Gestolen gegevens ROC Mondriaan zijn online gezet door hackers

De hackers achter de ransomware-aanval ROC Mondriaan hebben gestolen gegevens online gepubliceerd. De school wilde het losgeld wat door de hackers werd geëist niet betalen. Op dit moment wordt nog onderzocht welke data precies op straat is komen te liggen.

ROC Mondriaan heeft dinsdag op haar website en aan studenten en medewerkers laten weten dat er gegevens van hen online zijn gezet door de hackers. De school werkt samen met een IT-bedrijf om de omvang en aard van de gelekte data te onderzoeken.

Vorige maand werd duidelijk dat ROC Mondriaan is getroffen door ransomware. Studenten konden tijdelijk niet bij hun bestanden. De school heeft aangifte gedaan en in overleg met het ministerie van Onderwijs Cultuur en Wetenschap besloten om niet in te gaan op de eis van de hackers. Het losgeld werd niet betaald en daarop plaatsten de hackers de bestanden online.

NU.nl zou de gegevens die op het darkweb zijn geplaatst hebben ingezien. De bestanden bevatten persoonlijke informatie, waaronder: 'klassenlijsten, mails aan ouders en persoonsgegevens'.

De school heeft het onderwijs begin september wel weer kunnen opstarten. Wel geeft de school aan dat sommige applicaties nog maar beperkt gebruikt kunnen worden en nog niet alle systemen zijn hersteld.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Redacteur

14-09-2021 • 18:54

106 Linkedin

Submitter: Mjelnir

Reacties (106)

Wijzig sortering
Staan ze hierdoor nu open voor schadeclaims? Ze staan toch in voor de veiligheid van jouw gegevens. Of teken je voor een soort van overmacht?
Ja, maar in het Nederlandse recht kan alleen schade worden geclaimd die je ook kan aantonen.
Zelfs dan moet nog worden aangetoond dat de beveiliging van de systemen onvoldoende was. Als men via een nog niet gepubliceerde methode binnen is gekomen zal de rechter oordelen dat de beveiliging aan de eisen van de tijd voldeed en de school niet nalatig is geweest. Als je al financiële schade aan kunt tonen is de kans dat je die dan nog vergoed kan krijgen minimaal.

Het wordt overigens wel tijd dat er een wettelijke schadevergoeding komt als de beveiliging van een bedrijf of instelling ondermaats is en je gegevens daardoor op straat komen te liggen.
Belangrijk is wel dat die schadevergoeding dan óók betaald dient te worden als men ingaat op het aanbod van de hackers. Anders gaan ze straks een rekensom maken en je weet bovendien niet of ze op de langere termijn ook woord houden. Oftewel de diefstal moet het uitgangspunt zijn en niet de vraag of het daadwerkelijk gepubliceerd is.
Inderdaad. Als ik zie hoe vaak je wachtwoord nog opgeslagen wordt met MD5 of SHA1 dan vind ik dat daar een voorbeeld gemaakt moet gaan worden om al die nalatige programmeurs eens de les te leren.
Nalatig management. Zij zijn verantwoordelijk en aansprakelijk voor het gebruiken van deuglijke software. Als na een applicatieonderzoek blijkt dat de programmeurs broddelwerk afleveren moet HR maar eens met ze in gesprek.
Soms, maar ook vaak genoeg kost het bijna geen moeite (of geld) om gewoon Bcrypt in te bouwen ipv. MD5 etc.
Maar dan heb je het over de laatste drempel, wanneer ze het systeem al binnen zijn.
Wanneer je er van overtuigd bent dat een hacker nooit zo ver zal komen, zal je daar geen energie meer in steken. (Het gaat dan dus al fout bij de overtuiging.)
Bij de TikTok zaak wordt ook schade geclaimd zonder dat er daadwerkelijk schade geleden is.
Tussen claimen en krijgen zit nog een heel verschil.
Gezien de resultaten uit het verleden zijn rechters geneigd om eerdere uitspraken over te nemen.
Welke schade zou je willen claimen?
Dat ze te laks geweest zijn en niet hebben betaald. Dat bullshit dat je altijd hoort op Tweakers dat ze het niet moeten stimuleren om te betalen.

Maar uiteindelijk kost het je meer geld dan je zou moeten betalen. En de gedupeerden kunnen al helemaal niks claimen is gewoon zielig.
Als je betaald heb nog nog steeds geen garantie dat ze de data vernietigd hebben.

Data wat ontvreemd is, moet je altijd beschouwen als gelekte data.
Het verdienmodel is simpel.

1. Je steelt data van wat dan ook.
2. Eist geld om het niet te lekken.
3a. Je betaald en je data wordt niet gelekt.
3b. Je betaald niet en je data wordt gelekt (om aan te tonen dat het menes is)

Als in je 3a negeert heeft het voor een bedrijf geen enkele zin om te betalen als je toch weet me data komt alsnog op het internet.

Zo simpel is het, en daarnaast kunnen bedrijven er altijd van profiteren. Ze krijgen toch wel belastingvergoedingen wat ze erna doen. De enige die dupe van alles is de cliënt, medewerker of in dit geval de scholieren.

Daarnaast nu gaan ze betalen aan een IT bedrijf wat waarschijnlijk 0% er verstand van heeft en die ook gelijk mee profiteert.
Er bestaat niet zoiets als eer of code onder criminelen, er bestaat geen site met ransomware reviews waar gedupeerden op kunnen zetten in welke mate de crimineel zich aan de afspraken hield, en zelfs al zouden de voorgaande twee dingen wél waar zijn: andere hackers weten nu niet alleen waar geld te halen valt, maar ook dat het betreffende netwerk kwetsbaar is.

Dat ze een onbenullige dienstverlener gaan betalen om het op te lossen is een beetje een domme opmerking, al zouden ze het geld storten naar Stichting Zonnebloem dan is dat nog steeds te verkiezen boven het sponsoren van nieuwe hardware en zerodays voor de criminelen.

En stel een groep criminelen weet dat er kinderen van een miljonair op die school zitten, denk je nou echt dat die deze gelekte administratie niet kunnen kopen van de hackers? Beetje naïef.

[Reactie gewijzigd door nst6ldr op 14 september 2021 19:31]

Er is wel degelijk een lijst met een vergelijking van ransonware partijen met de vermelding hoe betrouwbaar ze zijn. Als ik mij niet vergis door F-Secure samengesteld.

Deze bedrijven besteden veel aandacht aan de betrouwbaarheid om de betaalbereidheid zo hoog mogelijk te maken. Dat is onderdeel van het verdienmodel
En zit er bij die bewering dan ook een bewering dat je F-Secure aansprakelijk mag houden dat je in hun beweringen geloofde? Want anders kan je net zo goed stellen dat het verdienmodel van die bewering is om te verdienen aan klanten die daar genoegen mee nemen en klanten die het niet zo veel uit maakt dat een bedrijf die bewering niet waar kan maken.

Daarbij is geheel onduidelijk hoe F-Secure tot de conclusies kwam, wat de geloofwaardigheid niet groot maakt. Is die bewering zelfs maar een beetje bedoeld om te bepalen of je er goed aan doet wel of niet te betalen? Of staat zelfs dat er niet eens bij?
Je kunt aan de ransomware herkennen welke organisatie er achter zit. Cybersecurity bedrijven passen ook de onderhandeling met de partij aan op basis van kennis over het bedrijf die achter de aanval zit. Dit is veel georganiseerde als jullie denken. Er is overigens een mooie technoloog podcast die er recent een aflevering over hebben gemaakt. Ik zou adviseren die eens te luisteren.
Dat bepaalde criminelen voorkeur hebben voor types ransomware is bekend. Maar dat wil nog niet zomaar zeggen dat je dus conclussies kunt trekken dat ze 'betrouwbaar' in andere gevallen zijn. Daarbij is het hoe dan ook niet zomaar verstandig om te doen alsof een crimineel betrouwbaar is over iets waar je geen controle over hebt. De gok wagen dat je na betaling een sleutel krijgt om weer bij je gegevens te komen is een heel ander verdienmodel dan iemand betalen voor een belofte die je nauwelijks kunt controleren of ze die nakomen. Criminelen zijn niet zomaar crimineel.
Deze criminelen hebben een geldstroom ontdekt en willen die in stand houden. Als ze data alsnog lekken (waar ze helemaal geen motivatie voor hebben, want wat levert ze dat op na betaling?) staan ze bekend als onbetrouwbaar en krijgen ze bij de volgende succesvolle aanval simpelweg niet meer betaald.

Ik snap wel dat er altijd een vertrouwensprobleem blijft, maar veel van de organisaties die hier achter zitten werken hard aan de betrouwbaarheid en willen dat die betrouwbaarheid ook bekend wordt, zodat men eerder geneigd is om te betalen. Bij de Cybersecurity bedrijven zijn deze organisaties bekend en houden ze daar rekening mee.

Het betrouwbaar zijn is een cruciaal onderdeel van de "bedrijfsstrategie" die zich keihard vertaalt in dollars/bitcoins en dat laatste is nu net wat ze "eerlijk" laat blijven: het geld.
Ik heb probeerd 'm te downloaden maar f-secure heeft het bestand niet meer, krijg een 404.

Maar dan nog is het een beetje een loos argument: ik kan net zo goed zeggen dat ik groep X, Y of Z ben. Beter nog, dat maakt de zaken voor mij erg makkelijk: ransomware bouwen met een bruikbare sleutel en infrastructuur erachter is lastiger dan de bestanden overschrijven met willekeurige data (is eerder gebeurd, een DOS onder de sluier van ransomware). Ik hoef me dan alleen als 'betrouwbare' partij voor te doen, geld innen en klaar. Dat het bedrijf nooit meer hun data terugkrijgt zal mij dan een zorg zijn natuurlijk.

No honor among thieves.
Waar baseer je jouw redenatie precies op? De realiteit is dat na betaling bij de bekende partijen informatie niet lekt, want ze zijn uit op geld en willen vooral de betaling bereidheid maximaliseren. Als ze wel lekken na betalen stoppen bedrijven met betalen en gaat het business model er aan. Daarnaast: Wat hebben ze er aan om de data te lekken? Dat is werk wat niets oplevert.
Waar baseer je jouw redenatie precies op?
Gevallen waar de gelekte data interessant was voor andere criminelen die daar geld voor over hebben. Want waarom zou je als crimineel alleen geld aannemen van het slachtoffer, als bijvoorbeeld de (buitenlandse) concurrent van het slachtoffer ook baat heeft bij de gestolen informatie? Bedrijfsspionage wordt niet makkelijker dan dat.
De realiteit is dat na betaling bij de bekende partijen informatie niet lekt, want ze zijn uit op geld en willen vooral de betaling bereidheid maximaliseren.
Als ze wel lekken na betalen stoppen bedrijven met betalen en gaat het business model er aan. Daarnaast: Wat hebben ze er aan om de data te lekken? Dat is werk wat niets oplevert.
En dat klopt dus niet, je redeneert vanuit het oogpunt van commercie, en dat is niet het pad wat criminelen hoeven te volgen. Zie bovenstaande anecdote vanuit de cybersec community.

Data hoeft niet publiekelijk te lekken, dat is imagoschade waar bedrijven bang voor zijn, bedrijfsspionage is een makkelijke bijverdienste die vooral buiten Europa een leuke zakcent oplevert.

[Reactie gewijzigd door nst6ldr op 15 september 2021 13:25]

There is honor among thieves.

Over het algemeen zijn er maar zeer weinig data diefstallen waar na betaling de data alsnog op straat komt te liggen. Ik kan me allesinds niet onmiddelijk een voorbeeld voor de geest halen.

En neen, er bestaat inderdaad geen site. Maar ik ben er zeker van dat in de infosec wereld er wel degelijk voldoende data wordt uitgewisseld om over de verschillende groeperingen iets te kunnen zeggen over hun reputatie.

Dat een netwerk kwetsbaar was wil niet zeggen dat het vandaag nog kwetsbaar is. Ik mag hopen dat er correct onderzocht wordt hoe de aanvallers zijn binnen geraakt en dat die specifieke gaten gedicht worden. Wat is anders het nut om voor veel geld er ook nog eens een bedrijf met experts bij te halen?
There is honor among thieves.
Pertinent niet, daar zijn nul sporen van te vinden. Wat wél te vinden is zijn martelkamers in Brabant, gecoördineerde aanvallen op ziekenhuizen, en aanvallen met een DOS oogmerk die zich voordoen als ransomware. Criminaliteit kan je niet verwarren met commercie.
Over het algemeen zijn er maar zeer weinig data diefstallen waar na betaling de data alsnog op straat komt te liggen. Ik kan me allesinds niet onmiddelijk een voorbeeld voor de geest halen.
Omdat betalende organisaties over het algemeen hun mond houden tenzij een derde verslag doet over de gebeurtenis. Kijk naar de hoeveelheden AVG boetes er al worden uitgedeeld over onbenullige lekken die men stil houdt, een volledige ransomware aanval blijft in de meeste gevallen achter gesloten deuren.
En neen, er bestaat inderdaad geen site. Maar ik ben er zeker van dat in de infosec wereld er wel degelijk voldoende data wordt uitgewisseld om over de verschillende groeperingen iets te kunnen zeggen over hun reputatie.
Ik hoor het graag, heb er hier nog niet van gehoord. Wij doen er in ieder geval niks mee.
Dat een netwerk kwetsbaar was wil niet zeggen dat het vandaag nog kwetsbaar is. Ik mag hopen dat er correct onderzocht wordt hoe de aanvallers zijn binnen geraakt en dat die specifieke gaten gedicht worden. Wat is anders het nut om voor veel geld er ook nog eens een bedrijf met experts bij te halen?
Wat ik bedoel is dat er zonder tussenkomst van experts vaker niet dan wel een lek wordt gedicht. De beheerders weten gewoon niet waar het vandaan komt, vandaar dat een beetje CERT aan de telefoon al instructies geeft om de boel te bevriezen. De doorsnee paniek en hopeloze management beslissingen die daarbij komen kijken voordat een dergelijk bedrijf uberhaubt wordt gevonden is soms griezelig.

[Reactie gewijzigd door nst6ldr op 14 september 2021 19:49]

Een ransomware aanval is vaak moeilijk achter gesloten deuren te houden. Ja, ik heb weet van aanvallen die niet in de pers zijn gekomen. Toch heb ik als persoon die geen directe link heeft met die verschillende bedrijven toch weet van die aanvallen. Als ik daar weet van heb zonder er zelfs maar naar op zoek te gaan, hoe stil denk je dan dat je zoiets echt kunt houden als bedrijf? Het is niet omdat ze geen persbericht de wereld insturen, dat het echt een geheim blijft.
Eh ik ken toch zeker wel honorable thieves, waarschijnlijk ken je ook wel een verhaal van zo'n dief. Zo zijn er ook honorable killers. Alleen het is geen vereiste in het "beroep" dus je kan er zeker niet vanuit gaan!
als ze persoonlijke brieven van ouders online zetten zijn ze sowieso eerloos.
Let me fix that for you!
Het verdienmodel is simpel.

1. Je steelt data van wat dan ook.
2. Eist geld om het niet te lekken.
3a. Je betaald en je data wordt niet gelekt.
3b. Je betaald niet en je data wordt gelekt (om aan te tonen dat het menes is)
4. Je slaat de data ergens nog eens veilig op als pensioentje, voor wanneer je uit de 'business' stapt en een hele berg data verkoopt voor een leuk bedrag op de zwarte markt. Jou reputatie is op dat moment toch niets meer waard (je stapt eruit) en fnck the rest! ;-)
Dat kan waarschijnlijk nog veel eenvoudiger: aangezien de slachtoffers in veel gevallen toch niet kunnen controleren wie er nu werkelijk nog meer toegang tot die gegevens had, of niet kunnen aantonen dat een deel lekken bij het lek van de crimineel die je betaalde hoort, hoeft die crimineel niet eens te stoppen om nog betaald te krijgen voor de 'geloofwaardigheid'. Het enige wat de crimineel nodig heeft is het in stand houden van het idee dat het zou helpen en slachtoffers te treffen die bereid zijn om te betalen omdat ze geloven dat ze zelf of hun adviseurs denken te kunnen oordelen of een crimineel betrouwbaar is.

[Reactie gewijzigd door kodak op 14 september 2021 20:54]

Laten we voorop stellen dat alles none white hat geen verdien model is.

Zakelijk gezien doe je het nooit goed. Kijk bijv naar het aan de grond houden van dat type probleem vliegtuig pre Corona. Volgens mij zijn er daar 3 van neergestort alvorens men toch openbaar moest erkennen dat er toch even dieper onderzocht moest worden wat er fout ging en dat ze operationeel houden toch niet publieke door de beugel kon. Geloof dat de nabestaanden daar een andere kijk op hebben dan het publiek waarbij het wel goed ging.

Hadden ze betaald en was het gelekt had iedereen ook zijn mening klaar staan. Er is immers geen aangesloten overkoepelende organisatie waarbij je beklaagt kan doen als Hacker L33T zichzelf niet aan de regeltjes houdt.

Was er vervolgens niets gebeurd behalve betalen geldt hetzelfde verhaal.

Waar het écht fout gaat hoor je dan weer niemand over: hoe had dit überhaupt kunnen gebeuren is de hamvraag; en vaak is het potje van ICT budget voorafgaand aan dit soort gevallen ernstig ondervoed.
Optie 4: Je betaald en je data wordt alsnog doorverkocht voor phishing and future hacks.
Het verdienmodel is simpel.

1. Je steelt data van wat dan ook.
2. Eist geld om het niet te lekken.
3a. Je betaald en je data wordt niet gelekt.
3b. Je betaald niet en je data wordt gelekt (om aan te tonen dat het menes is)
3c. Je betaald en je data wordt alsnog gelekt.
Zo simpel is het, en daarnaast kunnen bedrijven er altijd van profiteren. Ze krijgen toch wel belastingvergoedingen wat ze erna doen. De enige die dupe van alles is de cliënt, medewerker of in dit geval de scholieren.
Bullshit, dat heet bedrijfsrisico - zoals de belasting het noemt. Daarnaast, het is niet via inkomstenbelasting, omzetbelasting, BTW terug te krijgen ook. Ook is het niet op te voeren als investering, reclame/advertenties etc. dus over welke "vergoedingen" je bedoelt ??
Daarnaast nu gaan ze betalen aan een IT bedrijf wat waarschijnlijk 0% er verstand van heeft en die ook gelijk mee profiteert.
Het is ook het enige wat je als onderneming, stichting, vereniging etc. überhaupt kunt doen.

Echter, zoals jij het stelt met je 1, 2, 3'tje werkt het sowieso niet aangezien de ROC dan in het vervolg vaker doelwit zal worden aangezien ze dan hoe dan ook toch wel zouden toegeven.
Als je betaald heb nog nog steeds geen garantie dat ze de data vernietigd hebben.

Data wat ontvreemd is, moet je altijd beschouwen als gelekte data.
Garantie heb je natuurlijk nooit, maar ook criminelen zijn niet dom. Als ze na betaling de data alsnog publiceren, dan zal het volgende slachtoffer zich waarschijnlijk wel drie keer bedenken voor hij gaat betalen.
Als de kans dat de criminelen zich aan hun woord houden 80-90% is, zal hij veel eerder bereid zijn om tot betaling over te gaan.

Mensen die roepen dat je nooit geld moet overmaken aan criminelen zijn waarschijnlijk zelf nooit slachtoffer geworden.
Dat is geen aantoonbare financiële schade. Er valt volgens de wet dus niets te claimen.
En die emotionele schade dan? ;-)
Emotionele schade valt in Nederland niet te claimen.
Voor het buitmaken van jouw gegevens door een hack in een onvoldoende beschermt systeem zou dat eigenlijk wel eens ingevoerd moeten worden. Daarvoor zal echter een nieuwe wet gemaakt moeten worden.
Daar zijn al jaren boetes op. Maar dan moet de staat dat wel eerst bewijzen en vervolgens er wat mee gaan doen.
De AP kan boetes opleggen als de beveiliging niet goed geregeld is, maar ze hebben echt geen tijd om dat soort dingen (vooraf) te controleren. Achteraf wordt het eigenlijk nooit gedaan. Ik weet ook niet of men achteraf een boete op kan leggen.
Die boetes zijn leuk en preventief bedoeld. Als "gedupeerde" heb je er echter niets aan. Een boete is wat anders dan een schadeclaim. Het lijkt mij goed om een wet in te voeren waarbij "gedupeerden" gewoon standaard recht hebben op een vergoeding. Je kan dan in elk geval voorzorgsmaatregelen treffen om daadwerkelijk misbruik te voorkomen of minimaal een stuk moeilijker te maken. De hoogte van de vergoeding zal af moeten hangen van de aard van de privacy gevoelige gegevens die zijn gelekt.
Maar een boete is geen schadevergoeding.
Een boete gaat naar de staat of een lagere overheid, niet naar mogelijk gedupeerden.
Diegenen die vinden dat ze gedupeerd zijn kunnen wel zelf naar de rechter stappen om een schadevergoeding te eisen. Een boete is daarbij al een goede aanwijzing dat er iets gebeurd is dat niet door de beugel kan of beter had gemoeten, maar ze moeten dan alsnog bewijzen dat ze schade hebben geleden.
Dat is niet helemaal waar, meestal geven verzekeringsmaatschappijen je ongeveer 5 mijers. Rechtzaak etc hebben ze helemaal geen zin in.
Ik ken inmiddels heel wat zaken waar "emotionele schade" vanwege hacks ter sprake is gekomen, maar nog geen geval waarbij een verzekeringsmaatschappij "spontaan" een bedragje op je rekening stort.
Bij ongelukken en andere zaken waarbij ook fysieke schade is ontstaan aan eigendommen van de gedupeerde, of aan de gedupeerde zelf is het inderdaad niet ongebruikelijk.
Dat ze te laks geweest zijn en niet hebben betaald. Dat bullshit dat je altijd hoort op Tweakers dat ze het niet moeten stimuleren om te betalen.
Een mening hebben dat een ander te laks is is al niet zomaar redelijk, en al helemaal niet als je dan niet eens onderbouwing weet te geven. Dus waaruit blijkt nu dat je bewering redelijk is? Graag met een onderbouwing die iets bewijst, en niet slechts een bewering is.
Het is voornamelijk dit, de klanten kunnen geen bewijs van (criminele) nalatigheid vergaren. Ze hebben immers geen inzicht in de IT inrichting zoals die was. Dat iemand is gehackt is immers geen bewijs van nalatigheid, alleen dat je gehackt bent. Iedereen kan immers gehackt worden. Dit is dan ook de reden dat de meeste, niet IT bedrijven, hun mond stijf dichthouden bij een hack.
Dat ze te laks zijn is geen grond om schade te claimen. Jij moet schade hebben om schade te kunnen clainen.

En dat kan ook effectief. Bijv. als deze data misbruikt wordt om je op te lichten, of in geval van identiteitsdiefstal bijvoorbeeld. Maar gewoon schade claimen omdat er data op straat ligt? Dat ligt weer net iets moeilijker.
Betalen is nooit een oplossing. Ze kunnen gewoon volgende week terugkomen en nog wat extra centen vragen. Dit stopt nooit ...
Nou, neem aan dat de gegevens die in een leerlingen dossier staan toch wel redelijk prive zijn.
Kan gaan van adres gegevens, bankgegevens. Of je een beurs hebt om daar op school te zitten etc.
Maar ook net zo goed over raport cijfers en of je wel een nette student bent.

Kan aannemen dat als je student bent en je hebt het een en ander op je kerfstok dat je dit niet te grabbel wil hebben liggen omdat jouw school de beveiliging niet op orde had.

Je moet eens even optellen. Ik heb 5 bankkaarten, 2 paspoorten een rijbewijs en nog tig andere legitimatiebewijzen.
Hiervan moet ik allemaal nieuwe aanvragen dat doen ze echt niet gratis en voor niks...

[Reactie gewijzigd door D.Ramakers op 14 september 2021 19:14]

Dat jij je bankkaarten, paspoorten en rijbewijs vervangt is een persoonlijke keuze. Zolang je niet aan kan tonen dat die daadwerkelijk misbruikt worden zal een rechter ook zo oordelen en zal die oordelen dat je geen schade hebt geleden.
Het klinkt misschien krom (mag je zelf oordelen), maar zo werkt de wet nu eenmaal. Persoonlijk lijkt het me wel verstandig om de papieren, waarvan zodanige gegevens zijn buitgemaakt dat de kans misbruik reëel is, te vervangen.
Het gaat om de daadwerkelijke schade. Als je aan kunt tonen dat door de publicatie je een baan niet krijgt, dan kun je je afvragen of die feiten dan zelf niet de reden zijn, die anderszins ook uit een screening zouden zijn gekomen (strafbare feiten bv).

Al je voorbeelden zijn niet onderbouwd door daadwerkelijke schade. Een bankpas is niets waard zonder pincode en beiden staan niet fysiek in een administratie. Net zoals een paspoort, met een kopie kom je nog niet zover....
Stellen dat er kan van alles gebeuren dus alvast gaan claimen is niet snel redelijk. Dan zal je er toch rekening mee moeten houden dat je ook minimaal moeten aantonen dat het jou gaat gebeuren en je de schade die je claimt zal overkomen of op een andere manier redelijk is om te claimen. Dat jij kosten gaat maken omdat je zorgen hebt is natuurlijk je recht, maar dat maakt het nog niet een plicht dat een ander die maar gaat vergoeden.
Als student/medewerk/ouder/overige stakeholder, zou gevolgschade kunnen claimen van de ROC. Wat op zich een goed signaal zou zijn naar andere scholen, om te zorgen dat hun IT security/hygiene op orde is.
Voor een ROC is het vaak onderdeel van een balanceeract.
Aan het continu zorgen dat de IT-security op orde is zit een prijskaartje. Dat geld kan maar één keer uitgegeven worden. In de ideale wereld gaat er genoeg geld naar toe, in de werkelijkheid waar het ROC mee te maken heeft betekent dat een keuze tussen een leerkracht minder aannemen, minder investeren in lesmateriaal, nog meer beknibbelen op schoonmaak/ onderhoud, vervanging van gore sanitaire voorzieningen nog een jaar uitstellen, etc.
Helemaal eens dat dit een balanceeract is. Maar ROC had de meest simpele security stappen nog niet genomen, denk aan MFA etc. Erg kwalijk, lijkt dus duidelijk dat de school directie hiervoor geen/te weinig aandacht voor dit item had en nu met de billen bloot gaat.
Meest simpel vanuit security oogpunt. Maar ook het meest simpel vanuit implementatie en kosten oogpunt?
Zo simpel als het aanvinken van een optie in de instellingen? Of is daar toch weer extra software of een duurdere versie van het gebruikte pakket voor nodig?
Ik zie computers als een auto.
Al koop je een auto met de hoogst mogelijke veilgheid score, er is altijd een risico dat je toch komt te overlijden in zo'n auto.
Oftewel: al geef je je gegevens aan de meest veilige instantie, een lek kan altijd.

Schadeclaims zijn onzinnig totdat misbruik is geconstateerd (net als dat je een been verliest door een dronken automobilist).

Ik snap niet dat de wetgeving nog steeds niet is aangepast en we nog niet een "Minister van Digitalisering" hebben (en die het ook snapt).
Helaas gaat die vergelijking niet erg op.
Wanneer ik een auto koop die nu veilig is, dan blijft die auto veilig. Wanneer blijkt dat dat anders is, dan blijft de fabrikant verantwoordelijk voor het opnieuw veilig krijgen van mijn auto. Wanneer de veiligheidseisen aangescherpt worden, waardoor mijn auto nu niet meer aan die eisen voldoet, blijft mijn auto veilig op het oude veiligheidsniveau. (Simplistisch: Oude eis was een overlijdenskans in één op de 100.000 aanrijdingen, nieuwe eis is een overlijdenskans in één op de 500.000 aanrijdingen. Mijn auto voldoet niet aan de nieuwe eis, maar mijn overlijdenskans blijft nog steeds minder dan één op de 100.000 aanrijdingen.)

Wanneer ik een computer koop, is de veiligheid 100% mijn probleem (op misschien een paar uitzonderingen na). Een systeem dat nu 100% veilig is, kan morgen zo lek als een mandje zijn, en onverantwoord om ongewijzigd te gebruiken. Dat blijft constant aandacht vragen. Met een beetje mazzel is dat simpelweg het bijhouden van alle beveiligingsupdates, zoals dat voor de meeste consumenten geldt. Maar wanneer je zelf software hebt laten maken/ aanpassen of zelfs maar een softwareverbinding tussen twee standaard softwarepakketten hebt laten maken, moet je er constant bovenop zitten.
Als de kans van overlijden met je auto 1 op 100.000 is en je rijdt nooit , dan is de kans idd nihil.
Rij je 24u per dag, is je kans wel veel groter.
Als de server bijna nooit aan staat of 24/7 dan is dat ook een risico verschil.
Totdat je motorblok begint te slijten, je bandenspanning afneemt, er één (of twee) terug roep actie(s) komt voor niet werkende airbags... Daarnaast tenzij je een oldtimer rijd: elke auto is tegenwoordig digitaal aan te vallen.
@Unsocial Pixel en @DJMaze
Natuurlijk gaat de gelijking ergens mank. Maar de basis blijft overeind. Wanneer ik een auto koop blijft de fabrikant verantwoordelijk voor de veiligheid van de auto zelf, wanneer ik een computer koop ben ik vanaf het moment dat ik de winkel uit loop zelf verantwoordelijk voor de veiligheid.
Nee hoor, als het goed is heb je op elk onderdeel garantie als niet van de fabrikant dan wel vanuit Europese regelgeving. Is er iets ernstig mis met de vrms bijv op je moederbord dan mag je verwachten dat je dit als ondeugdelijk kan bestempelen en hier je gelijk op kan halen.
Dat is op de hardware. Niet op de beveiliging tegen hacken.
Heel goed dat ze niet betaald hebben. Gejat is het toch al, en je hebt geen enkele garantie dat ze na betaling niet alsnog de data misbruiken. Als ze zo eervol waren zich aan die afspraak te houden waren ze eervol genoeg om het al niet te hacken in de eerste plaats.
Je hebt wel een garantie, want waarom zou je nog gaan betalen voor iets als je weet het wordt toch wel gepubliceerd? Nee dit is het verdienmodel van hackers.
En de enige manier om dat verdienmodel te stoppen is niemand nooit meer laten betalen. Dat gaat alleen helaas niet gebeuren..
Dat is niet de oplossing. De oplossing is een beveiligde infrastructuur maken en dan gaat helaas niet gebeuren.
Deze redenering volg ik niet. Je beweert dat een beveiligde infrastructuur de oplossing is maar kennelijk tegelijkertijd dat het niet de oplossing is omdat die infrastructuur niet gaat gebeuren.
Ik zeg de enige oplossing zal zijn om de infrastructuur zo te beveiligen dat hackers geen toegang hebben. Maar dat zal er niet zijn of komen omdat het onmogelijk is en dit altijd een rol zal spelen. We leven in 2021 waar digitalisering vanuit COVID-19 standpunt zo'n boost ondergaan is. Dat we alles zus en zo moeten doen.
Bij die eerste bewering stel je toch duidelijk dat dat de oplossing is, wat gewoon niet kan als je tegelijkertijd stelt dat het niet haalbaar is. Of het is een oplossing, of het is het niet, het kan in dit geval niet zomaar beiden zijn.
Ik ben erg benieuwd hoe je dat voor je ziet :)
Dat is een wapenwedloop die per definitie een sinus-vormige uitkomst blijft hebben in de toekomst.
Om-en-om winnen en verliezen.

De enige manier om een definitief einde aan een wedloop te brengen, is stoppen met meedoen aan die wedloop.

Niet betalen, en er is geen zinvolle wedloop meer.

[Reactie gewijzigd door Zynth op 14 september 2021 23:29]

Ah je bedoeld dan fuck de medewerkers, de leerlingen, cliënten ? Ze zijn het toch niet waard. Dus lekker niet betalen, hackers blijven lekken maar na een tijdje staat het allemaal toch wel op het internet en is het niet meer interessant.
De echte oplossing begint met stoppen met zoveel onnodige data verzamelen. 95% van de data die in een "verplicht veld" moet, is nergens voor nodig. Stap 2 kunnen we daarna wel bedenken.

[Reactie gewijzigd door grasmanek94 op 15 september 2021 00:30]

Dat is geen oplossing. Die 5% die volgens jouw wél echt noodzakelijk is, is net zo kwetsbaar voor ransomware als de oorspronkelijke 100%.
Het kan al snel minder erg zijn als daar zo min mogelijk persoonlijke data bij komt liggen.

Wat moet Steam bv met mijn adres gegevens? Ja ik snap hun belastingplicht in Nederland, dus ik geef wel een Nederlands niet bestaand adres. Als Valve nu gehacked wordt, ligt mijn gamelibrary op straat... Ach. Als ze gehacked worden met elk verplicht veld liggen eigenlijk al mijn persoonsgegevens op straat.

Hetzelfde voor 99/100 andere partijen op het internet. Wat moeten Microsoft, Google, Amazon, Apple, Samsung met mijn adres gegevens? Wat moeten ze met mijn telefoon nummer? Mijn -digitale- connecties? Of mijn doopnaam?

Ja ik snap dat de overheid, mijn huisarts, mijn werkgever etc die gegevens wel moeten weten. Vingers gekruist dat het daar niet lekt. Maar naar mijn idee laten 99/100 mensen overal echt veel te veel gegevens rondslingeren.

Als her en der af en toe een naam, rekening nummer of adres sneuveld, ach. Zolang ik bij bol.com met Piete Knor als naam weg kom maar wel mijn adres, bij Microsoft wel mijn naam maar niet mijn adres, Bij Valve mijn rekening nummer maar niet mijn naam en adres. Dan wordt het voor criminelen al heel snel de moeite niet waard om dat nog proberen te koppelen.
Helaas blijkt alleen dat niet betalen niet gelijk betekent dat de hackers geen geld beuren.
https://tweakers.net/nieu...verkocht-bij-veiling.html
Nu zal niet alle data belangrijk genoeg zijn om te verkopen maar als dus de broncode van The witcher 3 en Cyberpunk (bericht is al 7 maanden oud dus was het ieder geval nog een onstabiele Cyberpunk) al verkocht kunnen worden zal me ook niets verbazen als er ern plek is of komt voor dingen zoals dit.
Dit is een businessmodel. Als je alsnog alles online zou zwieren zou de volgende niet betalen. En gooi je dus je eigen ruiten in.

Nu hebben ze het gedaan omdat Mondriaan niet betaald heeft. Hadden ze wel betaald dan waren de gegevens van alle leerlingen ouders etc niet uitgelekt.
Dit is een businessmodel. Als je alsnog alles online zou zwieren zou de volgende niet betalen. En gooi je dus je eigen ruiten in.
Dat weet je niet, een bedrijf gaat niet aan de grote klok hangen dat informatie alsnog is gelekt na het betalen. Als slachtoffer kom je er gewoon niet achter.

Je moet criminele activiteit niet verwarren met gewone commercie.
Hadden ze wel betaald dan waren de gegevens van alle leerlingen ouders etc niet uitgelekt.
Het business model van de criminelen is niet dat ze verdienen aan niet lekken, maar dat ze verdienen aan slachtoffers die denken dat betalen helpt tegen verder lekken.
En aangezien denken dat iets niet gelekt is nogal makkelijk is te geloven, terwijl het ook nauwelijks is te bewijzen dat die zelfde criminelen wel gelekt hebben, staat dat een crimineel die kennelijk toch al weinig moreel besef heeft niets in de weg om tegelijkertijd nog wat andere businessmodellen met die persoonsgegevens te hebben.
Je kan er dus maar beter van uit gaan dat een crimineel die al niet te vertrouwen is dat die het beste met je voor heeft dat spontaan gaat hebben omdat je als slachtoffer goedgelovig wil zijn.
Er is nooit een garantie geweest en de ruiten zijn al meerdere keren ingegooid. Dat business model loopt helemaal niet op vertrouwen en je kan dus ook niet stellen dat het niet gelekt zou zijn als ze betaald hadden. Hier meerdere voorbeelden:

https://www.pcworld.com/a...ou-nothing-heres-why.html

https://btcmanager.com/ra...ceive-no-decryption-keys/

https://www.extremetech.c...oesnt-get-files-decrypted

https://www.coveware.com/...omware-marketplace-report
Ik ben blij dat er niet betaald is. Zolang het verdienmodel er is stopt dit niet. Niet betalen verlaagt ook het risico op herhaling; zeker als het om gerichte acties gaat (en daar lijkt hier wel sprake van). Want waarom zou het antwoord de volgende keer anders zijn?

Toevoeging:
Zou het niet praktisch zijn om alle opgeslagen data live te encrypten voor opslag (met je eigen software natuurlijk :+)? Bitlocker met losse key/smartcard op je roaming profile zeg maar. Een ransomwareaanval voorkom je er natuurlijk niet mee, maar de inhoud van de data kan in ieder geval niet gepubliceerd worden.

[Reactie gewijzigd door Steyn_E op 14 september 2021 19:12]

Klopt, maar je hebt ook kans dat het grimmiger wordt. Als er niet betaald wordt gaan hackers misschien een stap verder richting de gedupeerden.
Maar het wordt dan (ik neem aan dat je het over meer fysieke (gewelds) dreigementen hebt) wel steeds lastiger om anoniem te blijven; in de echte wereld hangen bergen camera's en het is maar de vraag of dit soort crimineel daarop over zou stappen. Al helemaal als het een hacker(sgroep) uit Verweggistan is.
En precies dat kun je ook na betalen helaas nooit zeker weten.

Social engineering wordt een stuk makkelijker als je alle gegevens van een gebruiker hebt. En ondanks avg,geloof maar dat er in mailboxen of documentshares van administratiemedewerkers er nog bijzonder veel interessante informatie te vinden is.
Het ligt er maar net aan hoe ze toegang tot de data hebben.
Hebben ze van buiten toegang tot de dataopslag, dan zien ze inderdaad alleen de versleutelde gegevens. Daar kunnen ze zelf ook nog hun eigen encryptie over uitvoeren, zodat ze je gegevens in gijzeling hebben wanneer je geen goede backups hebt.
Zit hun toegang dieper in het systeem, dan kunnen ze onversleutelde toegang tot de gegevens hebben.
Zelfs wanneer ze alleen mee kunnen kijken met de gegevens die op één terminal van één gebruiker voorbijkomen, kunnen ze een paar van die gegevens als sample gebruiken om te bluffen dat ze volledige toegang hebben.
In dit soort gevallen zou ik altijd graag zelf alle data analyseren. Ik ben altijd benieuwd wat er mis is gegaan en hoe er met gegevens om gegaan is. (En of ik het beter doe ;) )
Ik zou de data wel willen zien of er, en zo ja welke, persoonlijke informatie van mijn kinderen tussen zit.
Ook dat is een goede. iig is het aan te raden om de het wachtwoord op alles van de school te veranderen en alles wat het wachtwoord deelt (ook al hoort dat niet).
Betalen aan randsomware hackers zouden we ook strafbaar moeten maken. Ik denk dat dat de enige manier is om er van af te komen, hoe erg het ook is. Anders blijft het maar doorgaan
Een niet up to date IT omgeving, die aangesloten is op het www, zouden ze ook strafbaar moeten maken en een permaban uitdelen.
Een IT omgeving die nú up-to-date is kan over een minuut zo lek zijn als een mandje. En zelfs wanneer je er bovenop zit, kan in de vijf minuten die je nodig hebt om de patch te implementeren, het lek misbruikt zijn.
Mee eens, echter zie je ook dat een hoop partijen die gehacked zijn, patches van 3-6 maanden geleden niet geinstalleerd hebben.
Maar is dat altijd pure laksheid? Of zijn de beveiligingsupdates in een update gestopt die ook een paar functionele updates bevat, die mogelijk de werking van een gekoppeld softwarepakket beïnvloed? Dat laatste moet getest worden, mogelijk dor een externe leverancier die weigert elke vorm van support te verlenen wanneer zijn software in combinatie met een nog niet ondersteunde versie van andere software.
Betalen aan randsomware hackers zouden we ook strafbaar moeten maken. Ik denk dat dat de enige manier is om er van af te komen, hoe erg het ook is. Anders blijft het maar doorgaan
Enerzijds wel (vanuit het standpunt dat losgeld betalen de "business" blijft stimuleren), anderzijds is dit natuurlijk niet wenselijk (omdat je in sommige gevallen absoluut jouw gegevens terug wilt hebben).
Voorlopig is het in Nederland alleszins niet verboden volgens Arnoud Engelfriet. In België is het evenmin verboden, al raadt de politie het wel af.
Dit is helemaal zo gek nog niet, naar mijn mening.

Ik zie veel mede-tweakers al snel dingen roepen als "moet je je IT-omgeving maar up-to-date houden". Maar dat is iet wat kort door de bocht. Er is geen perfecte security-oplossing, waardoor de kraan altijd zal blijven druppen. Tuurlijk, wanneer je laks bent in het updaten en periodiek pentesten van je omgeving, dan zul je eerder aan de beurt zijn. Maar ook al doe je al die dingen wel super-secuur, dan nog ben je niet immuun.

Als ik mij verplaats naar een hacker die op zo'n manier geld probeert te verdienen: wanneer er een wet is die het verboden maakt om losgeld te betalen, dan wordt het voor mij minder interessant om organisaties op die manier af te persen. Ook dan zal het natuurlijk blijven gebeuren, maar mijn onderbuik zegt dat de populariteit zal afnemen.
Zeker en niet meer dan normaal. Volgens mij is het sowieso niet de bedoeling dat criminele organisaties gesubsidieerd worden. Lijkt me ook niet terecht dat de slachtoffers nog even aangepakt worden door de overheid of advocaten. Alle info die aan internet wordt blootgesteld is te pakken. Sommige info alleen door de echte grote of handige jongens en meisjes bij bepaalde overheden en bedrijven. Andere info wat makkelijker, omdat daar nu eenmaal geen doorgewinterde IT-ers aan het hannessen zijn. Denk bijvoorbeeld aan kleine webshops of iets dergelijks. Mensen moeten gewoon beseffen dat ze alleen hun lichaam hebben die van hun is.. Oh nee.. Dat is ook al niet meer helemaal waar.

[Reactie gewijzigd door tapkcir op 15 september 2021 12:26]

Is die database gratis te downloaden? Ik neem toch aan/hoop dat Nu.nl geen geld betaalt aan de criminelen die hier achter zitten? Dat lijkt me niet etisch.
Uit het feit dat de data openbaar zijn gemaakt, concludeer ik dat deze niet zijn verkocht. Kennelijk waren de data moeilijk te verkopen of niets waard. Dat is een positief signaal, want als dergelijke data weinig of niets waard zijn, zal de drang om te hacken afnemen.
Dergelijke data word niet gehackt om te verkopen, maar om als dwangmiddel te gebruiken om het slachtoffer te laten betalen... vandaar ook de naam Ransomware ;)

[Reactie gewijzigd door Damian op 15 september 2021 11:34]

Ik ben benieuwd of ROC Mondriaan hier nog een boete voor krijgt. In principe zijn de mogelijke boetes niet voor de poes.
Dat je er weg bent betekent nog niet meteen dat ze je informatie nergens meer hebben, volgens mij moeten ze dit 5 jaar bewaren.
Hangt een beetje vanaf welke gegevens. Maar weg is het waarschijnlijk niet na korte tijd.
Dat denk ik ook ja, zal wel ergens in de onderwijsovereenkomst staan.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee