VDL Groep is maand na cyberaanval weer 'vrijwel volledig' in bedrijf

De productieactiviteiten van autofabrikant VDL Groep is hervat na een cyberaanval die begin oktober plaatsvond. Het Eindhovense consortium meldt dat zijn 105 werklocaties weer 'vrijwel volledig' in bedrijf zijn. Het bedrijf wist back-ups terug te zetten op zijn systemen.

Via 'schone data' uit de veiliggestelde back-ups wist het bedrijf naar eigen zeggen veilige werkomgevingen te creëren en wisten alle 105 de VDL-locaties geleidelijk aan hun productieactiviteiten te hervatten. "Door adequaat optreden van onze medewerkers is de schade beperkt gebleven tot maximaal een dag verlies aan data", aldus het Eindhovense consortium.

De groep voert momenteel nog onderzoeken uit naar 'de achtergronden en de gevolgen van de cyberaanval op de systemen van VDL Groep'. Deze zijn volgens het bedrijf nog niet volledig afgerond. De kosten van de cyberaanval worden in het eerste kwartaal van 2022 vastgesteld. Directeur Willem van der Leegte schrijft dat het bedrijf melding heeft gemaakt van de cyberaanval bij de politie en de Autoriteit Persoonsgegevens.

De cyberaanval werd op woensdag 6 oktober gesignaleerd tijdens monitoring van de VDL-netwerken. Daarop werden de IT-systemen van het consortium ontkoppeld en werden de netwerken van de 105 VDL-locaties preventief afgesloten. Daarbij werden ook tijdig de 'back-up-omgevingen' van de VDL Groep veiliggesteld, zo meldde het bedrijf op maandag.

Er zijn verder weinig concrete details bekend over de cyberaanval. Het bedrijf meldt bijvoorbeeld niet of het een ransomware-infectie betrof. "Om toekomstige pogingen tot cyberaanvallen niet te vergroten, wordt geen nadere informatie verstrekt inzake de recente hack bij VDL Groep", meldt het bedrijf. VDL Groep zal naar eigen zeggen ook geen informatie verstrekken over 'de huidige en toekomstige IT-architectuur' van het consortium.

Reacties (86)

Lisadr 8 november 2021 21:43

VDL Groep heeft de afgelopen jaren een fors investeringsprogramma gevolgd op het gebied van digitalisering, met cyberveiligheid als belangrijk onderdeel daarvan. Ondertussen is VDL voortdurend geslaagd voor audits en controles van klanten en specialisten met bijbehorende certificaten en hebben we onszelf voortdurend getest, ook met trainingen van medewerkers om onszelf nog meer bewust te maken voor de valkuilen die tot een cyberaanval kunnen leiden.

Ze doen alsof ze heel volwassen waren mbt hun cyberveiligheid, maar als dat het geval was zou het niet een maand duren voordat ze weer konden draaien.

VDL zocht recentelijk nog een Operational Security Engineer, hadden geen CISO en hadden voor de aanval nauwelijks security medewerkers. Ook geen ISO 27001 of andere certificaten.

4,7 miljard omzet per jaar en 1 maand niet kunnen draaien zal ze tientallen of hondreden miljoenen kosten. In 2022 zal de schade bekend worden.

[Reactie gewijzigd door Lisadr op 22 juli 2024 19:47]

Mektheb @Lisadr • 8 november 2021 21:57

En terecht, iets met de boot gemist.
Maar ach zag van de week nog een zorginstelling met 400/500 man die lekker via RDP op 2008 bakken prakken.
Vroeg al wanneer ze op het nieuws kwamen, nog niks gehoord 😇

Rataplan_ @Mektheb • 8 november 2021 22:29

2008 is bijzonder kwalijk. Maar met RDP is toch niks mis? Mits VPN of op z'n minst een RD Gateway (https reverse proxy)? Of stond gewoon RDP kaal naar buiten open?

sjanssen15 @Rataplan_ • 8 november 2021 22:44

In principe kan je t/m volgend jaar support in kopen bij Microsoft, maar na 2022 is het toch echt voorbij. Nu nog op 2008 (R2 mag ik hopen) is behoorlijk kwalijk en geeft echt aan dat IT compleet vastgeroest is geworden in zo'n organisatie.

Een nieuwere RD Gateway zou een oplossing kunnen zijn, maar dat betwijfel ik dat dat het geval is.

batjes @sjanssen15 • 9 november 2021 07:05

Leuk maar in de zorg is men afhankelijk van applicaties die alleen op een bepaalde Windows versie draaien. Het is nogal kostbaar dat te upgraden.

Heeft weinig met vastgeroest te maken. Er is gewoon geen budget voor. Anders gaat het ten koste van de geleverde zorg.

Zo ongewoon is het niet om in de zorg XP, Vista, 7, 2008 enzo tegen te komen.

TheVivaldi @batjes • 9 november 2021 12:20

Dat kan wel zo zijn, maar als er iets misgaat omdat ze met een verouderd, onveilig systeem werken wat niet goed is afgedicht, dan kost het ze net zo goed geld en daarbovenop gaat het ook nog ten koste van hun imago en vertrouwen. En zeker in de zorg is vertrouwen extra belangrijk.

Tomatoman @batjes • 9 november 2021 18:41

Een zorginstelling is in dat opzicht echt niet anders dan een willekeurige andere organisatie. Het is niet dat er geen budget voor het bijdetijds houden van de digitale werkomgeving is, maar de organisatie heeft ervoor gekozen om het budget zodanig te verdelen dat er niets wordt besteed aan het up to date houden van de digitale werkomgeving. Natuurlijk is het zo dat geld dat een IT wordt uitgegeven niet ook nog eens kan worden besteed aan zorg, maar die redenatie geldt ook voor iedere andere uitgave. Moet de verwarming branden op kantoor? De kosten daarvan kunnen niet aan zorg worden besteed. Wil je medewerkers op cursus sturen? De kosten daarvan en de tijdsbesteding daaraan kunnen niet aan zorg worden besteed. Stel je een medewerker aan op de salarisadministratie? De kosten daarvan kunnen niet aan zorg worden besteed.

Sommige van die kosten kun je een tijdje uitstellen; zo kan een zorginstelling er bijvoorbeeld voor kiezen om een jaar lang niemand op cursus te sturen. Als dat echter te lang wordt uitgesteld, lopen op een gegeven moment alle medewerkers weg of lopen ze vast in hun ontwikkeling – beide zijn op langere termijn funest voor een professionele organisatie. Hetzelfde geldt voor het te lang uitstellen van noodzakelijke investeringen in IT.

i-chat @Mektheb • 9 november 2021 07:13

Ja en waar zou een zorginstelling het geld vandaan moeten halen voor weer een veel te dure migratie

De bezuinigingen in de zorg gaan ergens neerkomen it is dan vaak nummer 1 facilitair 2 en personeel 3 we zitten inmiddels bij 10+

Zorginstelling waar ik werk draaide voorheen citrix maar is overgestapt naag Gsuite omdat eigen infra gewoon niet meer betaalbaar was met alle securiyvereisten

[Reactie gewijzigd door i-chat op 22 juli 2024 19:47]

RickOnline @i-chat • 9 november 2021 12:25

En dan krijg je de volgende uitdaging, want GSuite (of eigenlijk tegenwoordig Google Workspace) voldoet niet aan de Europese privacy-eisen. Google is een Amerikaans bedrijf, en valt dus onder de Patriot Act.

Daar vind de Autoriteit Persoonsgegevens vast wat van. Zeker bij een zorginstelling, met alle bijbehorende gevoelige gegevens.

itaalol @Mektheb • 9 november 2021 10:48

Zorginstellingen hebben best vaak applicaties draaien op servers die sterk verouderd zijn. Vaak is dit hele specifieke software van een leverancier waarvan er in dat specialisme maar een, hooguit twee van zijn. En waarvan het vereist is y soort software met x soort medische apparatuur te hebben.

Medische apparatuur kost behoorlijk wat meer geld dan wat Servers of Desktops, in aanschaf maar ook onderzoek naar wat voor apparatuur het beste is. Dus het is ook niet een kwestie van "dit is niet veilig dus we gooien het weg".

Bijkomend feit is ook dat dit voor een deel ook bewust gedaan is. Medische apparatuur zal zelden op de nieuwste technieken draaien omdat de kans op (ver)storingen groter is dan iets wat al helemaal doorontwikkeld is en al jaren tried and tested is.

Bij een zorginstelling wordt de apparatuur meestal gekocht als dit is waar het verpleegkundig personeel mee wil werken. Cyber security is geen prioriteit. Hier is over te discussiëren uiteraard. Maar (grote) delen van de digitale infrastructuur van zorginstellingen loopt gemakkelijk 10+ jaar achter. Waar ik werk (ziekenhuis) gaan we nu pas eens "serieus" onderzoek doen naar de cloud (Office 365 etc. niet meegerekend).

Het zijn moeilijke afwegingen om te maken.

[Reactie gewijzigd door itaalol op 22 juli 2024 19:47]

mjtdevries @Lisadr • 9 november 2021 14:57

ISO 27001 en andere certificaten gebruik je voornamelijk om je klanten te laten zien dat je security op orde is. Iets wat klanten vaak vereisen als je data van hen verwerkt.

Maar als ik een bus koop bij VDL dan vind ik een ISO 27001 certificaat echt geen vereiste.

Lisadr @mjtdevries • 9 november 2021 17:17

ISO 27001 en andere security certificaten zijn ook middelen om intern je security op orde te hebben en aan stakeholders (zoals klanten) te laten zien dat je einige vorm van security hebt volgens bepaalde normeringen.

mjtdevries @Lisadr • 9 november 2021 17:24

Het tweede gedeelte van je zin is gewoon een herhaling van wat ik al zei.
En om intern je security op orde te krijgen heb je die certificaten niet voor nodig. Als je zelf geen kennis van zaken hebt, dan kan het je helpen bij het bedenken op welke vlakken je extra werk moet doen. Maar het kan ook prima zonder.
Het is ontzettend kortzichtig om er vanuit gaan dat een bedrijf het niet voor elkaar heeft, als ze geen security certificaat hebben.

Kijk jij voordat je de bus instapt of de maker een security certificaat heeft?

Lisadr @mjtdevries • 9 november 2021 21:50

Het is ontzettend kortzichtig om de security van een bedrijfs te vergelijken met instappen in een bus.

Voor bussen zijn er wettelijke eisen waar een bus aan moet voldoen, anders mag het niet in Nederland verkocht worden. Chaffeurs die er in rijd moet ook voldoen aan eisen.

mjtdevries @Lisadr • 10 november 2021 09:45

Je hebt niet goed gelezen wat ik zeg.
Ik vergelijk de security van een bedrijf helemaal niet met het instappen in een bus.

Ik zeg dat het voor het instappen in die bus helemaal niet belangrijk is of dat bedrijf een iso 27001 certificaat heeft. Dat is heel iets anders.
Zoals je zelf al aangeeft gelden er voor die bussen wettelijke eisen. Dus hoef ik me als passagier niet druk te maken over een iso 27001 certificaat, omdat dat totaal niet boeiend is voor die bus.

Je spendeert kosten aan certificering omdat dat voor je klanten belangrijk is. Voor hun klanten is dat echter niet belangrijk en dan is het logisch dat ze die certificering niet hebben.
En daarom zegt het helemaal niets over de staat van hun IT security.

Lisadr @mjtdevries • 10 november 2021 10:56

Klant van VDL Group is niet de persoon die in een bus stapt. Klant van VDL Group zou automerken, maritieme, agrarische sector en andere industie bedrijven. Hun grootse omzet komt uit Autoassemblage en Toeleveringen.

mjtdevries @Lisadr • 10 november 2021 11:23

Ja en? Dat doet helemaal niets af aan het argument dat het voor de klanten van VDL niet belangrijk is. Voor het busbedrijf is alleen belangrijk dat die bus aan de wettelijke eisen voldoet. Of VDL iso27001 gecertificeerd is, is daarbij totaal niet van belang.
Reageer nou eens inhoudelijk.

Of wil je alleen maar het laatste woord hebben? Daar lijkt het erg op.
In dat geval mag je opnieuw gewoon mijn reactie herhalen in je eigen woorden en dan ga ik er niet meer op reageren. Dan heb je je zin.

djwice

@Lisadr • 9 november 2021 23:23

Ik heb liever dat bedrijven investeren in echte en werkelijke beveiliging dan dat papier tijgers processen op tekenen die in de praktijk alleen met de mond beleeft worden.

Zo'n standaard leidt er bijvoorbeeld tot gedrag waarbij mensen bepaalde dingen bewust niet meten of registreren. En dat pas gaan doen als ze zeker weten dat ze "in control" kunnen komen gegeven die nieuwe informatie. Tot die tijd wordt er van alles aan gedaan om te voorkomen dat de informatie gemeten of formeel waargenomen wordt.

[Reactie gewijzigd door djwice op 22 juli 2024 19:47]

Joppiez @Lisadr • 8 november 2021 22:54

Weet niet exact hoe het in het algemeen bij de VDL groep werkt maar bij Nedcar bijvoorbeeld weet ik wel dat het zeer serieus opgepakt is/wordt. Daar was het idee dan ook niet of het eens gaat gebeuren maar wanneer, mede door die mindset is het allemaal behapbaar gebleven.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Cybercrime

@Lisadr • 8 november 2021 23:10

VDL Nedcar heeft bijvoorbeeld ISO 27001 sinds 2017. Op welke bronnen beroep je je behalve een enkele vacature (wat echt helemaal niets zegt in deze)?

Lisadr @Bor • 8 november 2021 23:46

Nedcar is 1 van de 105 werkmaatschappijen dat VDL Group heeft.

TheVivaldi @Bor • 9 november 2021 12:19

Maar VDL bestaat uit veel meer bedrijven dan alleen Nedcar. Nedcar en Bus &Coach zijn wel de bekendste, maar ze hebben nog tig andere bedrijven binnen de groep, van staalverwerking tot onderhoud van openbare infrastructuur.

collinbel @Bor • 9 november 2021 19:04

ISOxxxxx op papier en real live praktijk wil nog wel eens verschil uitmaken

WoutervOorschot

@Lisadr • 9 november 2021 09:29

Nou ze zijn wel een van de eerste grote bedrijven die gewoon backups gaat terugzetten. Dat is toch een stuk beter dan iedereen die maar gaat betalen.

Dan vraag je je haast af wat het nut er van was, als de rest niet had betaald waren ze ook weken plat geweest waarschijnlijk, ook met een CISO en certificaten (uni maastricht bijvoorbeeld)

Zeror

8 november 2021 21:58

In een wereld waarin internet onze primaire informatievoorziening is, wordt het misschien hoog tijd dat ondernemingen eens gaan bekijken hoe belangrijk het internet voor hun bedrijfsvoering is. Heeft elke werkplek wel internet nodig? Is mailverkeer (via LAN mailserver) en een lokaal intranet niet al voldoende? Misschien kunnen cyberaanvallen ingeperkt worden door het aantal werkplekken met internet te verlagen binnen het bedrijf.
Of ben ik nu heel extreem?

Aerophobia1 @Zeror • 8 november 2021 23:17

1 gehackte aansluiting is al genoeg om binnen te komen op het lokale netwerk, met beetje geluk.
Maar ergens iemand een USB stickje laten insteken en dan een payload loslaten is ook heel goed mogelijk.

sapphire @Aerophobia1 • 8 november 2021 23:31

USB uitzetten waar dit niet nodig is en het netwerk segmenteren/ rechten beperken?

Ook binnen kun je nog genoeg beveiligen.

Aerophobia1 @sapphire • 9 november 2021 00:11

Ja idd, maar vaak wordt alleen het internet als voornaamste besmettingsbron gezien.
Terwijl een menselijke interactie van binnenuit net zo funest kan zijn.
Hoeft maar 1 omgekochte medewerker of stageloper de boel te infecteren.
Als is het alleen maar om de wachtwoorden van een machine lokaal op te slaan.
Om vervolgens het bijna onzichtbare USB stickje met de wachtwoorden weer te verwijderen.
Het gaat tegenwoordig om vele miljoenen.
Dat opent vele deuren.

j1b2c3 @Aerophobia1 • 9 november 2021 06:18

Vaak is Internet ook juist het probleem, en hebben mensen totaal geen internet nodig.
Tevens die randsom troep moet vaak eerst verbinding met een command en control server maken.
Bij dit soort bedrijven moet je het netwerk gewoon opsplitsen. De fabriek totaal los of achter een goed geconfigureerde fire wall gescheiden van de rest 0,0 internet geven. .
Ik heb dit bij div bedrijven mee gemaakt 2 computers 1 voor kantoor werk met internet verbonden aan het kantoor netwerk en 1 voor de werkplaats voor het fabrieks netwerk.
Het is natuurlijk niet 100 % veilig maar het dekt wel een groot risico af. Tevens ben ik van mening. Alleen computers internet geven dit het echt nodig hebben. Goed updaten, virus software en geoblocks gebruiken.

Bliksem B

@j1b2c3 • 9 november 2021 10:10

Vaak is Internet ook juist het probleem, en hebben mensen totaal geen internet nodig.
Tevens die randsom troep moet vaak eerst verbinding met een command en control server maken.
Bij dit soort bedrijven moet je het netwerk gewoon opsplitsen. De fabriek totaal los of achter een goed geconfigureerde fire wall gescheiden van de rest 0,0 internet geven. .
Ik heb dit bij div bedrijven mee gemaakt 2 computers 1 voor kantoor werk met internet verbonden aan het kantoor netwerk en 1 voor de werkplaats voor het fabrieks netwerk.
Het is natuurlijk niet 100 % veilig maar het dekt wel een groot risico af. Tevens ben ik van mening. Alleen computers internet geven dit het echt nodig hebben. Goed updaten, virus software en geoblocks gebruiken.

Is het alleen niet zo dat veel ransomware via nepmails zijn werk doet? Deze mail wordt geopend door kantoormensen en dat zijn juist de mensen die niet zonder regulier internet kunnen.

Ik zou zeggen, zoveel mogelijk afstand creëren tussen gebruikers en core-functionaliteit van het bedrijf. Volledig virtueel werken en zoveel mogelijk in een afgeschermde cloud.

Zo werken wij met Corsa NXT. Het is eigenlijk een rampzalig systeem t.o.v. sharepoint. Maar wij kunnen dan ook enkel via de browser bestanden uploaden, wijzigen, etc.

j1b2c3 @Bliksem B • 11 november 2021 07:06

100% cloud kost heel veel geld... En mijn ervaringen waren bagger slecht. Vaak Heel traag reageren van het os bij openen van apps of multitasken ... Ik dacht zeker 30 -60 minuten van de dag niet productief te zijn omdat je aan het wachten bent tot het systeem bij is . Zeker bij het openen van documenten als pdfs ... Als technische afdeling bagger slecht... ( althans met pentium gold uit de 6-7 serie want nieuwe computes kregen we niet . Met de laatste hardware i5 uit de 10 serie was het wel beter. Maar ja ...

WillySis @j1b2c3 • 9 november 2021 14:02

Je kan een netwerk wel segmenteren en veel PC's van het internet loskoppelen, maar dat lost het probleem maar voor een klein deel op.
Juist een aantal bedrijfskritische processen (inkoop, facturering en klant- en order-beheer) zijn tegenwoordig afhankelijk van het internet. Als dat wordt gehackt ben je als bedrijf het haasje.
Als pc's via een netwerk zijn verbonden, maar "los" van internet, dan kan een hacker zich vaak toch nog toegang verschaffen tot dat deel van het netwerk. Alleen pc's die totaal losstaan van een netwerk en lokale netwerken die nergens een fysieke verbinding hebben met het netwerk wat wel toegang tot het internet heeft is relatief veilig. Toch zullen er zo nu en dan bestanden overgezet moeten worden en dan is er toch een kwetsbaarheid.
De criminelen die bedrijven gijzelen hebben vaak best heel wat geduld. Voor hen is het geen probleem om tussen het moment van (eerste) besmetting eerst een maandje (of langer) te wachten voordat alle computers en bestanden op slot worden gezet.

Shamalamadindon @Zeror • 9 november 2021 07:16

Ik zou het andersom willen stellen. De werkplek zelf moet juist meer throwaway worden. Met goed gebruik van O365/Sharepoint/Onedrive zit je al in een situatie waar het meeste kantoor werk vanaf elk willekeurig device met een internet verbinding gedaan kan worden.

Jochem

@Shamalamadindon • 9 november 2021 07:28

Precies. Zo zijn wij ingericht. Trust nobody en alle werkplekken (zelfs alle devices) zijn ‘throwaway’. Alles in clouddiensten. Internet is het enige wat je nodig hebt. Zeer sterk password management beleid via een manager

sjanssen15 @Zeror • 8 november 2021 22:47

Zeker niet extreem, alleen erg lastig in een organisatie te implementeren waarbij mensen "volledige vrijheid" gewend zijn. Ik werk voor een overheidsorgaan waar standaard nergens internet beschikbaar, tenzij een virtuele werkplek met whitelisting van URLs. Op servers is het enkel met proxy toegang waar filtering op toegepast wordt en whitelisting van domeinen. Maar 99% heeft geen verkeer naar buiten.

Het is mogelijk, maar dan heb je wel een CISO nodig met veel bevoegdheden & doorzettingsvermogen

neowulf @Zeror • 9 november 2021 06:12

In de huidige economische wereld staat een bedrijf (ook zijn produktie) niet alleen. Automatische communicatie met klanten, leveranciers, andere sites, sociaal secretariaat, overheid, … is onmisbaar gezien de automatisering van alle cross company en externe E2E processen. Lijkt me een onhaalbare kaart. Zorgen dat die verbindingen en autorisaties security tested zijn wel.

Lisadr @Zeror • 8 november 2021 22:01

Weet niet of je extreem bent. Weet wel dat de gemiddelde bedrijf weinig kennis heeft van beveiliging en ook niet beseft dat ze afhankelijk zijn van IT systemen.

JKL-NL 8 november 2021 21:26

Zo zien we maar weer hoe belangrijk het is om regelmatig back-ups te maken.

J_van_Ekris @JKL-NL • 9 november 2021 07:38

Voor dit soort bedrijven zijn backups vaak nutteloos om het werk te hervatten: veel autoproductie is "build to order" en dus moet je productieplanning en ERP-data actueel zijn. De backup van vorige week helpt dan niet.

Bovendien zijn dit vaak complexere en gerichte hacks, en zorgt de aanvaller dat eerst een paar weken backups besmet zijn voordat men losgeld gaat eisen.

Sharky @J_van_Ekris • 9 november 2021 11:11

Er zijn bedrijven die hun RPO/RTO gewoon op 0 zetten en daardoor in principe geen verlies hebben. Of dit bij ransomware ook zo simpel werkt weet ik niet, maar een beveiligingsbeleid die je back-up buiten schot houdt is toch niet onhaalbaar?

J_van_Ekris @Sharky • 9 november 2021 11:21

maar een beveiligingsbeleid die je back-up buiten schot houdt is toch niet onhaalbaar?

Je beseft dat de hackers een bounty hebben van 50 miljoen als ze die backup kunnen uitschakelen? Dit zijn geen script-kiddies meer die toevallig een slachtoffer maken, maar een georganiseerde bende die zeer goeg georganiseerd elke vorm van bedreiging van die 50 miljoen te cashen systematisch uitschakelen.

Jeoh @JKL-NL • 8 november 2021 21:39

Backups zijn belangrijk, restores nog belangrijker.

mjtdevries @Jeoh • 9 november 2021 14:54

Precies. De backups waren blijkbaar prima in orde, want ze konden terug tot de dag voor de aanval. Maar ondertussen lagen ze er wel weken uit.

Gé Brander @JKL-NL • 8 november 2021 21:29

En nog belangrijker dat de backup niet meer te veranderen is. Bijvoorbeeld om de data weg te schrijven en daarna als read only beschikbaar te hebben. Dan nog moet de backup niet al besmet zijn...

ReZpie 8 november 2021 22:56

Ik vind het lastig om hier elke keer de getroffene/management/it afdeling de schuld van te geven.

Ik begrijp heel goed dat er veel bedrijven zijn(wellicht ook vdl geen idee) die onvoldoende maatregelen nemen om zich te wapenen tegen cybercrimilaliteit.Maar degene die hier het hardst met de vinger wijzen zijn waarschijnlijk (nog) niet getroffen.

Er liggen inmiddels zo veel grote lekken en zero days op straat dat slechte intenties het bijna voor het kiezen hebben. Ook is sociale engineering ook een bijzonder geschikt middel om ook maar via het zwakste schakeltje binnen komen. Het is eerder een risico analyse & kosten/baten kwestie van de criminele organisatie dan het slachtoffer zelf.

Als iter ben ik mij er in ieder geval bewust van dat elke organisatie potentieel slachtoffer (is)kan worden van dergelijke criminele praktijken.
Peperdure audits/itpersoneel/netwerkapparatuur/externe consultants kunnen je helaas echt niet(altijd) helpen.
Het is momenteel echt gewoon gatenkaas,en het wordt alsmaar maar erger.
Begrijpelijk want de it omgeving wordt complexer door de legacy/cloud/hybride omgevingen en als maar snellere ontwikkelingen die amper zijn bij te houden. Door zowel de business, de it afdeling alswel het management is het gewoon lastig om de controle en het overzicht te houden. Ik wil hier geen lans breken voor bedrijven die nog lekker op office 2013 en windows 7 werkt, maar zelfs als je je als organisatie hard maakt en wel degelijk met geld/middelen investeert om de veiligheid/backups etc op orde te houden biedt, dit gewoon helemaal geen garantie.

[Reactie gewijzigd door ReZpie op 22 juli 2024 19:47]

Scriptkid @ReZpie • 8 november 2021 23:22

meschien wel een kant tekening, en correct em if i am wrong,

maar ik heb nog niemand in het nieuws zien komen met een compromised cloud omgeving en downtime,

Hooguit IAAS waarbij het lift en shift was maar nog niet bij cloud native oplossingen. Meschien toch tijd om meer richting cloud native te doen gezien men daar een betere security specialisatie en budget heeft zitten

ReZpie @Scriptkid • 8 november 2021 23:30

Ik zelf ook niet wat betreft ransomware, maar zeker wel wat betreft data leaks/breaches. Data governance/privacy is ook voor versaasde applicaties een groot probleem.

batjes @Scriptkid • 9 november 2021 07:21

Die cloud omgevingen worden miljarden tegenaan gegooid om veilig te houden. Hun hele hebben en houden is er ook afhankelijk van.

Nogal andere koek dan een bus/vrachtwagen fabrikant.

J_van_Ekris @Scriptkid • 9 november 2021 07:44

maar ik heb nog niemand in het nieuws zien komen met een compromised cloud omgeving en downtime,

Maar een productievloer met robots aan de cloud ophangen mag gewoon wettelijk niet (de machinerichtlijn laat niet toe dat besturing afhankelijk is van een internetverbinding). De hogere ERP-laag mag wel de cloud in, maar is vaak zo verweven met lokale equipment dat dat vaak ook lastig blijkt.

Sandor_Clegane @ReZpie • 9 november 2021 07:25

Dit. Het is proberen een kasteel te bouwen op drijfzand.

Jij moet het altijd goed doen en zij maar een keer, statistisch gezien heb je al verloren.

Dan heb je ook nog eens de "update threadmill". Damned if you do, damned if you don't.

TomsDiner 8 november 2021 22:57

Hoorde laatst op Radio 1 dat er zoveel geld met ransomware verdiend wordt, dat de verspreiding helemaal niet zoals bij een virus hoeft te gaan. Inbraak bij bedrijf, inbraak bij medewerker, je voordoen als verwarmingsmonteur en een usb stick laten slingeren, kopieerapparaten met onwenselijke software, telefoontjes die zogenaamd van de helpdesk komen... En ja: Pineapples in een auto op de parkeerplaats kan ook. Of chantabele zaken van medewerkers onderzoeken, om te kijken of die te dwingen zijn tot medewerking.

In diverse gevallen schijnt eerst monitoring software geplaatst te zijn, of is een achterdeur (externe toegang) geregeld. Daarna worden zwakke plekken gezocht. Dat hoeven geen vulnerabilities te zijn, maar kunnen ook zaken zijn die het bedrijf meer bereid maken tot betalen. (Zoals de backups ook vernielen, of databases stelen)

De werknemers van het bedrijf zijn vaak de zwakste schakel!

OCU-Macs @TomsDiner • 9 november 2021 06:16

Precies wat je zegt. Het is geen 'nerdy' tech-crime meer, maar gewoon keiharde reguliere criminaliteit met een tech component. De menselijke factor is de meest zwakke.

J_van_Ekris @OCU-Macs • 9 november 2021 07:47

En soms weken of maanden voorbereiding door de criminelen. Dit is allang geen schot hagel meer waar via een simpel virusje wat toevallige onoplettende slachtoffers maakt.

Scriptkid @TomsDiner • 8 november 2021 23:24

dat is idd een zeer goede vraag net als bij space X ,

Hoe wapen je je als bedrijf tegen omkopingen als het om 10 mil per persoon gaat

Hyronymus 8 november 2021 21:29

Het maken van back-ups alleen is niet voldoende. Je moet ook goed beleid hebben hoe vaak je een back-up draait en waar je ze bewaart.

obimk1 9 november 2021 08:17

Behalve dat VDL Bova heeft overgenomen, VDL is ook een machine bouwer in de regio, en ook een belangrijke toeleverancier van ASML.

Meer bedrijven in de regio Eindhoven zijn gealarmeerd door deze "cyber aanval".

[Reactie gewijzigd door obimk1 op 22 juli 2024 19:47]

henkkeumus 8 november 2021 21:13

Fijn bericht, maar ik zou graag willen weten hoe ze gehacked zijn, of is dit in een ander artikel te lezen?

Scriptkid @henkkeumus • 8 november 2021 21:20

staat in het artikel :

"Om toekomstige pogingen tot cyberaanvallen niet te vergroten, wordt geen nadere informatie verstrekt inzake de recente hack bij VDL Groep", meldt het bedrijf.

[Reactie gewijzigd door Scriptkid op 22 juli 2024 19:47]

Robert-Jan @Scriptkid • 8 november 2021 21:24

Klinkt als security by obscurity?

Lagonas @Robert-Jan • 8 november 2021 21:33

Nee, dit klinkt als, we willen criminelen niet wijzer maken dan ze al zijn, en ik ben het compleet met ze eens. Ook al zijn wij Tweakers en vinden dit erg interessant, bot gezegd, het gaat ons geen reet aan.

cariolive23 @Lagonas • 8 november 2021 22:17

Ik bekijk het toch iets anders. Nu ze geen informatie delen (aangenomen dat ze dit met echt niemand delen), kan niemand controleren of er in hun eigen organisatie sprake is van een soortgelijk lek als bij VDL. Die deur blijft dan open staan en kun je wachten op het volgende ongeluk.

Daarnaast zie ik het als een onderschatting van de criminele buitenwacht, die weten al waar het lek zit cq zat of kunnen deze informatie ergens inkopen.

Door de informatie niet te delen, speelt VDL de criminelen in de kaart.

En ja, ik snap dat VDL niet iedere bit en byte kan delen, maar de aanval in grote lijnen uitleggen is voor menig specialist genoeg om te weten in welke hoek ze het moeten zoeken.

SillieWous @cariolive23 • 8 november 2021 23:15

Publiekelijk delen is iets anders dan vertrouwelijk delen met belangrijke klanten, leveranciers en keuringsinstanties. Als het om een 0-day gaat zullen, wat mij sterk lijkt, neem ik aan dat ze dit ook met de betreffende partij oppakken.

Bovendien kunnen ze zo'n write-up over de grote lijnen ook prima delen zonder dat het duidelijk is dat het van VDL afkomstig is. Jezelf door Jan en alleman in de kaarten laten kijken lijkt mij nooit verstandig.

J_van_Ekris @cariolive23 • 9 november 2021 07:51

Ik bekijk het toch iets anders. Nu ze geen informatie delen (aangenomen dat ze dit met echt niemand delen), kan niemand controleren of er in hun eigen organisatie sprake is van een soortgelijk lek als bij VDL.

Organisaties delen wel informatie, maar niet publiekelijk. Onder leiding van het NCSC zijn er een paar jaar geleden per industrie Special Interest Groups opgericht die onderling vertrouwelijk data delen. Dat hoeft niet via de publieke media.

Janusch @Lagonas • 8 november 2021 21:53

Het kan helpen om in de toekomst dit soort dingen te voorkomen. Hoe meer we weten wat er mis gaat, hoe beter je weet het te voorkomen.

Scriptkid @Janusch • 8 november 2021 23:15

Helaas vertellen wij als Microsoft dagelijks heel veel klanten waar security risks in hun omgeving zitten , echter als we een jaar later terug komen zitten die er nog, veelal onder de noemer accepted risk, of te duur om een crorrecte mitigatie te doen,

Pas als men zelf geraakt wordt beseft men de impact ,

Neem iets simples als PAW/SAW is al lang een van de betere middelen tegen high priv escalations , echter zijn er pas weinig bebrijven die het geimplementeerd hebben naast MS zelf.

sterker nog veel bedrijven gebruiken nogsteeds direct assigments van permissions ipv JIT / JEA systemen

bazzi

@Scriptkid • 9 november 2021 08:04

Totaal geen ervaring met Microsoft systemen en eerlijk gezegd zeggen je afkortingen me ook niet 123 wat, dus heb gegoogled:

JEA is dat je als het nodig is op het eind een soort sudo doet naar een tijdelijk locale admin die na de sessie niet meer hestaat
JIT is denk ik dat je vlak voordat je connect tijdelijk admin word.
PAW/SAW is een workstation/os welke ALLEEN gebruikt wordt om beheer taken te doen. Dus niet het internet op op iets uit te zoeken.

En correct me if I am wrong

En dan mijn eigen toevoeging: zero trust, dus intern zien als extern en overal firewalls/ids/ips tussen knallen en lekker segmenteren. Dus niet alleen een slotgracht om je netwerk, maar OVERAL!

[Reactie gewijzigd door bazzi op 22 juli 2024 19:47]

Scriptkid @bazzi • 9 november 2021 08:16

correct op een architectuur level,

in detail gaan we nog verder, je JIT systeem zou bijvoorbeeld bij vrijganve van je account ook elke keer een nieuw account moeten geven ipv alleen enable - disable zoals de meeste 3rd party JIT systemen, Dit zodat je SID en hashes niet hergebruikt kunnen worden.

PAW/SAW, kan ook op 1 machine met moderne hardware, je laptop draait de PAW en virytueel er in je office machine, De PAW is gehard en kan alleen bij de IP`s van je beheer portals (onpem / cloud), en je office machine kan overal bij, kun je elke maand ook je pc reinstaleren als je wilt kost je 5 min, en daarna spin je de office vm gewoon weer up.

Nu heb je principal of clean source, zit er rommel in je internet pc dan kan men admin spullen Niet capturen via key loggers / screen grab / PTH etc omdat dat nooit wordt ingegeven op die vm, in tegenstelling tot jumphosts of terminals waar de source niet clean is.

Als je deze 3 combineerd wordt het voor een attacker enorm moeilijk om credentials te krijgen en mocht dat lukken om persistance te houden met admin credentials in je omgeving.

Daarnaast moet je ook goed kijken naar service accounts, Vaak draaien er scripts op servers onder scheduled taks met meer permisies dan de local admin, Een local admin kan dan het script gewoon aanpassen en krijgt de priv escalation er gratis bij.

[Reactie gewijzigd door Scriptkid op 22 juli 2024 19:47]

bazzi

@Scriptkid • 9 november 2021 13:14

Dat JIT systeem, dat is een onderdeel van normale Microsoft suite? (en krijg je niet ene ontzettende vervuiling van de accounts?) Of worden ze verwijderd, maar zijn ze wel logsich zichtbaar in de logs?

(zit zelf meer in linux, maar daar is jumphost ook al niet meer best practise ivb keyloggers cetera op de jumphost). Zero trust ;-)

Scriptkid @bazzi • 9 november 2021 13:38

In MS cloud heb je idd PIM die dat vor je regeld,

in onprem heeft MS geen kant en klare oplossing maar je kunt het wel bouwen met de Building blocks die MIM je geeft samen met active directory 2019 (Time based groups).

Voor het account stuk, je geeft ze idd een naam geving die terug leid naar de person en na de JIT tijd verwijder j ehet letterlijk van AD waardoor de SID en Hash niet meer gebruikt kunnen worden.

goarilla @bazzi • 10 november 2021 16:57

(zit zelf meer in linux, maar daar is jumphost ook al niet meer best practise ivb keyloggers cetera op de jumphost). Zero trust ;-)

En hoe implementeer jij die zero-trust op Linux als Ik dat vragen mag ?

bazzi

@goarilla • 10 november 2021 19:17

Overal firewalls tussen, ook intern met ips en ids, welke zeer scherp afgesteld staan, ssh keys(met passprases) naar root, niet via een su/sudo, want je wilt geen jumpstations/account met eventuele loggers die wachtwoorden kunnen capturen. Ipv root zo veel mogelijk persoonlijke accounts gebruiken. Liefst alleen de key enabled als je aan het werk moet, maar daar hebben we nog geen goede modus in. (dus als iemand tips heeft

) Zo veel mogelijk dicht en alleen gewhiteliste ips kunnen connected, gecombineerd met vpn met voor nu 2fa en al het alle upload verkeer scannen. Uitgaand verkeer monitoren, siem in plaats.
Nu aan het kijken voor PAW/SAW oplossing gecombineerd met persoonlijke security keys, liefst met wachtwoord op device, met dus wachtwoord ingeven op device) . Maar daar zijn we nog mee bezig, want moet werkbaar zijn, maar ook veilig en dat schuurt. Ben as we speek de oplossing van PAW met gevisualiseerde normale werkplek aan het onderzoeken. 2 laptops is niet ideaal en dual boot op 1 laptop ook niet, want soms moet je wat opzoeken en wat uitvoeren tegelijkertijd. Enige waar ik nog bang voor ben dat je uit je werk vm kan breken. Ook wil je niet dat je beheer ips bereikbaar zijn vanuit de vm die draait op je PAW, want op zich kan je netwerk natuurlijk doorgegeven worden aan de vm. Daarom denk ik mogelijk 2 vms, waarvan 1 paw en 1 werk. Op een gehard hypervisor achtig iets op een laptop. Maar dat is work in progress. (tips meer dan welkom

)

[Reactie gewijzigd door bazzi op 22 juli 2024 19:47]

draadloos @Janusch • 8 november 2021 22:00

Klopt. Maar het helpt ook kwaadwillenden om een inzicht te krijgen in de infrastructuur, en dat wil je niet. Verbaas me soms ook wel eens over kleinere bedrijven die een systeembeheerder zoeken. Dat zijn dan bedrijven waarvan je bijna zeker weet dat ze er maar 1 hebben. Uit de vacaturetekst kun je al aan de hand van de gevraagde competenties zien wat er intern gebruikt wordt..

Cis @draadloos • 8 november 2021 23:16

Op het moment dat men een systeembeheerder zoekt, die ook gebruikers te woord wil staan, en de cisco apparatuur en voip kan beheren... Dan weet je vaak al genoeg inderdaad
In een hecht team van 4 medewerkers. (2 servicedesk, 1 manager, en 1 systeembeheerder

)

zvbhvb @Robert-Jan • 8 november 2021 23:34

Klinkt als wij weten het ook niet.Maar doen als beschreven staat in de standaard werken.

draadloos @Knaak • 8 november 2021 21:58

Bron?

En ja, zou ik ook doen. Geen risico nemen ermee.

unglaublich @draadloos • 8 november 2021 23:22

Ah ja, kapitaal vernietigen om een risico te verkleinen. Alsof dat geen eigen bedrijfsrisico met zich meebrengt.

HakanX @Knaak • 8 november 2021 21:59

Waarom zijn laptops in verpakking vernietigd?

nst6ldr @HakanX • 8 november 2021 22:07

Of het verhaal van Knaak waar is weet ik niet, maar supply chain attacks komen voor en als je belangen groot genoeg zijn ga je met kritieke systemen niet de gok nemen.

scholtnp @nst6ldr • 9 november 2021 09:12

Het Bloomberg verhaal is niet bewezen. Elke keer als een andere journalist navraag deed over details, hulden ze zich in vaagheden.
Dat wil niet zeggen dat een chip erbij plaatsen heel lastig is, zie dit artikel in WIRED.
Zie ook een eerder artikel van Tweakers hier.

[Reactie gewijzigd door scholtnp op 22 juli 2024 19:47]

Joppiez @Knaak • 8 november 2021 22:49

Lijkt mij een broodje aap verhaal. Hooguit kun je een complete wipe uitvoeren op de harddrive. Kan moeilijk geloven dat een bedrijf zo met haar kapitaal omgaat.

batjes @Joppiez • 9 november 2021 07:09

Verpakte laptops lijkt me raar. Maar zo vreemd is het niet dat je hardware wegkiepert na een infectie.

Er zijn zo veel plekken om rotzooi te verstoppen. De bios/uefi, de USB controller, de hdd firmware, de cpu firmware, firmware van Gpus, zelfs de NIC kan je van alles in verstoppen.

Afhankelijk van de potentiële dreiging en het veiligheidsniveau, wil je daar geen risico's mee nemen.

Joppiez @batjes • 9 november 2021 10:09

Dan heb je het wel over een hele andere orde van complexiteit. Sowieso komen dat soort aanvallen weinig voor, vooral in het kader van ransomware heb ik nog nooit gehoord dat het zo complex was. Maargoed, 100% zeker ben je daarentegen nooit, het is en blijft een risico afweging.

batjes @Joppiez • 9 november 2021 11:03

Als een aanval niet gericht is, is het risico daarop volgens mij wel verwaarloosbaar.

Maar als VDL doelgericht is aangevallen, en ik haal niet uit dit bericht op of dat wel of niet het geval was. Dan is het geen slecht besluit om kritieke hardware gewoon af te schijven en opnieuw te beginnen.

Ebrain @Knaak • 8 november 2021 23:14

Ik werk zelf voor VDL en dit is dus duidelijk BS zou graag een bron willen.

Op dit item kan niet meer gereageerd worden.

VDL Groep is maand na cyberaanval weer 'vrijwel volledig' in bedrijf

Lees meer

Reacties (86)

Sorteer op:

Weergave: