Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gestolen data Schotse milieuwaakhond online gezet na weigering betalen losgeld

De hackers die rond de kerst 1,2GB aan data van de Schotse Environment Protection Agency hadden gestolen, hebben die data online gezet. De organisatie weigert namelijk toe te geven aan de eisen van de criminelen.

Nog altijd zijn de diensten van de SEPA verstoord door de diefstal en ransomware-infectie van een maand geleden, maar de milieuwaakhond is standvastig. "De organisatie herhaalt dat het niet zal ingaan op criminelen die erop uit zijn openbare diensten te verstoren en overheidsgelden af te persen". Bepaalde diensten, zoals overstromingvoorspellingen werken echter nog wel gewoon. De organisatie zegt samen te werken met de Schotse overheid, politie, het National Cyber Security Centre en onafhankelijke specialisten om de zaak te onderzoeken.

Wat voor ransomware het om gaat, is niet bekend. Volgens ZDNet heeft ransomwarebende Conti verantwoordelijkheid voor de aanval opgeëist. De bende heeft 4000 bestanden online gezet, bestaande uit documenten met informatie over contracten, commerciële dienstverlening en strategie. Of dat alle data is, is niet bekend. Hoeveel losgeld geëist werd, is ook niet bekend.

Ransomware is in de afgelopen jaren steeds populairder geworden. Dat een organisatie erdoor getroffen wordt, is een regelmatige geziene headline in het nieuws. Tweakers schreef er in oktober nog over in het achtergrondverhaal 'Hoe ransomware veranderd is; van foto's versleutelen naar miljardenindustrie'.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

23-01-2021 • 13:28

114 Linkedin

Reacties (114)

Wijzig sortering
Goede zaak om je niet te laten afpersen door een stelletje criminelen.
Ze gaan hun gang maar met het openbaar maken van data. Daar verdienen ze geen cent mee.
Als het meezit laten ze zelfs een spoor achter en kunnen opsporingsdiensten erachter komen waar ze zitten.
Nu hoor je vaak, ach ze zitten toch in Rusland, China, enz.
Nou en? Dat geeft je geen vrijbrief. Criminaliteit moet gewoon bestraft worden ongeacht waar je zit.
Wil het land ze niet uitleveren?
Prima, dan volgen er economische sancties.
Dat zet de zaak wel onder druk. Doe je niets dan blijven criminelen steeds hogere losgeld bedragen vragen gewoon omdat ze toch wel hun zin denken te krijgen.
Als je 1 Bitcoin vraagt kun je er ook 10 vragen zo is de redenering.
Goede zaak om je niet te laten afpersen door een stelletje criminelen.
Dat is wel heel kortzichtig.

Dus de criminelen verliezen niets (behalve tijd), maar de gedupeerden kunnen enorme emotionele en financiële schade leiden. Je hebt er dus de gedupeerden mee en niet de criminelen.

Die organisaties en vooral eindverantwoordelijken moeten massaal keihard bestraft worden, dat is mijn mening. Er wordt veel te licht gedacht over het verzamelen van data die vaak helemaal niet nodig is. Vervolgens wordt er met de verzamelde data zeer lichtzinnig omgegaan, omdat er toch amper consequenties zijn voor wanbeleid. En omdat (goedkope) automatisering toch amper wat kost. Ook nu weer: er is niemand hoofdelijk aansprakelijk, dus die organisatie kan gewoon doorgaan met waar ze mee bezig waren en letterlijk over een jaar weer data lekken zonder enige consequentie voor welke persoon dan ook maar (behalve misschien wat reputatie schade). De directeuren en managers kunnen gewoon bij de volgende organisatie dezelfde fout maken en dan komen ze er gewoon weer mee weg.

ICT is leuk, ICT bespaard kosten ten opzichte van een analoge wereld, maar ZO makkelijk en goedkoop als er massaal mee omgegaan wordt is het ook weer niet.
Kom, kom wat een onderbuik reaktie.
Heb je bronnen om je 'feiten' te staven ? Of oordeel je alleen maar vanuit je luie stoel dat alle data onnodig is verzameld, er lichtzinnig mee is omgegaan, er wanbeleid is en er niemand verantwoordelijk is ?

Het is in de praktijk simpelweg onmogelijk een groot systeem 100% te beveiligen. Zeker als dat systeem ook nog aan het internet hangt.
Ja, je kunt véél doen om het de criminelen lastig te maken, maar één zero-day en je bent het haasje. Of één (boze?) medewerker die slordig is met zijn wachtwoord en je bent het haasje.

Data moet verzameld worden om je werk te kunnen doen. Ik ben het volledig met je eens dat je niet meer moet verzamelen dan nodig, maar een bepaalde set zal er altijd aanwezig moeten zijn. Dat is immers de reden dat het hele systeem is opgetuigd.

Perfecte beveiliging bestaat niet. Ook niet in de fysieke wereld. Anders zou er geen bankkluis meer gekraakt worden.

