Productie VDL Groep is getroffen door een ict-aanval

Het Eindhovense consortium VDL Groep is getroffen door een aanval waardoor de productie van meerdere bedrijven niet of slechts gedeeltelijk voortgang kan vinden. Een deel van het personeel van VDL zou naar huis zijn gestuurd.

Nog onbekend is welke bedrijven die onderdeel uitmaken van VDL in welke mate zijn getroffen door de aanval en wat de precieze impact is. VDL Groep bevestigt tegen het Eindhovens Dagblad dat de productie geraakt is en dat het de gevolgen van de aanval nog onderzoekt: "Diverse bedrijven kunnen momenteel niet of slechts gedeeltelijk produceren." Tegen de NOS meldt een woordvoerder dat alle bedrijven in meer of mindere mate getroffen zijn en dat onder andere mailverkeer plat ligt.

Volgens het ED zouden in ieder geval VDL Nedcar in Born en de fabriek voor bussen in het Belgische Roeselare, zijn geraakt, al blijft de productie in die laatste vestiging door gaan. In een interne memo zou VDL personeel hebben opgedragen om alleen via de mobiele telefoon te communiceren, niet via computers. Ook zou de mededeling aan het personeel zijn dat alleen productiecapaciteit zonder internetverbinding gestart kan worden.

VDL Groep heeft ruim honderd dochterbedrijven in vier divisies, Toeleveringen, Autoassemblage, Bussen en Eindproducten, waaronder in Limburg en Noord-Brabant. In totaal heeft het consortium 15.000 personeelsleden. Niet bekend is of het om ransomware gaat. De afgelopen jaren is het aantal ransomware-aanvallen op bedrijven wel flink gestegen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

07-10-2021 • 11:26

144 Linkedin

Submitter: metalmini

Reacties (142)

Wijzig sortering
Dit soort aanvallen beginnen serieuze (heel direct meetbare) economische effecten te krijgen.
Eens, maar het is ook ontzettend moeilijk om je er tegen te wapenen.
Ja, je security moet op orde zijn, en ja, je medewerkers moeten helemaal 'cyber aware' zijn, maar dan nog is het onmogelijk om 100% beveiligd te zijn. Iedere dag worden weer nieuwe zero-days ontdekt en misbruikt, en er zullen altijd medewerkers blijven die in een moment van onachtzaamheid in een val trappen van een aanvaller.
Ik zie zo 1, 2, 3 ook niet de oplossing, behalve blijven investeren in goede (technische) beveiliging en goede voorlichting van personeel.

Edit: typo

[Reactie gewijzigd door Polydeukes op 7 oktober 2021 11:38]

Ja, je security moet op orde zijn, en ja, je medewerkers moeten helemaal 'cyber aware' zijn, maar dan nog is het onmogelijk om 100% beveiligd te zijn
Ik snap nooit zo goed waarom dat 'je kan iets niet 100% beveiligen' steeds terugkomt. Niemand vraagt om 100% beveiliging, men vraagt om voldoende beveiliging om niet snel getarget te worden. Net als dat je kantoorgebouw ook niet als Fort Knox beveiligid hoeft te zijn, maar wel beter dan een gemiddeld woonhuis.
Het zal je verbazen hoeveel managers en bestuurders (zonder diepgaande IT kennis) wel snappen dat je een fysiek gebouw niet 100% kunt beveiligen, maar niet snappen dat dat ook geldt voor hun data en informatie.

"Hebben we geen firewall dan of zo?"
Ja, maar waarom dan hun scheve standpunt hierbij betrekken? Men bespreekt toch hier hoe je de economische effecten kunt beperken, en dat doe je door het op een bepaald niveau te krijgen, wat niet 100% is, maar juist wel nog steeds 'te doen'. Als je er maar het budget en tijd voor beschikbaar stelt (het is niet zo dat alles toch wel gehackt wordt, dat hangt sterk samen met het zoeken naar de zwakst beveiligde opties).
Verklein de attack-vector. Ga maar weer systemen van internet afhalen zou ik zeggen. Productie-netwerken helemaal airgapped, dat soort zaken.
Hoe meer zaken in de cloud terecht komen hoe lastiger dit wordt.
Het liefst wil je alles on premise draaien, maar dat wordt door leveranciers/fabrikanten steeds lastiger gemaakt. De ondersteuning /support valt weg of men gaat naar een IAAS model.
licenties checks die via internet lopen.
Nu kun heb je nog hybride vormen zoals wsus/sccm maar als het aan microsoft ligt willen ze daar zo snel mogelijk vanaf en dwingen je ze maar via intune (azure/cloud) te werken.
Wat ik wil zeggen is dat het steeds lastiger wordt om volledig internet-onafhankelijk te blijven werken .
Allerlei software applicaties die op pc's of servers draaien willen nu meer en meer richting de cloud en dus internet.

[Reactie gewijzigd door Tmaster op 7 oktober 2021 13:58]

Toch heb ik de indruk (correct me if I’m wrong) dat die clouddiensten van de grote jongens zoals Microsoft en Google juist zeer veilig en flexibel zijn en juist de locale systemen kwetsbaar. Zo hebben wij eens een soort van attack gehad, heel het bedrijfsnetwerk plat, niemand kon meer iets lokaal terwijl Office 365 (Teams, OneDrive, Outlook en Office) prima doorwerkten via de webbrowser. Ik heb daar nooit issues mee ervaren. Begrijp we dat het wat gecompliceerder wordt als je productieapparatuur afhankelijk is van zo’n cloud en daarmee per definitie online is
Helemaal gelijk en goed verwoord! Het is zeker niet goedkoper als je puur naar prijs per maand kijkt. Maar je krijgt er veel voor terug.
Wel zolang de meeste encryptie virussen niet via OneDrive alles kunnen versleutelen. Maar ik vind de move naar de cloud een goede keuze voor veel bedrijven.
Nog lange niet. Er ontbreekt nog heel veel functionaliteit in de cloud. Met name de integratie tussen de verschillende clouddiensten laat nog zeer te wensen over. En daarnaast is vrijwel geen enkele clouddienst in overeenstemming met de AVG. Zelfs de hele grote spelers hebben dit nog niet voor elkaar.
Nog lange niet. Er ontbreekt nog heel veel functionaliteit in de cloud. Met name de integratie tussen de verschillende clouddiensten laat nog zeer te wensen over. En daarnaast is vrijwel geen enkele clouddienst in overeenstemming met de AVG. Zelfs de hele grote spelers hebben dit nog niet voor elkaar.
Je zegt hiermee alle grote spelers, volgens mij zijn er genoeg die dit wel in orde hebben hoor. Daarnaast ben je zelf nog in control over je AVG, aangezien jezelf bepaalt WAT je in de cloud zet. Je kan dan een overweging maken om geen AVG data daar op te slaan, of bijvoorbeeld versleuteld.

Genoeg opties hoor.. ook NL cloud bestaat ;)
Nee hoor. Je email naar Office365 of GMail verplaatsen is al voldoende om niet meer volledig AVG compliant te kunnen zijn. Tenminste ik krijg zelden emails zonder naam, telefoonnummer etc. toegestuurd. Dus daarmee valt elke email onder de AVG. En aangezien de grote partijen nog altijd in Amerikaanse handen zijn, is het dus niet compliant te krijgen. Het feit dat de data in europa staat is onvoldoende sinds het verdwijnen van de safe harbor act.

Probeer ook maar eens een verwerkersovereenkomst met Microsoft/Google/etc. te sluiten als kleine partij. Want ja, dat zou je feitelijk wel moeten doen.

En laat ik maar niet beginnen over de kleinere partijen die ook zo nodig hun product via de cloud moeten leveren. Heb nu een partij bij een klant die gewoon een RDP naar hun platform heeft open staan. Gewoon over het publieke internet (niks geen VPN of beperkt tot vaste IP adressen). En dat is iets gevoeligere data dan een naam en telefoonnummer kan ik je zeggen.
Cloud staat los van het wel of niet aan het internet hangen van dingen. Het liefst wil je helemaal niet on premise draaien als het draaien en onderhouden van servers niet je core business is, DAT is namelijk pas gevaarlijk.

Als je zaken in de cloud inricht worden er vaak al best practices automatisch toegepast op het gebied van veiligheid en dus zijn ze vaak out of the box al veiliger afgesteld dan dat je zelf zou doen. Ook kun je makkelijk scans draaien op eventuele vulnerabilities en worden managed services automatisch gepatched.

Uiteraard kun je alsnog alles net goed verkloten als dat je on premise zou doen, maar iets over het hoofd zien gaat minder makkelijk in de cloud is mijn ervaring.

[Reactie gewijzigd door PV85 op 7 oktober 2021 14:09]

Makkelijker gezegd dan gedaan. Waar moeten die systemen dan bijvoorbeeld hun informatie vandaan halen. Je gaat het ERP systeem niet op papier zetten.

En bij Colonial Pipeline was het ook gescheiden, productie kon door. Maar als je niet meer kan factureren heb je ook een groot probleem.

Klinkt simpel, even air-gappen, maar realistisch is het niet.
Industriele systemen hebben helemaal geen koppeling met een ERP systeem nodig. Vroeger (1994) moesten wij ook cad tekeningen op een diskette zetten en daarna de diskette inserten in de CNC machine.. De CAD tekeningen stonden op een netware share, terwijl de CNC machine geen netwerk aansluiting had.

Alleen zul je nu in plaats van een diskette een usbstick gebruiken. Het is gemakzucht waarom alle machines op 1 groot netwerk zijn aangesloten.

De stappen (productie updates) welke je via netwerk doorstuurt, kun je ook wegschrijven naar disk. Zodra je de usbstick weer koppelt aan het reguliere netwerk, worden de instructies van de drive gelezen en verwerkt. Uiteraard heb je dan geen realtime updates meer, maar zijn ze vertraagd tot de gegevens van een productie station worden verwerkt..

Feit is dat zo meer systemen worden aangesloten op een netwerk, hoe groter de kans dat een netwerk een target vormt. Het begint allemaal met een paar productie systemen welke op een geisoleerd netwerk staan. Dan plaatst met ineens een tweede netwerk kaart in een reguliere (Windows) PC zodat CAD tekeningen gemakkelijker kunnen worden gedeeld met de machines. Vervolgens komt er weer een tweede PC bij omdat men realtime feedback wil geven aan klanten wat betreft de status van hun project/status. En voor je het weet is dat geisoleerde netwerk niet meer zo geisoleerd.

Air gapping van systemen werkt heel erg goed om aanvallen te voorkomen. Het zorgt alleen wel voor veel meer overhead om informatie te delen tussen de verschillende netwerk eilanden. Als je vervolgens ook nog managed switches gebruikt binnen zo'n geisoleerd netwerk kun je zelfs bepalen met VLANs en firewalls welke machines met elkaar verbonden zijn (en op welke poorten). Mocht en hacker letterlijk de fabriekshal inlopen en zijn laptop met een kabel met het netwerk verbinden, dan doet de netwerk port niets, of heeft zeer beperkte mogelijkheden tot communicatie (mocht je een netwerk kabel van een andere machine loshalen en daarop je laptop aansluiten).

Het is eigenlijk zeer eenvoudig om een fabriekshal op ICT niveau volledig dicht te zetten wat betreft beveiliging. Juist omdat het specialistische machines gaat met beperkte netwerk functionaliteit. Je moet alleen goed in kaart brengen welke machines met elkaar moeten communiceren.

Een kantoor netwerk is veel complexer te beveiligen omdat die PC's voor algemene toepassingen worden gebruikt. Daarom wil je het kantoor netwerk volledig scheiden van de fabrieksnetwerk (productie) welke geen internet koppeling heeft. Een CNC machine hoeft geen mail op te halen of een bericht te plaatsen op Twitter of Facebook...
Industriele systemen hebben helemaal geen koppeling met een ERP systeem nodig. Vroeger (1994) moesten wij ook cad tekeningen op een diskette zetten en daarna de diskette inserten in de CNC machine.. De CAD tekeningen stonden op een netware share, terwijl de CNC machine geen netwerk aansluiting had.
Ik weet niet hoe VDL werkt, maar de manufacturing wereld werkt tegenwoordig echt wel anders. Industrie standaarden als ISA-95 zijn niet voor niets zeer populaire visies op productie-automatisering.

Er wordt tegenwoordig veel meer "Manufactured to order", waarbij je als klant dus een product besteld, waarbij het ERP systeem bekijkt wat de configuratie er nodig is (inclusief het bestellen van onderdelen), waarna de order door het MES doorgestuurd wordt naar de productievloer. Waar autofabrieken vroeger batches van standaard auto's maakte, zie je nu dat door die integratie er op dezelfde lopende band verschillende varianten worden geproduceerd van dezelfde auto. Die varianten worden uiteindelijk door een ERP-systeem aangestuurd, inclusief onderdelen en werkorders. Van familie weet ik bijvoorbeeld dat een organisatie als BMW de dealers al sinds 2000 rechtstreeks toegang heeft tot de productieplanning: als dealer geef je aan welke auto met welke opties je wilt hebben, en BMW geeft je direct een geplande leverdatum.
Je kan zelfs nog een stap verder gaan en Radius authenticatie vereisen voordat de netwerk poort ook maar enige andere verbinding toestaat.
Hebben we het hier over 802.1x ?
Dat kan, maar er zijn ook andere methodes inmiddels dacht ik
Vroeger (1994)
En tijden veranderen. Dat jij zegt dat je productie niet aan je ERP moet gekoppeld zijn is gewoon verkeerd. Ja, het kan zonder, maar je hebt veel minder gedetailleerde informatie en het kost veel meer werk. Beide kosten je bedrijf uiteindelijk gewoon geld.

En stel je eens een productiebedrijf voor met honderden machines. Als je die allemaal handmatig moet gaan uitlezen met flash storage dan heb je meerdere mensen full time in dienst om enkel en alleen dat te doen en dat terwijl een koppeling met het netwek je veel meer voordelen kan opleveren voor een veel lagere kost.

De machine kan ook gegevens doorsturen naar de fabrikant die preventief kan aangeven dat er indicatoren zijn dat er onderhoud zal nodig zijn of die bij het periodiek onderhoud al kan aangeven wat de staat van bepaalde componenten is. Een storing? De fabrikant kan direct kijken wat er aan de hand is en moet niet eerst een technieker zoeken die moet langskomen.

Je ziet toch hoe dat allemaal invloed heeft op productiviteit en efficientie.
Ook dat biedt geen 100% garantie. Natuurlijk weten ze dit ook bij een VDL groep, en zijn er al professionele security teams, protocollen, de nodige ISO certificeringen e.d. Ontdoet je nog steeds niet van de verantwoordelijkheid bij een mogelijke breach de omvang te onderzoeken, wat handenvol geld kost.
Security begint bij de buy-in van CEO's en daar begint het conflict vaak al. Het tweede probleem is de matige kwaliteit van de gemiddelde security engineer (en laten we het maar helemaal niet over compliance officers hebben). In veel bedrijven zie je een combinatie tussen Security die nergens iets vanaf weet en IT Operations die het niet langer boeit omdat het niet meer onder hun takenpakket valt. In sommige bedrijven zie je dat Security nergens toegang tot krijgt omdat ze meer stuk maken dan goed doen bij het inrichten van de beveiliging. In andere bedrijven zie je weer dat Security onder CTO's/CIO's i.p.v. CFO's vallen, waardoor bepaalde (beveiligingsriskante) besluiten weer overtroeft worden. Zo zijn er nog veel andere real-life scenarios die niet zouden mogen kunnen, maar er toch zijn.

