Een degelijk backup systeem zou toch een RTO van grofweg een maand maximum mogen hebben. En hoe zeker zijn ze dat er niets verloren is? Enkel omdat het systeem zo traag was dat de aanvallers opgaven toen ze zagen dat het 2 jaar ging duren om informatie te verkrijgen?
2-3 jaar om een ICT infrastructuur te herstellen?
Het is geen herstellen maar een nieuw systeem opbouwen. Een dergelijke doorloop voor een dergelijk systeem (zeer veel verbindingen) is absoluut niet abnormaal. Zeker niet als je tijdens de opbouw service moet blijven verlenen.

Ik weet best dat tweakers dit in een paar weken zouden kunnen, appeltje eitje.Niet waar? Niet gehinderd door enige kennis is het makkelijk dat soort uitspraken te doen.
Ik denk dat er verschillende onderdelen hier door elkaar worden gehaald.
In principe kan je je infrastructuur in 3 maanden up and running hebben (buiten de levertijd). Bij mijn vorige werkgever meerdere malen gedaan (twin datacenter, compute/storage firewalling en public cloud/wan connecties) Allemaal secure maar dan moet je wel de hele boel qua design al klaar hebben liggen.
Daarna begint de volgende fase en dat is het inrichten van je software wat op zich niet zo lang zou hoeven duren maar alles bij elkaar nog best tijdrovend kan zijn door de relaties met externe data bronnen.

Daarna begint het echte serieuze werk en dat is al je data terug zien te krijgen. GBA, GIS, alle scans van je fysieke componenten (kabels, lichtmasten etc.) Alle gegevens die je nodig hebt dus om als gemeente te kunnen functioneren. Dan komt daar bij dat je er achter zal komen dat je niet voldoende licenties had dus je loopt tegen voldoende problemen aan om 2 jaar bezig te zijn voordat je weer "als vanouds" kan werken.
Als de opzet niet veilig was heeft geen zin om alles te herstellen hoe het was, met ook weer alle zelfde zwakheden. Er zal wel goed naar gekeken zijn.

Ik heb zelf een keer mee mogen kijken bij een calamiteiten test van een veel grotere gemeente. Alle essentiële functies netwerk in 24 uur up en running op een backup datacenter locatie, inclusief alle backup data en gebruikers (die ze blijkbaar hebben, want anders hebben ze met een moderne cryptolocker ook in 2-3 jaar hun data niet terug zonder betalen). Grote 'maar' hierbij: alles incl al die gebruikers met hun originele passwords die dus in handen van de hackers zijn, dit was niet de ramp waarvoor getest werd.

Maar meer dan twee jaar (ze zijn al sinds december bezig ook) betekent toch echt dat of je calamiteiten planning niet op orde was, of je infrastructuur hopeloos slecht was waardoor die niet bruikbaar was en je feitelijk een vervangingstraject aan het doen bent.
Het is een kleine gemeente. Die hebben het niet voor elkaar en vaak is het gehele IT stuk uitbesteed. Dan is er niemand meer die zich er intern nog druk over maakt (dat was van al het geval want anders besteed je het niet uit). De IT club die het gewonnen heeft doet enkel en alleen wat in het contract staat. Verantwoordelijkheid wordt absoluut niet overgeheveld. Dat zie je hier ook. Uitbesteed aan IT club (switch) die vooral dynamisch is, niet zozeer professioneel. Er wordt geen plan gemaakt waar de gemeente heen moet of mijlpalen die behaald moeten worden, er wordt alleen onderhoud gepleegd. Enkel als het echt niet meer kan (leverancier vraagt ander OS of Windows 2008 wordt niet meer ondersteund). Dat zie je ook weer terug in het Windows 7 gebruik bij gemeenten terwijl het OS niet meer ondersteund wordt).

Ik heb (groot en klein) gemeenten gemigreerd naar andere omgevingen en de lijken die uit de kast komen zijn groot... jaren van nalatigheid en gebrek aan richting is een doodsteek. Ik vroeg ooit Centric (beheer club) naar een overzicht van software die ze onderhielden. Dat wisten ze niet en hebben toen een software inventarisatie tool laten lopen over slee werkstation. Nu had ik een lijst waar ik nog niets aan had. Een lijst waar trouwens 70% zo doorgestreept kon worden toen we leveranciers opbelden om te zien welke software überhaupt nog ondersteund werd.

Anyway we gaan dit nog veel vaker zien. Niet omdat dit onoverkomelijk is maar omdat het bij de meeste een zootje is. Ik kijk ook erg uit naar de rechtszaak tegen switch (ik neem aan dat deze er komt) over verantwoordelijkheid. Ik durf te wedden dat ze alles hebben dichtgetimmerd in hun voorwaarden maar de vraag is of de rechter hiermee akkoord gaat.
Daar zit nog niets het grootste probleem, wat dacht je van de verschillende koppelvlakken. Een pakketje van leverancier X praat ondanks de standaardisering (STuF) slecht met een pakketje van leverancier Y. Natuurlijk willen beide leveranciers graag een koppelvlakje voor je schrijven maar dit is praktisch altijd maatwerk Ik heb meegemaakt dat een applicatie van een niet nader te noemen software leverancier (met een vreemde security adviseuse) zodanig was ingericht dat het alleen UTF8-NL) accepteerde, in de hele organisatie werden bij 600 pc's de toetsenborden dan ook vervangen in een NL layout. (dus met een ij knop en zelf een gulden teken ƒ)

Maatwerk heeft helaas een hele slechte eigenschap het is duur en onderhoudsgevoelig, want zodra leverancier X ook maar iets aanpast aan een tabel of invoerveld valt pakketje van leverancier Y als een kaartenhuis in elkaar. Helemaal spannend wordt het als er tussen beide pakketjes berichtenverkeer ontstaat. Dan heb je naast een koppelvlak ook een zogenaamde broker (makelaar, regisseur, orkestbak) nodig.

Om het nog spannender te maken hebben sommige gemeenten (en vooral de automatiseerders) er nog al een handje van om op oude (maar goed functionerende) platformen te blijven draaien zoals AS400 (onverwoestbaar, maar zoek maar eens iemand die hier nog mee kan omgaan)
Hangt er van af hoe het gebouwd wordt he. Als je een repo hebt waar alles in staat en je niet alles als klikvee met de hand bij elkaar geveegd hebt is het automatisch uitrollen van een systeem tijdens normale operatie niet 'langzamer' dan tijdens herstel, ook niet vanaf nul.

Natuurlijk kan het zijn dat daar juist het probleem zit, handmatige acties, handmatig stukjes data intypen, soms om dat men de kennis niet had om het te automatiseren, soms om dat het niet kon om dat de software geen automatiseringsinterface heeft. Maar dat is dan een keuze geweest, en daar zal iemand zich in een managementrapportage en beleidsaudit vast voor moeten verantwoorden.

Onderaan de streep dus niet een techniek-dingetje lijkt me, maar een mensending en misschien een vleugje logistiek als er geen gebruik gemaakt wordt van geabstraheerde middelen.

[Reactie gewijzigd door johnkeates op 22 januari 2021 23:50]

Geautomatiseerd uitrollen? Vergeet dat maar rustig. Ik gok dat >95% van de Windows systemen met handje in elkaar geklikt wordt.

In het linux wereldje hebben we dat soort tooling al jaren, maar ik durf te wedden dat je een Windows systeem volledig af kan configureren zonder daar ook maar één keer een muis te bewegen in Windows. Misschien een keer om stateful data uit een backup te halen en terug te plaatsen. Maar ook dat kan je op een filestore laten.

Men moet gewoon echt eens ophouden servers op te bouwen alsof het een desktop computer is.
Ik snap niet dat andere Windows toko's hier zo over struikelen. DSC, Puppet en Chocolatey, tools te over. Ironische is dat desktops en laptops tegenwoordig op Windows met White Glove uit de doos al afgeconfigureerd kunnen worden afgeleverd. Of met AutoPilot thuis bij de eerste inlog.

Maar het zal vast goedkoper zijn om mensen alles te laten klikken, dan nemen klanten de configuratie drift, foutgevoeligheid en langere levertijden voor lief.
Ik weet best dat tweakers dit in een paar weken zouden kunnen, appeltje eitje.Niet waar? Niet gehinderd door enige kennis is het makkelijk dat soort uitspraken te doen.
Waarom zo gefrustreerd reageren ?
Ik kan me best voorstellen dat het voor insiders /professionals irritant is dat er "door het gewone volk" een terechte vraag wordt gesteld, maar om dan zo te reageren ?
Ik las het eerder als commentaar, kan zijn dat ik het mis heb natuurlijk. :)

Vaak zijn er in gemeentes naast de vaste microsoft infrastructuur nog enorm veel externe en semi externe databases, programmas etc. Etc. Die geimplementeerd moeten worden en die allemaal op elkaar moeten inhaken en samenwerken. Hierin ben je dan ook weer ontzettend afhankelijk van 3e partijen, waar de communicatie soms traag kan verlopen of die niet snel hulp leveren op bugs in hun software. Alles bij elkaar zie ik 2 jaar als niet overdreven.

[Reactie gewijzigd door Knoose op 23 januari 2021 08:50]

Volgens mij moeten ze dit doeltreffender aanpakken. Een aantal duizenden workstations wipen, opnieuw installeren en voorzien van een acceptabel veilig gebruikersmanagement en netwerk. Daarnaast als "fase" in het hersteltraject een ploeg IT-ers neerzetten die handmatig alle requests van informatie door medewerkers gaan afwerken en daarbij tegelijk vaststellen wat de echte vereisten zijn voor een werkend systeem dat bestand is tegen misbruik van data.
En vooral geen inmenging van "politiek", oftewel wijsneuzen die alleen maar eisen stellen en verder nergens naar kijken, want die zijn de oorzaak van dit hele gebeuren. Niet-IT-ers met een zekere zeggenschap zijn een probleem.
Een "heropbouw" die 2 jaar kost is flauwekul. Gewoon beginnen met alle deuren in de eerste instantie dicht.

[Reactie gewijzigd door blorf op 23 januari 2021 11:14]

Ideale kans om met een schone lei te beginnen. Geen historie, geen vervuiling, van *alles* is bekend waarom het zit zoals het zit (itt systemen waar niemand aan durft te zitten "want je weet niet wat je stuk maakt")
Je hebt zeker gelijk, de infra en werkstations kunnen best met een paar maanden draaien maar het gemeente systeem is hier waarschijnlijk de boosdoener. Je moet begrijpen dat er vaak niets van gedocumenteerd is (als dat al niet verdwenen is met de aanval). Daarvoor heb je de goodwill van Centric en Pink nodig. Die gaan niet uit bed komen als je niet met een enorme zak geld aan komt. Jij hebt immers een probleem, zij niet. En gezien dit de enige makers zijn van dit soort software, zullen ze er gerust 2 jaar over doen. Hoe wil je makkelijker geld verdienen.
Probleem met malware is dat je nooit zeker bent dat bijvoorbeeld de eufi niet besmet is. Dus dit is volgens mij geen kwestie van wipen maar van weggooien en opnieuw aanschaffen. Dat zorgt voor een zeker lead time. Dan moeten alle systemen, koppelingen en keys daartussen geconfigureerd en uitgewisseld worden. Dat kost, met zoveel systemen tijd en dat gaat met Corona niet sneller. Natuurlijk kunnen ze slimme keuzes maken en bijv veel customizations laten varen maar tegelijkertijd loop je dan weer dan kans om enorm in de fuik van een leverancier te lopen (Centric en Atos zijn in overheidsland in mijn optiek echt parasieten maar dat is een ander punt)
De UEFI bedoel je? Soort van paralelle onafhankelijke omgeving die code kan executen? Beetje ver gezocht lijkt me. Ik zit nu achter een HP Z440. Er zit ook UEFI poespas in waardoor gek genoeg mijn bootable FreeBSD image alleen met USB2 sticks werkt. Of ik moet een of andere setup-optie niet snappen...

Ik zou wel eens experimenteel iets op die manier willen uitvoeren maar hoe kun je überhaupt iets adresseren of ermee communiceren. Wat ik wel eens heb gemerkt is dat er harddisk activiteit was die zelfs bleef bestaan na soft reboot tot in de ROM setup. Het leek iets caching-achtigs maar ik ben er nooit achter gekomen wat dat was.

[Reactie gewijzigd door blorf op 23 januari 2021 22:15]

Je hebt gelijk,ik spel die naam altijd verkeerd. Wat betreft vergezocht. Dat dacht ik vroeger ook maar het is blijkbaar zo common dat het in van de prebuilt exploit kits zit. Zie bijvoorbeeld nieuws: Onderzoekers vinden uefi-rootkit die actief misbruikt wordt
Ik heb dat toen ook gelezen. Het ging om ergens tussen fabrikant en leverancier geprepareerde systemen. Een PC met via spi overschrijfbare executable code in de firmware is technisch gezien een beveiligingsprobleem maar alsnog is voor misbruik eenmalig fysieke toegang nodig plus een werkende standaard netwerkverbinding naar buiten, aangezien netwerkkaarten, routers en switches geen onzichtbare kanalen steunen. Elke communicatie naar een onbekende bestemming buiten het systeem is gewoon zichtbaar als je een filter ertussen hangt en gaat kijken welke data je kent of niet.
Zeker niet als je tijdens de opbouw service moet blijven verlenen.
Ja dat zeker. Punt is alleen. Hebben ze nog wel de mogelijkheden om die services te verlenen? Want het punt van die ransomware aanval is namelijk dat er niks meer is.

Dus wat is daadwerkelijk het plan. 2-3 jaar klinkt ontzettend lang om weer “up-and-running” te zijn vanaf back-up. Als dat je RTO is, dan kan je net zo goed geen backup hebben, want eer je bij bent is de data zo achterhaald dat je beter opnieuw kunt beginnen en je backups als archief kunt gebruiken.

Ik denk dan ook dat men dit aangrijpt om de infra te herzien en van ground up opnieuw te beginnen en dat dat die 2-3 jaar inhoud.
Niet van backup, want die zijn naar ik vermoed ook versleuteld.
Ik zou dat sowieso tot data beperken en niet system state en config - want dan heb je de ellende waar het mee begon ook weer terug.
System state is hier de data. De rest is config.

Maar dat is dus het punt. Het zal niet om alles gaan, maar dus selectief een atuk data waarbij netwerk, programmatuur en configuratie aangepast/opnieuw gebouwd gaan worden. Dat kost tijd.
Dat begrijp ik niet helemaal?
System state is in mijn ogen alleen het OS en niet business apps en data.
Je moet van scratch opbouwen en niet op backups vertrouwen van het OS.
Deployen kun je automatiseren ook in een fysiek landschap, maar ik hoop dat ze een virtuele wereld hebben (VMware, Hyper-V bijv)
Ja werk zit in configureren, herstel applicaties en restore data. Overigens denk ik dat aan netwerk niet zoveel verandert. En er is niks stuk, alleen besmet/onbetrouwbaar/onbruikbaar gemaakt. Dus het "zware werk" zoals hardware plastsen en bekabelen etc is al in place.
Je kan de oude systemen gewoon laten draaien terwijl je het nieuwe optuigt. Dan op geplande tijden overzetten en doorhobbelen naar het volgende stuk van je project.

De overheid kennende verwacht ik dat het gros van de vertraging in besluitvorming, testen/goedkeuren van gebruikers gaat liggen (Dat wil niet zeggen dat ik hetzelfde niet heb meegemaakt bij bedrijven, die kunnen er ook wat van). Externe consultancy/vendoren die uurtje/factuurtje ieder detail van de omgeving gaan lopen uitsluiten i.p.v. gericht naar het probleem te kijken is ook zo'n klassieker dat voor veel uitloop zorgt.

[Reactie gewijzigd door MainframeX op 23 januari 2021 10:59]

Als de backups nog bruikbaar zouden zijn. Maar waarschijnlijk ook versleuteld. Lees FoxIT/Universiteit Maastricht rapport maar eens.
Het is inderdaad het volledige systeem dusdanig bouwen/ombouwen dat het wel veilig is.

En het is een verbouwing terwijl de winkel open moet blijven, dat kost altijd vele malen meer tijd.
En dat is dus precies waar het nu al misgaat. Je gaat een change van deze omvang niet onvoorbereid uitvoeren. Dus terug naar wat je had en dan een fatsoenlijk plan maken en uitvoeren. Zorg dan wel even dat de route waarlangs men binnenkwam wordt dichtgetimmerd.
Exact alleen wat je had is verwoest....
Dus kun je alleen opnieuw beginnen en parallel alle data verzamelen die je erin wil gaan stoppen, terwijl de nieuwe omgeving opgetuigd wordt.
Tja, je hebt alles al qua apparatuur en infra. Alleen even inrichten zou je zeggen. Dan ben je technisch beschikbaar. Hoeft niet heel lang te duren. Wel even leren van het gebeurde en hier en daar wat maatregelen toevoegen/inschakelen etc.
En dan de data....
Dat is wel een verschil, ik versta wel dat een nieuw systeem opzetten tijd inneemt, maar ik bedoelde een werkend systeem opnieuw opzetten na een ransomware aanval.
Stel je voor, je hebt niet gezien dat de ransomware al in het netwerk was.
Deze begint met versleutelen van archiefbestanden.
Tegelijkertijd heeft de ransomware het of admin password of een password van een manager met veel rechten gevonden en verspreid zich naar alle computers. (poweshell scripts die 2-8 keer encrypted zijn, niet te lezen).
Opeens vindt de ransomsoftware nummer 's in document die lijken op kreditcard nummers of rekeningen.
Dan wordt er naast encryptie ook een key logger installeert. Oftewel financiële gegevens worden terug geupload naar de hacker.

Gevolg het locken van je bestanden inclusief in je Backup.
Een ware nachtmerrie voor een sysadmin.
Financiële afdeling zal alle paswoorden moeten resetten, en letterlijk alle transacties van de rekeningen na moeten gaan of deze niet geld hebben overgemaakt naar vreemde rekeningen.

Er bestaan controle mechanismes hiervoor maar die worden zelden gebruikt of verbruiken enorme hardeschijf performance om constant te kijken of je bestanden wel de goed bestanden zijn.
Je hebt hier nieuwe software voor om tegen te beveiligen (inspectiesoftware die samenwerkt met firewall en andere security lagen) maar een standaard enterprise virusscanner gaat je hier niet helpen. Op elke pc een ander password, of 2FA.

En dan hebben we het hier over ransomware die niet echt omgaat met computers buiten hun netwerk.

Als dese ransomware dan ook snapt waar andere servers staan nationaal, kan een verbinding naar en andere gemeente met een fileshare voor net zoveel problemem zorgen.

Herstel werkzaamheden hiervan is dus alle systemen opnieuw opzetten en beveiligingen ertegen opzetten.
Dat kost bergen met tijd. Dus als je maar een paar administrtoren hebt en een niet al te groot budget. Kan het wel duren.
2-3 jaar is nog steeds heel lang om een omgeving te herstellen van scratch. Als alles al geïnfecteerd is, kan je zonder legacy overnieuw beginnen, dat zou veel sneller moeten gaan dan met legacy. Ik vermoed dat niet alles geïnfecteerd is, maar dat ze nu een houtje-touwtje omgeving hebben die naar een nieuwe 'secure' omgeving gaat. Dus nieuw design + migraties op een beperkt budget (dus uitsmeren over meerdere jaren).
Je probleem zit in de data. Oude data moet naar het nieuwe systeem, maar de oude data staat op de oude systemen.

- ofwel je kunt er niet bij, en handmatig alles opnieuw opbouwen. Elke naam, nummer, ID, adres, rekening....
- ofwel je kan erbij, backup oid, maar je weet niet in hoeverre de ransomware/virussen erin zitten. Dus je uitgangspunt is voorzichtig stapje voor stapje alles eerst geïsoleerd testen voordat je stappen kunt nemen om weer een plukje live kunt gooien.


Ga voor de grap anders eens 10 Microsoft Excel bestanden maken, op je pc bijvoorbeeld, en noem ze backup. Elk vol met data en een andere extensie (.xls, .xlsx, etc). Die allemaal in een live en actief WordOpenOffice bestand geplaatst moeten worden

Bedenk nu dat je die bestanden op je laptop wilt krijgen voor die transitie, maar dat ze geïnfecteerd kunnen zijn. En met wat oech ook dat er een randomtimer loopt, nadat die afgaat zijn de bestanden alsnog versleuteld geraakt mocht er inderdaad eentje geïnfecteerd blijken.

Oh ja, a la doctor bibber, als je een inderdaad een foutje maakt komt het in de live omgeving en zowel je oude backup als je nieuwe omgeving dus beide alsnog op slot en permanent alles kwijt. Plus extra keer opnieuw beginnen.

Dan ga je echt anders werken dan even server 1 aan server 2 koppelen en via scriptje een kopie draaien terwijl je koffie haalt.

[Reactie gewijzigd door Xanaroth op 23 januari 2021 00:06]

Alleen kan je niet zomaar met een leeg blad herbeginnen. Al die data moet hersteld worden, of toch zo veel mogelijk.
Maar hoe weet je dat er geen firmware van apparatuur is aangepast met backdoors of iets dat ransomware opnieuw deployed na x maanden? Dat lijkt mij het meest zorgelijke... dat je niet alles kan uitsluiten... Al zou je vanaf scratch beginnen, zou ik in een fictieve wereld ook alle apparatuur opnieuw aanschaffen. Realistisch natuurlijk niet aan te beginnen...

Dus dan maar hopen dat duidelijk is hoe de ransomware is binnengekomen, kijken of daar betere maatregelen voor te nemen zijn. Dan zoveel mogelijk wipen, firmwares herïnstalleren op zoveel mogelijk devices....
De term virus is ooit onbedoeld goed gekozen. Net als in het echte leven kun je het niet zeker weten dat je besmet bent. Pas als je ziek wordt merk je het en dan is het al te laat.

Dat vergt een nieuwe manier van aanpakken. De vraag is dus of je zeker genoeg bent dat het veilig is. Dat combineren met de mogelijkheid om je omgeving te herstellen.
Ik ben als leek betrokken bij een overgang van software-pakket A naar software-pakket B om medische beelden te bekijken. Nu heeft mijn poli relatief weinig data, maar mij is verteld dat een zelfde overgang van de radiologie (met zeer veel en grote files) uiteindelijk 2 jaar heeft geduurd. Dit ook omdat sommige files niet automatisch doorgestuurd kunnen worden, bv door een tikfout in een manueel ingevoerde geboortedatum om maar iets te noemen, en deze dan allemaal handmatig gekoppeld moeten worden. Als je het dan hebt over een 10-15 jaar aan data, dan kan dat (blijkbaar) zo lang duren. Nu heeft een collega-ziekenhuis recent de zelfde switch gemaakt als die wij gaan maken, zij hadden 50TB overgezet in 2 weken.
Nu is dit bericht niet geheel relevant aan dit artikel, maar sindsdien kan ik wel begrijpen dat een dergelijk proces zo lang kan duren voordat het geheel afgerond is. De kritieke data wordt natuurlijk wel als eerste beschikbaar gemaakt.
Soms zijn processen wel echt te versnellen, wat ik in mijn carrière al meegemaakt heb. Handmatige invoer van tienduizenden word documenten in een database (3 man fulltime mee bezig, na schijven invoerscript letterlijk 5 minuten). Ik zie op heel veel plekken nog spreadsheets en veel handmatige processen. Er is soms veel tijdswinst te boeken!
Ok, en stel je nu voor dat die tienduizenden bestanden allemaal net wat andere structuur hebben, onduidelijke indeling, etc. Na de eerste 20 bestanden om te zetten loopt het vast, aanpassing maken, etc (x200)

Als het allemaal netjes op orde was, was dit waarschijnlijk niet gebeurd, of was alles nu al terug gezet.
Daarom staat er ook 'soms' en niet 'altijd'. Beetje open deur dit..
Ben bang dat hun backup systeem dan ook geinfecteerd is geraakt. Als RDP open staat naar internet zonder stepping stone / vpn, lijkt me dat een mogelijkheid. Dan kan je zoveel backups terugzetten als je wil maar blijft de ransomware actief. Overigens is 2-3 jaar dan nog steeds wel n tijd.
Zal in ieder geval meer budget voor IT en Security zijn nu :+
Als RDP open staat naar internet zonder stepping stone / vpn, lijkt me dat een mogelijkheid.
Hoe kan het dat een gemeente zulke slechte beveiliging geregeld heeft.
Heb je wel eens een gemeentelijke website gebruikt?
Dat zijn echt simpele houtje touwtje websites over het algemeen, het verbaasd me dan ook niet dat het achterliggende IT systeem ook houtje touwtje is.
Wat eigenlijk wel gek is, want 80% van wat elke gemeente doet is qua proces hetzelfde als elke andere gemeente. Dat zou prima geconsolideerd kunnen worden, met de overige 20% aan maatwerk per gemeente.
Daarom denk ik al jaren waarom wordt er geen minister van IT "geïnstalleerd". Hier op Tweakers zitten er zat die dat zouden moeten kunnen :+ :+ :+
Je krijgt een 0, maar je verdient een +2 minimaal. Er moet echter een minister van IT komen. IT is net zo belangrijk tegenwoordig als de andere gebieden die de ministers vertegenwoordigen. Ik zeg een petitie starten vanaf Tweakers.net!
En hoe zou dat niet onder de verantwoordelijkheden van bestaande ministeries passen?
Omdat het zo al omvattend is dat het relevant is voor vrijwel alle ministeries.

Als je kijkt naar de lijst van ministeries ziet het er nogal arbitrair uit.
Schijnbaar is er een reden Financiën te splitsen van Economische Zaken en Klimaat.
Landbouw, Natuur en Voedselkwaliteit valt niet onder Economische Zaken en Klimaat, of andersom.
Sociale Zaken en Werkgelegenheid opereert los van Onderwijs, Cultuur en Wetenschap
  • Ministerie van Algemene Zaken
  • Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
  • Ministerie van Buitenlandse Zaken
  • Ministerie van Defensie
  • Ministerie van Economische Zaken en Klimaat
  • Ministerie van Financiën
  • Ministerie van Infrastructuur en Waterstaat
  • Ministerie van Justitie en Veiligheid
  • Ministerie van Landbouw, Natuur en Voedselkwaliteit
  • Ministerie van Onderwijs, Cultuur en Wetenschap
  • Ministerie van Sociale Zaken en Werkgelegenheid
  • Ministerie van Volksgezondheid, Welzijn en Sport
Ik ben best bekend met de meeste ministeries en wat ze precies doen, en vind het best logische splitsingen.

Anyway, een overheids IT dienst zou vooral een ondersteunende dienst hebben voor al die ministeries en en vele andere takken van de overheid. Maar om het maken van beleid omtrent IT in een apart ministerie te zetten lijkt mij niet nodig. Dat kan afhankelijk van het issue prima onder de andere ministeries.

Een agentschap IT onder het ministerie van infrastructuur zou ik nog wel passend vinden. Zet er dan alstublieft een staatssecretaris met IT kennis neer ook en het kan nog eens goed worden iets verbeteren.
Dus? IT kan prima onder AZ
Waarom zou je IT direct onder de minister president willen laten vallen? Alle andere "structurele" zaken vallen ook in een eigen vakministerie, die "los" staan van de directe politieke invloed van de minister president.

Als je het onder een bestaand ministerie zou willen laten vallen, dan zijn IenW, BZK en OCW volgens mij logischere keuzes.
Als je niet overheidsIT een algemene zaak vindt, wat dan wel?
En er kan natuulijk ook een nieuw ministerie van Informatie worden ingesteld
Ik vind het wel een algemene zaak, maar het Ministerie van Algemene Zaken is het uitvoerende ministerie van de minister president, om "zijn" politieke afspraken om te zetten in toepasbaar beleid.

Daar waar bv. de andere ministeries eigen doelen, verantwoordelijkheden en verantwoordelijken hebben, voert/coördineert AZ alleen beleid (uit). Dat is dan ook de reden dat een zaak zoals transport, gezondheid, etc. ook onder een eigen ministerie valt. Of vind jij dat soort onderwerpen géén algemene zaken zijn?
Het blijft voor mij dan ook een raadsel waarom de overheid niet bij de aanbesteding van software afdwingt dat ze eigenaar worden van de code en dat ze de oplossing "opensource" mogen maken. Maar goed, dat is wat offtopic hier.
Dat mag een gemeente wel willen, maar dan zullen ze daar ook voor moeten betalen. Dan koop je dus ook het intellectueel eigendom en praktisch gezien wordt het dan 100% maatwerk.
Het zou bijna zinvol zijn om landelijk software te ontwikkelen die breed toepasbaar is. In plaats van, bijvoorbeeld, 352 gemeentes zelfstandig hun systemen te laten regelen..
Het maatwerk zit hem vooral in configuratie en implementatie. Het grootste pakket voor het gehele Sociaal Domein (Suites voor het Sociaal Domein) wordt door honderden gemeenten gebruikt. Die delen dus allemaal de kosten.
Geen enkele leverancier gaat ermee akkoord dat een dergelijk pakket door één aanbesteding opensource wordt en zal dan dus ook niet inschrijven op zo'n aanbesteding.
Voert elke gemeente dit door, dan is er alleen nog brood te verdienen met maatwerk. Gevolg: dat ene pakket voor honderden gemeenten wordt vervangen door een paar honderd maatwerk oplossingen. En we zeiden net dat we van dat maatwerk af willen.
Het alternatief is dat gemeenten zelf software gaan ontwikkelen. De G4 hebben dat gedaan met het pakket van Den Haag, met de gedachte dat dit beter en goedkoper zou worden. Gevolg: de kosten zijn hoger voor die 4 gemeenten dan de kosten voor doorontwikkeling van het pakket voor honderden gemeenten... Overigens hebben 2 van de G4 al marktconsultaties lopen voor vervanging van (delen van) deze zelfbouw. Dat zegt ook genoeg.
Het grote probleem met dit soort software, ook software voor ruimtelijke ordening, is dat het vaak crap is en veel te duur. Je zou voor de gein de html source van ruimtelijke plannen van je gemeente eens moeten bekijken (sommigen zijn een HTML export van MS word). Er zijn er maar een paar die het goed doen. Zoals Dezta, een van de grote partijen op dat gebied gelukkig.

Hosting van de plannen kost echt taffes veel geld.
En ondertussen gaat de VNG prat op de Common Ground. De afhankelijkheid van de Nederlandse leveranciers op overheidssoftware is (te) groot. Er zijn slechts een paar partijen waarvan zich er eentje momenteel buitenspel heeft gezet.

Dit werd mede ingezet omdat enkele jaren geleden achter elkaar twee grote leveranciers de prijzen buitensporig hebben verhoogd. Staat verder los van wat er in Hof van Twente gaande is.
Ondertussen moet ik met mijn onderzoek dat betaald wordt door de EU alles zoveel mogelijk open source/access doen. Vind ik niet erg, maar vind het wel opvallend dat dit bij kleine overheden (die er meer baat bij hebben) nooit veel boeit.
Volgens mij levert Pinkroccade aan tig gemeentes dezelfde software. Dat zal heus niet alles behelzen, maar veel delen gemeentes dus al.
Ook Centric levert een hoop applicaties (die vooral nog op Server 2008 draaien, die non R2 variant die al ruim een jaar uit extended support zijn), onveilige troep dus...
Zo ook interne gemeente websites die public te bezoeken zijn, HTTPS pagina's die hardcoded linken naar HTTP resources (zoals een 8MB JPG logo van de gemeente, die verder in op hidden staat en dus alleen maar bestaat om de HTTPS te slopen en 8MB aan data te verspillen, zowel de pagina als de afbeelding worden van dezelfde webserver geserveerd overigens :+

Nee gemeentes zijn meestal niet de tekstboek voorbeelden van hoe het niet moet, denk maar het meest belachelijke wat je kan bedenken en het is vaak een stuk erger...
Vind het wel grappig... alles wat met overheid te maken heeft loopt uit, is niet beheersbaar en lastig te vervangen

Niet alleen bij gemeentes maar ook belastingdienst enz enz

Wanneer gaat de politiek snappen dat het verzinnen van wetten en daar elk jaar flinke aanpassingen in doorvoeren resulteren in dit probleem :p In het geval van de decentralisatie vd overheid lijkt het me een hel voor software developer. Jaar 1 gaat alle verantwoordelijkheid naar de gemeente, jaar 2 gaat er weer iets terug naar de centrale overheid, jaar 3 gaat er toch weer iets naar de gemeente. Enz enz enz.
Gezien de complexiteit en frequentie van wetswijzigingen, nieuwe standaarden, uitbreidingen van berichtenverkeer en het grote en stijgende aantal ketenpartijen gaat er eigenlijk opvallend veel goed in de gemeentewereld. Uitkeringen worden eigenlijk altijd op tijd verstrekt (zie ook Tozo als recente spoedklus) en Wmo en Jeugdwet voorzieningen die te laat of verkeerd worden verstrekt zijn eigenlijk ook zeldzaam.
Het lastige vervangen van software valt binnen de gemeenten trouwens wel mee. Wij voeren elk jaar een flink aantal succesvolle migraties uit van en naar onze software oplossingen. Met Common Ground is er bovendien een beweging in gang gezet om data- en proceslagen te scheiden, verder te standaardiseren en daarmee de uitwisselbaarheid te verbeteren.
De verhalen over archaïsche software die maar niet vervangen kan worden, komen vooral bij de Rijksoverheid vandaan, waar er ook weinig concurrerende pakketten zijn. Er is immers maar één nationale Belastingdienst. Wil je die software vervangen, dan moet er iets totaal nieuws gebouwd worden. Voor elke soort kritieke applicatie in gemeenteland zijn er daarentegen meerdere leveranciers met actief gebruikte en doorontwikkelde oplossingen.

[Reactie gewijzigd door mac1987 op 23 januari 2021 18:49]

@mac1987 wat bedoel je met Common Ground? De overheid heeft de gemeentes vroeger (toen misschien wel 400 stuks) keuzevrijheid gegeven. Dat was totaal niet logisch. Super inefficient en ineffectief.

En data en business logic logisch scheiden is al 20 jaar goed design practice in software design. Dat moet ook ivm de validaties. En ook voor de database level, daar moet je gewoon goed over nadenken bv. ivm locking.

[Reactie gewijzigd door Bulkzooi op 23 januari 2021 18:30]

Kan ik mij niet voorstellen dat dit klopt...
Waarom niet? Ik ben 4,5 jaar geleden bij centric weggegaan en voor die tijd meerdere projecten gedraaid waarbij toen al server2012r2 werd ingezet, met centric software geïnstalleerd. Heb aardig wat gemeentelijke migraties gedaan van de ka systemen.
Dus ik vraag mij af waar je die ‘veelal op server 2k8’ vandaan haalt...

Tenzij je bedoelt dat vele gemeenten niet willen investeren en de software op oudere systemen willen installeren.. maar dat is centric niet aan te rekenen.

[Reactie gewijzigd door SunnieNL op 23 januari 2021 11:19]

Fair enough, had het beter kunnen benoemen dat het daar ook zeker aan de gemeente ligt, hoewel ik niet zeker weet hoe streng Centric er achteraan wil gaan, weet wel dat die gemeente erg laks is dus zeker niet 100% Centric's schuld daar :)
Dat is dan tegen de richtlijnen van Centric in. Windows Server non R2 is al tijden officieel niet meer ondersteund en 2008 R2 is officieel ook al beëindigd. Zodra de Microsoft (maar ook bijvoorbeeld Oracle) ondersteuning is geëindigd, wordt ook de ondersteuning vanuit Centric beëindigd. Bovendien wordt ruim van tevoren al gewaarschuwd via memo's, klantoverleggen en vrijgavematrices voor aflopende ondersteuning.
Dat een klant dan op eigen risico op oude niet-ondersteunde platformen blijft draaien is de leverancier dan ook niet aan te rekenen. Je kunt blijven waarschuwen, maar op een gegeven moment houdt het ook op.
Ik ken overigens geen enkele applicatie binnen de gemeente die niet op een nog ondersteunde Windows versie draait.
Gaan we het Adobe ook aanrekenen als iemand Photoshop op een Windows 7 machine blijft draaien?

[Reactie gewijzigd door mac1987 op 23 januari 2021 02:08]

Meestal kost een update ook een vracht geld wat niet is gebudgetteerd bij de gemeente.
Je weet als gemeente bij de introductie van een nieuwe Windows of Oracle versie al wanneer de ondersteuning afloopt. Daar niet op voorbereiden is gewoon zeer slordig, maar helaas niet ongebruikelijk. Dat kun je leveranciers echter niet aanrekenen, zeker niet als die ook meermaals waarschuwen voor een aflopende ondersteuning van een versie. Updates van platformen kunnen door leveranciers of derden worden uitgevoerd (of de gemeente zelf als die de kennis in huis hebben). Het gaat vaak mis als een gemeente meerdere versies achterloopt en er geen direct upgradepad mogelijk is. Dan is er vaak een hele servermigratie nodig. Dit heeft de organisatie dan wel zelf veroorzaakt.
Als dat het geval is dan moet die gemeente zich kapot schamen.
En daarnaast zijn ze daarnaast niet verplicht om er op af te schrijven? Dan moet het toch in de boeken staan en is automatisch geld gereserveerd voor de vervanging.

[Reactie gewijzigd door Alfa1970 op 23 januari 2021 19:00]

Er zijn zat IT bedrijven die een verouderde Windows versie uitleveren waarna je voor de update flink mag betalen.
De Centrics van deze wereld bestaan bij het een poot uitdraaien van de overheid.
Equalit (Gemeente Oosterhout) is hier ook een goed voorbeeld van.
En dan blijkt dat die 20% maatwerk 200% van het werk is. Been there, done that, meerdere keren.
Als je naar de laatste drie grote decentralisaties kijkt, zijn daar taken van de Rijksoverheid naar de gemeenten gedelegeerd. Daarbij is het budget (drastisch) verlaagd, vanuit de gedachte dat gemeenten efficiënter en effectiever kunnen werken, omdat zij dichter bij de burger staan en de aanpak beter kunnen toespitsen op hun lokale doelgroep. Wil je als gemeente die hogere efficiënter halen, dan zul je je processen moeten aanpassen aan de lokale situatie.
Als simpel voorbeeld: de politie op Texel heeft dezelfde taak als die in Rotterdam. Dat betekent niet dat die dezelfde processen uitvoeren, omdat de aanpak en focus anders ligt. Hetzelfde geldt voor de brandweer in de Botlek en die in Heerenveen, maar ook voor gemeenten zelf. Er is zeker meer standaardisatie mogelijk en gewenst (zie ook Common Ground), maar onderschat niet hoe waardevol specialisatie en daarmee een zekere mate van maatwerk voor een gemeente kan zijn.
Omdat de gemiddelde gemeente een budget heeft van niks.
Dan wordt er beknibbeld op dingen als backups en security hoe vaak je het ze ook verteld.
Er zijn geen superhackers die maanden werk spenderen aan het kraken van een Nederlandse gemeente. Deze groep ging gewoon voor het laagst hangende fruit. En dit fruit lag op de grond.
Nog erger, 6 juni 2019 is bij Gemeente Lochem op exact dezelfde wijze toegang verkregen.
Welke gemeente is de volgende? Of heeft men nu geleerd en in ieder geval dit gat gedicht? Laten we het hopen.

[Reactie gewijzigd door Andreplusplus op 23 januari 2021 13:50]

Een beetje gemeente heeft meer dan honderd applicaties in gebruik met honderden gebruikers, voert taken op een groot aantal domeinen uit en communiceert met tientallen tot honderden ketenpartijen. Hierbij wordt er een gigantische berg aan data verwerkt en gedeeld tussen applicaties. Het is niet even een servertje met een paar programma's installeren.
Bovendien moet de historie weer worden opgebouwd op een vrij diep detailniveau en voor een flinke termijn (wettelijke bewaartermijnen zijn tussen de 7 en 20 jaar). Hier gaat gigantisch veel tijd in zitten. In de tussentijd gaan de dagelijkse werkzaamheden gewoon door en werk je in een actief gebruikte omgeving. Bovendien kun je niet alles terugzetten zoals het was, want dan herhaal je oude fouten.

[Reactie gewijzigd door mac1987 op 23 januari 2021 02:31]

XP eruit denk ik😬
En op naar Windows 7, want daar werken hun pakketten nog wel mee.
Maar wel eerst SMB1 weer aan :+
En dan moet je dit soort dingen ook nog Europees aanbesteden, want groot bedrag. En dat zal in dit geval om een veelvoud aan aanbestedingen gaan, want gaat om veel systemen. Deels kan je nog wel wat met lopende overeenkomsten, maar voor herinrichting en herinstallatie...
Komt bij dat je van deze nood een deugd zou willen maken en als je dan moet uithuilen en opnieuw beginnen dan ga je niet je oude legacy weer herinstalleren maar ga je het in 1x proberen goed en modern te doen. Dat uitdokteren kost geld, niet alles is meteen beschikbaar en een kleine gemeenten als deze zal überhaupt de kennis moeten inhuren, lees aanbesteden...
Verder kan ik me nog voorstellen dat men wil aanhaken op Common Ground waarbij wellicht sommige componenten nog niet voorhanden zijn maar dat over bijvoorbeeld een jaar wel zijn, naar verwachting. Geen idee, kan de laatste stand van zaken momenteel even niet. Maar als ik voor een uitdaging als deze zou staan zou ik daar absoluut naar gaan kijken..
Enz enz enz...
Volgens mij gaat Europees aanbesteden alleen op voor projecten boven een bepaald bedrag. Je zou ook kunnen nadenken over decentralisatie binnen je IT landschap; zowel organisatorisch als technisch aansturen op kleine teams die kleine projecten opleveren. Partijen als Centric en PinkRoccade bieden totaal oplossingen, maar de afhankelijkheid is enorm. Het opsplitsen van het landschap in kleinere domeinen zou kunnen helpen. Bijvoorbeeld door meer kleine applicaties op te leveren die een specifiek domein bedienen. Zo zou je langzaam je monolitische applicaties kunnen afbouwen. Als banken als ABN Amro dit kunnen, dan zou dat ook moeten kunnen voor de overheid.

Maar goed, uiteindelijk gaat het daar stuk op. Er wordt beleidsmatig gedecentraliseerd door de landelijke overheid, waardoor elke gemeente z'n eigen applicatie/maatwerk moet ontwikkelen. Terwijl de landelijke overheid er niet meer geld tegenoverstelt. Dat levert bovenal ellende op.

Gemeentes die samenwerken met zogenaamde Shared Service Centers lopen vaak tegen problemen aan die meer bestuurskundig/politiek van aard zijn: gaat dan over kwesties zoals politiek primaat versus oncontroleerbare ambtenaar van SSC/ZBO (want wie is nu de directe broodheer?).
Grotendeels eens met je analyse. Maar vergeet niet dat je moet aanbesteden voor de economische levensduur van de software, vaak 4-5 jaar. Dat gaat zelfs bij kleinere gemeenten al snel boven het drempelbedrag van ongeveer 200k. En daaronder moet je meervoudig onderhands aanbesteden, kost ook bijna net zoveel tijd. Pas bij echt kleine bedragen, vaak onder de 40-50k, kun je enkelvoudig onderhands (dus direct) aan de slag met een leverancier.
Ik heb een keer een ransom-ware aanval meegemaakt bij een cloudserver leverancier doordat ik voor een bedrijf werkte dat daar servers had ondergebracht. Niet alleen bijna alle op Windows gebaseerde VPSsen van de leverancier en al hun klanten waren encrypted, ook de backups en off-site backups waren onherstelbaar beschadigd. De hackers die, die poets gebakken hebben, moeten een heel lange adem gehad hebben voor ze uiteindelijk tot de encryptie van de actieve servers over gegaan zijn. We hadden het geluk dat de source server (met een private git clone) een Linux server was (en wel bij die leverancier stond maar niet door hen beheerd) en daardoor niet aangetast maar ik ben bijna een half jaar twee-drie dagen in de week bezig geweest om hun software infrastructuur (build servers, test- en ontwikkelfaciliteiten, distributieserver, databases, alle configuraties) te herstellen tot zo'n staat dat we weer aan klanten fatsoenlijke software-updates konden leveren in plaats van ongeteste versies met 'quick hacks' om een nijpend probleem van een klant toch aan te kunnen pakken. En dan gaat het in feite om de infrastructuur voor een enkele (redelijk omvangrijke) applicatie.

Ik kan me een implementatieperiode van drie jaar voor de ICT infrastructuur van een middelgrote gemeente, van de grond af (dus zonder backups, configuraties en alle custom software opnieuw moeten schrijven), heel goed voorstellen.
Poeh als je wachtwoorden van servers kunt achterhalen door te Brute Forcen, dan mag je gerust stellen dat er waarschijnlijk erg makkelijke wachtwoorden werden gebruikt :(
Hoeft niet kan ook door een bug of exploit of dat het wachtwoord bijvoorbeeld ook is gebruikt op een werkplek van de sysadmin.
En dat het uitproberen van massale series foute wachtwoorden niet verdacht gevonden wordt.
password spray, phishing, social engineering
Sommige aanvallers hebben keyloggers aanstaan en lezen keepass wachtwoorden uit die opgeslagen staan in het RAM. :) Veel bruteforce komt daar niet aan te pas.
Ja joker, moet je wel eerst binnen zijn, heh?
@Andreplusplus Joker? Beetje jammere reactie, heh?

Je hoeft voor sommige RDP lekken niet eens een password te hebben, dit ligt gedeeltelijk aan de updates die de machine heeft of juist niet heeft als ze via RDP binnen komen. Overigens zijn er op de darkweb meermaals lijsten te koop aangeboden geweest met IP's met bijbehorende usernames and passwords.

Op datzelfde darkweb kan men de ransomware encrypters kopen die op maat gemaakt worden naar de wens van de toekomstige aanvaller.
bla bla bla
waar komt account plus bijbehorend ww vandaan?
Jij zegt aanvallers hebben keyloggers aanstaan. Maar hoe installeer je die dan? Dat is wat ik bedoel met dat je eerst al toegang moet hebben.
In dit geval is het waarschijnlijker dat men gewoon ww heeft geprobeerd totdat er een login is gelukt.
Remote desktop zonder VPN ga ik even vanuit? Vind ik ook kwalijk hoor.
Dan zou je zeggen dat een lock-out policy niet actief was.
"Volgens Nauta duurt het nog zeker minstens een half jaar om de basis IT-infrastructuur van de gemeente opnieuw op te bouwen"

Definieer 'basis'. Een paar domain controllers, wat fileservers en een paar Exchange servers? Zo ingewikkeld kan het toch allemaal niet zijn? Of wil hij zijn complete IT-hardware eerst vervangen?
Een gemeente draait met gemak honderden specifieke applicaties waarmee ze wetten kunnen uitvoeren voor de burger, het Rijk en mini-maatschappij in het algemeen kunnen spelen. Tegenwoordig is er veel verSAAST maar er zal nog veel on-prem (of in een DC draaien) op dedicated machines. En er is waarschijnlijk een bak legacy waar je moedeloos van wordt. Afhankelijk van de impact van de hack kan dit enorm veel werk opleveren als je veel machines opnieuw moet opbouwen, opnieuw in een netwerk moet gooien en nieuwe security rambam moet opbouwen.

Al is dit uiteraard een uitgelezen kans om een gedeelte van je infra en software te vernieuwen als je contracten dat toelaten of als je er onderuit kan komen. Dan krijg je weer te maken met adviesbureau's, marktverkenningen, aanbestedingen en inrichtingen (over meerdere thema's en meerder schijven). Dit zijn tijdrovende zaken in een complex landschap.

[Reactie gewijzigd door oef! op 22 januari 2021 21:05]

@oef! wat is precies je punt? Die applicaties zelf zijn niet corrupt geraakt en hoeven niet ineens volledig opnieuw ontwikkeld te worden. Ook al staat er veel on-prem, en op VM's, het zal meestal een kwestie zijn van wat SQL databases restoren. Een image + database backup terugzetten is geen hogere wiskunde, al hoop ik dat er wel een volledige backup beschikbaar is.
Echter is vrijwel alles vaak uit besteedt aan >vijf partijen en niks gedocumenteerd.
Ze zullen de eerste maand of twee al kwijt zijn aan overleggen en uitzoeken welke partij welke applicatie doet...
Dan elke partij opdracht geven de boel te herstellen, op een aantal uitzonderingen na zijn dit niet bepaald de beste bedrijven die hier bij betrokken zijn (doen vaak over een firewall change (port openen) al een week of twee bijvoorbeeld)...

Als je de boel goed georganiseerd had zou je hier snel van kunnen herstellen, als je niks georganiseerd hebt moet je alles opnieuw gaan 'uitvinden' en duurt het 2-3 jaar :/
Ik heb zelf bij verschillende overheidsinstanties gewerkt en kan me niet voorstellen dat de complete IT van deze gemeente is uitbesteed aan derden. Er is heus wel een systeembeheer team in eigen dienst die wat primaire zaken kan herstellen. Voor specifieke applicaties zal het wat gecompliceerder liggen, maar ook daarvoor gelden beheerafspraken en contracten. Het lijkt nu net of de gemeente volledig aan zichzelf is overgeleverd.

Een partij als KPN bijvoorbeeld levert standaard changes vaak dezelfde dag, uiterlijk 5 werkdagen (ligt een beetje aan het contract). Een poortje op de firewall open zetten duurt echt geen 2 weken.
Dan heb je geluk gehad met die partijen, niet lang geleden bij een gemeente het zelf mogen meemaken toen ik er solliciteerde...
Hadden (en nog steeds) hun eigen ICT afdeling met 6 systeembeheerders, 3 helpdeskers en bijna dertig applicatiebeheerders... Hoewel ze 6 mensen met de titel systeembeheerder hadden moesten ze tickets inschieten naar een bedrijf voor netwerk changes in het algemeen, hoewel patches wel zelf werden gedaan in opdracht van dat bedrijf :+
Tickets bleven bij dat specifieke bedrijf nooit korter dan een week liggen voordat ze opgepakt werden.
Uiteindelijk een gigantische houtje-touwtje omgeving waar niks gedocumenteerd was, kon niet snel genoeg weg rennen.
dus jij gaat uitdagingen uit de weg ?
;)
Heb ondertussen een leuke plek met uitdaging gevonden ;)
Kreeg daar meer het idee dat het geen uitdaging maar een hopeloos geval was, geen wil vanuit de organisatie om zaken te verbeteren 'want het werkt al'...

Uitdaging is leuk maar er moet wel de wil zijn om vooruit te gaan, bureaucratie is ook een uitdaging maar geen leuke ;)
Uitbesteding is een ding, shared service centra, commerciële partijen, samenwerking met andere gemeenten. Dit maakt het complexer.
Dat is precies het probleem, er was geen backup meer beschikbaar, die is vakkundig om zeep geholpen door de hackers. Anders was het natuurlijk lang niet zo’n groot probleem geweest.
Geen offsite backup dus. Als je backup online staat of in verbinding met het netwerk is dat de zwakke schakel.
Ligt volledig aan de situatie en applicaties.
Nu met een migratie bezig waar een applicatie bestaat uit 1 t/m 10 servers met verschillende complexiteit. Gemiddeld gezien (over 100e applicaties) rekenen we op 1 omgeving per dag.

Tuurlijk haal je 5 op een dag maar je kan ook snel een week kwijt zijn aan 1 lastige
"Basis" gaat over echte dingen doen, en niet over een beetje printen en websurfen.
Als ik zie wat bedrijven al een moeite hebben om een klantenadministratie bij te houden en wat rekeningen te versturen, dan is lijkt een gemeente me echt een heel stuk ingewikkelder.
Met heel veel processen die allemaal verschillend zijn en niet zomaar vereenvoudigd kunnen worden.
Denk aan vergunningen, uitkeringen, subsidies, belastingheffing, het straatmeubilair, groenvoorziening etc.
De gemeente zou bovendien geïnvesteerd hebben in een ‘state-of-the-art’-beveiligingssysteem dat inmiddels optimaal zou werken.
Wellicht dat ze beter hadden kunnen investeren in een "state of the art" backup systeem,
dan duurt het de volgende keer misschien niet 2 jaar voordat de boel hersteld is :+
Het is niet alleen om een backup systeem maar een offsite backup had hier uiteraard al wel geholpen.
Het gaat om het opzetten van een infrastructuur welke veilig is.
Dus een apart management netwerk waarin o.a. SAN, netwerk en backup infrastruur zit
Firewall zones en profielen zodat niet elke engineer overal bij kan.
Uiteraard een VPN om op het netwerk te komen (medewerker) maar een 2e VPN welke toegang geeft tot de infrastructuur. Jumpservers voor Windows/Linux beheer, jumpservers voor netwerk beheer en geen directe toegang. Intrusion detection/prevention etc.
Je bedoelt micro segmentatie?
was het maar zover bij gemeentes of overheidsinstellingen.
Offline backup is de enige manier. Ofwel een infrastructuur welke niet alleen veilig is, maar ook disconnected (air-gapped). Als je op wat voor manier dan ook connectie kunt maken met de backup (VPN, jumpserver, you name it) dan zullen aanvallers die vinden en met genoeg motivatie en tijd ook kunnen misbruiken .
En mbt IDS/IPS: het is minstens zo belangrijk te monitoren welke data je organisatie verlaat (en waarheen)
geen 2FA of automatische lock bij 5 verkeerde pogingen?
Ze kunnen het wachtwoord ook geweten hebben op 1 of ander manier.
Tijd om infrastructure as code in te voeren dan (dat hebben ze duidelijk niet, anders stond het na een dag weer online), en zelfs dat moet toch geen jaren gaan duren...
Ook als je getroffen wordt en je moet alles restoren dan kan dit nog wel wat tijd in beslag nemen..
Zeker als je alles lokaal hebt staan en de resources niet hebt om inmens te uit te rollen.
https://www.bnr.nl/podcas...de-hack-op-hof-van-twente
Podcast over de hack door BNR van woensdag 9 december.
Ben niet onder de indruk (niet van Herbert Blankesteijn maar zeker niet van Dave Maasland). "De voordeur stond wagenwijd open, geen lockout policy". Daar gaan dit soort aanvallers van uit en komen niet binnen door "10.000en keren te proberen" maar hebben andere manieren om de wachtwoorden te achterhalen.
of, erger nog: als ze NU een nieuw systeem kopen is dat up to date..
het duurt dan minimum 2 jaar vooralleer het terug "on par" is met de gemiddelde gemeente-systemen: hopeloos verouderd

O-)
grapje he
Dus slachtoffer worden van een aanval noemen ze de ‘groene’ fase? Klinkt als een marketingbureau dat lang nagedacht heeft over hoe je iets ergs minder erg kunt laten lijken. Typisch politiek.
Taxeren van de schade.
Schade is toch flink als je twee jaar bezig bent?
Het gaat niet om hoe veel schade er is, die is flink inderdaad. Maar zoals het artikel al uitlegt gaat dit grotendeels over de gevolgen.

Groene fase: Geen gegevens uitgelekt of buit gemaakt.

Oranje fase: Er zijn gegevens uitgelekt of buit gemaakt.

Rode fase: Er zijn gegevens uitgelekt of buit gemaakt en er zijn aanwijzingen dat deze misbruikt worden.

Dus op deze manier wordt er taxatie gemaakt van de gevolgen / schade op basis van de gegevens die beïnvloed zijn door deze ransomware.
Leuke klus maar vooral een geweldige kans voor Binnenlandse Zaken!
Eindelijk scratch zero alles opbouwen zoals het hoort,
alles leeg opleveren als VM of Docker image,
1 Voor deze gemeente invullen met de data in persistente volumes,
2 Voor de rest van NL onderhouden en leveren als template vanuit de VNG
Mooie klus om te laten zien dat er goede IT'rs zijn die dit snel en netjes kunnen opleveren!

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True