Het domste wat je kunt doen is de criminelen belonen. Ik ben daarom erg trots op een organisatie die voet bij stuk houdt en het vertikt om losgeld te betalen. Dát is wat voorkomt dat criminelen doorgaan en er steeds meer gegevens op straat belanden. Dat er nu gegevens op straat terecht zijn gekomen is jammer, maar ik heb het er graag voor over als dat erger voorkomt.


Edit: vervelende typo

[Reactie gewijzigd door T-men op 25 januari 2021 14:02]

Of één (boze?) medewerker die slordig is met zijn wachtwoord en je bent het haasje.
Als het goed is dan is databeveiliging zo ingeregeld dat 1 persoon bewust of onbewust nooit zo veel schade kan aanrichten.
Mits deze medewerker systeembeheerder is met admin rechten?... sja
doorgaans zijn het het geen admins maar hacks in software exploits maken root level toegang.
chineese usb stickjes, of dat leuke apje met dat leuke web aapje en die kie logger en sniffer.
Nee, niet elke sysadmin hoeft alles te kunnen en overal maar zomaar bij te kunnen.
Ik zie niet in waarom je trots zou moeten zijn dat men niet ingaat op het losgeld afpersing.

Uiteraard betalen ze niet, de data zit bij de criminelen, je moet nogal héél naïef ingesteld zijn om te denken dat de criminelen de data gaan wissen als je het losgeld afpersingsgeld betaald. Men kan de dag erna gewoon meer vragen, de data alsnog doorverkopen of alsnog publiceren.

De echte reden dat men niet betaald heeft is dus vooral dat ondenkbaar is dat de criminelen zich aan hun woord zullen houden waarbij men buiten hun woord geen enkele garantie heeft dat als men betaald het opgelost is. Heel het verhaal dat men geen belastinggeld aan criminelen gaat geven, leuk gevonden door de communicatie verantwoordelijke maar veel meer zou ik er niet achter zoeken, hun data ligt sowieso op straat of ze nu wel of niet betalen.
Het is op die manier makkelijker om de data terug te krijgen...
(gepubliceerde data hoeft immers niet meer van een encrypted backup te komen....)
Het is nog maar de vraag hoe goed alles beveiligd is, helaas zien we maar wat vaak dat dit niet het geval is. Dat vanuit onderbuik gevoelen men aangeeft dat het geen wonder is, uiteraard weten we de feiten niet, maar de geschiedenis laat zien dat dit toch wel vaak het geval is.

De perfecte beveiliging bestaat niet, maar hoe vaak is het niet het omgekeerde aan de hand. Je hebt gewoon geen gelijk, maar net zo goed heeft GeoBeo geen gelijk, we weten het gewoon niet.

Om niet in te geven bij criminelen is makkelijker gezegd dan gedaan. Uiteindelijk zien we hier wel weer dat men betrekkelijk belangrijke informatie op handen heeft en langduig de boel plat houdt. Om niet te onderhandelen is wederom kortzichtig, het zal eerder een balans zijn, wanneer het wel/geen nut heeft. Hier zijn complete boeken over geschreven en het is zeker niet zo zwart/wit.
Je kan nooit zeker weten dat deze criminelen het niet achteraf online zullen zetten. De data moet al gezien worden als opengezet, en dus geen gehoor geven aan losgeld. De schade is er al, dan moet je daarna de criminelen niet gaan lonen.
Je kan het inderdaad nooit zeker weten, maar je bent wel een hele domme crimineel als je het wel doet.

Zodra bekend wordt dat de data online staat ondanks betaling, gaat geen enkele partij je nog betalen.

Andersom, als ze niet doen wat ze dreigen(publicatie) als men niet betaalt, dan verliezen ze geloofwaardigheid en betaalt daarna ook niemand meer.
"De bende heeft 4000 bestanden online gezet, bestaande uit documenten met informatie over contracten, commerciële dienstverlening en strategie. "

Als het een overheidsorganisatie is, dan zou openbaarheid van hun informatie geen probleem mogen opleveren.

Behalve natuurlijk persoongsgegevens. Niet meer dan terecht als ze daarvoor een GDPR-boete krijgen; ook als overheid moet je je beveiliging op orde hebben.
Enige nuance is misschien wel op zn plaats:
  • Een deel van die contracten zijn natuurlijk wel (potentieel) gevoelig. De partijen met wie de overheidsorganisatie samenwerkt delen de inhoud en condities can een overeenkomts misschien niet liever met iedereen, inclusief concurrenten. In veel contracten is niet voor niets opgenomen dat de inhoud en onderhandelingen daarvoer confidentieel zijn.
  • De strategie van een overheidsorganisatie is ook potentieel gevoelig. Het maakt het immers makkelijker voor lobbyisten om het dan te beinvloeden. Of voor bedrijven die mogelijk onder controle vallen van (Milieuwaakhond) ook heel handig om te weten waar straks de focus op gelegd gaat worden, en waar niet...
In algemene zin: het is begrijpelijk dat een organisatie niet ingaat op afpersing. Maar een openbaring - ook al is het onrechtmatig - doet wel afbreuk aan vetrouwen tussen organisaties. Als ik mij bewust ben (of wordt) dat de kans op onrechtmatige openbaring groter wordt ben ik automatisch terughoudender met het delen van informatie. En dat is lastig inschatten voor een specifieke organisatie, maar hoe meer van dit soort aanvallen slagen hoe slechter het vertrouwen wordt in het gebruik van digitale systemen voor potentieel gevoelige informatie. Of dat nu persoonsgegevens, commerciele overwegingen, of een strategie is.

[Reactie gewijzigd door Flo op 23 januari 2021 14:23]

Goede uitleg.

Wat bijna elke overheidsorganisatie geheim houdt, zijn interne documenten over de exacte locatie van nieuw te ontwikkelen plannen (woningbouw, infrastructuur, industrie, etc) om te voorkomen dat speculanten de grond voor de voeten van de overheid wegkapen. Pas zodra de beslissing definitief is en er voorkeursrecht op de grond is gelegd, kunnen deze documenten openbaar worden.
Er kan natuurlijk wel een WOB (doorstreep) verzoek worden gedaan als er officiele bestuurlijke afspraken zijn gemaakt, ook al zijn deze niet publiekelijk.

[Reactie gewijzigd door litebyte op 23 januari 2021 23:55]

Een WOB-verzoek over stukken waar geheimhouding over ligt zal je waarschijnlijk geen zwartgelakte documenten opleveren, maar helemaal niks tot de geheimhouding is opgeheven.
zoals ik schreef, zodra er officele bestuurlijke afspraken zijn gemaakt kan je een WOB verzoek indienen. Er kunnen best onderling geheime afspraken tussen ontwikkelaars en bepaalde ambtenaren worden gemaakt (laten we het netjes een lobbytraject noemen) Maar op een gegeven moment moet er toch echt een (voolopig)bestemmingsplan worden opgesteld, een grond exploitatie etc etc etc. Dan kunnen alle gerelateerde 'geheime' stukken die daaraan ten grondslag liggen ook worden opgevraagd...natuurlijk als diegene die het WOB verzoek indient ook weet heeft van deze 'geheime' afspraken.
Wie zegt dat ze hun beveiliging niet op orde hebben gehad? Dat de gegevens zijn gestolen is natuurlijk niet goed, maar het is wel heel makkelijk te zeggen dat ze dus hun zaken niet op orde hadden. Als er bij jou fysiek wordt ingebroken, en je papieren agenda wordt gestolen inclusief contactinformatie van andere mensen, moet jij dan ook een boete krijgen?
Klopt, die bewering is baseless. Alsof er een origanisatie is die kan garanderen dat ze inbraakproof zijn. Ja als je alles afkoppelt van internet en geen usb sticks meer toestaat. Het is ook een fabelje dat er voor alle bedrijven genoeg goede IT-experts zijn om de boel veilig te houden, of dat ze allemaa; genoeg middelen hebben om het te betalen.

Laten we liever eens toegeven dat we gedreven door commerciele belangen een onveilige infrastructuur gebouwd hebben en dat veel organisaties ammechtig aanlopen achter de snelle ontwikkelingen.

Wacht maar tot ze AI getraind hebben op het zoeken van gaatjes en verzamelen van informatie. Het streven naar connectiviteit is veel te ver doorgeslagen. Het verzamelen van data is veel te ver doorgeslagen. De centralisering van systemen is veel te ver doorgeslagen. De monoculturen zijn veel te ver doorgeslagen. Waar is dat goed voor? Niet voor mens en millieu. Het levert ons vooral uit aan misbruik.
Ja, je kunt je beveiliging nog zo goed op orde hebben, er zitten nu eenmaal enorme beveiligingsrisico's achter de toetsenborden in het bedrijf elke dag... ;)

Wij hadden prima beveiliging met inlogcodes en later persoonlijke kaartlezer. Heeft geen zin als je niet uitlogt als je met pauze gaat, want er het duurt enige tijd eer het zich afmeldt, en daar maakte iemand een keertje ge/misbruik van. Daar zijn ze bij ons op de moeilijke manier achtergekomen een keer.
Een GDPR-boete is enkel op zijn plaats als onvoldoende maatregelen genomen zijn om gevoelige gegevens te beschermen. Slachtoffer worden van een aanval betekent niet dat de beveiliging niet op orde was - er bestaat namelijk geen 100% perfecte beveiliging.
Precies, het is overheid, dus dan wantrouwen we die. Zullen we ook maar publiceren wat de inlichtingendiensten hebben gevonden en vooral welke spionnen ze nog niet hebben gevonden? Handig voor die buitenlandse spionnen want ik wil er op faecesboek over gaan speculeren en klagen.
Oh ja, laat de politie ook even de lopende onderzoeken publiceren. Hebben we toch voor betaald? Mogen we toch weten?
En die prijsonderhandelingen ook. Laat ze maar publiceren wat we vorige keer betaald hebben en wat het budget is, dan wordt het deze keer vast goedkoper toch?
Kortom, wat een onzin die "openheid". Doe je zelf toch ook niet,
Meer dan terecht dat ze niet toegeven.
Pijnlijk dat gegevens online komen, maar toegeven is te motiverend voor de criminelen.