En als klapper op de pijl, zulke slechte organisatorische samenstellingen heeft totaal geen invloed op (het vekrijgen van) je ISO certificeringen. Buiten het feit om dat de meeste van die normen al nalatig genoeg zijn, ga je natuurlijk nooit een fatsoenlijk beveiligingsniveau in je bedrijf krijgen als je je organisatie er niet op aanpast. Vaak wordt het minimale gedaan om de certificering te krijgen, maar dat is bij lange na niet genoeg om een hoog niveau van beveiliging te implementeren (en te handhaven).
Dat kan niet, om de doodsimpele reden dat juist alles met alles moet samenwerken. Zodra een garage een onderdeel uit de voorraad wegboekt, moet die in het centraal magazijn worden besteld, en zodra het magazijn onder een bepaald aantal daalt, zal dat onderdeel in de productie weer gemaakt moeten worden. Dit soort ketens hebben verregaande automatisering.

Ik snap niet dat dit soort best wel domme antwoorden naar +3 gemod worden.
Groot bedrijf, tienduizenden soorten onderdelen, grondstoffen, voorraad en wereldwijd samenwerkend. Dat moet inderdaad geautomatiseerd zijn, het is op deze schaal gewoon niet handmatig te doen.
De automatisering van het internet afhalen lukt misschien alleen nog bij de bakker om de hoek.

[Reactie gewijzigd door Fireshade op 7 oktober 2021 14:15]

Dan nog kun je het 'gappen' als er in het ontwerp rekening mee gehouden is. Ipv. alles met services via http aan elkaar te knopen via ouderwetse filetransfers werken. De kans dat je dan iets oploopt is een stuk kleiner. Dat kan niet bestaat niet zolang ik in de IT rondloop. Het is vaak 'ik wil het niet' of 'ik wil het niet betalen'

[Reactie gewijzigd door latka op 7 oktober 2021 14:14]

Zeker, alles is tegenwoordig connected maar het is de manier waarop dit gebeurd (onder Windows) dat voor problemen zorgt. Als jij een web applicatie hebt voor magazijn beheer / bestellingen en de client is verder geïsoleerd, dan is het probleem bij inbraak ook niet groot (je kan er zelfs een thinclient gebruiken).

Dit hele probleem is vooral een ding met oude IT. Het is vaak een cultuur van meer virusscanners en geld ertegenaan gooien en dan gaat het probleem wel weg. Dat was vroeger misschien zo maar tegenwoordig niet meer. Op ieder moderne werkplek concept is dit probleem niet zo'n issue.
Zelfs airgapped is geen garantie. Bekijk maar eens hoe Stuxnet een nucleaire centrale infiltreerde
State level actors vs. wat hackers uit een ver land. Een beetje te verschillend om op 1 hoop te gooien.
Wie zegt dat het hier om "wat hackers" gaat? Er staat genoeg cutting edge research op het netwerk van een vdl, niet zo gek om te denken dat Chinese hackers hier mee te maken hebben.
Dat weten we niet, maar het voorbeeld van Stuxnet ging over het binnensmokkelen van USB sticks in een airgapped nucleaire faciliteit. Ik denk niet dat VDL dat niveau van beveiliging haalt. En wellicht zijn de hackers wel gesponsored, maar waarom dan niet direkt naar ASML oid.
VDL is een belangrijke toeleverancier van ASML, dus hier is zoals hierboven al is aangegeven veel interessante research te vinden. Net zoals bij de hack op Gigabyte veel AMD informatie naar buiten kwam.
De attack-surface verkleinen is op zich een goed idee, maar ik vraag me af hoe dat in praktijk uitpakt. Tegenwoordig zijn ERP systemen van fabrieken natuurlijk gekoppeld aan alle toeleveranciers en afnemers, om zo min mogelijk frictie en voorraad te hebben. Dit zou je natuurlijk allemaal via afgeschermde netwerken moeten doen, maar een partij als Bosch is natuurlijk een mega-leverancier die wel aan elke autofabrikant levert, waardoor je in praktijk gewoon globale netwerken krijgt. En er hoeft maar een fabrikant (de leverancier van de boutjes) lek te zijn, en je bent er aan....
De koppeling via VPN en API's is wat anders dan maar overal een eth plug in en internet-IP. Dus er zijn wel wat gradaties mogelijk.
Hmm, een zwakke schakel is natuurlijk een risiko echter tegenwoordig wordt security niet alleen als een hek aan de buiten zijde opgezet maar in lagen. Dus jouw eigen (sub)domein en tooling heeft eigen security ook binnen het eigen netwerk. Security zet men tegenwoordig meer als een ui op, laagje na laagje. ;-)
Bij VDL is al het kritieke al niet verbonden met het internet. In ieder geval bij VDL Bus & Coach en VDL Nedcar dan.

[Reactie gewijzigd door TheVivaldi op 7 oktober 2021 13:02]

Mag hopen dat je dit bedoelt: Bij VDL is al het kritieke al niet verbonden met het internet.
Nu schrijft je eigenlijk: al het kritieke is verbonden met het internet.
Oeps, je hebt gelijk - dat is inderdaad wat ik bedoelde. Bedankt voor de correctie! :)
We zijn alle productie systemen aan het internet gaan hangen, om wat? Ja, het heeft zeker voordelen op het gebied van beheerbaarheid, maar ik denk ook dat we ons af moeten vragen: wat is het ons waard? Hoeveel risico moeten we nemen? Ik vind dat @mocean een erg valide punt heeft.
Nee hoor, @mocean heeft helemaal geen valide punt. Hij stelt dat VDL een te grote attack vector heeft gehad doordat er veel te veel aan het internet gekoppeld is. Daar is geen enkel bewijs voor. VDL weet zelf nog niet eens wat er aan de hand is en het zou vreemd zijn als een willekeurige buitenstaander dat wel wist.
In de reactie van @mocean zie ik nergens "VDL" voorkomen, hij reageert simpel op de voorgaande post met de opmerking de attack vector kleiner te maken. En dat is altijd een goed idee.
Maar bij VDL, in ieder geval Bus & Coach en Nedcar dan, hangen productiesystemen al niet aan het internet.
Van internet afhalen is een ding, maar wellicht niet heel realistisch want het meeste werk heeft tegenwoordig gewoon een internetverbinding nodig.

Logischer zou zijn om zo klein mogelijke netwerken te maken. Dus niet alles met alles verbinden, maar bijvoorbeeld iedere afdeling zijn eigen afgesloten eiland. Dan kun je via web-apps e.d. de verschillende afdelingen "verbinden" daar waar samenwerking nodig is, maar afstappen van een groot netwerk waarbij een geïnfecteerde computer meteen het hele bedrijf plat kan leggen.
Ja, en dat verlaagt ook de productiviteit terwijl kosten stijgen. Een storing? Sorry, we kunnen niet vanop afstand kijken wat er mogelijks mis is. De technieker zal langs moeten komen en dat kan ten vroegste morgen. Sta je dan.

Of de directie die de performantie wil opvolgen? Sorry, gaat niet. Je ERP systeem dat stocks moet bijhouden? Sorry, maar een MES systeem kan niet, dus geef elk uur maar handmatig alle data in.

En ga zo maar verder.
Niet helemaal eens. Ja het klopt dat je bewapenen tegen een zero day erg lastig is, zo niet onmogelijk maar vaak komen dit soort hackers binnen omdat de basis niet op orde is. Het is maar zelden dat een aanval via een zero day wordt uitgevoerd, dan praat je al snel over hele grote bedrijven of overheden die aangevallen worden.

Uitgangspunt is dat het niet de vraag is of ze binnen komen maar wanneer, zorg dus voor goed werkende backups die ook binnen een bepaalde tijd kunnen worden teruggezet die aansluit bij je bedrijfsprocessen.
zorg dus voor goed werkende backups die ook binnen een bepaalde tijd kunnen worden teruggezet die aansluit bij je bedrijfsprocessen.
Er zijn inmiddels genoeg voorbeelden van aanvallen met een sluimerperiode, die dus ook je back-up infecteren.
Nou, dan is VDL toch nog steeds een zeer grote vis... Toeleverancier van ASML met heel veel specifieke kennis en details op hun PC's...
Zou zomaar eens vanuit het verre Oosten kunne komen, deze grap...
Het lastige is dat veel bedrijven ook strikte en tijdintensieve procedures hebben voor het patchen van software. Dat blijft dan ook een kat en muis-spel. De beste oplossing in mijn optiek is ook wat @mocean zegt: Productie systemen loskoppelen van internet. En om de mensen voor te zijn die zeggen dat dat allemaal niet kan ... Dat kan wel degelijk, maar het vereist een andere opzet van systemen en koppelingen tussen productie, kantoorautomatisering en de wens om connectiviteit te hebben met de buitenwereld. En ook dan ben je niet 100% gevrijwaard van gelazer, maar je bent ineens heel veel moeilijker te hacken.

<Edit>
Kennen we trouwens "Hetnet" nog? Dat ietwat geflopte initiatief van KPN ooit wat een soort lokaal NL internet was? Zonder connectie naar de buitenwereld? Achteraf zijn tijd ver vooruit :)

[Reactie gewijzigd door Houtenklaas op 7 oktober 2021 12:08]

Ja klopt, dat betekend dat je segmentatie gaat toepassen iets wat ook binnen de basis valt om zaken op orde te hebben. Het is natuurlijk wel helemaal afhankelijk wat voor soort bedrijf je hebt. Ben je een retailer met een webshop ( amazon, Coolblue, ect ) dan is het natuurlijk al een stuk lastiger want je basis leeft op het internet, hier zit je ingang. Je moet natuurlijk wel een veilige dataoverdracht aanbrengen richting je backend systemen en alleen de data doorlaten die van toepassing is op je bedrijfsproces.
VDL is zeker geen middelmatig bedrijf, ik ga geen oordeel geven over een bedrijf wat ik alleen ken van het voorbij rijden op de A2. En "lastiger" om los van het internet te gaan, dat is het zeker. Maar zeker niet onmogelijk. Processen tussen bedrijven regel je niet door op elkaars netwerk te kunnen, maar op een heldere manier filterbare bestanden uit te wisselen. Ik heb werkelijk nooit begrepen waarom bedrijven klakkeloos alles maar op het internet aansluiten tot aan telefonie aan toe. SIP is een prima protocol, maar zakelijk gebruik over het internet waar je geen enkele controle hebt over kwaliteit of überhaupt de werking ervan? En dat telefonie wegvalt door een DDOS is voor mij thuis geen ramp, maar hoeveel zorginstellingen zitten er inmiddels op een lekkere goedkope SIP trunk?
Het probleem is dat de "security by design" nog niet of recent toegepast wordt. Er is dus nu nog heel wat achterstand in te halen. Ik geloof wel dat als het éénmaal standaard bij elk ontwerp hoort, het voor bedrijven makkelijk is om qua security op orde te zijn. 100% ga je inderdaad nooit halen maar naast voorkomen moet je ook inzetten op schade beperken en het herstellen.
Het is niet makkelijk en vreselijk veel werk als je van 0 moet beginnen, maar het kan wel als men genoeg tijd en budget reserveerd hiervoor.
Ik ben het eens met je stelling, 100 procent veilig ben je nooit. Maar ik
durf wel te stellen dat als je je cybersecurity op orde hebt, denk aan preventie, detectie en response, je hoogstwaarschijnlijk geen ransomware incident zult hebben. Er zijn bepaalde ransomware groepen die niet hele bijzondere technieken gebruiken die prima detecteerbaar zijn en je hier (tijdig) op kan reageren voordat de ransomware wordt uitgerold.
Aanvallen als ransomware, inbraken in meer systemen of belangrijke systemen zijn al jaren een probleem voor bedrijven en personen. Waaruit blijkt volgens jou dan dat het nu pas (heel direct meetbaar) economisch effect heeft? Want in het nieuws staat dat niet en je toont het bij je bewering ook niet aan.

[Reactie gewijzigd door kodak op 7 oktober 2021 12:49]

Kwetsbaarheden zitten al decennia in systemen, sinds ik zelf in de security actief ben (nu zo'n 25 jaar) waren kritieke deelsystemen altijd al kwetsbaar. Wat je wel ziet is een verschuiving van de makkelijker te hacken kantoorsystemen naar de vaak moeilijker bereikbare productiebesturing en planningssystemen.

Hierdoor zie je ook dat tot zo'n vier jaar geleden de cijfers achter de baten van informatiebeveiliging (of de kosten van slechte informatiebeveiliging) vaak boterzacht waren: je had het over "verloren informatie" of "verstoring van interne dienstverlening" omdat het tot dan toe vaak over kantoorautomatisering ging. Dingen die frustrerend waren, maar vaak vele kleine kostenposten op een compleet bedrijf vormden. Eigenlijk zaken die vaak een interne kostenpost zijn van mensen die vaak toch al overhead zijn, en dan nog door de vele kleine incidenten moeilijk becijferbaar zijn. Een probleem waar het management makkelijk over roept "dan werken mensen maar wat harder" om vervolgens de IT Security organisatie niet van voldoende budget te voorzien.

De laatste tijd zie je hele serieuze hacks op productiesystemen met niet alleen gevolgen voor bedrijven, maar ook voor de economie van de regio. Een serieus groot bedrijf platleggen ga je gewoon voelen, ook als (regionale) economie. Hacks zoals bij Maersk die honderden miljoenen aan verloren omzet kosten (!) zijn de afgelopen jaren geen uitzondering meer. Bij VDL "even" een dagje verloren productie loopt volgens mij ook al snel in de papieren.
Alleen staat nergens in dit nieuws wat voor aanval dit is, of dat deze systemen makkelijk of moeilijk bereikbaar waren. Dat kun je dus niet selectief als onderbouwing er bij gaan suggereren om een bewering te doen op basis van dit nieuws.

Je noemt daarbij nu ook een voorbeeld op waaruit blijkt dat het niet pas begint maar ook al jaren gelden bestond en toen ook al grote invloed had op regionaal, landelijk of internationaal gebied. Het bestond ook daarvoor al dat schade zich breed voordoet: niet zomaar is er al jaren geleden verbod gekomen op ddos aanvallen of gebruik van malware. Dat komt al uit de vorige eeuw.

Oude beweringen kun je daarbij niet zomaar boter zacht noemen. Dat hangt af van hoe je wil rekenen. Als je de grens perse wil stellen bij goed afgeschermde ict dan mag eerst wel eens blijken hoe dat redelijker is om daar de grens te trekken om te beweren het nu pas als serieus effect te noemen. De kop uit het zand trekken en net doen alsof er dan pas iets serieus is klinkt niet redelijk. Het klinkt eerder als excuus.
"ICT-aanval" ? Beetje brede term me dunkt?
Ook het eerste dat ik dacht. Maar cyber-aanval vind ik ook geen alternatief.
Op het woord cyber zou een permaban moeten staan.
Behalve bij gebruik van cybercharlatan. Dat is gewoon een te mooie term.
Ik las laatst ergens zelfverklaard “cyber expert” (die aanhalingstekens stonden er al). Vond ik ook mooi ;)

Cyber alleen nog gebruiken in artikelen over van rijbroek?
In ieder geval splits je met cyber-security al de fysieke security er van af. Maar dan nog, blijft het héél erg breed.
Nu denk ik ook dat je niet meer detail de wijde wereld in moet sturen voor je de problemen opgelost hebt.
Je zal een andere hacker maar het idee geven dat hij ook nog snel ergens iets kan doen.
Of zoals mijn moeder zegt: "m'n laptop doet weer raar".
... Nadat jij je spelletjes hebt gespeeld, dus jij hebt hem (de laptop) stuk gemaakt!

- Ouders in het algemeen
Laatste keer was het: "in de camper deed hij het nog en toen we thuis waren opeens niet meer".
Ook in bedrijven hoor je dat : het werkt niet en ik deed echt niets .... O-)
*kijkt in log }> *
hack aanval...

ict-aanval klinkt wel erg Terminator
Hoe klinkt dat? ;)
Juist. Er is onrechtmatig computervredebreuk gepleegd door onbevoegden.
Er is een goede kans dat nog niet duidelijk is wat er exact aan da hand is. Dan wordt vaak een bredere term gebruikt.
Inm het geval van ransomware willen bedrijven dat vaak niet direct toegeven en wordt ook een meer generieke term gebruikt.
Eerste wat ik dacht "Ja dan moet je je ICT afdeling maar voldoende betalen" :D
Mwa, VDL is niet 1 of ander lullig klein MKB bedrijfje op de hoek ofzo.. Die hebben hun ICT echt wel op orde, dat wordt ook geëist van hun klanten
Maar toch betekend je ICT op orde hebben, niet dat je qua security ook op punt bent en blijft.
Jawel, dat wordt letterlijk geëist als je voor klanten als ASML of Defensie opdrachten wil doen. Het gaat dan specifiek om je beveiliging tegen hacks, ransom ware, etc.

[Reactie gewijzigd door Grrrrrene op 7 oktober 2021 13:12]

Dat wil maar weinig zeggen. Ik heb jaren voor een bedrijf gewerkt wat exact dat was, een toeleverancier voor ASML en defensie. Pas sinds enkele jaren proberen zij (en dan is zij voornamelijk ASML) bepaalde eisen te stellen aan systemen maar veel invloed hebben ze daar niet op. Enorm veel van die zaken zijn ook af te vinken als je het op je eigen manier interpreteerd. Hoewel wij zaken redelijk op orde hadden had het systeem net zo goed zo lek als een mandje kunnen zijn en waren wij gewoon toeleverancier gebleven.
Nou, ik weet niet hoe jij "data moet opgeslagen worden op een systeem dat niet aan internet hangt" en "datadragers waarop kritische data is opgeslagen moeten vernietigd worden na verbruik" een eigen interpretatie wil geven, maar dat zijn bijzonder krachtige maatregelen om dit soort ict-aanvallen af te slaan.

Je hebt in zoverre gelijk dat het voor Defensie of ASML vrij lastig is om te achterhalen of je dit werkelijk doet, maar ik kan alleen zeggen dat wij ons hier wel heel strict aan houden. ASML en Defensie hebben hier natuurlijk in zoverre invloed op, dat je je opdrachten gedag kan zeggen als uitlekt dat je een loopje met hun eisen neemt.

[Reactie gewijzigd door Grrrrrene op 8 oktober 2021 08:09]

Fijn dat je direct het perfecte voorbeeld geeft voor iets dat onderhevig is aan interpretatie. "Data niet op een systeem dat aan internet hangt". Prima, mijn file server heeft geen internet toegang. Dus die kun je afvinken. Dat er vervolgens een systeem is wat direct of indirect toegang heeft tot die file server en wel aan het internet hangt dek je dus al niet af. En laat dat nou exact de manier zijn waarop hackers zich een weg door het netwerk banen...
Ik leg het in een paar woorden uit, maar er mag geen internetlink naar de fileserver zijn, dus ook niet via een ander systeem dat wel aan internet hangt.
Dat is precies wat ik bedoel, want zo zijn dit soort regels meestal beschreven en dus vatbaar voor verschillende interpretaties. Er staat niet tot in detail uitgelegd hoe je wel of niet iets mag/moet doen, het wordt juist redelijk abstract gehouden omdat het dan op vele situaties toe te passen is.
Ik snap nog steeds niet hoe een systeem dat direct of indirect aan internet hangt, waar die bestanden niet op mogen komen te staan, voor een lek kan zorgen. De data mag nooit op een systeem aanwezig zijn dat aan internet hangt, dat lijkt mij redelijk waterdicht.
Er zijn gebruikers van die data en die zullen ongetwijfeld een Windows PC of Apple device hebben staan. Op dat device hebben ze hoogstwaarschijnlijk toch echt internet nodig. Ik ken geen bedrijf dat zijn werknemers geen internet aanbied voor hun werkzaamheden.

De fileserver hangt inderdaad niet aan het internet, maar moet wel bereikbaar zijn voor eindgebruikers. Dat kan gewoon niet anders. En daarmee heb je dus je eerste security 'probleem' al te pakken.

Eindgebruiker krijgt zo'n fijne "KPN Factuur" in zip bestand binnen. Klikt op het zip bestand, opent de wordfile die erbij zit en boem, de boel begint te encrypten.

Het is niet allemaal zo zwart wit. Security is leuk, maar je systeem zo dichttimmeren dat er niet meer mee gewerkt kan worden is natuurlijk ook geen optie.
Er zijn gebruikers van die data en die zullen ongetwijfeld een Windows PC of Apple device hebben staan. Op dat device hebben ze hoogstwaarschijnlijk toch echt internet nodig. Ik ken geen bedrijf dat zijn werknemers geen internet aanbied voor hun werkzaamheden.
Dat klopt, maar die openen en bewerken die bestanden op een apart netwerk zonder internetverbinding, mogen de files niet lokaal bewaren en gaan voor overige werkzaamheden weer op het andere netwerk verder.
ICT op orde, kan veel betekenen:
- IT netwerk kan goed op orde zijn, maar de zwakste schakel is nog steeds de gebruiker. Meeste malware komt binnen via de social engineering.
- OT netwerk is pakken moeilijker te beveiligen wegens oude componenten. Bij een fabrikant als VDL kan ik me goed voorstellen dat er nog heel wat machines zijn die op Windows XP, 2000 of zelfs ouder draaien en niet meer ondersteund worden door de fabrikant. Alles buitengooien en nieuwe machines kopen? Wordt een heel dure zaak. Ja, je kan data diodes gebruiken etc, maar soms is het toch een keuze: productie optimaliseren en concreet meer omzet hebben, of veiligheid optimaliseren en minder omzet hebben of klanten verliezen omdat een andere 99% van de tijd sneller kan reageren (tot die ene keer dat men een cyberaanval heeft)
- daarnaast heb je ook nog de applicaties zelf: is er authenticatie op berichten die over het netwerk gaan? Ik weet van luchthavens waar je, als je een netwerk poort vind op het backend netwerk, je gewoon de bagage trafiek totaal kan verstoren. DoS aanval is niet moeilijk: gewoon applicaties spammen met XML berichten.

Ik heb ook al meegemaakt dat een fabriek van een autofabrikant wegens een vrij simpele functionele bug een dag stil lag. 2 shifts geen auto's gemaakt, honderden arbeiders naar huis. Dat had men met deftig testen kunnen vinden op 10 minuten. Maar te weinig tijd, en zo. Tot het fout loopt en ligt in de organisatie daar weer even de druk op en daarna vermindert dat weer...
Zelfs voor functioneel testen neemt men vaak niet de tijd of budget, laat staan voor security. (wat bij velen nog onbekend is)

Ik denk dat je in het algemeen niet moet onderschatten hoeveel legacy er is in zulke bedrijven.
Software en zelfs hardware die al +20 jaar meegaat en nog steeds verder ontwikkeld wordt. Maar wie had security in het achterhoofd in 2000? Zelfs Microsoft niet, de maker van één van de meest belangrijke besturingssystemen in de wereld! Bill Gates schreef pas zijn email over trustworthy computing in 2002.

[Reactie gewijzigd door Chris_147 op 7 oktober 2021 12:33]

Toevoeging: Bij bedrijven van dit kaliber, heb je soms zelfs in-house software die nog draait op computers welke nog veel oudere OS-en nodig heeft.

Even een computer zoeken/in elkaar zetten met schone Windows 95/98 erop (of pre OS X) omdat de eigen productiesoftware backup anders niet werkt is echt niet zo makkelijk. Bovendien loop je ineens tegen de meeste vage timing/compatability issues aan als je een modern moederbord/cpu gaat gebruiken. Was bijvoorbeeld de interne clock voorheen op CPU cycles gebaseerd, dus snellere cpu betekend een sneller lopend klokje waardoor alles om zeep gaat.
Moet je alsnog gaan patchen of een echte specialist vinden die zowel die antieke software als compatibele hardware heeft liggen.

Tegelijk is het maken/aanschaffen van nieuwe software om die oude in-house gemaakte te vervangen niet iets wat je even in 1 maand ofzo doet. Alle infrastructuur eromheen (aansturing danwel communiceren) moet immers ook mee. Met beetje pech praat je in 6-12 maanden.


De echte ICT jongens bij dit soort bedrijven? Hoef je echt niet jaloers op te zijn, wat voor shit die werkend moeten houden af en toe. Die kunnen het oprecht niet op orde houden, want het 'echte' fixen kost tientallen miljoenen en weken downtime tijdens implementatie. Daarvoor is zowel geen tijd als budget.

[Reactie gewijzigd door Xanaroth op 7 oktober 2021 13:15]

Bij een landelijke organisatie, waar vertraging tot de bedrijfscultuur behoort, hebben ze nog erg lang een oude HP VAX-VMS machine draaiend gehouden. Men durfde de machine, die nog maar voor 1 taak werd gebruikt, niet uit te zetten als ze 'm niet nodig hadden. Er was dan kans dat de voeding kapot ging en er waren geen reserve-onderdelen voorhanden, omdat HP geen support meer leverde. Het was geen vreselijk bedrijfskritisch systeem, het was wel vervelend voor de planners als die het niet meer deed. Uiteindelijk is een nieuw systeem wat de VAX-VMS applicatie overbodig maakte in gebruik genomen en kon definitief de stekker eruit getrokken worden.

[Reactie gewijzigd door matramurena op 7 oktober 2021 13:52]

Die hebben hun ICT echt wel op orde
Het tegendeel is net bewezen... Alleen al het feit dat meerdere bedrijven binnen de groep slachtoffer zijn geworden, bewijst dat ze hun zaken niet voldoende op orde hebben.
jaartje geleden sollicitatie gedaan bij bedrijf-x, best interessante functie en systemen. Alles leek prima, 2e gesprek wat meer inhoud, salaris etc. komen ze aan zetten met 1800 netto [..] "jullie zoeken iemand met ~10jr ervaring" Onze huidige IT'er verdiend dat ... je begrijpt die job is het niet geworden :F succes met je toko :w

//edit; huidige it'er was net klaar met zijn mbo, ~20jr oud

[Reactie gewijzigd door himlims_ op 7 oktober 2021 11:49]

Die huidige IT'er mag het vandaag ook nog eens gaan uitleggen.
Ik kreeg het dubbele (bruto ) én een auto naar keuze...Audi A6 no problemo.
Toen bleek dat ik de ENIGE zou zijn voor 500 medische klanten dus 7/7, geen collega's. 8)7
Dit heeft niks met afdelingen te maken maar met prioriteiten.

Ik loop veel bedrijven binnen en blijf schrikken hoe slecht het geregeld is, ook bij grotere bedrijven.
Overal en nergens pc’s rondslingeren die continu aan zijn, overal en nergens netwerkaansluitingen,
pc’s die zelden worden aangeraakt voor mededelingen en waar wachtwoorden op zijn geplakt.

Het klinkt allemaal heel onnozel, maar iemand met kwade bedoelingen kan langzaam het hele netwerk in kaart brengen en langzaam leren waar de zwakke plekken zijn.

En het zijn ook vaak locaties waar veel verloop is. Baantjes met eentonig werk en zwaar is, die minder betalen, waar extras in de toelagen moet worden gezocht en waar heel veel mensen uit midden en oost-europa komen werken. Zelfs de klassieke allochtoon heeft daar geen zin in.
En dat patroon zie je terug want onlangs was Bakker (kaas) aan de beurt geweest, Vezet hetzelfde verhaal.
Het zou niet vreemd zijn als er een groep bezig is.


Overigens hebben ze bij ons het BYOD al laten vallen,
alleen apparatuur dat geregistreerd is komt het netwerk. Is niet 100% maar wel makkelijker te controleren en bij te houden. Gasten zitten op een ander wifi-netwerk wat daar los van staat.
De ICT zou dus meer tijd moeten hebben om vreemd verkeer te kunnen vast te stellen.
BYOD kan prima gebruikt worden, als je alleen cloud/web based werkt. En je kunt bij zakelijke mail prima toegangsvereisten afdwingen op dat device. Dan hebben ze ook geen netwerktoegang nodig, alleen maar een internetverbinding.
Precies om dat soort redenen zijn bij mij wandaansluitingen niet actief als ze niet gebruikt worden en filteren wij apparatuur op mac adres, dat is HEEL erg fijn en als iemand binnenkomt EN al een werkende netwerkaansluiting te pakken krijgt, dan komt hij er nog niet zo makkelijk in.
Daarnaast als een apparaat verdacht gedrag vertoont, dan wordt die direct in quarantaine geplaatst.
Als ik uw beleid lees denk ik : " Is dat niet overal zo"?
Ondertussen weet ik beter. |:(
BYOD boeit geen drol - mits juiste richtlijnen/voorzieningen - al wil je met chineese android iets doen; be my guest
Totdat je merkt dat bestanden uit de container worden gekopieerd om via whatsapp te worden verstuurd 🙄😄

En BYOD betekent in de praktijk dat een gebruiker kan doen en laten wat die wilt,
de werkgever, en met name ict, zegt liefst alleen voor je werk en nog een eigen toestel prive 🙂 Wat het nut van byod is, is me dan ook een raadsel.
Wat het nut van byod is, is me dan ook een raadsel.
Ik vraag mij dat ook regelmatig af. Ik noem het dan ook graag "Bring Your Own Trojan".
Toen ze vanmorgen bij het kantoor aankwamen stonden er allemaal boze computers voor de deur.
Waarschijnlijk een paar verongelijkte militante netwerkbeheerders die boos met krimptangen zwaaien met kans op laagvliegende oude SCSI/SATA disks :)
Klinkt een beetje alsof je een pc naar iemands hoofd gooit.
Het Eindhovens Dagblad heeft het over een 'digitale aanval'.

Tweakers probeert nieuwe termen te verzinnen?
Het is maar hoe je het leest. Een aanval op de ICT infra, of een aanval gedaan door de gehele verzameling "ICT" ?

Ik denk dat het meer op het eerste slaat.
Ik vind het vreemd dat alle bedrijven van de vdl-groep blijkbaar getroffen zijn. Mag toch verwachten dat die onderlinge verknooptheid van systemen ondertussen niet meer zou bestaan.
En zeker niet in één aanval getroffen kan worden op de schaal die nu geschetst wordt.
De afgelopen jaren hebben heel veel bedrijven juist hun IT geconsolideerd. In tegenstelling tot het begin van deze eeuw zijn verbindingen zo goedkoop en snel geworden dat dit mogelijk werd.

We hebben te weinig informatie om in te schatten wat deze aanval behelst.
Precies dat is gebeurd .. als centraal iets plat gaat, waar alle applicatie-, file-, ERP- en mail server staan en alle vestigingen me verbonden zijn dan, ligt ook de productie plat.
Zonder betekenis van het woord getroffen kan dat bijna alles betekenen wat er maar iets mee te maken lijkt te hebben.
Vermoed dat VDL heel efficiënt werkt. Just-in-time met andere bedrijven, kleine voorraden, flexibele werknemers schil, zwaar geautomatiseerd en gerobotiseerd, optimale integratie van afdelingen, diensten en personeel.

Helaas lijken dit soort bedrijven vatbaar voor het bekende steentje in de tandwielen, waardoor het hele uurwerk tot stilstand komt.
Een Cyber steentje dan..
Mogelijk dat het hier ook over een randsomware aanval gaat, dit is echt een groot probleem aan het worden voor de wereld. Wordt door sommigen ook wel de digitale pandemie genoemd.

Zorg als bedrijf/organisatie in ieder geval voor de basis op orde, dus geteste backups, patchen van systemen en applicaties, inzicht/monitoren wat er gebeurd, juiste safeguards op je systemen, segmentatie van je systemen, juiste toegangscontrole, ect.

Aanvallers zijn professionele organisaties welke vaak voor het laaghangende fruit gaan.....Meestal blijkt dat een aanvaller toch is binnengekomen omdat de basis niet op orde was.
De basis op orde hebben is wat mij betreft ook een duidelijke restore / recovery strategie zodat je dat niet hoeft te verzinnen als het je dan toch overkomt en de chaos alleen maar groter wordt.
@Olaf Gaat het alleen om VDL in Nederland of ook in België? Want VDL zit ook in België. Gezien bijv. VDL Nedcar in Limburg ook getroffen is, gaat het dus verder dan alleen hun kantoor in Valkenswaard/Eindhoven. Is VDL Roeselare in België dan ook getroffen?
Mogelijk wel. VDL ETG in Almelo ligt ook stil
De ICT kennis van menig manager en daar moet je dan een bedrijf mee runnen;
https://www.youtube.com/embed/9XCmM-h0-0M

[Reactie gewijzigd door Algoreclimate op 7 oktober 2021 15:13]

Ehm @Olaf , de productie is gestaakt, niet geraakt :)
De productie werkt deels met robots, dus die kunnen toch geraakt zijn?
De productie is gestaakt omdat ze niet met toeleveranciers kunnen communiceren...
Zij krijgen nu geen trigger wanneer bijvoorbeeld bepaalde producten verstuurd moeten worden.

@mocean Je kunt wel via een VPN communiceren met jou leverancier, maar voor een VPN is ook internet nodig. ;)
En wat een bedrijf als eerste doet bij een cyber aanval (althans als ze slim zijn..) is hun netwerk afsluiten voor de buitenwereld, om erger te voorkomen. :*)

[Reactie gewijzigd door k---evi-n op 7 oktober 2021 12:24]

@mocean Je kunt wel via een VPN communiceren met jou leverancier, maar voor een VPN is ook internet nodig. ;)
En wat een bedrijf als eerste doet bij een cyber aanval (althans als ze slim zijn..) is hun netwerk afsluiten voor de buitenwereld, om erger te voorkomen. :*)
Nope, is niet waar. Je kunt VPN's afnemen die nergens het internet raken. Dan krijg je netjes een afgescheiden verbinding die afhankelijk van jouw wensen van VDSL tot aan 10Gb verbindingen kunnen lopen en samen een volledig gescheiden IP netwerk vormen. En dat raakt werkelijk nergens het internet.
Sorry, maar ik ben een taalnicht. Een productie dan wel productielijn kan geraakt worden door een fysiek tastbaar iets. Een DDOS-aanval dan wel cyber-hack (zo je het noemen wil), kan iets tastbaars niet raken, wel staken.

Excuses, maar soms kan ik het niet laten :) My bad.
Geraakt lijkt me gewoon prima hier. Net als dat iets je ook emotioneel kan "raken" kan een proces 'geraakt' worden door een incident, m.a.w. beïnvloed worden. :)
Niet geheel ontopic, maar de productie bij VDL lag al stil tot en met gisteren vanwege het chiptekort.
Ik durf in onze organisatie de uitdaging wel aan eigenlijk voor een ransomware aanval.
Binnen een kleine 4 uur zijn we weer operationeel :) voordeel van tape backups die tot een jaar teruggaan.

Vind het altijd wel bijzonder, al die organisaties die getroffen worden door ransomware aanvallen / cyberaanvallen / digitale inbrekers. Uiteindelijk betalen ze de som. Maar als je je backup op orde hebt, is er weinig aan de hand.

[Reactie gewijzigd door Tweakez op 7 oktober 2021 12:38]

Stoer. Hoelang zaten die inbrekers al op je netwerk? Dus hoever moet je terug in de tijd met je tapes? En hoeveel data van de tussentijd ben je dan kwijt? Ik vind het ook altijd wel bijzonder die ICT'ers die blijkbaar alles netjes op orde hebben. Tot ...
Prima. Restore je ook meteen de backdoor en malware mee di al in het netwerk actief waren. Ik heb zoveel klanten meegemaakt die deze strategie hadden en dan alsnog een zwaar incident response programma door moesten lopen.

stap een van een incident response is containment. Een backup moet je dan beschouwen als onbetrouwbaar.
Dat is wel heel kort door de bocht. Ten eerste zul je dan moeten restoren, en hoe lang ben je daarmee bezig vanaf tape, daarnaast ben je dan alsnog van x uur / dagen data kwijt, en ten 2e hoe lang zit het al in je netwerk dus dan kan het zomaar weer gebeuren
Inderdaad ransomware bestrijden met een backup restore kan werken echter het is bekend dat de ransomware vaak al maanden, soms tot een jaar op de systemen aanwezig was. Na zo'n restore wordt het virus weer getriggerd en start de versleuteling opnieuw.
Dus als je geluk hebt gebeurt dit niet en heb mis je alleen het werk van de laatsten maanden in jouw backup, hetgeen al een groot probleem kan zijn.

Ransomware betalen is ook niet altijd een oplossing aangezien je vaak niet alle informatie weer kunt terugkrijgen, ook niet met de juiste sleutel.

Je zult ransomware in een vroegtijdig stadium moeten herkennen en elimineren, echter dat is niet makkelijk.
Het betalen na een randsomware aanval is natuurlijk uiteindelijk een deel van het probleem. Zolang er bij een groot gedeelte van de slachtoffers betaald wordt blijven dit soort aanvallen voorkomen. Eigenlijk zou je een (europees) verbod op het betalen van losgeld bij randsomeware moeten invoeren, die dan ook streng gehandhaafd wordt. Als de aanvaller van tevoren weet dat hij niet betaald gaat worden is in ieder geval die prikkel weg.
De andere oplossing is natuurlijk cryptocurrencies verbieden, maar dat zullen een hoop mensen hier niet met mij eens zijn. 8-)
Je moet de uitdaging niet eens willen aangaan. Maar als je zo'n stoere uitspraak durft te doen doet, laat eens een ethical hacker langskomen..
Dit gaat de hele regio raken, het begint hoog tijd te worden dat er beter beveiligd gaat worden, of een ander grotendeels offline-systeem gaan gebruiken. Dit treft ook asml, en daarmee wordt het chiptekort ook geraakt. Onze economie is te belangrijk om net te doen alsof dit erbij hoort.
'beter beveiligd' is nogal breed. Misschien was het goed beveiligd? Misschien heeft een medewerker geholpen van binnenuit? etc. etc.
Tsja kijk .... Als een gebruiker een email krijgt met een excel bestand van iemand die hij kent gaat hij daar op klikken. Hetzelfde met een word bestand. Je mag nog 100000x zeggen dat je niemand mag vertrouwen en niet zomaar alles openklikken. Maar dan krijg je een mail met een excel bestand van iemand die je wel kent ... En daar zal toch op geklikt worden. 100% zal nooit lukken spijtig genoeg. Ik neem nu excel en word omdat dit toch veel als attachment in mail zit. En in het bedrijfsleven toch wel de 2 meest gebruikte dingen.
Een systeem afkoppelen van het interenet is ook niet zo gemakkelijk. Want stel je gebruikt geen word/excel, maar google bijvoorbeeld. Tsja dan kan je dus op die pc niks doen, moet je op een andere iets gaan zoeken etc. Dan zal er al dikwijls een stick bovengehaald worden om van A naar B iets over te zetten. En zo blijf je bezig uiteraard. Linux overal opzetten zal ook niet werken, omdat dikwijls specifieke software niet werkt, zeker als er hardware aan te pas komt. Het is een eindeloos kat en muis spel. En de afdeling (of persoon of personen) die dit moet regelen, veel geluk. Maar uiteindelijk ben je de pineut als er iets fout gelopen is. Je mag nog zoveel procedures hebben.
En als iemand je wilt hacken, dan zal die persoon dat ook doen. De vraag is alleen hoe moeilijk heb je het hun gemaakt. Maar als iemand het echt wilt, dan zal het ook gebeuren, no matter what. De meesten zullen het wel opgeven na een tijdje. Het enige wat helpt is zo klein mogelijk blijven en je zo minimum mogelijk aantrekkelijk maken om gehacked te worden. Een bedrijfje met een omzet van 100.000 euro valt niet veel te rapen. Eentje met een omzet van een 10 miljoen euro is al aantrekkelijker, want daar zullen waarschijnlijk wel meerdere personen werken dus heb je meer mogelijkheden (als je voor een exploit zou gaan). De kans dat het bedrijf dat 10 miljoen euro omzet draait gaat betalen is ook een pak hoger, en die gaan bijvoorbeeld 25-100k gemakkelijekr betalen als een kleiner bedrijf. Natuurlijk als je wilt groeien zal je omzet stijgen en dan ben je gewoon "aantrekkelijk". En om nu eerlijk te zijn, hoe groot is de kans dat een hacker gepakt zal worden ? Klein, en zelfs al heeft hij een paar maand nodig om alles voor te bereiden etc. 25-100k tax free dollars is toch wel zeer aantrekkelijk voor een paar maanden werk.
Wagens worden ook nog altijd gestolen. Het is een pak minder gemakkelijk als vroeger, maar toch worden er nog altijd wagens gestolen. Zolang er geld mee kan verdient worden, zal dit gebeuren. En als bedrijf heb je de keuze: niet betalen of betalen. Optie 1 kan betekenen dat je prodiuctie x aantal tijd stilligt, je kan klanten niet meer helpen etc. Dus optie 2 is vaak dan de keuze.
Het was niet goed genoeg beveiligd, anders was dit niet gebeurd.
Dat is nogal een simpele visie op dit. Als er dus in je huis wordt ingebroken kan ik ook zeggen; dan heb je niet de juiste maatregelen genomen? Binnen komen ze altijd wel, of dit nu ICT systemen zijn of fysieke gebouwen. Het gaat erom hoeveel geld je er voorover hebt om het risico tot indringen kleiner te maken. 100% veilig bestaat niet maar je kan wel in de buurt komen. Hiervoor zal je wel diep in je buidel moeten tasten en mogelijk concessies moeten doen op het gebruiksgemak.
Misschien heeft een medewerker geholpen van binnenuit? etc. etc.
Ik ben niet terzake deskundig, maar volgens mij zou men juist zich daarop moeten concentreren als je beveiliging optuigt.

Ik vraag me al heel lang af van wie MIJN medische gegevens zijn.
Ik kan ze zelf niet inzien, behalve op aanvraag. Ja zeg, kom nou!
Ik zou graag willen kunnen zien wie die geraadpleegd heeft en eventueel kunnen blokkeren.

Het principe moet dus worden dat je gegevens aan 1 eigenaar toekent en dat die de permissies kan controleren.

Misschien moet er daarbij nog een overkoepelend orgaan komen die vooraf screent welke entiteiten bij mij permissie mogen vragen.

[Reactie gewijzigd door Bruin Poeper op 7 oktober 2021 12:10]

Ik vraag me al heel lang af van wie MIJN medische gegevens zijn.
Zijn het eigenlijk wel jouw gegevens? De gegevens zullen wel over jou gaan, maar jij hebt ze niet gemaakt en/of verzameld. Ik heb in elk geval geen MRI hier in huis staan, laat staan een laboratorium voor bloedonderzoek. Dus alle data die door de laboranten wordt verzameld en alle informatie die uit deze data komt, dat is gedaan met apparatuur die niet van mij is en door mensen die niet bij mij op de loonlijst staan.
Ik kan ze zelf niet inzien, behalve op aanvraag. Ja zeg, kom nou!
Is dat nou echt een serieus probleem? Verreweg de meeste mensen zijn niet opgeleid om die gegevens te interpreteren. Dus om dan maar alle data online te gooien echter een wachtwoordje, zou je daar nou echt gelukkig van worden?
Ik zou graag willen kunnen zien wie die geraadpleegd heeft en eventueel kunnen blokkeren.
En hoe ga je dan beoordelen of het een inzage goed of fout was? Misschien dat jij arts bent en dat je ook nog werkt met de mensen die jouw dossier gebruiken, maar ik ben het in elk geval niet. En met mij nog een paar miljard mensen van deze aardkloot. Wanneer je niet weet wie een dossier bekijkt omdat je de persoon niet kent, niet weet waarom het dossier wordt bekeken en wat het doel is, hoe wil je dan tot een oordeel komen?
Misschien moet er daarbij nog een overkoepelend orgaan komen die vooraf screent welke entiteiten bij mij permissie mogen vragen.
Vooraf weten welke ziektes je krijgt en dus welke entiteiten bij jouw dossier mogen komen, dat zou geweldig zijn! Ik zie heel veel kansen voor preventie. En is de realiteit anders. Wellicht dat je het in grote lijnen kunt aangeven, maar dan is het imho al vrij snel zo breed, dat die permissies vrijwel niets meer toevoegen. Behalve meer bureaucratie en dus meer kosten. Want hoeveel zou jij per jaar willen betalen voor zo'n systeem? Een tientje per jaar, tientje per maand, roep maar iets.

En mocht een entiteit niet bij jouw data kunnen op een moment dat het wel nodig is, hoe ga je daar mee om? Je kunt die entiteit dan moeilijk verantwoordelijk houden voor eventuele fouten of vertragingen die daardoor zijn ontstaan, dat was namelijk jouw eigen keuze.

En een datalek, die vroeg of laat toch zal optreden, hoe denk je daar dan over?
A ) Men vraagt al of niet aan MIJ toestemming om mijn gegevens al of niet beschikbaar te stellen. Het staat dus vast dat de gegevens van MIJ zijn.
B ) Als iets van mij is lijkt het me vreemd dat een ander er over moet gaan. Of ik van inzage al of niet gelukkig wordt of de data snap (kan toch uitleg vragen?) is niet relevant.
C )Juist registratie van degene die inzage had geeft effectieve mogelijkheid de lekkageveroorzaker te identificeren.
D ) Het overkoepelend screen-orgaan kan vastleggen welke gescreende identiteiten in bepaalde gevallen zonder mijn toestemming bij mijn voor de situatie noodzakelijke gegevens mogen.

Als er nu een datalek optreedt zal er een gescreende(=bekende) verantwoordelijke geregistreerd staan.
Het komt er op neer dat je een dataset 1 eigenaar moet geven. In dit voorbeeldgeval MIJ. Resultaat is dat ik mijn deel van onze data bewaak. Nu bemoeit iedereen zich er mee en is er niemand echt verantwoordelijk. Dat vraagt om ongelukken.

[Reactie gewijzigd door Bruin Poeper op 7 oktober 2021 23:35]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee