Fujifilm is mogelijk getroffen door ransomware-aanval - update

Fujifilm, een Japanse fabrikant van camera's en geneesmiddelen, is mogelijk het slachtoffer van een ransomware-aanval. Na de ontdekking van 'een cyberaanval' sloot het bedrijf wereldwijd zijn netwerk af. Inmiddels komt dat netwerk weer deels online.

Op 1 juni heeft Fujifilm op zijn hoofdkantoor in Tokio ontdekt dat er 'mogelijk een ransomware-aanval' heeft plaatsgevonden. Dat staat in een statement op de Amerikaanse Fujifilm-website. Uit voorzorg is daarom begin deze week het wereldwijde netwerk van Fujifilm deels uitgeschakeld.

Volgens de Amerikaanse Fujifilm-website is er na onderzoek van de netwerken en systemen geen bewijs gevonden dat het bedrijf in de Verenigde Staten is getroffen. Daar wordt het netwerk weer online gezet en verwacht het bedrijf vrijdag weer volledig operationeel te zijn.

Beveiligingsonderzoeker Vitali Kremez zegt tegen BleepingComputer dat Fujifilm vorige maand is getroffen door de Qbot-malware. De infectie zou op 15 mei hebben plaatsgevonden. Volgens Kremez werkt de groep achter de malware samen met de REvil-ransomwaregroepering.

Fujifilm Japan plaatste woensdag voor het laatst een bericht over de aanval op zijn site. Daarin staat dat het bedrijf de situatie nog onderzoekt. Het is niet bekend of er losgeld is geëist. Fujifilm is bekend van zijn camera's, maar maakt ook medische apparatuur, medicijnen en chemicaliën.

Update, 13:04: De website van het Nederlandse Oypo, dat diensten aanbiedt aan fotografen, zoals het afdrukken van foto's, is sinds woensdag onbereikbaar vanwege de problemen bij Fujifilm.

Fujifilm USA
Statement van Fujifilm USA

Door Julian Huijbregts

Nieuwsredacteur

04-06-2021 • 09:19

95

Submitter: JarGo

Reacties (95)

Sorteer op:

Weergave:

Onpopulaire mening: dit is het gevolg van bitcoin en het gebrek aan toezicht daarop. Geen bank zal meewerken aan het betalen van losgeld aan criminelen. En personen achter bankrekeningen zijn traceerbaar. Bitcoin en andere crypto's zijn de droom van elke criminele hacker, die het ene na het andere bedrijf of publieke instelling simpelweg gewetenloos gijzelen voor tonnen/miljoenen. Het is een waanzinnig succesvol businessmodel gebleken.

Sterker nog: zo ongeveer het enige praktische gebruik van bitcoin zijn criminele handelingen en financiële transacties die buiten de boeken moeten blijven. Los van of ik dat persoonlijk zou willen of niet: ban bitcoin/crypto's en het ransomwareprobleem stopt ook.

[Reactie gewijzigd door Lan Mandragoran op 23 juli 2024 10:38]

Het zal hier ongetwijfeld niet gewaardeerd worden, maar je hebt 100% gelijk. Er heerst om 1 of andere reden altijd het idee dat regels zijn opgesteld om burgers dwars te zitten, maar de regelgeving die er is, is er gekomen om uitwassen die er ooit zijn geweest te voorkomen. Vw.b. dit voorbeeld: Een centrale bank zorgt er voor dat banken aan voorwaarden moeten voldoen zodat er een betrouwbaar financieel systeem is. Het is niet ingevoerd om de bevolking te onderdrukken zoals veel tweakers denken (typisch trouwens dat veel technisch geinteresseerden aluhoedjes zijn, misschien teveel distopische sci-fi films en games bekeken?)
Vroeger gebruikten ze hier toch gewoon andere diensten voor? WesternUnion e.d.
Dan staat de politie ze gewoon op te wachten bij western union. De anonimiteit van bitcoin is een vloek en een zege.

Het zou geweldig zijn als we allemaal intraceerbaar kunnen bankieren(crypto). Maar de mensheid en dan vooral sommige sub categoriën is hier biet klaar voor.
Op een geldezeltje in Brazilie?
Hahaha, denk dat je het gemak van grote hoeveelheden cash geld overschat.

Zelfs Pablo Escobar was het op het eind maar aan het begraven omdat hij het nergens kwijt kon.
Prachtig gesproken en ik denk dat je gelijk hebt.

Ja het internet/“digital” is van het beloofde land het wilde westen geworden. Anonimiteit wordt verkeerd gebruikt.
Ik zie de digitale wereld als een nieuwe wereld. In de normale wereld moet je jezelf kunnen identificeren, rij je met kenteken rond, heb je lokale wetten en overheden.

Online zijn we in de handen van de grote reuzen (google, apple, ms, ali, amazon) en kunnen criminelen doen wat ze doen lekker veilig achter de pc.

Dit gaat de verkeerde kant op
Ik zeg niet dat we de digitale wereld moeten reguleren precies zoals we de fysieke wereld reguleren, dat werkt niet. Maar zolang mensen vooral aan zichzelf denken heb je een overheid nodig om het centraal belang te waarborgen.

[Reactie gewijzigd door laurens0619 op 23 juli 2024 10:38]

Ja, dit is o.a. een gevolg van Bitcoin. Echter, Bitcoin en crypto's over één kam scheren is te kortzichtig. De meerwaarde van 'crypto' is enorm.
Niet helemaal mee eens nee.
Dan is VPN de oorzaak van dit alles. Zomaar anoniem het internet op kunnen, dat zou allemaal via de overheid moeten gebeuren zeker zodat iedereen binnen de lijntjes blijft lopen.
Het darkweb staat ook hoog op de lijst, zomaar ontraceerbaar websites bezoeken. Dat moet afgeschaft worden dan.
De bedrijven die front gun servers verhuren waar zo'n trojan zijn code vandaan haalt.
De bitcoin mixer services
BTC of 1 van de 7000 andere crypto coins inmiddels.

Als je al die dingen afschaft leg je al die vrijheid bij de overheid neer, dan wordt dat een legale criminele organisatie en wordt je ook niet blij van

[Reactie gewijzigd door laserve op 23 juli 2024 10:38]

Dit toont aan hoe slecht bedrijven hun IT en security op orde hebben. Dit dwingt ze om er beter over na te denken, te investeren. Doe je dat niet, dan ben je niet duurzaam bezig en dreig je wellicht failliet te gaan, simpel; de goede blijven over. Digitale valuta's zijn maar een middel.
Hij heeft het over aanvallen in het verleden, maar het is een catch 22 voor bedrijven die getroffen worden: Betalen en hopelijk verder kunnen of niet betalen en failliet gaan.

Zeggen dat je er rekening mee moet houden is te makkelijk gedacht. Als ze binnen willen komen, dan komen ze binnen, net als in je huis. Welke software gebruiken ze en wat zijn de kwetsbaarheden van die software. Hoe maken ze backups en hoe kunnen we die ook vernietigen.

Werk zelf als systeembeheerder en ik kan geen 40 uur per week aan security besteden. Ik doe mijn best, maar het is een studie op zich om te weten wat er allemaal gebeurt op je netwerk en te filteren wat daarvan kwaadwillend is.

[Reactie gewijzigd door bregweb op 23 juli 2024 10:38]

Het is denk ik ook onmogelijk om dit te voorkomen haast. 1 persoon die 1 fout linkje/email aanlikt en je bent de pineut. De software is dusdanig agressief en complex dat zelfs een volledig gepatched en goed beveiligd bedrijf nooit 100% veilig is.
100% veilig bestaat nooit, dat is niet afhankelijk van ransomware. Dat iedereen, dus ook Fujifilm, getroffen kan worden wil niet zeggen dat het aan de ransomware ligt als er veel schade is.
Er zijn inmiddels honderden vormen van ransomware en die zijn echt niet allemaal zo geavanceerd zijn dat ze van veel 0-days gebruik maken. Heel veel ransomware maakt gebruik van blunders dat de gebruiker al te veel rechten had, waarna er meer verzameld kon worden omdat die rechten daarbij hoorden, waar meer mee schade aangericht kan worden. Verschillende niveaus van accounts gebruiken en echt toepassen, software onderhouden en netwerken scheiden zal hoe dan ook niet 100% veiligheid geven, maar je kan wel degelijk beperken wat de gevolgen zijn.
Zeggen dat je er rekening mee moet houden is te makkelijk gedacht. Als ze binnen willen komen, dan komen ze binnen, net als in je huis. Welke software gebruiken ze en wat zijn de kwetsbaarheden van die software. Hoe maken ze backups en hoe kunnen we die ook vernietigen.
Zeggen dat je rekening moet houden met ransomware doet volgens mij niemand, maar er zijn best wel wat manieren om te voorkomen dat een bedrijf failliet gaat zonder dat je investeert in de ondergang van het volgende - vaak grotere - bedrijf.
Werk zelf als systeembeheerder en ik kan geen 40 uur per week aan security besteden. Ik doe mijn best, maar het is een studie op zich om te weten wat er allemaal gebeurt op je netwerk en te filteren wat daarvan kwaadwillend is.
Dus je werkgever heeft geen infosec figuur in dienst en belegt dit bij jou, een beheerder die een volledige fte nodig heeft om de omgeving draaiende te houden. De enige verantwoording die jij nu dan hebt is om aan te geven dat je dat niet kan bewerkstelligen. Meer niet.
Dit bedoel ik dus met te makkelijk denken.

Kijk naar de namen en omzet van bedrijven die getroffen worden. Hebben die niet nagedacht over ransomware, hebben die geen infosec figuur in dienst?

Hoeveel deurtjes heeft Fuji open naar buiten, hoeveel vestigingen in hoeveel landen? Hoeveel software pakketten hebben zij draaien? Hoeveel Infosec figuren zou jij in dienst nemen als je Fuji was? En dan wekelijks al het kantoorpersoneel trainen om scam mails te voorkomen, wachtwoorden elke maand te wijzigen met 15+ karakters en dan voorkomen dat er sticky notes op beeldschermen worden geplakt?

Hallo meneer de directeur, de infosec figuur die we hebben aangenomen adviseert om op elke PC Security software te installeren, 15€ per workstation per maand, op servers is het iets duurder. En er moet betere backupdevices komen, kost 40k.

Prima, zegt de directeur, dan verdubbel ik de prijst van al onze producten, kunnen we het makkelijk betalen.
Dit bedoel ik dus met te makkelijk denken.

Kijk naar de namen en omzet van bedrijven die getroffen worden. Hebben die niet nagedacht over ransomware, hebben die geen infosec figuur in dienst?
Je ziet het, niet dus. Overigens ook geen uitzondering hoor, er zijn veel grote bedrijven die dit niet in orde hebben.
Hoeveel deurtjes heeft Fuji open naar buiten, hoeveel vestigingen in hoeveel landen? Hoeveel software pakketten hebben zij draaien? Hoeveel Infosec figuren zou jij in dienst nemen als je Fuji was? En dan wekelijks al het kantoorpersoneel trainen om scam mails te voorkomen, wachtwoorden elke maand te wijzigen met 15+ karakters en dan voorkomen dat er sticky notes op beeldschermen worden geplakt?
En dan beticht je mij van makkelijk denken, de ironie. Informatiebeveiliging is beleid en architectuur, daar zou ieder bedrijf een verantwoordelijke voor moeten hebben (i.e. een CISO). Grotere bedrijven kunnen dan nog baat hebben bij hogere granulatie in rolverdeling, dus dan gaan de security gerelateerde taken van de beheerders naar een aparte cybersecurity afdeling.
Hallo meneer de directeur, de infosec figuur die we hebben aangenomen adviseert om op elke PC Security software te installeren, 15€ per workstation per maand, op servers is het iets duurder. En er moet betere backupdevices komen, kost 40k.
Dikke stropop dit, niet normaal.
Prima, zegt de directeur, dan verdubbel ik de prijst van al onze producten, kunnen we het makkelijk betalen.
De directeur zal zelf ook wel snappen dat hij incompetente mensen in dienst heeft als ze pretenderen verstand te hebben van beveiliging en vervolgens alle zwaktes hostbased willen oplossen met een software installatie. Die zou, als hij verstandig was, één CISO aannemen die eerst eens alles in kaart gaat brengen om zo maatwerk beveiliging toe te passen. Want het voorstel wat je hier doet slaat natuurlijk kant noch wal, niet zo'n wonder dat de directeur hier niks van wilt weten.
Je roept wel hard, maar het is duidelijk dat jij geen enkele ervaring in grote bedrijven hebt.
Denk je nou werkelijk dat Fujifilm geen CISO heeft? Dat zij niet goed nadenken over informatie beveiliging?
Die moeten daar niet alleen goed over nadenken om zichzelf tegen malware te beschermen, maar nog meer tegen bedrijfsspionage. (die dezelfde malware kan gebruiken)

Fujifilm is niet het soort bedrijven waar je je kan voorstellen dat ze niet zo goed over beveiliging nadenken.
Getuige het feit dat het netwerk schijnbaar weer op gang komt, zullen ze inderdaad een CISO hebben. Ik ging af op de stelling van bregweb dat ransomware gelijk staat aan een natuurramp waar praktisch niks tegen te doen is want één beheerder heeft geen tijd voor informatiebeveiliging.
Waarschuwen voor de gevolgen voor ransomware gebeurt al jaren, ook vanuit een toezichthouder op persoonsgegevens. Het verschil zit hem er in wat ondernemers en andere verantwoordelijken voor beveiliging willen zien en tijd en geld aan uit willen geven. Het is behoorlijk naief als je na vele jaren en slachtoffers zou doen dat er geen waarschuwingen om er voldoende rekening mee te houden zouden zijn.
Zeggen dat je er rekening mee moet houden is te makkelijk gedacht. Als ze binnen willen komen, dan komen ze binnen, net als in je huis. Welke software gebruiken ze en wat zijn de kwetsbaarheden van die software. Hoe maken ze backups en hoe kunnen we die ook vernietigen.

Je doet het voor alsof het heel normaal is, dat er helemaal niets tegen te doen is... Je lijkt de burgemeester van Hof van Twente wel....
Ik weet niet waarom je deze gedachtegang hebt maar ik zou maar eens met andere mensen gaan praten want je huidige 'visie' is totaal niet up2date. Het is zelfs kinderlijk eenvoudig om een backup te creëren die veilig is. Zorg simpelweg dat je backup servers/apparaten niet benaderbaar zijn vanuit het netwerk dat je wilt backuppen... Klaar, zo simpel kan het zijn.... Letterlijk een firewall tussen de apparaten, klaar.

Als je ook een moderne werkplek draait, dan is een ransomware aanval helemaal niet zo'n groot probleem. De impact op een enkele computer is niet zo boeiend. De ransomware aanvallen zijn allemaal ontworpen voor ouderwetse netwerken waar client pc's direct verbinding kunnen maken met servers. Iets dat al bijna een decennia not-done is.

Werk zelf als systeembeheerder en ik kan geen 40 uur per week aan security besteden. Ik doe mijn best, maar het is een studie op zich om te weten wat er allemaal gebeurt op je netwerk en te filteren wat daarvan kwaadwillend is.
Dat is ook helemaal niet jouw functie. Maar je moet wel in de basis je werk veilig uitvoeren. Security by design en privacy by design moeten in de basis liggen van je ontwerpen. Is dat niet geval, ga er dan mee aan de slag.... Maak er een project van en eis hiervoor tijd. Geeft management jouw die tijd niet, speel het dan slim en stel ze officieel op de hoogte dat je 'vraagtekens hebt bij de interne beveiliging en zonder duidelijke investering niet in kan staan voor de veiligheid'. Wees duidelijke dat je graag wilt helpen maar dat het nu niet onder controle is. Stel voor om over te stappen op een moderne werkplek en huur een van duizenden bedrijven in die je hierbij bijstaan.

Ik hoor zo vaak 'dat het allemaal niet te doen is' maar dat ligt vaak volledig aan de mensen zelf. Men heeft nooit het initiatief om de oude rotzooi eens op te ruimen en over te stappen op iets moderners.
Bregweb hierboven geeft gewoon aan dat hij niet 40 uur in de week met beveiliging bezig kan zijn.
Het midden en kleinbedrijf heeft vaak ook maar 1 of 2 beheerders rondlopen en met een beetje geluk een externe organisatie die ondersteuning biedt op het gebied van cybersecurity.

Als die ene systeembeheerder dan vervolgens support moet bieden aan 100 man en belangrijker een veelvoud aan allerlei hosted services dan wordt de beveiliging vaak maar een bijzaak.
Je kunt de beveiliging voor een gedeelte automatiseren, door bijvoorbeeld netwerk vulnerability scans, goede spamfilters, goede backupsoftware en inrichting, fatsoenlijk anti-virus en patching, maar uiteindelijk moet iemand daar toch ook de tijd voor hebben om naar te kijken.

Steeds meer bedrijven besteden ook hun kernprocessen (ERP systemen) bijvoorbeeld volledig uit. Dan ben je afhankelijk van een goed IT beleid door derden. Kan je nog zo'n goed SLA contract hebben en backups (laten) maken, maar als er daar ingebroken wordt en kwaadwillenden leggen alles plat dan heb jij geen productieplanning, verkoop of service systemen meer ter beschikking.

Nee, ik ben het volledig met bregweb hierboven eens. Als je echt bewust kapot willen krijgen dan lukt dat wel. Zelfs als je probeert de systemen zo goed mogelijk te beschermen.
Bregweb hierboven geeft gewoon aan dat hij niet 40 uur in de week met beveiliging bezig kan zijn.
Ik wil enkel aangeven dat dit geen excuus is. Ik kan je garanderen dat de mensen die hem aansturen hem de schuld geven wanneer het misgaat. Hij heeft het immers niet veilig gebouwd of onderhouden.

Je kunt de beveiliging voor een gedeelte automatiseren, door bijvoorbeeld netwerk vulnerability scans, goede spamfilters, goede backupsoftware en inrichting, fatsoenlijk anti-virus en patching, maar uiteindelijk moet iemand daar toch ook de tijd voor hebben om naar te kijken.
Ja? Dus als er geen tijd voor is, dan doen we dat maar gewoon niet meer?

Dit is precies het punt wat ik wil maken: Wanneer je in zo'n situatie zit, doe er dan wat aan. Geef het aan bij je manager, reageert hij niet, geef het aan bij directie. Jij bent als IT-er verantwoordelijk voor de zaken die je onderhoud. Als dat niet in orde is dan neem je toch actie? Dan ga je toch niet bij zitten, ik heb het te druk dus ik ga maar gewoon verder alsof er niets aan de hand is?

Steeds meer bedrijven besteden ook hun kernprocessen (ERP systemen) bijvoorbeeld volledig uit. Dan ben je afhankelijk van een goed IT beleid door derden.
De reden dat men zaken tegenwoordig uitbesteed is omdat men ziet dat men het niet meer onder controle heeft. Versaasing komt juist voort uit het punt dat we het niet allemaal meer zelf kunnen doen en we meer tijd krijgen om de zaken die we wel doen, goed te doen. Net zoals we dat verwachten van de partij die de uitbestede dienst onderhoud. Om dan als argument te geven dat het hun ook kan overkomen is raar. Je geeft dat het signaal dat je het beter zelf kan doen maar daar heb je weer geen tijd voor... En dan is het ook weer niet veilig, dus wat wil je nou?
Het is ook niet zo dat we niets doen of bij de pakken neerzitten. We doen ons uiterste best, mijn manager begrijpt het volkomen en er is ook extra budget vrijgemaakt. Ik ben alleen bang dat vele bedrijven het niet gaan winnen van professionele hackers.

Het hele punt begon met de 1e post, waarbij klakkeloos de volledige schuld bij de gehackte bedrijven werd gelegd. Dat probeerde ik te nuanceren. Ik probeerde eea te verduidelijken met voorbeelden en vervolgens werd er klakkeloos aangenomen dat ik zo werk. Nee, wij als bedrijf doen echt ons uiterste best, maar ik ben bang dat we niet alles tegen kunnen houden.

We leven in de 21e eeuw en nog steeds zijn er inbraken, plofkraken en worden er geldtransporten in Amsterdam Noord overvallen. Ook de schuld van 'luie' agenten/beveiligers?
Het is niet mijn bedoeling om zomaar aannames te maken, mijn excuses. Ik wil ook niet aangeven dat niemand er iets aan doet maar enkel dat ik bij veel organisaties zit waar ransomware helemaal geen echt probleem is vanwege de inrichting. Daarnaast zit ik ook bij veel organisaties waar een cryptovirus eenvoudig enorme schade aan kan richten. Ook al wordt hier op gewezen, men ziet het niet als 'hun' probleem. Het enige wat ik wil aangeven is dat het 'wel' ons probleem is en als je als systeembeheerder nu al om je heen kijkt en bang bent voor zo'n aanval, je ook echt nu in actie moet komen. Verschuilen achter beweringen als 'Als ze binnen willen komen, dan komen ze binnen, net als in je huis' zijn volledige onzin. Iedereen kan zijn omgeving ransomware-proof maken, start met een goede backup oplossing.

We leven in de 21e eeuw en nog steeds zijn er inbraken, plofkraken en worden er geldtransporten in Amsterdam Noord overvallen. Ook de schuld van 'luie' agenten/beveiligers?

Zulke beweringen maak ik niet, sterker nog, die maak jij:
Als ze binnen willen komen, dan komen ze binnen, net als in je huis
Hoe maken ze backups en hoe kunnen we die ook vernietigen.
Mijn punt is juist dat we hier echt wel iets aan kunnen doen. Inbraken worden voorkomen door goede gecertificeerde sloten te gebruiken. Sterker nog, je verzekering vereist het. Iets dat ook vereist moet worden van je IT omgeving. Plofkraken zouden ook prima voorkomen kunnen worden. Simpelweg de pinautomaat met een timer achter een beveiligde deur zetten zou al heel veel misbruik voorkomen.

Beveiliging werkt in lagen. Iedereen die in IT werkt moet zijn steentje bijdragen en zich niet verschuilen achter 'ja, maar'. We leven niet meer in een tijdperk dat dit nog acceptabel is.
Jij doet het doen overkomen dat men een slechte beheerder zou zijn als men de risico's zomaar voor waar aanneemt. In principe is is dat natuurlijk ook zo, maar de realiteit is nooit zo simpel en kort door de bocht als hierboven door jou beschreven.

Een beheerder kan risico's bespreken met het management, maar als er geen budget/meer mensen beschikbaar komen dan blijven deze risico's gewoon voortbestaan. Vanuit ISO heb je hele mooie RIE's (risk impact evaluations) en andere middelen waarmee men kan rapporteren aan management.
Als hier vervolgens niets mee gedaan wordt door datzelfde dan is je eigen hachje als beheerder zijnde weer ingedekt, maar het bedrijf, diens medewerkers , klanten en leveranciers blijven dezelfde risico's lopen.

Zeker voor kleine en middelgrote bedrijven moet men ook wel zo realistisch zijn dat er op een gegeven moment grenzen bestaan aan de middelen die het beschikbaar kan stellen aan veiligheid.
Hoeveel kan/moet een bedrijf uitgeven aan hardware/software/diensten voor de cybersecurity.

In de afgelopen jaren zie je in alle takken dat IT steeds kostbaarder wordt, het houdt niet op bij antivirus, firewall en backup, Men wilt netwerkscans, steeds uitgebreidere spamfilters, 2, Men wilt medewerkers continue blijven trainen, spamtesten laten sturen, ga maar door. Echter budget aan mankracht blijft hier vaak ver bij achter en is voor kleinere partijen ook gewoon zo kostbaar geworden dat winstgevendheid zwaar onder druk komt te staan.

Kern van het punt hierboven is dan ook enerzijds: wat is de graad van verantwoordelijkheid van een beheerder? Anderzijds is het ook: Hoever wil jij dat een bedrijf gaat met het investeren in veiligheid? Want ergens is er een punt waar het het ophoudt.
Voor Keesje die een webwinkel draait vanaf zijn zolderkamer is dat weer anders dan een bedrijf met 100 man en 1 systeembeheerder en weer anders voor een bedrijf als Unilever.

Men moet wel realistisch blijven : Hoewel elk bedrijf ervoor dient te zorgen dat de veiligheid in de basis geborgen blijft, zal niet iedereen daar even goed in kunnen slagen. Dat is in zeer sterke mate afhankelijk van budget, draagkracht binnen management en de beschikbare tijd die men kan steken in de veiligheid

Het argument "als dat niet goed zit bij een bedrijf doe er dan wat aan" gaat er bij mij niet in.
Daarvan is men te vaak afhankelijk van anderen.
Voor Keesje die een webwinkel draait vanaf zijn zolderkamer is dat weer anders dan een bedrijf met 100 man en 1 systeembeheerder en weer anders voor een bedrijf als Unilever.

Men moet wel realistisch blijven : Hoewel elk bedrijf ervoor dient te zorgen dat de veiligheid in de basis geborgen blijft, zal niet iedereen daar even goed in kunnen slagen. Dat is in zeer sterke mate afhankelijk van budget, draagkracht binnen management en de beschikbare tijd die men kan steken in de veiligheid
Dat argument werkt twee kanten op: Kees z'n computerwinkel zal véél goedkoper een effectieve beveiliging kunnen toepassen dan Unilever. De kosten schalen mee met het formaat infrastructuur, dat is dus geen reden om een minder sluitende oplossing te implementeren.
Kijk, je kunt tegenwoordig voor weinig geld een zeer veilige moderne werkplek bouwen. Office 365 of Google Workspace kost slechts enkele tientjes per maand en leiden helemaal niet onder de dreigingen van hackers of crypto malware. MFA zorgt ervoor dat niemand zomaar bij jouw data kan en diensten zoals Onedrive detecteren crypto malware en laten je data met 1 klik terugzetten naar voor het incident. Tevens krijg je met deze clouddiensten tooling in handen waarmee je op hetzelfde beveiligingsniveau kan komen als de grote bedrijven... Dat is simpelweg geen excuus meer tegenwoordig.

In de afgelopen jaren zie je in alle takken dat IT steeds kostbaarder wordt.
Dit komt vooral doordat men vasthoud aan ouderwetse IT. Als men meegaat met moderne werkplek oplossingen dan kun je juist veel geld besparen. Het probleem is dat men denkt dat men tegenwoordig nog een systeembeheerder nodig heeft die computers in een domein stopt en iedere zondag Windows updates installeert. Als dat je idee van IT is dan zit je inderdaad met enorme problemen want zulke taken had je al jaren geleden weggeautomatiseerd moeten hebben.

Het argument "als dat niet goed zit bij een bedrijf doe er dan wat aan" gaat er bij mij niet in.
Ik snap dat er soms niets aan te doen is maar bij de meeste organisaties is dat niet het probleem. Het punt dat ik probeer te maken is dat men niet wil veranderen. Men dobbert gewoon door met hetzelfde bootje alsof er niets aan de hand is. Terwijl iedereen die waterval aan ziet komen. Dan kun je zeggen: ja, maar ik ben niet de kapitein... Of, ja maar er is geen geld voor riemen of een motor... maar we weten allemaal wat het resultaat is..

Daarvan is men te vaak afhankelijk van anderen.
Dat is ook een reden die ik vaak hoor. Ik ben gebonden aan dit systeem en daardoor zitten wij vast aan probleem X. Als ik dan vraag wat de toekomstvisie is van het systeem dan blijkt vaak dat men geen idee heeft of er prima oplossingen / alternatieven beschikbaar zijn. Echter kost het moeite om over te stappen of vooruitgang te gaan maken zodat men niet afhankelijk is van anderen...

TLDR: dit is wat ik zie.
Hier een security man. Het is meer dan een dagtaak om alles qua security bij te houden, te analyseren, te verbeteren, te beoordelen, etc. Zelfs al werk je met een SIEM of heb je alles uitbesteed aan een SOC.
De geest is uit de fles. We hebben als maatschappij duidelijk aangegeven graag losgeld te betalen en daarmee een grote bullseye op ons hoofd getekend. Dit gaat voorlopig niet ophouden gezien de slechte staat van beveiliging en digibetisme.
Waar baseer je dit op? Je hoort vaak verhalen dat men juist niét het geld betaald.
Ja, maar helaas wordt er wel vaak wél betaald:

- nieuws: Universiteitsblad: Universiteit Maastricht betaalde losgeld na ransom...
- nieuws: 'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers'
- nieuws: 'Garmin heeft ransomware-losgeld betaald'
- nieuws: Data ict-bedrijf Managed IT was versleuteld met Bitlocker en losgeld ...

En daarmee is het dus voor criminele bendes een behoorlijk lucratief businessmodel geworden. Het levert namelijk tonnen, soms zelfs miljoenen, euro's per aanval op voor relatief weinig moeite.

Ik snap bedrijven wel (die willen data terug), maar het heeft wel als consequentie dat je hiermee criminelen beloond en het winstgevend voor hen maakt. Dat lokt meer aanvallen uit.
Probleem is dat het voor beide kanten zeer lucratief is om te betalen. Als het meerdere dagen kost om je bedrijf terug online te krijgen of er data verloren gaat is dat vaak vele malen duurder dan wat die criminelen vragen.

Dus dan krijg je een ethische kwestie, niet betalen en duurder uit zijn of wel betalen?

De ethische verantwoorde acties delven met kapitalisme meestal het onderspit, dat is simpelweg hoe onze economie is gebouwd. Naar mijn mening kan je lastig het bedrijf de schuld geven als het klimaat waarin zij opereren zo is.
Probleem is duurder uit zijn en pijn lijden op korte termijn versus geen pijn en kosten op langere termijn. Wat de afgelopen decennia ons echter geleerd hebben is dat de mensheid continu voor de korte termijn gaat en voor bedrijven geldt dit nog sterker.
Die ethiek schuif je snel weg, want het gaat niet enkel om geld.

Het gaat om:
Niet betalen, daarom trager herstel, daarom geen patientenzorg kunnen leveren in een periode waar de druk op de zorg extreem is.
Niet betalen, daarom een gascrisis waar mensen gevaarlijke dingen doen om zo veel mogelijk gas te bemachtigen langer laten duren dan nodig
Niet betalen, en daarmee notariële documenten verliezen of langdurig onbeschikbaar hebben, die noodzakelijk zijn voor erfenissen/aankopen van huizen/etc.
Niet betalen, en daarmee klantdata die waardevol voor de klanten is mogelijk permanent verliezen
Etc.

Het is problematisch dat deze bedrijven niet de aanval hebben kunnen voorkomen, en niet het probleem snel hebben kunnen oplossen zonder te betalen. Maar dat er betaald wordt is naar mijn mening vaak juist de ethische keuze, omdat er specifiek bedrijven uitgekozen worden die niet zonder hun IT infrastructuur kunnen. Daarmee worden ze klem gezet, waarbij ze voor de "lesser evil" kiezen.
Ethiek lijkt me geen kwestie van selectief iets ethisch vinden. Dat het niet te stoppen was is dus net zo goed een ethisch punt: heeft bijvoorbeeld een bedrijf genoeg geïnvesteerd in verdedigen van patienten of het geld in de winstuitkering gestoken?
Geldige vragen, maar voegen niet veel toe, als je hele bezit / intellectuele eigendom / verdienmodel op DAT moment vastzit in de klauwen van die software, en je zit dat de hele toko gegarandeerd binnen enige tijd de grond in stort.... (dit was iig bij Garmin het geval), of zelfs de samenleving (iig die pijlijn)

Zou alleen idd wel bij de volgende aandeelhoudersvergadering, zowel directie als accountants aanspreken op het onverantwoorde risico dat genomen, en niet waargenomen, is.
Het punt is dus dat het niet alleen om DAT moment kan gaan, terwijl DAT moment dus zo afhankelijk is van heel veel eerdere momenten. Je kan het dan wel los willen zien, maar dan gaat het er waarschijnlijk toch meer om dat men het liever niet over de oorzaak wil hebben, wie dus allemaal zorgt voor DAT moment en dan kosten wat het kost toch een oplossing wil hebben door bijvoorbeeld ethiek maar uit het raam te gooien.

[Reactie gewijzigd door kodak op 23 juli 2024 10:38]

Zijn dingen voor een post-mortem, als de ransomware woekert, moet het weg.

En ik ben met je eens, dat men zich nog te veel ziet als een toevallig slachtoffer. Accountants die hebben afgetekend op jaarrapporten horen ook een mening te hebben over de risico's die een onderneming loopt, om tegenwind te krijgen. En jaaaaaaaren is dat niet/nauwelijks benoemd in rapporten. Ik zou het ook bizar vinden als de directie van Garmin, of dat pijpleiding bedrijf van de aandeelhouder hun bonussen wel zou krijgen, als ze een clear en present danger zo lang, zo roekeloos ongemanaged hebben gelaten.

Dus we zijn het wel eens, en (trachten te) voorkomen is beter dan genezen. Maar als je ziek bent, en op sterven ligt, dan liggen de overwegingen nu eenmaal anders.
Het is absoluut niet alleen voor port-mortem als je bijvoorbeeld op het punt staat om een crimineel te betalen. Het is natuurlijk prettig dat je bijvoorbeeld nog een beetje controle lijkt te hebben door een keuze te kunnen maken om ethiek opzij te schuiven voor zelfbehoud, maar het is in meerdere opzichten niet zomaar belangrijker dan het ongunstige alternatief. Een bedrijf stoppen is ook verantwoordelijkheid nemen. Zelfbehoud is niet zomaar redelijk. Niet voor niets gaan er jaarlijks duizenden bedrijven failliet of stoppen met bedrijfsvoering omdat het onder andere door eigen keuzes niet rendabel blijkt. Ondanks de gevolgen. Dat we het gewoon lijken te vinden iets wat we belangrijk vinden met een redmiddel te beschermen is niet zomaar redelijk.
Je laatste zin is imo juist het probleem. Het zwaktebod van, ja maar iedereen doet dat zo. Maar dat is een grotere maatschappelijke discussie. Ik ben van mening dat we die mensen daar ook verantwoordelijk voor moeten houden, maar dat is gewoon niet van deze tijd.
Toch zal er blijkbaar vaak genoeg wel betaald worden anders was het niet zo interessant geweest om hier moeite in te stoppen.
Ik heb dit meerdere keren van dichtbij gezien, ook al zegt men niet betaald te hebben, they do.
En dit gaat niet over kleine bedragen.
Om maar 1 heel recent voorbeeld te noemen, die Olie pijplijn in de USA heeft betaald, en zo zijn er wel meer, volgens mij in Nederland een universiteit die ook had betaald, en vast nog vele meer die het in de media niet willen toegeven.
Waar baseer je dit op? Je hoort vaak verhalen dat men juist niét het geld betaald.
Die verhalen hoor je omdat het de uitzonderingen zijn, dat en grote partijen die geraakt worden zijn nieuwswaardig.

Ergens heeft @raugustinus echt wel een punt overigens: het is erg makkelijk om willekeurige MKBers en consumenten te raken, en die zijn vaak dermate overweldigd dat ze geen andere uitweg zien. Zolang het niet verboden wordt om te betalen (en daarmee dus algemene bekendheid krijgt dat je zelf verantwoordelijk bent voor je veiligheid), blijft het een ding waarvan mensen geen tijd of geld hebben om er eens goed naar te kijken.

Na het inluiden van een dergelijk verbod zouden verzekeraars een actielijst moeten hebben om de infrastructuur wat robuuster te maken, en de bedrijfsvoering zo in te richten dat er hersteld kan worden na een aanval. Aantonen dat je daar als bedrijf aan voldoet moet wat mij betreft dan automatisch korting op de premie leveren. Daar zou de maatschappij héél snel profijt van hebben.
Nee, de geest is niet uit de fles.

Wat hier het geval is, de klant wil geen geld neerleggen voor een goede oplossing.
Het moet altijd goedkoper, of de goedkopere oplossing ook voldoende bescherming biedt? nee.

Ik heb wel eens eerder gereageerd onder artikelen als deze.

Het gaat als volgt:

- Technische en operationele afdeling Klant doet een uitvraag voor een oplossing, die oplossing moet voldoen aan diverse technische en veiligheidseisen.
- Ik lever een solide waterdichte oplossing aan, dit middels diverse methoden om de data veilig te stellen (golden copies en Airgap) tevens een aantal softwaresuites die fileproofing toepassen om intrusie te voorkomen, write only clusters, bedenk het.
- Sales krijgt de offertes en gaat een prijs toepassen, deze word aan de klant overhandigd.

Vervolgens ben je uit het technisch team van de klant verdwenen, ik als System engineer, verdwijn uit de loop van communicatie.

- Sales stuurt offerte naar klant, klant vind deze erg prijzig (ten minste de chef inkopen aldaar die technisch nog inzichtelijk onderlegt is om een dergelijke propositie te begrijpen.
Deze gaat klagen over prijs en het MOET goedkoper (let we, dit heb ik nu heel vaak meegemaakt)
- Sales gaat met chef inkopen de offerte door, die software is duur " Oh dan halen we hem eruit" en BOEM, m`n hele waterdichte oplossing is naar de knopjes.

Nog een scenario is, meerdere aanbiedende partijen.
Wij bieden een oplossing aan voor c.a. 1.2M euro. partij B biedt aan voor 650k Euro.

Chef inkopen kiest de goedkoopste... wederom doordat die knuppels noch technisch noch inhoudelijke kennis hebben over hetgeen waar ze over beslissen.

En dan hebben we nog een afdeling verkopen bij ons die onzin uitkraamt als " liever een sale met issues dan geen sale..."

Een dergelijke oplossing is niet goedkoop, de B-kant is dat een ransomware aanval vele malen duurder gaat uitpakken.
Hmmm, ik ken genoeg situaties waar de klant veel geld neerlegde en - achteraf - toch een slechte oplossing kreeg omdat geen rekening werd gehouden met een new-kid-on-the-block.

De gedachte dat er een waterdichte oplossing mogelijk is, is hooguit die van het ontwerpmoment. Punt van criminaliteit is dat die oneindig is en het slachtoffer bij één geslaagde poging, het haasje is.
Eensch dat er risico analyse moet zijn, die waar het "digitaal" aangaat met goed fatsoen niet meer becijferen is. Hooguit een 'getal' dat kan dienen als richting voor het beschermingsbudget (en het evt afkopen daarvan). Ik ken bedrijven die - liever - "betalen" omdat het ze anders meer of alles kost. De 'crimineel' heeft sws niets te verliezen en alles te winnen. Maffia is niet een bedrijf leeghalen als doel maar het "gezond" houden dat het kan blijven (af)betalen.

Analyse kan er wel toe leiden dat een bedrijf haar onderdelen indien mogelijk, qua systeemtechnologie gaat segmenteren, om daarmee totale schade te beperken.
Heeft lang niet altijd met slechte staat van beveiliging te maken, tenzij je zeroday exploits slechte staat van beveiliging vindt. Probleem is dat hoe goed je je beveiliging ook op orde hebt, een zeroday exploit kan al je goede intenties/werk compleet teniet doen.
Bij goede beveiliging hoort een recoveryprocedure, die kan het verschil maken tussen failliet gaan of maximaal 2 dagen downtime. Je kán niet alles voorkomen, maar met een bedrijfsproces en ondersteunende software kan je het effect behapbaar maken.

En dat is gelijk een hoop incentive minder voor aanvallers, zerodays zijn (afhankelijk van de aard) aan de prijzige kant, dus als dat te vaak niet leidt tot betalende slachtoffers, zal ransomware voornamelijk een gelegenheidsding blijven en niet zo snel meer een dure gerichte aanval.
Maarja, die recoveryprocedure is maar zo goed als je dataretentie is natuurlijk, want je moet rekening houden dat als de ransomware al langer in je netwerk rondwaarde het goed kan zijn dat je backups dus ook fubar zijn, en dan weer terug te moeten naar een backup van een week geleden kan voor genoeg bedrijven een ramp zijn.
Wel kun je natuurlijk ook zaken inbouwen die controles uitvoeren op de data, door dus bekende bestanden in te lezen en te controleren of die data nog steeds hetzelfde is als verwacht (uitgaande van het proces dat de ransomware het bestand encrypt maar dus wel nog leesbaar is op de computer waar de ransomeware op staat, maar op een schone computer dan dus niet te lezen is. En als dat dus het geval is, dan groot alarm en alle deuren op slot ;)
Maarja, die recoveryprocedure is maar zo goed als je dataretentie is natuurlijk, want je moet rekening houden dat als de ransomware al langer in je netwerk rondwaarde het goed kan zijn dat je backups dus ook fubar zijn, en dan weer terug te moeten naar een backup van een week geleden kan voor genoeg bedrijven een ramp zijn.
Ik was een heel epistel aan het typen maar...
Wel kun je natuurlijk ook zaken inbouwen die controles uitvoeren op de data, door dus bekende bestanden in te lezen en te controleren of die data nog steeds hetzelfde is als verwacht (uitgaande van het proces dat de ransomware het bestand encrypt maar dus wel nog leesbaar is op de computer waar de ransomeware op staat, maar op een schone computer dan dus niet te lezen is. En als dat dus het geval is, dan groot alarm en alle deuren op slot ;)
...je komt zelf al met de oplossing. Ik zeg altijd, een ongeteste backup noem je geen backup maar een kopie. :)
Het begint ook gewoon een beetje op digitale maffia te lijken; 'beschermgeld' betalen of je data word openbaar gemaakt/doorverkocht. Doe daar nog een sausje van corporate espionage over heen en je bent ongeveer in de situatie waar je nu in zit als maatschappij.
Bedrijfsgevoelige informatie is nu eenmaal geld waard, en bedrijven hebben vaak niet hun veiligheid op #1 staan of zijn makkelijk doelwit van social engineering.
De volgende stap is dat er criminelen iemand gaan betalen om per ongeluk / express op een phising link te klikken. Laten we zeggen iemand die niet zo lekker in z'n vel zit en medewerker is van een grote multinational. Dan is een tienduizend Euro snel verdiend....

...en een paar miljoen voor de criminelen...want die multinational betaalt toch wel.

[Reactie gewijzigd door versc049 op 23 juli 2024 10:38]

Ik snap je reactie en de reacties hieronder op zich wel, maar, waarom gaan we niet met zijn allen achter deze criminelen aan? Als je op straat iemand neerschiet gaat de politie ook aan de slag.

In de meeste van deze gevallen stopt de politie met haar werk zodra duidelijk wordt dat de aanvallers in rusland of ander derde wereld land zitten. Dit is het daadwerkelijke probleem, combineer dat met de anonimiteit van bitcoin en je bent bij voorbaat kansloos.

Ik zeg van het internet af met deze landen, klinkt hard, maar is het enige wat gaat werken, oh en crypto in de prullenbak.

En iedereen die hier met droge ogen durft te beweren dat als er maar genoeg geld in IT gestopt wordt je dit kan voorkomen is sowieso bij voorbaat af. Zero days houdt je uiteindelijk niet tegen, je bedrijf kan niet van internet af, en zelfs de beste antivirus loopt altijd achter de feiten aan.

Je kan met geld hooguit zorgen dat je geen ransom hoeft te betalen, maar dan wordt de afweging, hoe lang duurt het op die manier om alles terug te krijgen vs hoe lang als we betalen. Mensen hier lijken in een rainbow unicorn wereld te leven en snappen niet dat het stilvallen van processen vele malen duurder kan zijn als een ransom van een paar ton.

Even een discussie over ethiek gaan voeren terwijl je als directeur verantwoordelijk bent voor het inkomen van een paar 100 man is echt niet hoe de wereld werkt. Bedenk het je zo, als iemand buiten een pistool op je hoofd zet, wat doe je? Geef je je portemonnee of ga je een discussie aan dat het niet ethisch verantwoord is om die af te geven?

Toetsenbord ridders hier, hoop dat jullie bedrijven deze ellende bespaard blijft maar een paar van de reacties gun ik een nare crypto zodat ze eens echt meemaken wat er dan gebeurt.

Laat de minnetjes maar komen.

[Reactie gewijzigd door themadone op 23 juli 2024 10:38]

Het enige wat je hier tegen kunt doen is het betalen van Losgeld strafbaar stellen , met persoonlijke aansprakelijkheid van bestuurders. Ja dat is voor de eerste zoveel bedrijven een flinke knauw, maar zoals anderen al eerder heben aangegeven, anders gaat dit maar door
Dus "blame the victim", het slachtoffer de schuld geven omdat die de beveiliging niet op orde had?

Security problemen zijn overigens niet altijd 100% de schuld van een bedrijf wat de beveiliging niet goed op orde had, het kan ook zijn dat er bijv. in het gebruikte operating system of andere software een security bug zat waar de criminelen gebruik van hebben gemaakt.
Neen, dat is niet blame the victim, het is het strafbaar stellen van het faciliteren van misdrijven.
Dat lijkt me in dit geval niet op z'n plaats.

Faciliteren van misdrijven zou inderdaad strafbaar moeten zijn, als je als bedrijf met opzet criminelen toelaat om gebruik te maken van jouw services en systemen. Bijvoorbeeld als je lieden waarvan je zou kunnen weten dat die criminele activiteiten uitvoeren, als klant accepteert. Banken zijn bijvoorbeeld verplicht om dit te controleren en geen criminelen als klant te accepteren.

Als criminelen inbreken op jouw systemen dan is dat heel wat anders. Je helpt dan niet met opzet / bewust een crimineel met zijn activiteiten.

Stel dat iemand inbreekt in jouw huis, door de voordeur open te breken. Jij had de voordeur wel op slot gedaan. Wat zou je ervan vinden als de verzekering dan zegt: u krijgt geen vergoeding want het is uw eigen schuld dat de inbreker de deur heeft kunnen openbreken?

[Reactie gewijzigd door jj71 op 23 juli 2024 10:38]

Het gaat hier niet over de schuldvraag, het gaat over het gevolg.
Indien je losgeld betaald, moedig je crimineel gedrag aan dat heeft verder niets met je slachtoffer status te maken.

Ik snap ook prima dat op dat moment de keuze makkelijk is, ondanks dat iedereen weet dat het moreel niet klopt, maar als de kosten voor losgeld minder zijn dan de schade dan zou iedereen op dat moment betalen, ik ook.

Door het criminaliseren van het betalen van losgeld verander je de vergelijking, dan is het rekensommetje makkelijk. je zit in de penarie, maar als je losgeld betaald nog meer , ipv nu minder. Het klinkt voor een individueel geval niet eerlijk, maar in het grote plaatje is dat de beste oplossing.
Als niemand meer betaald, is het niet rendabel en gebeurt het dus ook niet meer.
Je laat in je vergelijking een aantal belangrijke punten weg. Ten eerste stellen verzekeraars bijna altijd eisen om zelf geen onredelijke betalingen te hoeven doen. Dat wil zeggen dat de mogelijk slachtoffers dus bepaalde beveiliging aantoonbaar op orde hoort te hebben en/of dat mogelijke slachtoffers meer aan de verzekeraar betalen. Maar dat wil nog niet zeggen dat die eisen dus redelijk zijn, hooguit dat ze redelijk lijken in de ogen van de verzekeraar en de mogelijke slachtoffers die voor die verzekering kiezen. En aangezien die voornamelijk voor ogen lijken te hebben om elkaar financieel te compenseren wil dat niet zeggen dat een slachtoffer hier niets te verwijten valt als die een crimineel financieel gaat belonen om zelf niet zo veel schade te hebben.

Daarbij maakt ransomware vaak schade doordat het slachtoffer 'deuren' niet op slot had gedaan of ze open maakte terwijl ze konden weten dat het schadelijke gevolgen kon hebben. Mails zomaar vertrouwen, bijlagen vervolgens gaan openen, software maanden niet up-to-date hebben, accounts met te hoge rechten gebruiken alsof het gewone accounts zijn, makkelijke wachtwoorden gebruiken voor meerdere accounts, niet weten of men backups wel kan vertrouwen en niet al te lang bewaren, enz. Bijvoorbeeld omdat men liever tijd en moeite bespaarde of liever geld uitgaf aan de verzekering, zaken waar wel men meer waarde in zag voor het bedrijf of winst naar aandeelhouders die dan mooi de buit zelf al binnen hebben als het toch mis gaat.

Stellen dat je criminelen alleen zou faciliteren als er opzet is klinkt dus niet redelijk zolang mogelijke slachtoffers en geldschieters geen blijkt geven dat bewust te willen voorkomen. Dat doet verder niets af aan de verantwoordelijkheid die criminelen over hun eigen daden hebben.

[Reactie gewijzigd door kodak op 23 juli 2024 10:38]

Ik ben het volledig met je eens maar ik denk dat dit niet helpt. Uiteindelijk is dit niet een morele beslissing (anders zouden ze nu al niet betalen) maar een financiële. Ransomware bedragen worden nu al afgesteld op de gegijzelde organisatie dus die boete kan men gewoon meenemen als risico in de calculatie.
Maar daarmee los je helemaal niks op, persoonlijk aansprakelijk stellen is echt een straf gedacht uit emotie maar bewerktstelligt precies het tegenovergestelde. Er is een reden dat je niet zomaar iedereen persoonlijk kunt aanklagen als een bedrijf iets fout doet, en hoeveel mensen gaan zich vrijwillig verantwoordelijk stellen voor iets wat 1 van de 100.000 mensen blijkbaar fout doet.

Wat jij voorstelt is niet een flinke knauw, het is criminelen in de hand spelen. Op dit moment is het namelijk als je geen goede backup hebt: Betalen of je bedrijf kwijt. Wat jij voorstelt is: De bak in of je bedrijf kwijt. Wat jij dus voorstelt is alleen voor het slachtoffer een extra straf, en zet de deur wagenwijd open om dit als terreur te gaan gebruiken. Je weet namelijk dat iemand niet mag betalen, dus dan gaat of die persoon zich opofferen en een straf krijgen of het bedrijf gaat failliet.

Nee, dit soort straffen bepalen op emotie is precies wat criminelen willen. Jij stelt het slachtoffer als schuldige, en verhoogt de straf voor het slachtoffer zonder dat je daarmee de bron aanpakt. Het is geen flinke knauw, het is gewoon het begin van het einde van de maatschappij: het maken van een doelwit voor je eigen ondergang.

Nog even los van het feit dat niet betalen dus ook heel veel mensen hun baan kost, wat als maatschappij ook niet echt bevoorderlijk is. Want in de praktijk betekent het niet hoofdelijke aansprakelijkheid van de bestuurder, maar ook ontslag (en dus uitkeringen) en een verstoorde arbeidsmarkt. Allemaal bij effecten van die knauw, wat dus snel uitgroeit tot een flinke ontwrichting in plaats van een knauw en 1 iemand waar een paar IT'ers boos op zijn.

[Reactie gewijzigd door parsa2020 op 23 juli 2024 10:38]

Je begrijpt het niet,

Er is geen keuze straks tussen bedrijf kwijt of in de bak, want als niemand losgeld betaald, wordt je ook niet door randsomeware geraakt

En het risico is er met criminelen altijd:
Wel betalen, niet de oplossing krijgen, alsnog je bedrijf kwijt.
Wel betalen, maand ernaa weer ransomware, wer betalen, totdat je uiteindelijk je bedrijf kwijt bent.

Het is puur korte termijn denken, en ja helaas is dat tekend voor nederlandse bestuurders

Ik ben het er mee eens dat je niet 100% alles kunt beveiligen, maar wat je wel kunt doen is nadenken als je IT uitvalt, waarom je dan je hele bedrijf kwijt zult zijn. Op een paar bedrijven na heb je het echt niet goed gedaan, en blijf je dus altijd een risico.

Als jij wel wel betaald ben jij verantwoordelijk voor de voortzetting, en moreel medeverantwoordelijk voor de volgende slachtoffers. N
Er is geen keuze straks tussen bedrijf kwijt of in de bak, want als niemand losgeld betaald, wordt je ook niet door randsomeware geraakt
Maar dat is juist wat ik zeg, dat is een foute aanname. Alleen dan gaat de intentie van geld verdienen naar bedrijven/landen aanvallen, waarmee je dus terrorisme in die vorm in de hand speelt. Het strafbaar stellen van betalen zorgt er echt niet voor dat alle ransomware magisch verdwijnt en die mensen stoppen met criminelen zijn, ze gaan het alleen anders aanpakken. Betaald worden door een overheid om een bedrijf te slopen is ook gewoon een inkomen.

En korte termijn denken is niet tekenend voor Nederlandse bestuurders, dat is tekenend voor de mensheid in het algemeen. Dat negatieve gedoe over je eigen land altijd, verhuis dan uit Nederland als het allemaal zo kut is en andere landen zoveel beter zijn.

Natuurlijk is er een risico met criminelen, maar ik denk niet dat mensen persoonlijk te straffen omdat een crimineel het op ze voorzien heeft de oplossing is. Voelt een beetje als 'vervelend dat het is gebeurd, nu krijg jij de straf want de crimineel kunnen we niet pakken'. Het is een hele emotionele manier van rechtsspraak, in de trent van 'iemand moet straf krijgen'. Natuurlijk is dat het ideaal, maar je moet niet iedereen maar willen proberen te pakken in het najagen van een straf, soms is het feit gewoon dat er geen straf wordt uitgedeeld.
Het is geen foute aanname,
als er geen losgeld meer wordt betaald, zullen er geen ransomeware aanvallem meer komen met als doel het verkrijgen van losgeld. dat is een zeer valide redenatie.

Wat jij aangeeft is dat er dan nog wel ransomeware aanvallen zullen gebeuren, vanuit opdracht van een vijandige staat. Ja dat zal best, maar dat heeft een intrensiek ander ingangspunt. en daar heeft het betalen van losgeld geen invloed op, de motivatie achter deze aanvallen is niet geld, maar het slopen van de bedrijven dus die redenering van jou gaat niet op.

Het gaat in dit geval om ordinaire criminelen, die gelbelust zijn. indien je ervoor zorgt dat er gen, of onvoldoende geldelijk gewin te halen is in verhouding met de pakkans en straffen dan houd dat op (en zal zich weer naar een ander terrein verplaatsen, zo naif ben ik niet).

De staatsgesteunde aanvallen zullen blijven en hebben een ander probleem ten grondslag, daar heeft losgeld niets mee te maken, en daarom zal je de bedrijven niet anders straffen.

En ja, bedrijven zijn ook als criminelen, die doen een kosten-bate analyse Indien de oplossing voor het probleem meer (moiete) kost dan gewoon aftikken, dan zal er niets veranderen en lopen andere delen, bedrijven en particulieren maar ook staatsinstellingen gevaar
Het is een foute aanname om te stellen dat iets verdwijnt als je het verbied. Als dat zo zou zijn dan zouden we ook geen gevangenissen hebben in Nederland. Een bij-effect van jouw voorstel is tevens dat bedrijven het niet meer gaan melden en in het geheim losgeld zullen betalen waarmee je ransomware uit zicht drukt. Juist vanwege de gevoeligheid van veel data wil je niet dat bedrijven belemmeringen krijgen als zij een melding verrichten.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 10:38]

Als je goed leest is dat de stelling ook niet.

De stelling is: maar het Duurder/risicovoller om losgeld te betalen, dan niet te betalen.
En ja, dan is de stelling:

Als er door niemand meer losgeld wordt betaald, stoppen de aanvallen met als doel losgeld te krijgen
(andere motieven voor aanvallen blijven natuurlijk)

En ja,een ransomeware aanvallen hou je als bedrijf (eenmanszaken daargelaten) niet stil, dus het risico om wel te betalen bij een verbod is heel groot dus zal een bestuurder die beslissing niet maken
Als jij je eigen posts goed leest is dat exact wat jij beweert.

Je wilt het duurder/risicovoller maken om te betalen door het te verbieden en denkt daarmee te bereiken dat men niet meer betaald en dan houdt het allemaal vanzelf op.

Dat is natuurlijk kolder.

En waarom zouden bedrijven dit niet stil kunnen houden?
Omdat als je zodanig gegijzeld bent dat je bedrijf anders omvalt, dit iedereen opmerkt, personeel,klanten,toeleveranciers,toezichthouders iedereen en alles.
En je bent al verplicht het te melden daar er ook een potentieel datalek is ontstaan.

Oftewel de hele wereld en omstreken weet het, en dan heb je het plots opgelost?

En nee, als bestuurders persoonlijk verantwoordelijk worden gehouden, dan zal er niet meer betaald worden.
Je hebt een veel te idealistisch denkbeeld van de wereld.

Bestuurders worden voor veel dingen verantwoordelijk gehouden zoals bijvoorbeeld fraude en ook dat komt nog volop voor.

En je moet niet de illusie hebben dat het altijd uitkomt. De klant merkt geen verschil tussen: We hebben een virus/problemen en moeten de systemen opnieuw inrichten of we hebben ransomware en moeten de systemen opnieuw inrichten. En die meldplicht is leuk, maar ook nu zijn er genoeg bedrijven die daar maling aan hebben, sommigen krijgen een boete anderen komen ermee weg en nooit iemand die erachter komt.
Idealistisch ? nee wel realistisch,
Alsof je even een paar ton uit de boekhouding kan laten verdwijnen voor een crypto transactie
Voor sommige bedrijven wel, andere bedrijven hebben het al op de plank liggen als zwart geld.
Dat zijn het zelf criminelen, tja die laten zich wel in met andere criminelen :)
Het kan veel eenvoudiger. Ban crypto's en het verdienmodel van ransomware is al sneeuw voor de zon verdwenen.
Maar op welke grond wil je het verbieden? Het is niets meer of minder dan een groep mensen die besluit een waarde aan iets toe te kennen en die dingen daarvoor aan elkaar te verkopen. Vroeger waren het tulpenbollen, vandaag zijn het coins, en volgend jaar kunnen het pingpongballen zijn.
Daar valt wel wat op te verzinnen toch? Als de wil er is zou er prima toezicht en meer regulatie ten aanzien van cryptovaluta afgesproken kunnen worden?
Sterker nog, ban zuurstof en criminelen zijn al snel als sneeuw voor de zon verdwenen.
Ik vind het oprecht jammer dat kennelijk alleen met absurde drogredeneringen en -1-beoordelingen kan worden gereageerd op het ondubbelzinnige verband tussen crypto en ransomwarecriminaliteit.
Omdat ik, en anderen met mij blijkbaar, het net zo goed een absurde stelling vinden om iets maar te verbieden omdat het net als vele andere dingen in het leven gebruikt/misbruikt kan worden door criminelen maar verder algemeen een positief doel dient.
Het gaat niet om het verbieden van iets dat ook gebruikt kan worden voor criminaliteit. Het gaat om het reguleren van een middel dat in de praktijk letterlijk alleen daarvoor aangewend wordt en in de praktijk waarschijnlijk juist leidt tot een enorme toename van criminaliteit, zoals ransomwareaanvallen die publieke instellingen platleggen en groot zijn geworden door de crypto's. Bitcoin dient geen enkel ander praktisch nut dan het kopen van wapens, kinderporno en drugs, en natuurlijk het gijzelen van bedrijven.

Kom op zeg, je kunt toch niet met droge ogen beweren dat bitcoin een positief doelt dient terwijl het juist alleen maar praktisch nut kent in de zware criminaliteit?
voor crypto was er natuurlijk ook criminaliteit.
Echter het verbieden van Crypto currency zou vééél oplossen.
nu is het een redelijk ontraceerbare en vooral gemakkelijke manier om losgeld te betalen. zonder crypto een heel stuk moeilijker. Wat ransomware minder aantrekkelijk maakt.
Maar vooral zou enorm nutig zijn voor gamers, want komen al die crypto GPU's weer op de markt, en maakt de nieuwe minder gevraagd.
Ransomware verdwijnt echt niet als je crypto banned.... Er gaat veel meer crimineel geld om in Fiat dan crypto..

Denk je echt dat fiat niet 'zwart' kan worden afgehandeld?
Criminaliteit is criminaliteit. Het betaalmiddel verandert daar niets aan...
Het echte probleem zit in opsporing, daar wordt niets aan gedaan. Veel ransomware bied je zelfs een vaste helpdesk aan. Toen Hof van Twente 'gegijzeld' werd had de lokale krant binnen een paar uur een 'interview' met de gijzelnemers. Denk je echt dat die geen fiat kunnen verwerken als ze zich niet eens hoeven te verbergen?
ik heb het over de betalingen van ransomwareaanvallen die allemaal via crypto gaan
En ik geef aan dat criminelen dat gewoon overstappen op een andere valuta of betaalmiddel. Het lost geen enkel aspect op binnen het ransomware probleem. Het echte probleem is opsporing en handhaving.
Nou nee, dat zei je dus net niet. Je begon opeens over witwassen, een heel andere vorm van criminaliteit.

Je stelling dat criminelen eenvoudig kunnen overstappen op andere betaalmiddelen als crypto's niet meer kunnen betwist ik ten zeerste. Het enige praktische nut van de bitcoin is nog steeds het criminele circuit: drugs, wapens, kinderporno en ransomware. En dat is niet voor niets. Banken mogen niet meewerken aan frauduleuze transacties, moeten monitoren, traceren en staan onder centraal toezicht. En het grote voordeel van crypto's is dat de eigenaren zo goed als niet te vinden zijn. Dat is uiteraard enorm aantrekkelijk voor criminelen en het is dan ook niet gek dat letterlijk alle ransomwareaanvallen via crypto's verlopen.

In dat verband snap ik ook weinig van je opmerking dat het probleem opsporing en handhaving is maar je kennelijk geen probleem in crypto's ziet. Dat 'probleem' is namelijk het unique selling point van crypto's als bitcoin, die verder geen enkel ander praktisch nut hebben dan het gijzelen van bedrijven en het kopen van kinderporno.
Dit is toch het kat en muis spel dat er altijd al gespeeld werd, het is alleen invloedrijker geworden indien je niet meespeelt.

Ook met goede beveiliging (met bijbehorende kennis daarvan) kun je slachtoffer worden van een dergelijke aanval. Een klein foutje, evt. van korte duur, is zo gemaakt. En hop, ze zijn binnen als ze willen.

Je kunt je als bedrijf tegenwoordig beter focussen op het vakkundig managen* van een digitale crisis, zoals een ransomware aanval, in plaats van hopen dat er niets gebeurt en dan maar betalen in de hoop dat je je spullen weer in dezelfde staat terug krijgt.

* Met managen van een crisis doel ik op het hebben van een plan, uitwijkmogelijkheden en oefeningen. De invulling hiervan lijkt mij voor een groot deel afhankelijk van de branche en reikwijdte van je bedrijf; het garanderen van een bepaalde uptime behoeft ander crisismanagement dan het beschermen van gegevens en koppelingen, bijvoorbeeld.

[Reactie gewijzigd door Luftbanana op 23 juli 2024 10:38]

Zolang er een lokaal en geen gemeenschappelijk belang is zal er geld betaald worden.
Stel je hebt een ransom:
- betalen kost 0.5 miljoen, opnieuw opbouwen kost 500 miljoen. Ik kan mij de keuze voor betalen wel voorstellen.

Dit los je niet zomaar op tenzij ieder bedrijf bij een verzekeringsgroep zit (die nu ransom uitkeren) en die groep samen de investering ziet dat extra uitkeren voor rebuild ipv ransom betalen op de lange termijn financieel interessant is voor hun.

Een overheid gaat dit nooit afdwingen. rebuild is vaak failliesement itt ransom betalen. Dan vallen bedrijven om wat weer klap heeft op economie (die de overheid weer opvangt)

De criminelen hebben de bedrijven mooi in een wurggreep

[Reactie gewijzigd door laurens0619 op 23 juli 2024 10:38]

OF je huurt voor 2 miljoen een russische hitman in die de daders voor je gijzelt en zodra je je data terug hebt omlegt. Is het probleem ook vrij snel opgelost.

Deel van het probleem is dat er op online 'misdaad' een redelijk klein risico is. Als je bijvoorbeeld fysiek een pompstation van de Colonial Pipeline had willen saboteren heb je een grote kans een (gewapende) beveiliger of politieagent tegen te komen. Idem als je een bank wilt overvallen.

Bijkomend probleem is dat deze aanvallen mogelijk ook (deels politiek) gemotiveerd zijn door buitenlandse mogendheden; waardoor 'reguliere rechtsgang' bij voorbaat niet veel kans op succes heeft. Je hoeft waarschijnlijk niet veel medewerking te verwachten van de Chinese, Noord Koreaanse of Russische overheid in het opsporen en berechten van deze criminelen. In Rusland heb je dan nog de meeste kans om via de onderwereld in Rusland gevestigde hackers letterlijk het leven zuur te maken.

[Reactie gewijzigd door Niekleair op 23 juli 2024 10:38]

Helemaal eens! De pakkans is te laag
Daarom het is vrij complex om dit tegen te gaan

[Reactie gewijzigd door laurens0619 op 23 juli 2024 10:38]

Qbot is een backdoortrojan, zo lees ik hier, ik vraag mij dan af of dit op een pc is binnengekomen of op een server waar men bijvoorbeeld nog snel even wat sites bezocht heeft met Internet Explorer (als voorbeeld!).

REvil is gewoon Ransomware-as-a-service, 'samenwerken' vind ik dan maar vreemd uitgedrukt.

Het kan de beste overkomen, zo heb ik er in mijn carriere al voldoende tegengekomen, en de schade is enorm. Niet alleen voor het bedrijf, maar ook veel stress voor de IT'ers dat het terug moeten rechtzetten.
Je kan wel zeggen, snel een backup terugzetten, maar je moet eerst nagaan hoelang men in het systeem zit, zijn er geen backups beïnvloed, etc. Dan kan je pas gaan terugzetten met hopelijk zo min mogelijk dataverlies. Echter na het terugzetten zal je ook nog veel moeten verifiëren.

De vraag is soms ook, kan je na een breach nog wel iets vertrouwen binnen het netwerk?
Iemand dat weet met wat ie bezig is, kan net zo goed een switch hebben geïnfecteerd met eigen firmware (om maar iets te noemen).
Nee meestal is het niet IT op een server die zo iets binnen brengt.
studies en eigen testen binnen bedrijf + ervaring als IT leverancier voor honderden bedrijven. De meest vatbare mensen zijn verkopers en CxO level personeel die op mails klikken, je weet nooit dat het tot een "transactie" komt.
gebruik speciaal het woord transactie, zij spreken meer van sale/contract/contact/....
Maar ze hebben dan eens een transactie aan hun broek waar ze niet op gerekend hadden.
je kan die mensen er op wijzen, je kan in een aula voor al je personeel die resultaten presenteren (en zo wat de CxO's belachelijk maken als domme sukkels) en toch bij de volgende test lopen wéér dezelfde mensen tegen de lamp. of blijkt de oorzaak weer diezelfde persoon te zijn die wéér op een dergelijke mail geklikt heeft. "maar ja zag er een mooi contract uit dat WantToBeHacked ons voorstelde. Mails waar IT'ers van het 16de knoopsgat nog van op 1km afstand kan zien dat het niet koosjer is.
Hoeft niet perse IT te zijn dat malware op een server kan binnenbrengen.
Op veel terminal servers hebben gebruikers adminrechten, en dat is dan indirect wel de fout van IT ;)
(de 'mijn CEO wil adminrechten hebben'-case even buiten perspectief gelaten)
Ondertussen blijkt Oypo extreem afhankelijk van Fujifilm en is de site al dagen offline. Schoolfotografen vinden het, op zijn zachtst gezegd, niet leuk.

https://www.facebook.com/...&show_text=true&width=500
Al die aanvallers gebruiken vaak hetzelfde truukje wat gewoon op erg veel plekken werkt.
- je stuurt een phishing mail naar medewerkers. Dat 1 iemand erin trapt en een stukje malware opent is een redelijk gegeven
- de hacker is nu gebruiker x. De hacker kijkt, via ad, waar de gebruiker allemaal bij kan en stippelt, vaak via bloodhound, een pad uit tot domain admin
- een design (fout) van windows is dat als gebruiker x op een pc/server admin is, zichzelf van identiteit kan veranderen naar een (in het verleden) andere ingelogde gebruiker op hetzelfde apparaat. (Pass the hash)
- dit truukje herhaalt de aanvaller tot die domain admin is. Dan worden domain admin rechtten gebruikt om overal malware te deployen

Game over

[Reactie gewijzigd door laurens0619 op 23 juli 2024 10:38]

Op dit item kan niet meer gereageerd worden.