Nu op naar herstel systemen en het opzetten van een hele sterke beveiliging om herhaling te voorkomen/tot een absoluut minimum te beperken.
Ik zou ook graag zien dat er op europees niveau/wereldniveau keihard hiertegen wordt opgetreden. De pakkans is nu veel te klein en de winsten zijn lucratief. Het is wachten tot het finaal fout gaat en een energiebedrijf en/of vitale dienst het op een cruciaal moment laat afweten.
Mee eens, sterker nog er zouden Europese wetten moeten komen die verbieden losgeld te betalen. Zonder inkomsten droogt dit snel op.
Inderdaad; als hackers weten dat bedrijven zwaar gestraft worden als ze ingaan op losgeld eisen, zal hun incentive om ransomware aanvallen uit te voeren sterk verminderen.
Bovenstaande reactie is natuurlijk cynisch bedoeld, maar als ze een grote kans hebben dat al hun werk geen geld oplevert (criminaliteit mag niet lonen) dan doen ze het waarschijnlijk niet. De meeste criminelen zijn lui en doen wat het makkelijkst veel geld oplevert. Een paar doen het voor de kick en die zijn hiermee niet aan te pakken, maar de meeste zeker wel
Eigenlijk was het niet cynisch bedoeld :)
Zoals bij ontvoeringen is in sommige landen.
Schotland ziet niet in de EU.
Waarschijnlijk niet voor lang 🙂
Ik mag hopen dat iedere organisatie zijn eigen afweging hierin mag blijven maken.Wat jij voorstelt is evenmin acceptabel.
Je zou betalen van losgeld kunnen zien als het ondersteunen van een criminele organisatie, en dat strafbaar kunnen stellen.
Ik ben er zelf meer voor dat een gebrekkige beveiliging strafbaar wordt, zeker als het om overheidsdiensten gaat (die hebben namelijk het persoonlijke beleidsopvattings recht om de gegevens te pas en te onpas te gebruiken of achter te houden zoals het hun uitkomt). Ik snap ook wel dat het bijna onmogelijke is om dit in te voeren, omdat een ambtenaar of overheidsdienst die iets (en ook vaak niets) in functie uitvoert zo goed als onschendbaar is.
En iets strafbaar maken heeft op criminelen sowieso geen effect (het is namelijk hun business model).
Het is nog niet eens dat een ambtenaar persoonlijk onschendbaar zou zijn. Dat is juridisch niet vol te houden volgens mij. Als iemand bij de overheid persoonlijk iets fout doet dan kan je die vervolgen en een straf opleggen.

Het lastige van boetes opleggen aan overheidsdiensten is dat het eigenlijk niet zoveel oplevert. De boetes worden tenslotte per definitie betaald aan de overheid.

[Reactie gewijzigd door Rolf op 23 januari 2021 17:27]

Wat denk je? Dat ambtenaren zich daar druk over maken? Niemand heeft daar verantwoordelijkheid.. Dat is altijd al zo geweest en dat zal altijd zo blijven. Wie schrijft immers de wetgeving? Ambtenaren...

Ik vind het prima. Ze hebben elkaar gevonden: de onuitputtelijke geldbron waar niemand zich druk maakt en de criminelen die maar blijven pompen.

Ik zie nog eerder dat de overheid een aanbesteding uitschrijft voor een crypto abonnement (wel zo handig, hoeven ze er niet zo'n gedoe van te maken) dan dat ze daadwerkelijk iets met beveiliging gaan doen. Dat is ook helemaal niet mogelijk gezien alle software ontwikkeld is door Centric of Pink. Uiteraard wordt die aanbesteding ook geschreven door een duur consultancy bureau met nul kennis van de materie.
Die onuitputtelijke geldbron, he, waar komt dat geld eigenlijk vandaan?
Johan Enschede en Zn.
Nog slimmer: hef belasting op losgeld, 400%. Als een crimineel 1 euro vraagt, 4 euro belasting erop. Kan een bedrijf zelf afwegen of het nog de moeite waard is, zullen de criminelen hun prijs moeten verlagen, heeft de gemeenschap er nog wat aan en wordt het hele businessmodel toch meteen wat onaantrekkelijker.
Die belasting is er in sommige gevallen misschien al. Als er persoonsgegevens lekken, kun je een boete krijgen voor het niet naleven van de AVG.
Nee hoor. De AVG is ervoor om te beperken wat bedrijven (ea) mogen bewaren aan gegevens. Heb je geen BSN nodig voor je dienstverlening, dan kan het opslaan ervan beboet worden.

De AVG is er niet voor dit soort zaken, als zaken gestolen (hmm, waarom spreek ik hier wel over stelen, en over het kopiëren van een film niet? Besef ik me net) worden door gebrekkige beveiliging kan het aangerekend worden op basis van nalatigheid, niet op basis van de AVG.
Niet dat de AVG veel te doen heeft met Schotland.
Mbt. BSN, daar is aparte wetgeving voor. AVG is nog niet van toepassing.
Als bedrijf mag je een BSN alleen in het personeelsdossier opslaan om aan te tonen aan de belasting dienst wie er voor je werken.
Dus van anderen mag je het niet eens zomaar weten.... (Zie Burgerlijk Wetboek).

AVG gaat over de meer algemene gegevens.
Ze gaan dat ook lekker aangeven in de box 'inkomsten uit afpersing'
Nee andersom natuurlijk... het bedrijf dat losgeld betaalt moet belasting afdragen. 8)7
Belasting over negatieve cashflow is technisch (bijna) niet in te richten.
Boetes wel.
En je wil dan onder geen beding hier uitzonderingen op kunnen maken? Ook niet als bijv. door digitale afpersing/gijzeling betekent dat het grote concequenties kan hebben voor de veiligheid van de bevolking.

We hebben het hier nu over documenten, maar het kan ook een hack zijn. Bijvoorbeeld dat bepaalde kritische systemen weer worden vrijgegeven na betaling van losgeld, dan ook niet?
En wat wil je met de vrijgegeven systemen doen?.....

Wissen en opnieuw inrichten? Is de data nog geldig? Bruikbaar? Of is de data ook "een beetje" aangepast.
Kortom de systemen en data die kwijt waren zijn m.i. onbetrouwbaar en rijp voor de schroothoop.

In casu: uithuilen en opnieuw beginnen. (je zult alle systemen toch opnieuw moeten inrichten, de oude bevatten ten minste enkele buiten de organisatie bekende zwakheden).
Die haal je ten eerste offline en ten tweede maak je ze weer bruikbaar in ruil voor de verkregen (na betaling) sleutel.

Dit gebeurde op relatief grote schaal in de Ukraine (2017) en verschillende andere landen in met name Europa en Azie na de grote randsomware aanval (systeem gijzeling) Veel bedrijven kozen er voor om te betalen omdat het andere veel meer aan schade zou kosten.

Dus uithuilen en opnieuw beginnen is natuurlijk om systeem gijzeling tegen te gaan het beste, maar niet altijd wenselijk of zelfs mogelijk.
Dus weer online brengen zonder van scratch opnieuw de software te instaleren...?
Hoe weet je zeker dat er geen malware is achter gebleven?... of wat extra backdoors aanwezig zijn...

Dus als je de sleutels hebt is het decrypten.... data backup, alle systemen schoonmaken en opnieuw instaleren en DAN voorzichtig data restoren. ALLEEN nadat je kan valideren dat die data ook correct is en niet vlak voor encryptie gemanipuleerd is. Dus het blijft een puist werk.
Ik werk niet voor een bedrijf waarvan de systemen ooit waren gegijzeld, en waarvoor toch losgeld is betaald zoals in Ukraine of in Zuid Korea, Japan en in tal van andere landen. Ben zelf ook wel benieuwd welke procedures zijn gebruikt.
Lijkt me wel minimaal iets dat je dan onder een vorm van toezicht komt te staan, enkel onder begeleiding van een gespecialiseerde organisatie of semi-overheid de risico's en impact op landsbelang afweegt. Compleet hard-line gaan kan in de grote boze werkelijkheid eens te zeer tegenwerken in de grotere belangen, eens.

Zelfstandig als willekeurig bedrijf mogen besluiten binnen de kaders van de wet toch te betalen is geen doen, dan weten we al uit huidige ervaring dat er veel te veel losgeld stroomt richting de criminelen.
Nee, want er is geen enkele garantie bij het navolgen. Terroristen geld teven moet geen vrije keuze zijn.

[Reactie gewijzigd door ItsNotRudy op 23 januari 2021 15:07]

Dat is het risico. En aangezien ik voorstander van een vrije wereld ben, ben ik van mening dat de organisatie zelf mag bepalen of deze de gok neemt.
Daar ben ik het niet mee eens.
Want een kost voor de organisatie kan laag zijn terwijl de kost voor de maatshappij hoog kan zijn.
In het geval van ransomware bijvoorbeeld, is het voor een bedrijf praktisch altijd goedkoper om te betalen.
Maar daardoor kunnen de criminelen betere infrastructuur aankopen, mensen beter opleiden, betere hackers aantrekken enz.
Hierdoor wordt het voor al de rest dus moeilijker om zich te verdedigen tegen deze hackers.

Dus mij lijkt het logisch dat losgeld betalen verboden mag worden of ten minste zwaar belast.
Een term die zeer aan inflatie onderhevig is ;)
Ja, ze bedrijgen het bedrijf.
Gedragen zich uitermate destructief.

Daarnaast er is geen sluitende juridische definitie van terrorisme vziw.
Er zijn, ook op Tweakers, nog steeds mensen die lijken te denken dat hackers met pensioen gaan als je ze genoeg geld betaald |:(
Ik zou liever wetgeving zien die bedrijven en overheidsinstanties dwingt om hun IT-beveiliging te verbeteren.

Te vaak is er een te grote risk appetite (je wil niet weten hoe vaak ik als externe security consultant nog altijd Windows 2000 en 2003 tegenkom bij (grote) bedrijven). En nee compliance is geen security en interne audit zijn vaak een wassen neus. IT-beveiliging is in beweging en verandert, maar dat geldt niet zozeer voor de regelgeving.
Zodra de boete bv. 2 * het betaalde losgeld is moet de worden de kosten van een potentiele inbraak
(met een minimum van 5% van de wereldwijde omzet) dan konden de kosten van beveiliging wel eens een heel aantrekkelijke verzekerings premie zijn.
Je kunt tevens stellen als er losgeld betaald word dat er een overheid organisatie iets te verbergen heeft.
Ik vind dit wel erg kort door de bocht om te zeggen nooit te betalen. Ik zou hier best wel een paar uitzonderingen op willen zien. De cliënt gegevens van GGZ bijvoorbeeld, wanneer 112 diensten grootschalig besmet zou (hier vind ik de veiligheid belangrijker) en ziekenhuizen (tot een bepaalde bedrag tenminste) zijn bijvoorbeeld de dingen die zo even te binnen schieten waarvan ik zo iets heb dit kan een te grote impact hebben op mensenlevens.

Het mooiste voor mij gevoel zou zijn als er een organisatie zou komen die bekijkt wat er gestolen is, hoe groot is de effect van de gestolen data / diensten die dan mogelijk offline zijn. En gebaseerd op dit bepaalt of er betaalt mag worden en zo ja het maximale bedrag dat betaald mag worden. Mocht het blijken dat de gehackte bedrijf toch (te veel) betaalt of liegt over de gestolen inhoud/de mogelijke effect van de offline servers dan een hele grote boete.
Het is toch echt een afweging die je moet maken, en wat ook al een paar keer in het 8-uurjournaal is geweest: Wel betalen en je systeem en data terugkrijgen, of niet betalen en soms cruciale, onvervangbare data kwijtraken. Daarna nog je hele systeem herstellen...

Stel dat jij al je onvervangbare foto's of je researchdata van je afstudeerproject van de afgelopen 3 jaar kwijtraakt, dan heb je vervolgens niet eens de keus of je betaalt of niet? Ik denk dat dat on(w/m)enselijk is.
Stel dat je je data terug krijgt....
Is die nog geldig? is die gemanipuleerd? zijn de systemen nog te vertrouwen of staat er ook van alles bij voor een toekomstig herhalingsbezoek.

Je zult ALLES opnieuw moeten inrichten en ALLE data moeten verifieren... dus Extra kosten heb je zo wie zo...
De hele ransomware business is gebaseerd op niet-traceerbaar geld, lees crypto.

Ik heb nog niet gehoord van criminelen die hun echte bankrekeningnummer doorgeven voor betaling.
Alleen contant geld is niet traceerbaar. Cryptocurrency is juist enorm traceerbaar.
Deels waar. Wat criminelen doen is hun currency flink opsplitsen in hele kleine beetjes, die allemaal flink heen en weer schuiven en het is zo goed als ontraceerbaar
Tja, dat is van alle tijden. Ze doen hetzelfde met off-shore en gekaapte bankrekeningen. Dus waarom crypto hier apart benoemd moet worden...
Ik reageerde vooral op het "enorm" traceerbare
ALLE transacties staan op de bitcoin chain. Dus de administratie terug zoeken kan werk zijn, maar dat is automatiseerbaar.
De enige uitdaging is er een identiteit aanhangen. (en bij shuffles kun je die ook als medeplichtigen zien).
De meeste van deze partijen zitten in landen als Rusland, China, Noord Korea etc. en maken ook weer gebruik van de threat vectors van de grote APT’s. Er is flink onderling contact tussen bv cozy en fancy bear en ransomware groepen die tools uitwisselen. De ransomware groepen ontwikkelen nieuwe methodes en mogen de winst houden als ze hun aanvals tactieken en tools maar delen. De Russische overheid heeft er dus baat bij dat dit soort groeperingen bestaan en gaat er dus ook echt niks tegen doen.
de russische overheid encrypten, kijken wat ze dan doen
Yep, de russen hebben nog niet zo lang geleden 193 Nederlanders doodgeschoten (MH17). Die worden echt niet bang van de natte vadoek genaamd Europa. Immers, we voeren nog steeds gewoon handel en relaties alsof er niets gebeurd is.

In Rusland: Oeps...
In Europa: Oepsie... niet weer doen, OK?
Je kan nog zoveel geld (wat er niet in overvloed is bij zulke instanties) in IT beveiliging steken, de zwakste schakel zal altijd de mens zijn die op een verkeerde link in een mail klikt, een niet uniek of te makkelijk wachtwoord gebruikt, zijn computer niet vergrendeld etc.
Access control van gebruikers hoort ook gewoon bij IT beveiliging.

Als het al fout gaat zodra een gebruiker een verkeerde link opent, of met 1FA icm een slecht wachtwoord overal aan de slag/bij kan is je beveiliging gewoon niet op orde ....

[Reactie gewijzigd door SirNobax op 23 januari 2021 13:47]

Access control, of zoals ik het noem "Security through irritation", leidt tot wegen om de beveiliging heen, die nog minder veilig zijn dan het beperken van access control.

De oplossing hier zit in betere identificatie van ransomware aanvallen om daarmee de impact te minimaliseren.

Van het ontnemen van belangrijke toegang is nog nooit iemand veiliger geworden. Mensen moeten gewoon op een zo eenvoudig mogelijke manier hun werk kunnen doen en access control beperkt dat.
Access control, of zoals ik het noem "Security through irritation",
Als er irritatie is, dan is het geen goede access control.
De oplossing hier zit in betere identificatie van ransomware aanvallen om daarmee de impact te minimaliseren.
Een goede beveiliging is gelaagd. Dus detectie en correctie aan de achterkant, preventie aan de voorkant.

[Reactie gewijzigd door The Zep Man op 24 januari 2021 11:57]

Als het leidt tot irritatie, en je omwegen gaat zoeken, dan had je dus te weinig rechten.

Je moet gewoon je werk kunnen doen, maar ook niet meer dan dat. Dan hoef je nergens omheen.
En vervolgens krijgen we minsters die gewoon via hun prive gmail gaan mailen, omdat het anders "z'n gedoe is". Mensen nemen de makkelijkste weg. Beter zorg je voor een makkelijke weg die werkbaar is en veilig. Iets wat episch beveiligd is en tegenwerkt word gewoon aan de kant zet en niet gebruikt.
Access control, of zoals ik het noem "Security through irritation"
Laat me raden, UAC zet je als eerste uit op een verse Windows installatie? :D

[Reactie gewijzigd door SirNobax op 23 januari 2021 14:21]

Historische informatie vastleggen op eenmalig beschrijfbare media, helpt al aardig wat.
Filesystemen die append only zijn, verliezen nooit oude data.dan is een encrypted set alleen maar een extra nieuwe set.
Toegangscontrole op orde hebben (just enough, just in time) is vandaag belangrijk. Maar de tijd dat men simpelweg misbruik wist te maken van slechte toegang licht ook ver achter ons. Als men eenmaal binnen is gaat men vaak eerst gewoon op zoek naar allerhande beveiligingsproblemen. Software die niet bijgewerkt is of 0-days waar zelfs nog geen patch voor is. Steeds verder graven ttodat je diep genoeg toegang hebt om zoveel mogelijk schade te kunnen aanrichten.
Tegenwoordig zijn er zoveel verschillende manieren om binnen te komen. Zonder meer te weten is het echt gissen. Om dan te zeggen dat 'de mens altijd de zwakste schakel is', is echt te kort door de bocht.

Begrijp me niet verkeerd, ik ben het tot op zekere hoogte eens met de stelling (afhankelijk van de situatie), maar dat moet nog blijken dat zoiets de oorzaak is geweest, maar dat is onbekend, begrijp ik uit het artikel, het onderzoek loopt nog immers.

[Reactie gewijzigd door CH4OS op 23 januari 2021 14:04]

Dit soort gevaren zijn heel eenvoudig te voorkomen door goede scheiding van data en toegang. Alleen moet je omgeving daarop ontworpen en gebouwd zijn. Overheden hebben jarenlang legacy op legacy gebouwd en zitten volledig vast in hun sleur en vendor lockin. Ze blijven doorwerken met oude systemen, denkwijzen en werkmethoden. Je kan ambtenaren ook simpelweg niet in beweging krijgen. Dus dit zal gewoon zo door gaan...
De zwakste schakel zijn de criminelen. Zo laaghartig om publieke diensten geld af te persen, dat publiek geld is.
Jij denkt dat criminelen een moraal hebben? Beetje naief.
Nee, ik zou willen dat ze een moraal hebben. Ik raak behoorlijk gedeprimeerd van alle berichten op tweakers over ransomware, hacking etcetera. Ik zou er haast Tweakers niet meer om bezoeken.

Ik vraag me trouwens af hoe het is om geen moraal te voelen. Omdat ik zo meeleef met het leed van anderen (en dan bedoel ik de hele wereldbevolking én alle andere fauna) ben ik zelf juist continu moe, depressief en uitgeput. Hoe is het leven voor mensen, die juist helemaal niet meeleven met anderen?

[Reactie gewijzigd door FairPCsPlease op 23 januari 2021 18:09]

Als ze een beetje moraal hadden, zouden ze geen aanvallen uitvoeren op ziekenhuizen, scholen e.d. maar alleen op grote commerciële bedrijven. M.i. pakken ze gewoon dat wat het makkelijkst is.
Daar kan ik wel inkomen, dat je criminaliteit pleegt vanwege ontbreken van inkomen, dat armoede geen ander perspectief biedt, maar volgens mij heb je voor het afpersen met ransomware zoveel technische kennis en de beschikking over passende apparatuur nodig, dat dat niet gebeurt door kansarmen zonder inkomen, maar eerder door rijke goedopgeleide criminelen in een pak, of heb ik het mis? Ik ben geen echte ICT-er, ik heb geen idee wat er voor nodig is zo'n ransomware aanval op te zetten, maar je moet er nogal goed voor opgeleid zijn lijkt me? En dus niet bepaald kansarm?

[Reactie gewijzigd door FairPCsPlease op 23 januari 2021 18:42]

@FairPCsPlease
Ze zijn vast niet kansarm, maar dan nog doen die roofdieren waar ze goed in zijn.
Iedereen leert op school dat je met je talenten aan de gang moet.
In de natuur heb je ook roofdieren tijgers, leeuwen en panters. En die willen we niet kwijt.
Analoog: criminelen zullen wel nodig zijn voor een gezonde maatschappij.... (ontwikkeling).
En denk je nu echt dat dit demotiverend is? Dat ze hierna gaan ophouden? Tuurlijk niet. Ze gaan gewoon door met dat verschil dat ze nu kunnen aantonen dat ze niet bluffen.
Deels waar, totdat er voldoende bedrijven weigeren natuurlijk.
Ergens begin ik het gevoel te krijgen dat de hoogtijdagen van ransomware gedaan zijn. Steeds meer overheidsinstanties worden getroffen en weigeren te betalen. En als er één ding is dat je als crimineel beter niet doet, is het de overheid proberen af te persen.

Dit zal er langzaam maar zeker voor gaan zorgen dat dit probleem bij de bron wordt aangepakt: hackersgroepen oprollen. Want hoeveel groepen zijn er nu daadwerkelijk professioneel actief?
20? 30? 50? 100 wellicht?

Het is een miljardenbusiness geworden, met als gevolg dat het hoog op het prioriteitenlijstje van cybercrime terecht is gekomen, lijkt mij.
En als er één ding is dat je als crimineel beter niet doet, is het de overheid proberen af te persen.

Dit zal er langzaam maar zeker voor gaan zorgen dat dit probleem bij de bron wordt aangepakt: hackersgroepen oprollen.
Dat zou mooi zijn, maar ga er maar vanuit dat professionele hackergroepen niet hun eigen regering (of bondgenoten) gaan ransomwaren.

Bekend voorbeeld is malware gericht op doorsnee gebruikersystemen, die eerst een simpele check doet of je een Cyrillisch toetsenbord gebruikt, en zo ja afhaakt. Mag je raden waar die vandaan komt.

[Reactie gewijzigd door SirNobax op 23 januari 2021 14:33]

Ik denk het eerder andersom. We staan op het punt van enorme hoeveelheden hacks.
Als ik om mij heen kijk bij zowel overheid als bedrijven, dan is het om te huilen qua beveiliging. 90% heeft nog niet eens een systeem draaien om intern hackers te detecteren..

Daarnaast zie je niet hoeveel organisaties gehacked worden. Het gebeurd tegenwoordig zo vaak dat het alleen in het nieuws komt als alles plat gaat. Maar meestal raakt men slechts een gedeelte van het netwerk.
Bij wet verbieden om losgeld te betalen, ik vind het faciliteren van criminele activiteiten.
Klinkt alsof de internetcrimineeltjes hetzelfde spel spelen als de overheid. Ze willen een reputatie opbouwen door alles online te gooien zodat de volgende gedupeerde een reden heeft om bang te zijn. Anders denkt men natuurlijk dat de crimineeltjes maar zitten te bluffen.

Wat mij betreft worden dit soort mensen extreem hard aangepakt, gooi ze maar in de cel bij échte bendes, worden ze lekker bij de billen gepakt. Dan is het nog wél de vraag in hoeverre dit überhaupt haalbaar is, wellicht blijft het een eeuwig kat-en-muis spel.

Games hacken is leuk, maar dit soort mensen zijn een gezwel voor de samenleving. Gadver. 🤮
Een Schotse milieuwaakhond... Ik heb een Schotse Collie, maar die Schotse hond kende ik nog niet :+
+1 van mij, vind het best grappig. Dat ontbreekt toch wel onder de beoordelingen vind ik. :)
Wat voor gevoelige data heeft een milieuwaakhond dat dreigen om het vrijgeven als er niet betaald wordt indruk moet maken?
Bijvoorbeeld prive-gegevens, zoals namen, adressen, woonplaatsen, creditcard-gegevens, bankrekeningnummers van hun personeelsleden etc. Dat zijn gegevens die je echt niet op straat wil hebben liggen.

Of bijvoorbeeld rapporten waar ze nog aan werken, met lopende onderzoeken etc. Gedurende dat onderzoek wil je die info ook niet op straat hebben liggen, om bijvoorbeeld te voorkomen dat personen/bedrijven die onderwerp van een onderzoek zijn snel even de kans aangrijpen om bewijs te verbergen/vernietigen, als ze in deze data zien dat er onderzoek naar ze gedaan wordt.

En zo zullen er nog wel meer soorten data zijn die je echt niet op straat wil hebben liggen.
Merkwaardig verdienmodel.. data jatten en encrypten en na verloop van tijd online zetten. Dan is je 'dwangmiddel' toch weg? Data downloaden en de boel herstellen...
Of de boef zet 1% van de gestolen data online om extra druk te zetten. De boef heeft simpelweg een nieuw pijnpunt gevonden op z’n value proposition canvas.
Nou dat is mooi, kunnen ze de verloren data dus downloaden en is alles weer in orde.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True