'MediaMarkt onderhandelt over betaling losgeld na Hive-ransomwareaanval'

MediaMarkt zou in onderhandeling zijn met criminelen nadat het bedrijf maandag slachtoffer werd van een ransomwareaanval. Volgens RTL Nieuws zit de Hive-groepering achter de aanval en eisen de criminelen 43 miljoen euro in bitcoin.

Hive zou duizenden computers en servers van de MediaMarkt hebben versleuteld, schrijft RTL Nieuws. Details over de onderhandelingen tussen MediaMarkt en de criminelen zijn niet bekend. Hive gebruikt een dashboard met een zogenaamde helpdesk, waarmee slachtoffers kunnen chatten met de aanvallers. Het ligt voor de hand dat er op die manier gecommuniceerd wordt tussen de partijen.

Maandagochtend werden de Europese vestigingen van MediaMarkt getroffen door de aanval. Naast filialen in Nederland en België, gaat dat ook om winkels in andere landen, waaronder Duitsland. De winkels zijn nog open, maar kunnen alleen producten die in de winkel liggen verkopen. Afhalen en retourneren is niet mogelijk.

De Hive-groepering staat erom bekend slachtoffers af te persen, door data te publiceren als er geen losgeld wordt betaald. Het is niet duidelijk of dat ook aan de orde is bij de MediaMarkt. Op zijn HiveLeaks-website houdt de groep bij welke bedrijven het heeft aangevallen. Gestolen data wordt daar ook online gezet als er niet ingegaan wordt op de eisen van de groep.

Hive is sinds halverwege dit jaar actief en werd berucht met aanvallen op Amerikaanse ziekenhuizen. In augustus waarschuwde de FBI voor de praktijken van de groepering.

Reacties (412)

ultimasnake 9 november 2021 09:01

Een hoop mensen lijken hier vooral te mikken op het feit dat betalen echt 'stom' is, maar deze organisatie lekt ook gegevens uit als er niet betaald wordt.

Ik ga er voor 99% vanuit dat de Mediamarkt zijn zaken niet op orde heeft en ook 99% zeker te veel data heeft bewaard die niet in bezit had moeten zijn bij de Mediamarkt (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) en zie dus ondanks dat je beter de boel niet in stand kan houden toch echt dat dergelijke gegevens niet op straat komen te liggen na een lek van dit formaat.

Het blijft een groot probleem helaas.

nr12 @ultimasnake • 9 november 2021 10:17

Ze kunnen de gegevens toch als nog lekken na dat er betaald is?

WoutervOorschot

@nr12 • 9 november 2021 11:17

En daarnaast liggen de gegevens ook al op straat, niet volledig openbaar misschien, maar bij een groep hackers van onbekend formaat. De data is al gelekt en is ook al bij mensen die het zouden misbruiken indien mogelijk, het is puur voor de show als je betaald met excuus dat de data anders kan worden misbruikt.

Ge Someone @WoutervOorschot • 9 november 2021 15:36

publiceren zouden ze dan niet snel doen, want businessmodel. Maar eventueel verkopen is niet ondenkbaar.

Xfade @nr12 • 9 november 2021 15:04

Dat zou onhandig zijn, want dan betaalt geen bedrijf meer, omdat het toch niet uitmaakt.

[Reactie gewijzigd door Xfade op 22 juli 2024 20:39]

nr12 @Xfade • 9 november 2021 15:22

Ik ken toevallig wat mensen die in de cybersecurity werken. En helaas kan je criminelen niet vertrouwen op hun blauwe ogen. Het is zeker geen uitzonding dat ze na het unlocken van je pc een maand later je pc weer locken als je je pc niet schoon hebt geveegd. En toch blijven bedrijven wel betalen.

Kastermaster @nr12 • 9 november 2021 18:49

Maar dat komt ook omdat betalen vaak de goedkoopste oplossing is. 43 miljoen is veel geld, maar God mag weten hoeveel verlies ze maken als ze een week lang moeten sluiten (bijvoorbeeld).

friend @nr12 • 9 november 2021 10:29

Dat wordt al snel bekend en de kans dat er door een volgend slachtoffer alsnog betaald wordt is dan alleen maar kleiner. Het is dus financieel beter dat de hackers zich ook aan de afspraken houden in dit soort situaties.

aequitas

@friend • 9 november 2021 11:03

Ja want de hackers staan ingeschreven bij een hackerhandelsregister dus bij de volgende hack kan je prima controleren of je met dezelfde groep te maken hebt. /s

Het is voor zo'n groep natuurlijk makkelijk zat om op te rollen en onder een andere naam verder te gaan. Of ze willen er sowieso mee stoppen, dan is het niet verkeerd om van twee walletjes te eten en de data alsnog te verkopen nadat je het losgeld hebt. Dat dit effect heeft op de algemene perceptie van hackers/ransomware betwijfel ik niet. Maar of dat genoeg is om iedereen niet te laten betalen en dit businessmodel te laten doodbloeden weet ik niet. Het blijft een vraag/aanbod markt, dus als de 'oplossing' van losgeld goedkoper is dan het alternatief zullen bedrijven wel blijven betalen.

friend @aequitas • 9 november 2021 11:14

Wanneer randsomware hierdoor een 'slechte' naam krijgt (in hoeverre dat nog meer kan), omdat na betaling vaak toch de data verkocht en gelekt wordt, dan hebben alle hackers daar last van, los van wie het zijn en elke naam ze gebruiken. En zo lijkt het er ook in de praktijk op dat over het algemeen ze zich wel aan hun woord houden, aangezien je wel regilmatig hoort dat er betaald wordt voor een attack, maar zelden of nooit dat er veel data gelekt wordt, anders dan de hacks waar alleen maar data geharvest wordt om direct door te verkopen (ander verdienmodel).

phamoen @friend • 9 november 2021 11:57

Betaal je om de data veilig te stellen of betaal je om je systemen te kunnen unencrypten (en weer geld te kunnen verdienen)? Zijn twee aparte zaken, maar beide aan de hand hier denk ik?
Voor mij persoonlijk krijg ik igg de neiging om heel veel accounts op te doeken en weer wat netter mijn persoonlijke administratie op orde te krijgen voor garantie gevallen... Hoewel ik niet weet of het erg is dat enkel mijn aankoopgeschiedenis van MM op straat zou komen te liggen...

friend @phamoen • 9 november 2021 13:55

Het gaat om het weer beschikbaar krijgen van de IT systemen (verwijderen encryptie) en voorkomen dat gevoelige data doorverkocht wordt of op straat komt te liggen. De data bevat naast klant- en personeelgevoelige informatie (naw, bankgegevens, creditcard, aankopen, etc.) ook bedrijfsgevoelige informatie, zoals vele soorten van contracten, winst-/verlies-/margeberekeningen, externe en interne emails, etc. Zeker ook niet iets wat ze aan de concurrentie willen laten weten.
Aangezien de informatie nu in handen is van een derde partij, waar MM geen controle over heeft, hadden ze al iedereen moeten informeren dat en welke data gestolen is en dat men alert moet zijn op fishing pogingen.

iew @phamoen • 15 november 2021 11:39

In ieder geval word dit het volgende waarmee vrijheden zullen worden afgepakt, het veiligstellen van de economie word het volgende in het rijtje van "terrorisme, criminaliteit, onze kinderen etc etc".
Ik vraag mij steeds meer en vaker af of internet wel zo'n goede uitvinding was/is...

NMe @aequitas • 9 november 2021 15:28

Ja want de hackers staan ingeschreven bij een hackerhandelsregister dus bij de volgende hack kan je prima controleren of je met dezelfde groep te maken hebt. /s

Even los van het feit dat het in het belang is van alle afpersers dat ze zich allemaal aan hun eigen regels houden is het natuurlijk ook simpelweg zo dat er niet echt financieel gewin te behalen valt bij het daadwerkelijk uitlekken van gegevens, of in elk geval niet meer dan ze zouden kunnen ophalen bij het daadwerkelijk afpersen.

crazyboy01 @aequitas • 9 november 2021 19:23

Ik geef je geen ongelijk hoor, dit soort personen zijn op geen manier te vertrouwen. Maar wanneer er, zoals in dit specifieke geval, openbaar zo'n lijst bijgehouden wordt denk ik wel dat ze iets geven om hun naam en een soort CV opbouwen met "dit is wat er gebeurt als je gewoon betaalt" en "dit als je niet betaalt". Dan zullen ze ook niet graag van naam wisselen en ook wel een reputatie hoog willen houden om die lijst aan te kunnen blijven vullen. Als ze zich nu bv niet aan hun woord houden, dan weet de volgende partij waarvan ze 50 miljoen eisen echt wel genoeg.

Al gaat dit natuurlijk niet op voor iedere groep. Ik heb ook niet het idee dat iedere groep evenveel om de reputatie van ransomware in het algemeen zal denken, bijvoorbeeld korte termijn clubjes.

HoppyF @nr12 • 9 november 2021 11:02

Inderdaad.
Beetje naïef om te denken dat criminelen zich aan hun afspraken zouden houden.

Atmosfeer @HoppyF • 9 november 2021 12:07

Tot nu toe gebeurd het wel.... Er zijn weinig gevallen bekend waarin hackers alsnog lekken nadat de 'klant' betaald heeft.

DoubleYouPee @Atmosfeer • 9 november 2021 14:59

Alsof het te achterhalen is als zo'n partij bijv. alle naw gegevens van MM's klanten doorverkoopt..

HakanX @DoubleYouPee • 9 november 2021 15:56

Je hebt maar één klant nodig die als email mediamarkt@eigendomein.nl heeft opgegeven om daar achter te komen. Ik zie vaak genoeg wie er weer eens data bewust of onbewust heeft gelekt.

Zwaai Haai @HakanX • 9 november 2021 16:36

zeker, ik denk dat we hier op Tweakers wel een aardige collectie aan @eigendomein.nl houders hebben. mediamarkt@eigendomein.nl is hier al in ieder geval bekend.

NBK @HakanX • 9 november 2021 18:01

Ik vind de reactie van medewerkers (IRL op telefonisch) altijd wel grappig als ze vragen naar het email adres waarop ze contact met je kunnen opnemen. Als je dan firmanaam@eigendomein.nl opgeeft verschijnen er bij 9 van de 10 vraagtekens rond hun hoofd. "Huh? klopt dit? hoezo?" (En de 10e interesseert het allemaal geen zak)

[Reactie gewijzigd door NBK op 22 juli 2024 20:39]

HakanX @NBK • 9 november 2021 22:34

Ja idd sommige mensen vinden het heel raar wat je met een email adres van hun bedrijf doet en soms zelfs verdacht 😂

IronAngel @NBK • 15 november 2021 13:13

Herkenbaar, zo ben ik op een gegeven moment gebeld door een vakantiewoning-verhuurder:
klopt het email-adres normaaldeel+vakantieverhuurder@gmail.com?
Ja hoor, daar ben ik gewoon op te bereiken

Tmaster @HakanX • 9 november 2021 23:19

Ik heb idd een email account aangemaakt met mijn domeinnaam erachter. Zal de komende tijd eens checken wat daarmee gebeurd

Kriebelkous @Atmosfeer • 9 november 2021 15:34

Nadeel is wel dat zodra criminelen weten dat je betaald ze er vanuit gaan dat je dat bij herhaling ook zal doen. De 2e aanval is dan aannemelijker.

Osxy @Kriebelkous • 9 november 2021 16:51

Na een dergelijke hack zal je als organisatie een complete analyze moeten doen van alle IT en bij twijfel zaken preventief opnieuw opbouwen. Men gaat echt niet na betalen gewoon doordraaien, kans is groot dat het hele IT systeem opnieuw word opgebouwd.

De schadepost houd niet op bij het losgeld, sterker nog de overige kosten zullen waarschijnlijk hoger zijn (inclusief de directe schade van het plat liggen van de IT systemen)

Kriebelkous @Osxy • 10 november 2021 00:00

Dat lijkt me ook. Maar dan nog heb je aangegeven dat je een doelwit bent die loont en moet je dus harder aan de bak om herhaling te voorkomen. Nu weten we allemaal dat elk it systeem zo sterk is als de zwakste schakel (vaak de mens zelf) en herhaling niet is uit te sluiten. De crimineel weet dat de extra effort die gedaan moet worden een grote kans heeft om winstgevend te zijn. Als je eenmaal betaald ben je daarna gewoon een groter doelwit. Ook voor andere groepen criminelen die er lucht van krijgen.

Edwin @Atmosfeer • 9 november 2021 13:58

Ik zou graag "nog" toevoegen aan je zinnen.

Het zou tactisch gezien best slim kunnen zijn om enkele jaren aan archief op te bouwen en ze dan in een keer allemaal nog eens aan te pakken met de data uit je archief.
Soort extra pensioen potje.

robbinwehl @HoppyF • 10 november 2021 09:35

Op me vorige werk ging het mis bij een klant, die klant heeft toen betaald (ik geloof toen nog 2 btc ter waarde van max 1000 euro) .. we kregen toen de unlock keys.
toen bleek dat alles dubbel geencrypt was, kregen we netjes de 2e unlock key.
bedrijf gered, criminelen wat geld erbij..
Daarna is de boel op orde gemaakt en is het niet meer gebeurd.

het kan dus goed gaan....

HoppyF @robbinwehl • 10 november 2021 10:26

Het kan maar garanties zijn er niet.
Daarbij blijft het verdienmodel doorgaan als iedereen maar blijft betalen.
Gewoon niet doen en zorgen dat je ICT zaakjes op orde zijn.
Dat kost ook geld maar veel minder dan bij ransomware.
Daarbij loop je ook geen imagoschade op zoals nu ook bij MM het geval is.

geitemans @nr12 • 9 november 2021 10:29

Dan zal de volgende keer sowieso niemand meer aan ze betalen natuurlijk....

Dennisdn @nr12 • 9 november 2021 12:08

Dat zou hun businessmodel direct om zeep helpen en betaald niemand meer.....

Darknight @nr12 • 9 november 2021 18:39

Dat kan maar dat zullen ze niet doen, omdat de volgende slachtoffers dan niet zullen betalen aangezien data toch gelekt wordt.

Twanne @nr12 • 10 november 2021 15:03

Dat ligt bij dit soort organisaties nogal lastig.
Als je dat doet, dan betaald de volgende gewoon niet meer.

De ironie bij deze soort van criminaliteit is dat je best een 'betrouwbare' crimineel moet zijn om je verdienmodel staande te houden.

Steyn_E @ultimasnake • 9 november 2021 10:16

Met die 50 miljoen gaan ze gewoon nieuwe slachtoffers zoeken. In stand houden is echt een groot probleem. Niet betalen en gewoon laten uitlekken is op de lange termijn de betere strategie als samenleving.

funkeey @Steyn_E • 9 november 2021 10:32

Vind ik echt een slecht plan, het zijn immers 'mijn' gegevens toch? MediaMarkt moet ik dit geval zorgdragen voor mijn gegevens. Initieel zullen ze moeten zorgen dat ze geen slachtoffer worden van een hack.

xzaz @funkeey • 9 november 2021 11:43

Ik denk dat je er vanuit gaat dat de gegevens niet gelekt zijn ALS er betaalt wordt. Dat is incorrect; de gegevens zijn al gelekt.

Steyn_E @funkeey • 9 november 2021 11:12

Dat mag zo zijn; wetgeving is dan nodig om de samenleving te beschermen tegen de belangen van het individu in. Ik zit zelf namelijk vast ook in die data, maar het wordt nog veel vervelender als men een compleet profiel op kan gaan bouwen met de data van meerdere inbraken. Dat voorkomen gaat alleen door de hackers de wind uit de zeilen te nemen.

HuisRocker @Steyn_E • 9 november 2021 11:58

Dat mag zo zijn; wetgeving is dan nodig om...

Je slaat, net als onze wetgevers, in je redenatie over wetgeving de (in mijn ogen) belangrijkste stap over, namelijk; de handhaving van bestaande wetgeving.

De voornaamste reden dat onze gegevens zo makkelijk 'in handen van hackers en/of op straat komen te liggen' is; omdat de meeste bedrijven en instanties de veiligheid van onze gegevens niet echt serieus nemen en vaker niet dan wel aan bestaande wetgeving voldoen.

Nieuwe wetgeving maken is al vele jaren vooral 'voor de buhne' (Kijk maar stemvee kiezers, we doen er echt iets aan hoor!). In de belangrijkste punten van wetgeving, de uitvoerbaarheid en handhaafbaarheid, is blijkbaar niemand geïnteresseerd...

Frame164 @Steyn_E • 9 november 2021 19:45

Er is al voldoende wetgeving. Als je extra wetgeving gaat maken wordt die zo specifiek dat als je het maar iets anders doet de wetgeving al niet meer relevant is.

Steyn_E @Frame164 • 9 november 2021 21:01

Welke wetgeving verbiedt bedrijven te betalen bij een ransomeware aanval? Dat is het soort wetgeving dat ik bedoel in ieder geval.

S.Robin @funkeey • 9 november 2021 10:50

Als bedrijf is het niet houdbaar langere tijd niet te draaien en als klant wil je niet dat je data uitgelekt wordt. Ik denk dat de keuze voor MediaMarkt snel gemaakt is, zelfs als ze teveel data bewaren.

noway @funkeey • 9 november 2021 14:16

Je bent wel heel Naïef als je denkt dat jouw gegevens veilig zijn bij zulke winkels.
Betalen is toegeven en te boek gaan als de lul voor de volgende keer.
Criminelen spelen de gegevens door aan elkaar zodat zij weer een poot uit kunnen draaien.

NLAnaconda @Steyn_E • 9 november 2021 11:06

Ik denk dat iedereen het er mee eens is dat niet betalen een betere strategie is. Echter draait het allemaal om geld. Elke dag dat Mediamarkt stil ligt kost het ze 57 miljoen aan omzet. 50 miljoen losgeld is een flinke aderlating (ze hebben een winst van 240 miljoen). Maar met een beetje onderhandelingen kunnen ze voor 30 miljoen overmorgen weer up and running zijn. En hoewel niemand dat wil is dat toch de meest interessante oplossing. Deze scam is even sadistisch als briljant in zijn opzet.

HuisRocker @NLAnaconda • 9 november 2021 16:54

Ik denk dat iedereen het er mee eens is dat niet betalen een betere strategie is.

Ga alsjeblieft niet 'voor iedereen denken', het is je persoonlijke mening, hou het daar dan ook gewoon bij...

MediaMarkt heeft simpelweg gefaald om deze data binnenboord te houden, daar zit het werkelijke probleem, de rest volgt uit dat feit. De kosten die ze nu moeten maken (hoe dan ook) zijn vele malen hoger dan 'het in eerste instantie al goed doen'.

MediaMarkt's kosten voor dit 'geintje' zal mij overigens volledig worst zijn. Ze komen, net als vele anderen, hun verplichtingen niet na in een poging tot nog meer korte termijn winstmaximalisatie ten koste van de data van hun klanten, en daar zit het echte pijnpunt wat mij betreft.
Ook is er geen enkele garantie dat er echt 'lessen uit geleerd worden', zo is al meermaals gebleken bij andere bedrijven en instanties...

Steyn_E @HuisRocker • 10 november 2021 13:34

Dan nog is niet betalen de beste oplossing. De data is al gelekt. Of dat in een openbare leak zit of niet maakt daarvoor niks uit. Je moet het als openbaar beschouwen vanaf nu (en daar naar handelen; wachtwoorden op andere plaatsen aanpassen e.d.).
En een boete voor het datalek zullen ze toch al krijgen; dus dat lijkt me ook geen reden om te betalen.

Hakker @NLAnaconda • 9 november 2021 17:50

Dus jij vind het ok dat Mediamerkt naast dat hun beveiliging een rommeltje is ook nog eens dit soort acties in stand houdt?
Sorry maar de data ligt al op straat of ze nu betalen of niet. Laat die tent maar bloeden want het is verre van de eerste keer dat ze in de problemen zijn gekomen. Ik kom er zelf al jaren niet meer hierdoor. Het heeft in het verleden al laten zien dat de klant bij hun echt niet op de eerste plaats staat en als de keten daardoor over de kop gaat lig ik er niet wakker van. Meer plaats voor zaken die hun zaakjes beter op orde hebben.

icceni @Steyn_E • 9 november 2021 11:04

Precies, net als bij vliegtuigkapingen. Nu komt dat amper meer voor, maar daarbij was ook de regel dat er niet ingegaan werd op de eisen van kapers, om te voorkomen dat het lonend werd.
Dat zouden ze hier ook moeten doen.

Tristan @icceni • 9 november 2021 12:12

Met als verschil dat die vliegtuigkapers over het algemeen niet overgingen tot "Nouja, dan vliegen we de hele boel maar te pletter als er niet voldaan wordt aan onze eisen". Dus die passagiers werden uiteindelijk niet echt getroffen.

In dit geval is het "Nouja, dan goeien we al je data gewoon lekker op het darkweb als er niet voldaan wordt aan onze eisen." Hier zijn wij weer de passagiers en worden wij wel getroffen. En hard!

Blokker_1999

Ransomware
Networking en security

@icceni • 9 november 2021 12:55

Je wil niet weten hoeveel kapingen er succesvol zijn geweest vanuit het oogpunt van de kapers volgens mij. Dat zijn er meer dan jij nu doet overkomen. Waarom denk je dat er in de jaren 60 en 70 zoveel kapingen zijn gebeurd die uiteindelijk het begin van beveiliging op de luchthaven hebben ingezet.

Wim Cossement @icceni • 9 november 2021 13:04

Zijn er nog geen hacks, datalekken of versleutelingen bij grote luchthavens, vliegtuigmaatschappijen en dergelijke geweest? Want als daar de IT niet goed werkt lijkt vliegen haast onmogelijk?

CAPSLOCK2000

Networking en security
Ransomware

@Steyn_E • 9 november 2021 11:34

Met die 50 miljoen gaan ze gewoon nieuwe slachtoffers zoeken. In stand houden is echt een groot probleem. Niet betalen en gewoon laten uitlekken is op de lange termijn de betere strategie als samenleving.

Wel voor de samenleving maar niet voor MediaMarkt. Zo werkt het altijd bij chantage of losgeld. MediaMarkt voelt zich niet verantwoordelijk voor de samenleving en zal dus in het eigen belang handelen. Meestal betekent dat betalen. Niet betalen wordt eigenlijk alleen gedaan door organisaties met een "missie" die de samenleving voorop stelt. Overheden, scholen, ziekenhuizen. En zelfs daar kiest men meestal toch maar voor betalen omdat de gevolgen anders te heftig zijn.
MediaMarkt gaat dat ook niet alleen veranderd krijgen. Dat moeten we als samenleving doen. Dat we het niet doen is vooral een kwestie van geld, niemand wil er voor betalen want het is eorm duur.
Maar MM mag wel een aandeel leveren, ze zijn ook deel van de samenleving. Ik hoop dat MM niet alleen 50M losgeld betaalt maar ook 50M extra investeert in de eigen infrastructuur om herhaling te voorkomen.

pepsiblik @CAPSLOCK2000 • 9 november 2021 14:24

Overheden betalen ook. Kijk maar naar de Universiteit Maastricht vorig jaar.

Het zou zomaar kunnen dat de beste investering om dit te voorkomen het elimineren van de menselijke factor is. Heel veel van dit soort aanvallen beginnen bij een menselijke fout of onachtzaamheid. Daar is geen technologie tegen opgewassen.

[Reactie gewijzigd door pepsiblik op 22 juli 2024 20:39]

AntiSpam @ultimasnake • 9 november 2021 10:01

"maar deze organisatie lekt ook gegevens uit als er niet betaald wordt."

De boete zal geen tientallen miljoenen zijn. Het is gewoon een financiële afweging.

Onderhandelen en ondertussen je IT + externe security specialisten assessment laten doen en zien hoeveel er zonder afperser te betalen gered kan worden.

Als het voordeliger is om naar bijna 100% operationele situatie te komen en deur te sluiten waardoor ze zijn binnen gekomen zonder afpersers te betalen, zullen ze dat doen en nemen ze boete voor lief, ondertussen houden ze afpersers bezig (tijd rekken) met "onderhandelingen".

Mocht men ECHT niet anders kunnen dan men altijd nog betalen.

Scriptkid @AntiSpam • 9 november 2021 10:33

De brutowinst van media markt bedraagt 236 miljoen euro,

Als men een GDPR boete krijgt kan dat oplopen tot 20% = 47 Miljoen.

[Reactie gewijzigd door Scriptkid op 22 juli 2024 20:39]

AntiSpam @Scriptkid • 9 november 2021 10:37

Kijk niet naar theoretische mogelijkheden, maar naar verleden.

Sorteer op FINE (boete hoogte) en trek je eigen conclusies.
https://www.enforcementtracker.com/

Scriptkid @AntiSpam • 9 november 2021 10:42

Amazone 746 miljoen
Whatsapp 225 mil
Google 50mil
H&M 35 mil

op de door jouw aangegeven site

Scriptkid @AntiSpam • 9 november 2021 13:41

Er is idd een groot verschil tussen geven en mogen geven , en ja vaak is de boete lager,

Maar als nu bkijkt dat ze al jaren de regels aan hun laars lappen en ze krijgen wel een boete leg jij het dan uit aan management met als reden, ja maar normaal is de boete lager.

je kunt niet uitgaan van wat er mogelijk niet gebeurd, je hebt nu een escalatie scenario waar je met de worse case begint en dan naar beneden gaat relativeren.

AntiSpam @Scriptkid • 9 november 2021 14:36

Wie denk je dat er verantwoordelijk is voor het incident?

Management / Directie....

Uitsluiten is eerste fout die mensen maken.

Scriptkid @AntiSpam • 9 november 2021 16:46

maakt niet uit escalatie team zal toch uit moeten leggen waar de extra 40mil boete vandaan komt

J_van_Ekris @Scriptkid • 9 november 2021 13:32

De brutowinst van media markt bedraagt 236 miljoen euro,

Als men een GDPR boete krijgt kan dat oplopen tot 20% = 47 Miljoen.

Dat is maximale boete, maar als ze gewoon wel netjes overal de regels volgen beboet de AP niet. Vergelijk het met een verkeersboete: je aan de verkeersregels houden moet en voorkomt een hoop boetes en ongelukken, maar het kan ongelukken niet 100% uitsluiten. De AP beboet niet standaard bij en lek, alleen als je aantoonbaar de regels niet gevolgd hebt.

En dit soort retail draait zo'n 25% van haar omzet in de maand November/December. Dat is serieus meer geld dan de 50 miljoen.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 20:39]

Scriptkid @J_van_Ekris • 9 november 2021 13:36

Maar daar gaat het toch ook om,

De poster maakt als statement dat zij al jaren de regels niet volgen en dat dit als Hive de data op straat gooi als bewijs last naar boven komt.

J_van_Ekris @Scriptkid • 9 november 2021 13:42

De poster maakt als statement dat zij al jaren de regels niet volgen en dat dit als Hive de data op straat gooi als bewijs last naar boven komt.

Ik vindt dat altijd een hele lastige uitspraak dat iemand vindt dat iemand anders de wetgeving niet volgt, zonder dat die eerste persoon aantoonbaar kennis van interne zaken heeft. Van buitenaf kun je dat maar zeer moeilijk beoordelen, pas als de AP inhoudelijk onderzoek heeft uitgevoerd weet je enigzins zeker, en pas als de rechter een uitspraak doet weet je het echt zeker.

Scriptkid @J_van_Ekris • 9 november 2021 13:56

dat maakt voor het topic hier niet uit , hij geeft aan dat als dit zo ze dat mee nemen in de overweging en iemand anders denk dat d eboetes laag zijn,

ik geeft alleen aan dat in dat scenario volgens de gdpr die boetes to 20% kunnen zijn wat gelijk is aan het bedrag dat de hive group vraagt.

het hele topic is hypotetische en gebaseerd op wat als.

TheekAzzaBreek @ultimasnake • 9 november 2021 11:22

Een hoop mensen lijken hier vooral te mikken op het feit dat betalen echt 'stom' is, maar deze organisatie lekt ook gegevens uit als er niet betaald wordt.

Over welke organisatie heb je het? Hive of Mediamarkt?

amarissimo @ultimasnake • 9 november 2021 11:36

Het zou wettelijk verboden moeten worden. Betalen zou moeten worden gezien als meewerken aan een illegale transactie.

MrFax @ultimasnake • 9 november 2021 11:39

Gegevens in handen van criminelen moet je als gelekt beschouwen. Je kan er niet op vertrouwen dat criminelen deze niet zullen delen met anderen, in het publiek of juist geheim houden.

Nee, als de mogelijkheid er is dat persoonsgegevens gelekt zijn dan moet dit gemeld worden bij de AP.

xoniq @ultimasnake • 9 november 2021 11:20

Ik ga er voor 99% vanuit dat de Mediamarkt zijn zaken niet op orde heeft

Maak daar maar 100% van. Qua beveiliging en patches was de boel helemaal niet up to date, net teveel bezuinigd op IT. Beetje eigen schuld dit alles.

Zodra je geld pompt in IT, weet nooit of je anders wel gehacked was, en zie je dus de profit er niet in. Pas zodra je gehacked bent, en dus te laat bent, weet je pas of die investering het waard was. Daar gaat het meestal mis.

Wim Cossement @xoniq • 9 november 2021 13:06

Een beetje zoals een backup niet nodig hebben want er is nog nooit een volledige set schijven gecrashed of zo? Dus daar doen we niet aan mee, het kost zo al geld genoeg.
En mijn RAID set/SAN bied me al bescherming... /s

Scriptkid @Wim Cossement • 9 november 2021 13:57

en toch draait exchange al 9 jaar zonder backup en zonder dataloss in de cloud met 170.000+ servers

Wim Cossement @Scriptkid • 16 november 2021 15:49

Yup, alles dat in de cloud draait heeft niks van redundantie en daar wordt ook nooit een back-up van genomen want dat kost veel te veel geld... /s

Scriptkid @Wim Cossement • 16 november 2021 17:53

andere wereld,

de backup zit hem juist in de redundancy van een allways on model

Wim Cossement @Scriptkid • 17 november 2021 15:04

Always on? Dus de rest is not always on, leggen die hun servers af in het weekend misschien?

En ik denk dat Microsoft of gelijk welk ander bedrijf dat enkele tienduizenden servers en bijhorende storage op meerdere locaties heeft wel wat reservecapaciteit en hot spares staan heeft.
Bij KBC zat quasi alle storage van de zowat 5000 servers op het SAN (ik spreek over meer dan 10 jaar geleden), al had je hier en daar nog een fysieke server met een set bootschijven want booten over SAN ging niet altijd even vlotjes. Maar je zou er dus geen backup nemen met dat alles toch op SAN staat en gans de SAN live gerepiceerd werd van datacenter A naar B en vice versa... Kvraag mij dan af wat die gigantisch taperobot met een paar duizend DLT's dan altijd voor lawaai stond te maken.

Scriptkid @Wim Cossement • 17 november 2021 22:52

Meschien even verdiepen in always on techniek en de Exchange PLA,

Azure kent wel degelijk backup , we noemen het niet voor niks Azure Backup.
https://azure.microsoft.c...71f85197aefe05d426886568e

Alleen voor allways on technieken is een backup overrated en niet nodig, effectief wat is een backup , gewoon een extra versie van de data op een andere kopie die terug in de tijd kan,

Laat dat nu net zijn wat exchange native doet met NDP ( Je draait met 6 kopieen van de data die 14 dagen terug de tijd in kunnen), en SAN daar hebben we nog nooit aan gedaan in de exchange wereld omdat de eindoplossing 5-10 keer zo duur is en dan half zo redundant en double zo veel failre domains. als wanneer je met jbod direct op de server draait.

https://docs.microsoft.co...ackups%20of%20your%20data.

We supporten het wel maar bevelen het niet aan en doen dat ook niet in O365. exhange servers zijn geoptimaliseert om zo te draaien als wij dat doen in O365 waaruit de PLA ook is voorgeschreven. Daarnaast is het juridische een probleem icm retention policies om een backup te hebben, echter als de deletion policy in place is moet je die data dus ook uit je backup gaan deleten dat is niet te doen @scale met miljarden mailboxen en tapejes.

Wim Cossement @Scriptkid • 18 november 2021 15:02

Ik heb ook nooit beweerd dat je met Azure geen backup kan maken van al je zaken, van een cloud provider mag je wel verwachten dat ze de mogelijkheid bieden om verschillende deftige back-up formules aan te bieden.

En je principe van NDP is ook gewoon danig veel kopieen maken van je data zodat je geen backup meer van doen hebt omdat ze nooit allemaal tegelijk vanzelf kapot kunnen gaan, tenzij ze in hetzelfde datacenter staan maar daar zal dan ook rekening mee gehouden worden omdat je geen SPOF wil.
Wat er dan het meest praktisch en/of goedkoop voor de klant is zal ondertussen ook wel gekend zijn, als jij zegt dat je dan met genoeg JBOD's al je plan kan trekken.

Als ik iets opzoek over always on technology of zo krijg ik gewoon wat resultaten over wat ik dacht dat het is, namelijk 24/7 beschikbare system allerhande. Heb jij links die duidelijker het concept dat jij bedoelt uitleggen want met mijn info ben ik niets, of is het gewoon backup overbodig maken door meerdere keren je data te hebben, dat je dan wel nog constant in sync moet houden op een of andere manier?

Dat soft delete principe is ook gewoon de prullenbak van je OS nadoen maar dan met tijd in plaats van schijfruimte?

Frame164 @xoniq • 9 november 2021 19:47

Dat komt omdat alle experts op dit gebied de hele dag commentaar geven op Tweakers i.p.v. dat ze bij dit soort bedrijven de IT up to date brengen en houden. Toch gek dat alle experts zoveel tijd hebben dat ze 's ochtends tijdens werktijd commentaar kunnen geven.

Wim Cossement @Frame164 • 16 november 2021 15:54

Mocht je zelf al eens in de IT gewerkt hebben als technieker of ergens onderaan dan zou je al weten dat het niet veel uitmaakt wat je tegen de klant of je baas zegt over hoe het er idealiter uit moet zien.

Want de klant wil het zo goedkoop mogelijk en heeft meestal geen idee of interesse waarover het gaat en je baas is zo' type dat een goed en veilig system erdoor duwen bij de kant ook liever niet doet want dat kost in eerste instantie nogal veel aan hard en software waar weinig aan te verdienen valt en het is veel lucratiever om om de zoveel maand een paar dagen aan werkuren voor een klant te kunnen inboeken dan iets te installeren waar je quasi geen werk meer aan hebt. En je wil jezelf als bedrijf niet overbodig maken.

[Reactie gewijzigd door Wim Cossement op 22 juli 2024 20:39]

Scriptkid @Wim Cossement • 17 november 2021 22:57

Dit klinkt als klink klare oplichting van je klanten en schaad je baas zijn bedrijf en trust. Als het toch zo is moet je toch echt eens gaan praten met ze want dit kost ze de kop op de lange termijn als alle klanten weglopen door dit gedrag. Daarnaast schaad het ook jouw reputatie en trust als je hier aan mee doet.

Wim Cossement @Scriptkid • 18 november 2021 15:09

Eh, ik heb dat een paar keer geprobeerd maar heb het daar redelijk rap voor bekeken gehouden.
Gelukkig waren er nog 2 collega's die altijd alle brandjes blusten maar ik had soms medelijden met die gasten en de klanten want 2 keer in 2 weken bij hetzelfde visbedrijfje meer dan een dag data verliezen omdat er opnieuw een cryptolocker was binnengeraakt.

Tot dan blijkt dat de klant wil dat RDP constant open staat op de standaard poort, ze niet extra willen betalen voor iets van extra beveiliging of 2FA en er op staan dat de gebruikersnaam a is en het wachtwoord 1, want langer is te veel tikwerk en de machine mag zeker niet na 3 minuten zichzelf vergrendelen want das weer extra tikwerk... En in 2017 nog steeds op SBS 2003 draaien.

Sommige mensen zouden gewoon moeten wegblijven van computers en dergelijke!

[Reactie gewijzigd door Wim Cossement op 22 juli 2024 20:39]

Tintel @ultimasnake • 9 november 2021 12:12

Dan zeg je dus: als ze betalen hebben dus blijkbaar de boel niet in orde... mooie boel dan.

Maar betalen geeft geen garantie dat het goed komt / de data niet alsnog 'op straat komt' en erger: het blijft lucratief om te doen.

"We don't negotiate with terrorists" klinkt altijd heel hard maar blijft toch de enige oplossing.

iAR @ultimasnake • 9 november 2021 12:18

In algemene termen is iedereen het er over eens dat je hen nooit moet betalen. Maar als het jezelf overkomt ga je kiezen wat goedkoper is. Betalen en je data terug.

phoenix2149 @ultimasnake • 9 november 2021 15:30

Een hoop mensen lijken hier vooral te mikken op het feit dat betalen echt 'stom' is, maar deze organisatie lekt ook gegevens uit als er niet betaald wordt.

Ik ga er voor 99% vanuit dat de Mediamarkt zijn zaken niet op orde heeft en ook 99% zeker te veel data heeft bewaard die niet in bezit had moeten zijn bij de Mediamarkt (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) en zie dus ondanks dat je beter de boel niet in stand kan houden toch echt dat dergelijke gegevens niet op straat komen te liggen na een lek van dit formaat.

Het blijft een groot probleem helaas.

Betalen is prima, Maak er dan gelijk het dubbele van zodat alle slachtoffers van de gelekte data ook geconpenseerd worden.

Want mijn gegevens liggen op straat, of er nu wel of niet betaald wordt ze zijn al buit gemaakt. Komt er weer een golf flut berichten en spam mijn mailbox in.

frankhan @ultimasnake • 9 november 2021 16:21

Aannames zijn dodelijk. Ik weet dat Media Markt (van heel dicht bij mee bezig geweest) de AVG tot op de letter volgt. Geen idee waarom je deze aannamen doet maar die is zeker niet op feiten gebaseerd.

On-topic. Je kan dit niet voorkomen helaas.

ultimasnake @frankhan • 10 november 2021 17:06

Het is inderdaad een aanname, maar tot heden is zelden gebleken dat bedrijven van dit formaat die onderdeel waren van een lek hun zaakjes ook op orde hadden.

Zo heb ik ooit mijn ID moeten laten scannen voor een toestel verzekering, en mijn aanname is dus dat die scan nog steeds ergens bij hen rond zwerft.

Ik zeg niet dat er un-encrypted wachtwoorden staan, maar de AVG bepaald ook 'zo lang nodig wordt geacht' en zolang mijn verzekering of garantie loopt is het aannemelijk dat ze de data vasthouden en dus nu gelekt is waarbij de vraag gesteld mag worden, wat hebben ze wat eigenlijk niet nodig was.

Gevaarlijke aannames maar in dit soort gevallen kan je beter van het ergste uit gaan toch?

BobJung

@ultimasnake • 9 november 2021 18:40

Meteen maar even mijn paswoord verandert, maakt niks uit voor de lek, maar toch.

Anoniem: 221563 @ultimasnake • 9 november 2021 19:39

Het blijft een groot probleem omdat mensen betalen. Je moet die cirkel nu eenmaal doorbreken om het te doen stoppen.

Helaas zal die cirkel echter nooit doorbroken worden, want betalen zal in teveel gevallen gewoon de goedkoopste optie zijn.

djwice

@ultimasnake • 9 november 2021 23:06

Ik ga er .. vanuit dat de Mediamarkt zijn zaken niet op orde heeft en .. te veel data heeft .. die niet in (hun) bezit had moeten zijn .. (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) ...

Wat denk je van nieuws: MediaMarkt stopt met afnemen vingerafdrukken van werknemers na kritie...

dutchnltweaker 9 november 2021 08:24

Is er dan werkelijk echt niks tegen te doen? Ten eerste hoe is het ze gelukt, heeft iemand stom genoeg een file geopend? Is het een aanval op het netwerk van mediamarkt?
Is er dan helemaal niks tegen te doen om er tegen te wapenen?

Laatst een documentaire gezien op de npo over deze kwesties, er werd eigenlijk gezegd dat het alleen maar erger gaat worden in de toekomst. Wat ik me afvraag, waarom? Wat is er in 15 jaar verandert? Het internet commercieel is al actief sinds de jaren 90, maar zulke dingen werden er toen niet gedaan. Ik iedergeval niet on zo een schaal. Misschien is het een idee op bepaalde infrastructuur te gaan splitsen, zodat de belangrijke infrastructuur niet met elkaar in contact komt.

[Reactie gewijzigd door dutchnltweaker op 22 juli 2024 20:39]

blk @dutchnltweaker • 9 november 2021 08:51

Realistisch gezien? Ik denk dat er helaas steeds meer bedrijven slachtoffer zullen worden en daar vrij weinig aan kunnen doen.

Om te beginnen worden bedrijven gericht uitgekozen door hackersgroepen. Op het moment dat deze groepen, die enorm veel kennis in huis hebben, een gerichte phish (of andere aanval gaan uitvoeren) dan zal er in een bedrijf met duizenden werknemers altijd wel iemand zijn die net even niet goed oplet.

Vanaf dat moment is het een kwestie van monitoring, goede netwerk segmentatie en cold storage backups. Professionele groepen kunnen zich vaak goed onder de radar houden en maanden binnen zijn terwijl ze hooguit minimale monitoring triggeren. Vervolgens is het op zoek gaan naar slordigheidjes en configuratiefouten om hogere rechten te verkrijgen. Zoals gezegd: waar mensen werken worden fouten gemaakt, dus je vind altijd wel ergens een wachtwoordje van een hoger account op een server.

Tot slot is het doel om zo veel mogelijk te versleutelen, waarbij specifiek naar backup systemen gekeken wordt.

Is er wat aan te doen? Je kunt het hackers zo moeilijk mogelijk maken met de meest simpele basisregels (goede wachtwoorden, awareness over phishing, netwerk segmentatie, goede AV/monitoring, cold storage backups), maar in een bedrijf met duizenden werknemers gaat een professionele hackersgroep hoe dan ook binnenkomen.

Wordt het alleen maar erger? Als een hackersgroep tientallen miljoenen binnenharkt kan je er van op aan dat ze een deel van dat geld in ontwikkeling steken en zich niet zo geroepen voelen om te stoppen. Ik denk daarmee dat de grote hacks steeds vaker voor zullen komen.
Daarnaast denk ik ook dat 'lone wolf' acties gebruikelijker gaan worden. De bakker om de hoek moet ook steeds digitaler worden. Ik vermoed dat we binnenkort ook acties zullen krijgen door kleinere groepjes die kleine/MKB bedrijven aan zullen vallen voor een paar duizend euro losgeld.

Edit: belangrijk te benoemen dat dit slechts één mogelijk scenario is. Voor hetzelfde geld heeft de betreffende hackersgroep met de eerder verdiende miljoenen een paar leuke zerodays gekocht en zijn ze op die manier binnengekomen. Er zijn tal van mogelijkheden, maar mijn punt is voornamelijk dat zelfs met alle dure producten en awareness sessies je nooit volledig waterdicht zal zijn.

[Reactie gewijzigd door blk op 22 juli 2024 20:39]

Joppiez @blk • 9 november 2021 10:20

Het simpelste wat men kan doen is niet betalen. Het is doorbijten, een flinke zure appel, maar ik kan je garanderen dat als het normaal (of normaler) wordt om dit soort bedragen te betalen aan criminelen het hek echt van de dam is.

bamboe @Joppiez • 9 november 2021 10:51

Zo denk jij, het andere beeld is...
Zijn de backups wel goed genoeg om alles weer terug te zetten en weer operationeel te worden, zo ja hoelang duurd het dan voordat we weer alles draaiend hebben.
Hoeveel verlies maken we tot we weer volledig operationeel zijn. Welke data is gevoellig als deze door de hackers openbaar gemaakt word en krijgen we hier nog boetes door andere instanties voor.
Een commercieel bedrijf wil winst maken, als het losgeld lager is dan de andere kosten om weer operationeel te worden dan zal hier gewoon voor gekozen worden.

Joppiez @bamboe • 9 november 2021 10:59

Puur kortetermijn denken, puur voor eigen gewin handelen en de maatschappelijke verantwoordelijkheid opzij zetten. Inderdaad zoals de meeste organisaties opereren. Natuurlijk is het allemaal handiger op korte termijn maar te betalen, vooral bij grote organisaties. Maar op de lange termijn is het geen oplossing, want je houdt criminelen een hele vette vorst voor. Er liggen miljoenen hier voor je klaar, kom je het halen?

Tintel @Joppiez • 9 november 2021 12:15

En idd - net als alles weer rond is - maandje later: hoppa weer een ransomware-attack.

Het is chantage - dat los je nooit op door te betalen.... alsof de andere partij die dus op geld belust is dat opeens niet meer is....?

mjtdevries @Tintel • 9 november 2021 14:19

Bij vliegtuigkapingen heeft het wel geholpen.

Veel mensen op tweakers zijn te jong om zich te dat herinneren. En niet ingeven aan de eisen is daar nog veel moeilijker. Maar het heeft wel gewerkt. (naast extra veiligheids maatregelen)

Op ander gebied zie je hetzelfde effect bij gijzelingen. In bepaalde landen gebeurd het nogal veel dat ze buitenlanders gijzelen en losgeld vragen. Maar ze doen dat niet bij buitenlanders uit landen die nooit betalen en wel meteen special forces inzetten.

icceni @bamboe • 9 november 2021 11:07

In dat geval zou je het betalen van losgeld ook strafbaar kunnen stellen.

Tintel @bamboe • 9 november 2021 12:20

Precies wat jij beschrijft is ook de reden dat veel bedrijven in de ellende komen. Het is altijd een kostenpost om de backups beter in te richten.

De kosten om weer operationeel te worden [door de te betalen] is altijd gunstig omdat niet bekend is hoeveel kosten gemaakt moeten worden om op een andere manier operationeel te worden en wat idd de mogelijke boetes / gevolgkosten zijn.

Maar ja, geen garanties dat alles ook echt goedkomt en zeker geen garantie dat het niet weer gebeurd. Daar staan ook kosten tegenover. Een bedrijf dat langer wil bestaan dan zou toch verder moeten kijken dan alleen de volgende dag....

frankhan @Tintel • 9 november 2021 16:24

Het is niet altijd de back-up die het probleem is. Soms is het zaadje al maanden geleden geplant en kan je domweg niet op de back-up vertrouwen.

Tintel @frankhan • 9 november 2021 16:46

kan je domweg niet op de back-up vertrouwen.

Dat weet ik (helaas proefondervindelijk

) maar dat bedoelde ik niet. Was meer een voorbeeld dat calamiteiten beleid altijd gezien wordt als low-prio.
Dus ook de security is vooral onhandig - tot het een keer misgaat - dan is het top-prio.

Hertog_JB @Tintel • 9 november 2021 18:16

Beste Tintel,

Zou je dat eens willen toelichten?
Mits je dat wilt en kan uiteraard.

Tintel @Hertog_JB • 12 november 2021 14:36

Tja - bedrijf dat ik 'ken' had wel backups maar waren dus al maanden corrupt/versleuteld.

thibaultvdb @Joppiez • 9 november 2021 10:54

Het hek is van de dam. In de states komt er een wet waarbij bedrijven verplicht worden een voorval te melden en te melden in welke cryptocurrency de ransom betaald wordt. Zelfs met die wet gaan we nog niet alles weten wat zich afspeeld. Het is namelijk flink gezichtsverlies voor je organisatie.

computerjunky @Joppiez • 9 november 2021 11:43

Tja, gaat alleen nooit gebeuren want dan is het zo simpel als einde bedrijf.
En als dat een optie is dan is het voor velen alsnog een hobbie om bedrijven om zeep te helpen omdat ze tegen bedrijf x zijn.

Hoe erg ook een financieel incentive is minder ziek dan dat andere scenario.

blk @Joppiez • 9 november 2021 12:23

Niet betalen betekent voor veel bedrijven faillisement. Soms omdat de hele boel niet decrypted kan worden, soms omdat ze de maanden erop gewoon opnieuw getarget worden.

Een bedrijf met een miljardenomzet gaat niet weigeren om 40 miljoen te betalen om het hele bedrijf om zee te helpen.

Blokker_1999

Ransomware
Networking en security

@Joppiez • 9 november 2021 12:58

En als dat betekend dat je bedrijf failliet gaat?

pepsiblik @blk • 9 november 2021 09:33

Ik vermoed dat we binnenkort ook acties zullen krijgen door kleinere groepjes die kleine/MKB bedrijven aan zullen vallen voor een paar duizend euro losgeld.

Ik kan je uit ervaring vertellen dat het al een tijdje gebeurt.

Martijn033 @pepsiblik • 9 november 2021 09:57

Precies. De impact op het MKB wordt helaas onderschat.

olafmol @Martijn033 • 9 november 2021 10:14

Daarom is dit ook de verantwoordelijkheid van onze overheid. Als er allerlei supermarkten met brandbommen worden aangevallen komt ze ook in actie omdat het disruptive is voor het vertrouwen van de burger in de stabiliteit en veiligheid van onze maatschappij, digitale aanvallen zijn imho niet anders. Alleen is IT bij onze overheid nog een "ver van je bed show" ding...helaas. Maar dat snel moeten veranderen.

[Reactie gewijzigd door olafmol op 22 juli 2024 20:39]

thibaultvdb @olafmol • 9 november 2021 10:21

Goeie mop, verantwoordelijkheid van onze overheid. De dino's bij de overheid vechten nog tegen encryptie

Het is onze eigen verantwoordelijkheid om een beetje IT kennis op te doen en onze eigen zaken goed te beveiligen / te backuppen. Je kan blijven naar vadertje staat roepen, zeker op dit vlak moet je echt geen nuttige hulp gaan verwachten.

olafmol @thibaultvdb • 9 november 2021 10:37

Ik zeg nergens dat je je eigen zaakjes niet op orde moet hebben. Net zoals dat je je sloten, verzekeringen, etc op orde moet hebben. Maar als er iemand een brandbom naar binnen smijt, komt toch echt de overheid wel in actie. Als je bakker op de hoek bent, hoeveel specialistische ICT kennis kan en moet je dan hebben om je operatie te draaien? De realiteit en de ideale wereld liggen natuurlijk nog ver uit elkaar, maar het is een feit dat de overheid hierin veel actiever moet worden om onrust weg te nemen.

Deze discussie speelt natuurlijk al lang: https://www.agconnect.nl/...vanwege-te-trage-overheid

thibaultvdb @olafmol • 9 november 2021 10:52

Ik ben altijd meer voorstander van een technische oplossing. Mensen moeten gewoon anders gaan denken over hun data en safety. Bouw een simpel IT systeem op in plaats van een systeem dat veel te bloated is met 100 attack vectors. Alles dat aan het internet komt kan morgen uitlekken of versleuteld en gegijzeld worden. Leuk als de politie de boefjes kan pakken, maar verspil aub mijn belastings geld niet aan een overheid die probeert dit probleem technisch op te lossen want dat kunnen ze simpelweg niet.

Wasabi! @thibaultvdb • 9 november 2021 12:24

Zou de overheid nog Windows XP draaien?
nieuws: Nederlandse overheid betaalt nog 1,7 miljoen euro voor Windows XP

Martijn033 @Wasabi! • 10 november 2021 11:13

Er is vast nog wel ergens een Windows XP machine bij de overheid. En Windows 7 ook trouwens.

Darth Malak @olafmol • 9 november 2021 14:49

Totaal mee oneens.. Is me een beetje te socialistisch gedacht. Het wordt tijd dat bedrijven zelf eens de verandtwoordelijkheid nemen en stoppen met beknibbelen op hun automatisering en infrastructuur. Je zou denken dat men inmiddels nu toch wel wakker zou zijn.. Het is volgens mij nooit goed om slecht ondernemer schap te belonen door het maar op de overheid af te schuiven. Daarmee wil ik niet zeggen dat er geen bedrijven worden getroffen die hun zaakjes wel goed op orde hebben.

Ze brengen niet alleen hun eigen bedrijfs voering in gevaar maar ook de privacy van klanten en werknemers e.d.

[Reactie gewijzigd door Darth Malak op 22 juli 2024 20:39]

olafmol @Darth Malak • 9 november 2021 14:59

En de bakker die z’n IT wel op orde heeft gaat na 2 jaar failliet. Omdat z’n kosten te hoog zijn en z’n brood te duur wordt. Voor niets gaat de zon op.

En ja, de bakkers die hun bedrijfsvoering door cybercriminelen getorpedeerd zien worden gaan ook misschien failliet.

Mijn punt: er wordt hier op tweakers vaak veel te gemakkelijk gedacht. “Moet je je IT maar op orde hebben” etc. Als het zo makkelijk was, was het ook geen probleem. Dit is gewoon zware criminaliteit dat je niet ff voorkomt met een “goede IT consultant” en “betere software en backups”. Vergeet dat maar. Als jij dat kan dan zou je hier niet zitten want dan verdiende je nu gouden bergen over de hele wereld.

[Reactie gewijzigd door olafmol op 22 juli 2024 20:39]

Darth Malak @olafmol • 9 november 2021 15:04

Ik vrees dat we niet aan bepaalde markt werking ontkomen.. Hoe sneu en jammer het ook is.. Ik haat het dat de grote supermarkt jongens alles reguleren tegenwoorig ten kostte van de eerlijke hardwerkende MKB'ers... Warme bakkers worden al steeds vaker meer fabrieks bakkers en de prijzen vind ik niet echt concurrerend meer. Maar goed.. Het blijft een soort van terrorisme dit soort aanvallen en buiten het feit dat ik vind dat de overheid niet zomaar alles moet oplossen, hebben ze wel een grote taak in voorlichting, ondersteuning e.d. vind ik.

Dooxed @blk • 9 november 2021 09:59

De bakker om de hoek moet ook steeds digitaler worden. Ik vermoed dat we binnenkort ook acties zullen krijgen door kleinere groepjes die kleine/MKB bedrijven aan zullen vallen voor een paar duizend euro losgeld.

Ik zie dit als een voorbeeld van een veel groter probleem.
Geen populaire mening natuurlijk op deze techsite maarr: je ziet de digitale wereld overgenomen worden door immorele groepen op allerlei gebieden (Google: verzamelen, maken en vermarkten van psychoanalyses, Fake News generators, professionele criminelen zoals deze Mediamarkt hackers). Dus de digitale wereld wordt onveiliger en onstabieler, vanwege de dikke winsten die er te halen zijn. Dus als we het over onze bakker hebben: voor een goede en stabiele voedselvoorziening wil je dus meer back to basic. Als bakker heb je liever niet dat je smart-ovens gehacked worden of dat ze niet werken omdat de cloudprovider omviel

Dit geldt natuurlijk voor heel veel meer sectoren, waarbij het voor voedsel, energie en veiligheid kritischer is dan voor bijvoorbeeld de Mediamarkt, maar het raakt wel de zekerheid en het welvaartsniveau.

En dat laatste, het welvaartsniveau, is de reden waarom alles naar meer efficientie en digitalisatie wordt geduwd, op een ongezonde en onduurzame manier. We denken dat we meer spullen, meer techniek en productie op grotere schaal ons gelukkiger gaat maken. Terwijl dat helemaal niet waar is, dat is een overtuiging vanuit oude overlevingsdrang (na de oorlog was er schaarste en dus was productie en efficientie echt wel belangrijk, neem als voorbeeld melkproductie, toen nodig voor de voederselvoorziening in NL, nu is het dmv techniek doorgeschoten naar een groot systeemprobleem) en programmering vanuit de marketing (moderne marketing bestaat nu ongeveer 100 jaar.. lees het boek Influence van Cialdini). De enige stabiele manier hieruit is de focus terug verschuiven van economie naar de maatschappij: doen we investeringen waar mensen meer gelukkig van worden? Dit is ook een keuze die elk individu zelf moet gaan maken, en als er genoeg zijn kunnen we het democratisch oppakken en gaan sturen op maatschappelijk niveau. Ik weet alleen niet of dat op tijd gaat gebeuren.

[Reactie gewijzigd door Dooxed op 22 juli 2024 20:39]

thibaultvdb @Dooxed • 9 november 2021 11:25

Kijk eens naar life after google op youtube, bescherm jezelf en vergeet al de chaos. Veel aangenamer leven zo.

Tintel @Dooxed • 9 november 2021 12:27

Je hebt ergens wel gelijk hoor maar dit is van alle tijden en gaat verder dan digitalisering.

De fysieke wereld kan ook steeds onveiliger worden en in sommige landen is dat dus ook al zo.

Als rijken steeds rijker worden en armen geen eens meer een kans hebben om ooit nog voldoende middelen te krijgen om wat minder zorgen te hebben, dan zal criminaliteit toenemen.

Het is niet enkel de digitale wereld waarin we risico lopen. Die overtrokken efficiente die jij ook noemt is niet een gevolg van digitalisering maar van het mechanisme van schulden maken en rente moeten betalen. Digitalisering is enkel een middel - niet de oorzaak.

Theone098 @blk • 9 november 2021 11:09

Eens, assume breach..... je moet er vanuit gaan dat ze al binnen zijn en daarop maatregelen nemen. Je noemt er al een paar, waarbij ik vooral ook logging en monitoring (SOC!) wil benoemen.
Alleen maatregelen zonder controle heeft geen nut. Privileged access moet tot in details worden gecontroleerd en toestemming voor worden verleend. Zo niet, dan blijft de (spreekwoordelijke) deur dicht.

Zolang bedrijven security niet echt serieus nemen en dit niet door het management wordt uitgedragen, is het dweilen met de kraan open. En daar kan een IT'er wel in meedenken en meewerken maar niet volledig oplossen . Daarvoor heb je echt security specialisten nodig. Niet alleen om het op te zetten, maar ook om het te onderhouden, te bewaken en constant te verbeteren.

Threat intel kun je vervolgens inkopen om de maatregelen te versterken zodat je ook weet van waaruit de mogelijke dreigingen nu komen.

Als een simpele maatregel als hashing van bestanden was toegepast, waren ze er al snel achter gekomen dat er iets aan de hand was (i.c.m. een SIEM/SOC/monitoring). Een plotseling toename van de hoeveelheid veranderende hashes moet een teken aan de wand zijn. Dan had men op zijn minst de schade kunnen beperken.

SlickRik @dutchnltweaker • 9 november 2021 12:35

Toen ik bij de Medimarkt retourafdeling was, ongeveer een jaartje geleden,
had de man die mij hielp had niet de juiste rechten om een retourbon te printen...

Hij vermeldde dat hij dan maar even een managementwachtwoord moest opzoeken
en daarop opende hij een excel-document

Hij wist wellicht niet welk wachtwoord hij moest kiezen en liep bij de computer weg
en in de spiegel achter hem, een tabel; met daarop een rijtje van zo'n 10 wachtwoorden

Er stond dan ook geen camera op de computer gericht, anders was de man mogelijk al ontslagen.
Wel stond de achterkant van de computer naar mij gericht, met USB poorten beschikbaar.

Ik heb toen, in gedachte, de mogelijke vectoren verzonnen:
- foto maken spiegel, foto maken scherm
- USB dongle maken met een (virtueel) keyboard, die dmv macro's / zoekacties recente exceldocumenten mailt
- toegang netwerk verkrijgen fysiek/wifi
- tunnel naar buiten opzetten voor remote access
- retrourbonnen aanmaken, extern printen
- netwerk verder gaan portscannen en in kaart brengen
- unencrypted verkeer monitoren (email?)

Vanaf dat punt zou het ook mogelijk zijn om gerichte phishing te gaan doen door bijvoorbeeld intern email te versturen die normaal niet door de spamfilters komt, zoals het emailadres van een leidinggevende spoofen als afzender-adres.

Ik ben geen hacker, wel software engineer en redelijk savvy met infra.
Man wat een uitnodiging
Maar sorry, echt...
Als dat je securitybeleid is, dan hoef je niet op China te gaan zitten wachten.

itlee @SlickRik • 9 november 2021 15:39

Vriendje.. Mooie gedachte... Maar bij de ingang loop je met hoofd door de camera. Dus op het moment dat je dit doet ben je er al bij voordat je met je macro of usbtje aan de gang kan...

Digitale rechere en of gewone recherche vinden je echt wel... Of 't nou lang of kort duurt.

Ook deze 43 miljoen actie laat mega sporen na, die bitcoin wallet is bekend, transacties van waar het geld naar toegeboekt gaat worden, alles is te herleiden zelfs al gebruik je tumblers. (zoek dat laatste maar is op), ook dat is niet waterdicht.

Verstandiger en veiliger en slimmer op lange termijn is gewoon eerlijk zijn, belasting betalen en je best doen om er wat van te maken. 't is duurzamer en we moeten elkaar een beetje helpen Ipv alleen maar kapot maken, afpakken en jaloezie omdat iemand anders meer heeft al jezelf. (dat laatste is algemeen en niet naar jou als persoon).

Janbraam @dutchnltweaker • 9 november 2021 08:33

Is er dan werkelijk echt niks tegen te doen? Ten eerste hoe is het ze gelukt, heeft iemand stom genoeg een file geopend? Is het een aanval op het netwerk van mediamarkt?
Is er dan helemaal niks tegen te doen om er tegen te wapenen?

barbarbar in 'nieuws: MediaMarkt is getroffen door cyberaanval'

In feite komt het neer op kennis op ITIL- en Prince2-gebied, mensen die de protocollen volgen, voldoende geld en middelen, management wat mee werkt enz.

Edit: verkeerde link..

[Reactie gewijzigd door Janbraam op 22 juli 2024 20:39]

HollowGamer @Janbraam • 9 november 2021 08:55

Heel leuk dat hier de gemiddelde Tweaker meedenkt en het beter weet.

Er zijn hacks uitgevoerd zonder tussenkomst van personeel, denk bijvoorbeeld aan een besmette update, (onbekend) beveiligingslek, buitenlandse hack groepen met kennis van zaken, etc.

Het gaat veel verder dan medewerker X opent bijlage Y of een besmette Usb-stick. Je voorkomt er zeker mee dat het gebeurt, dus vooral personeel blijven opleiden, maar je kunt de schuld niet altijd makkelijk aanwijzing. Dat maakt deze praktijken ook erg tijdrovend en frustrerend.

[Reactie gewijzigd door HollowGamer op 22 juli 2024 20:39]

Vic-Green @HollowGamer • 9 november 2021 09:12

We weten het ook beter

FreshMaker @Vic-Green • 9 november 2021 09:47

We weten het ook beter

Vooral omdat je achteraf meepraat.
Dan heb je al meer data en gegevens dan op het moment zelf.

Maar als je het al beter zou weten ...
HOE zijn ze binnen gekomen, dan kunnen we over 2 maanden terugkijken of je gelijk had.

ShellGhost @HollowGamer • 9 november 2021 09:10

Het kan nog veel simpeler: iemand stopt een rubber ducky in een verkoop pc die daar staat in een winkel.
Toegang geregeld.

[Reactie gewijzigd door ShellGhost op 22 juli 2024 20:39]

SuperDre @Janbraam • 9 november 2021 12:08

Achja, in een utopie is alles wel goed te doen, en nu terug naar de realiteit.

Bierkameel @dutchnltweaker • 9 november 2021 08:27

Er is genoeg tegen te doen, oa je backups op immutable storage plaatsen.
Tegenwoordig worden vaak eerst de backup encrypt met een timer en daarna pas je systemen waardoor er weinig te restoren valt en je wel moet betalen.

Ik neem aan dat een bedrijf als Mediamarkt dit wel voor elkaar heeft en dan zou je binnen een week weer up and running moeten zijn net zoals VDL.

Trithereon @Bierkameel • 9 november 2021 08:44

Het dingetje is. Je kan alles wel terug gaan zetten en de hackers niet betalen.
Maar... wat kost het per dag om niet online te kunnen verkopen?
Deze overwegingen worden ook gemaakt.

Ze hebben een omzet van 20,8 miljard euro (2020) waarvan 236 miljoen winst.
De feestdagen komen eraan, dus ik denk dat ze alles weer ASAP online willen hebben.

Slim moment om ze te hacken, voert de druk wel op.
Wel erg vervelend voor mediamarkt.

FrankoNL @Trithereon • 9 november 2021 09:03

Vaak zie je bij dit soort acties dat ze al maanden binnen zijn en nu pas "de knop omzetten".

liberque @FrankoNL • 9 november 2021 10:48

Dat suggereert een hoop. Meer dan je eigenlijk zou beseffen. Immers even in het hoofd van een hacker gedoken die op deze manier snel cash wilt verdienen. Ieder uur dat je in een systeem zit heb je kans dat het ontdekt wordt. Het is immers een kat en muis spelletje en je weet nooit wat voor expertise je tegenover je hebt. Ja, je kan zsm andere backdoors maken, maar dat is geen garantie. Wil je dus snel gegarandeerd cashen dan ga je niet al maanden op systemen bivakkeren maar ga je liefst het snel mogelijk aan het werk.

Dan hebben we het daarnaast over een losgeld bedrag van 46 miljoen euro. Dat mag dan wel peanuts zijn voor grote bedrijven, maar het blijft een enorm groot bedrag. Als ik weer in het hoofd van een groep hackers ga zitten dan zou mijn eis een stuk lager liggen. Heel simpel omdat bij bijvoorbeeld 8 miljoen een bedrijf met zo'n omzet veel sneller eieren voor zijn geld zou kiezen. Ik zou dus nooit het randje opzoeken en dus langer willen wachten dan nodig is omdat men het bedrag te groot vind.

Nee het betreft in mijn optiek hier geen groep mensen die snel wilt cashen. Zoals ik al zei dan zoek je geen randen op en wat moet je met 46 miljoen en daarnaast waarom blijf je dan bezig. Iedere keer dat je je truc uithaal bestaat immers de kans dat je gepakt wordt. Hier zit dus meer achter en het lijkt meer op terrorisme. Nu niet met zelfmoordaanslagen, maar met omzet en gegevens. Iets waar de kapitalistische landen eerder aan toe te lijken geven dan aan een aanslag. Gelet op wat ik net allemaal schreef kan je zelfs vermoeden is dat dit allemaal slechts een proeftuin is. Dat ze op deze manier de middelen en kennis proberen bij elkaar te krijgen om straks niet alleen geld te verdienen, maar ook om politieke motieven door te drukken.

Als je beseft dat het bij commerciele bedrijven vaak een stuk beter geregeld is dan bij overheden is het immers straks een koud kunstje om dezelfde truc bij een overheid toe te passen. Dan is het niet 'betaal x bitcoin', maar 'laat die gevangene vrij' of 'trek je terug uit x land'. Sterker nog: ze kunnen hun diensten dan op de markt aanbieden waardoor ze als een soort huurlingen worden.

Terug naar je quote dat ze er al maanden inzitten. We gaan er nu gemakshalve alsmaar vanuit dat dit gebeurd is door phishing, door verkeerde policies of een fout updatebeleid, een medewerker die een fout maakt of een verdwaalde usb key. Echter als je er vanuit wilt gaan dat ze al maanden in een systeem zitten dan moet je ook andere mogelijkheden overwegen. Een intern job is helemaal zo vreemd nog niet. Ergens in een filiaal in Europa onwetend een weekendkracht aannemen die stiekem voor deze boevenbende werkt en die maandenlang in kaart brengt hoe het systeem werkt, wat de kwetsbaarheden zijn en met deze gegevens dus juist een gerichte aanval weet voor te bereiden samen met zijn kornuiten en zelfs de gevolgen te monitoren van binnenuit. We gaan er gemakshalve alsmaar vanuit dat het allemaal van buitenaf gebeurt door superhackers in een verlaten schuur ergens in het buitenland, maar is dat wel reeel? Zoals ik al zei riekt dit naar terrorisme dus wellicht zitten er nu verspreid bij de MediaMarkt in Europa wel een handvol mensen verspreid in kantoren, filialen en zelfs systeembeheer die juist in dienst zijn bij deze bende.

Al met al is het inderdaad absoluut niet wenselijk om het losgeld te betalen. Het is alsof iemand je onder schot hou en vraagt om de code van de kluis. Wie zegt dat je niet alsnog neergeschoten word als je de code daadwerkelijk geef. In dit geval weet je niet hoe ze zijn binnengekomen, hoeveel data ze van je hebben. Je weet eigenlijk niks. Je capituleert onvoorwaardelijk. Nu kan je stellen dat de hackers hun woord nooit zullen breken omdat dit juist hun verdienmodel is, maar dan ga je er vanuit dat ze het inderdaad alleen maar om geld te doen is. Een heel gevaarlijke aanname als je het mij vraagt. Als het westen niet toegeeft aan terrorisme moet je jezelf afvragen waarom ze dit soort terrorisme wel accepteren.

We gooien miljarden weg in zaken als klimaatdoelen en corona en geven dan geen zier om de staatsschuld, maar voeden in de tussentijd wel deze digitale vorm van terrorisme omdat een winkel en hun personeel anders financieel in gevaar zou komen. Daarbij is het een wereldwijd probleem. Beter zou het zijn om niet te betalen. De winkel en het personeel vanuit een speciaal internationaal fonds te compenseren voor het verlies en een compleet nieuw systeem op te richten dat beter bestand is tegen dit soort aanvallen. Je spekt dan niet alleen meer een terroristiche cel met alle mogelijke gevolgen van dien, maar in het kat en muis spelletje kan je jezelf transformeren van muis naar kat.

Tintel @liberque • 9 november 2021 12:37

Beter zou het zijn om niet te betalen.

Dat is zonder meer waar.

De winkel en het personeel vanuit een speciaal internationaal fonds te compenseren voor het verlies en een compleet nieuw systeem op te richten dat beter bestand is tegen dit soort aanvallen.

Onzin. Het is een bedrijfs risico. Wil je echt iedereen gaan compenseren als het fout gaat dan verminder je de motivatie om je systemen op orde te houden nog even wat verder...
MediaMarkt verkoopt geen eerste levensbehoeftes.

Waarom toch altijd de gemeenschap laten opdraaien voor kapitalistische problemen? Socialisme en kapitalisme gaan niet echt goed samen. MedaiMarkt profiteert van het kapitalisme - de consument niet. Maar als het misgaat mag dus de burger (=consument) er wel voor opdraaien?
Dat MM de prijzen zal verhogen na de ellende - dat zou kunnen. Maar dan heeft de consument dus een keuze om daar wel of niet produkten te kopen.

Jouw aannames dat meer geld dus betekent dat het geen gewone hackers zijn puur op basis van een bedrag gaan wellicht wat te ver. Waarom zijn hackers nooit hebberig dan? MediaMarkt is geen kleine jongen dus hebben ze meer te verteren denken ze dan.

Zer0 @Tintel • 9 november 2021 14:29

Het is een bedrijfs risico.

Dan is het dus ook geen probleem als een bedrijf dit risico beperkt door het losgeld te betalen....

Tintel @Zer0 • 9 november 2021 15:33

Hoezo risico beperkt? Het risico wordt dus juist groter dat het vervolgens weer gebeurt.

liberque @Tintel • 9 november 2021 14:44

Wat er nu gebeurd is dat verzekeringsmaatschappijen polissen bedacht hebben om deze schade te dekken. Een bedrijf betaalt een premie en het bedrijf krijgt een gedeelte of het geheel terug als ze slachtoffer zijn. Deze verzekeringsaanbieders zijn geen kleine bedrijven en behartigen veelal ook de normale polissen van consumenten zoals inboedelverzekering, wa verzekering etc. etc. Aan het einde van de rit betalen deze consumenten dus ook mee aan de uitbetaling van ransom vergoedingen. Dus of je het links draait of rechts draait de consument is de [mannelijk voortplantingsorgaan].

Daarnaast stellen verzekeringsmaatschappijen natuurlijk wel voorwaarden aan hun polis, maar desalniettemin zullen bedrijven een kosten/baten afweging maken. Ze zijn verzekerd dus de motivatie om hun systemen op orde te houden is dan ook minder prangend. We hebben het daarnaast over aanvallen op commerciële instellingen, maar zodra er een overheid(sinstantie) mee gemoeid is het geen bedrijfsrisico meer. Waar gaat het geld dan vandaan komen.

Een internationaal fonds waar bedrijven en overheden aan bij moeten dragen middels een belasting vergroot de draagkracht enorm. Dit fonds is dan niet voor het betalen van bedragen aan de hackers, maar juist om ze niet te betalen en ervoor te zorgen dat een bedrijf niet gegijzeld kan worden. Hackers weten dan al op voorhand dat ze niks krijgen en dus wordt het minder lucratief. Uiteindelijk blijft er dus geld over in dit fonds wat ingezet kan worden voor het bestrijden, voorkomen en traceren van zulke groeperingen.

Als laatste: een hacker is inderdaad wel degelijk hebberig anders zou hij het niet eens proberen. We hebben het echter hier niet over scriptkiddo's. Hier zitten mensen met verstand achter die wel degelijk weten waar ze mee bezig zijn. Natuurlijk is het allemaal koffiedik kijken, maar als je jezelf verplaatst in de gedachtegang van zo'n hacker en je wilt geld hebben dan ben je al blij met een substantieel bedrag. Ga je dan echt het risico nemen om niet met een miljoen of 5 tevreden zijn, maar het onderste uit de kan te willen en hierdoor niks te krijgen. Hier zit simpelweg meer achter in mijn optiek.

Tintel @liberque • 9 november 2021 15:49

Nou, ik ben het niet eens met de constructie van alles verzekeren. Dat is op termijn geen haalbare oplossing (eigenlijk nu al niet meer).
Verzekeringsmaatschappijen zijn inmiddels veel te machtig doordat ze op een grote bak geld zitten. Premies lopen alleen maar op en het risico wordt niet minder. Verzekeringsmaatschappijen voegen ook weer overhead toe.
En precies wat je zegt: als burger draai je dus op voor al het risico in de wereld maar zelf zul je nooit voordeel hebben van al die verzekeringen.

Het idee van een verzekering was om calamiteiten op te vangen waarvoor je zelf geen (geld)buffer hebt. Inmiddels zijn de kosten zodanig opgelopen - ook dankzij het principe "het is toch verzekerd" - dat veel niet meer wordt vergoed. Verzekeringsmaatschappijen spelen doktertje. En als burger betaal je dus voor bedrijven die als maar rijker worden.

Sommige risico's horen bij het vak zeggen we dan. Maar dankzij de macht van geld is dat niet meer zo lijkt het. We krijgen steeds meer verplichte verzekeringen voor niet primaire problemen. Bijv. WAO-gat verzekering is ook zo'n maf ding. Dit zou ook zoiets zijn. Verzekering tegen diefstal is 1 ding maar die heeft ook een probleemvergotend effect. Nu is dit dus geen diefstal maar 'blokkering'.

Gaan we dan naar een situatie waarbij je straks verplicht je kind moet verzekeren tegen het risico dat deze een ruit intrapt met zo'n voetbal? We hebben al iets wat daarin voorziet maar het is nog niet verplicht. Maar eigenlijk moet het toch gewoon mogelijk zijn dat je die ruit vergoed? Maar nee - die kosten zijn harder opgelopen dan de meeste inkomens. Dus hebben we een verzekering nodig. Het nadeel is dat dit dus je besteedbaar inkomen weer verlaagd. Terwijl de kans op bal door ruit niet eens zo heel groot is. Maar de kosten dus wel => elk jaar hogere premie.
En zo zitten we in een neergaande spiraal. En wie spint er garen bij? De verzekeringsmaatschappijen - die al zo 'rijk' waren en steeds rijker (en machtiger) worden... dat was niet de bedoeling.

En daar bovenop: criminaliteit neemt toe indien het verschil tussen rijk en arm groter wordt (en het aantal armen harder toeneemt dan het aantal rijken). Dus verzekeren helpt de maatschappij verder te criminaliseren.

(goh - wat een cynisch verhaal weer...)

Zer0 @liberque • 9 november 2021 12:27

Het is alsof iemand je onder schot hou en vraagt om de code van de kluis. Wie zegt dat je niet alsnog neergeschoten word als je de code daadwerkelijk geef

Dan weeg je de kans af tussen geexecuteerd worden omdat je hem niet geeft.... redelijk groot, en de kans dat dat niet gebeurt als je de code wel geeft.... zelfs als die erg klein is, is dat waarschijnlijk beter voor je dan de code niet geven... het is immers maar geld.

liberque @Zer0 • 9 november 2021 13:17

Als een overvaller jou nodig heeft voor de code van een kluis en bedreigt je leven dan heeft die overvaller jou op dat moment nodig. Schiet hij je neer omdat je de code niet afgeeft dan kan hij ook niet in de kluis en is de overval voor niks geweest. Heeft hij een (poging tot) moord gepleegd en geen enkele winst.

Als jij de code wel geeft dan heeft hij zijn buit binnen. Jij hebt vanaf dat moment niets meer te bieden, maar je vormt wel een risico omdat jij eventueel de overvaller kan identificeren dan wel een profiel kan schetsen. Onder het mom van 'leave no witnesses' zou het dan juist voor de overvaller het slimst zijn om je neer te knallen.

Nu snap ik dat je zegt: het is maar geld en ik ben het dan ook met je eens, maar in de praktijk is het een stuk moeilijker. Tegen winkelpersoneel wordt ook altijd gezegd "direct het geld uit je kassa afgeven en observeren', maar de kluis heeft meestal een tijdslot. Dit moet ervoor zorgen dat overvallers afschrikt. Stel dat het toch komt tot een overval en je geeft de code dan moet je meestal nog eens een half uur wachten totdat deze open gaat. De overvaller staat al die tijd vol van de adrenaline en dan duurt een half uur lang en kan er van alles gebeuren. Beter dus de code van de kluis niet afgeven.

Zer0 @liberque • 9 november 2021 13:41

Heeft hij een (poging tot) moord gepleegd en geen enkele winst.

Het is een crimineel.... grote kans dat die moord hem niet echt wat doet.

De overvaller staat al die tijd vol van de adrenaline

Waarschijnlijk staat hij als sinds binnenkomst onder druk, en de weigering zal hem alleen nog maar bozer maken......
Iemand die je al met geweld dreigt ook nog eens bozer maken door hem de code niet te geven en denken dat hij je dan niet neerknalt..... het is geen hollywood.

liberque @Zer0 • 9 november 2021 14:14

Om naar maar even verder offtopic te gaan. Ik heb het aan de lijve ondervonden. Niet met een geweer, maar met een mes. Als ass. bedrijfsleider was ik de enige in het pand met code van de kluis. Overvaller bedreigde mij ook. Heel simpel gezegd dat alleen de bedrijfsleider die code had en dat zij er niet was en dat De kluis gisteren al geleegd was en er niet meer dan een paar honderd euro in zat. Hij droop daarop af en is er vandoor gegaan met de inhoud van de 5 kassa's wat door het niet tijdig afromen (grom) een substantioneel groter bedrag was dan die paar honderd euro. Signalement doorgegeven en HIV test gehad (hij had me gekrabt) en een paar dagen later is hij opgepakt en kon ik daarvoor nog eens een paar uur op bureau zitten voor een verklaring. Geen hollwood dus, maar gewoon real life.

Zer0 @liberque • 9 november 2021 23:05

Blij dat het goed afgelopen is voor je, maar er zijn genoeg keren dat dat niet gebeurt in dergelijke situaties.
Het haalt overigens ook een van je eigen argumenten onderuit, blijkbaar was het geen probleem om getuigen in leven te laten.

Aphelion @Trithereon • 9 november 2021 09:04

Het zou mij inderdaad niets verbazen als ze daarom juist dit moment hebben gekozen om de encryptie te doen. De hack heeft waarschijnlijk al veel eerder dit jaar plaatsgevonden.

blissard @Aphelion • 9 november 2021 09:42

Als ik het principe goed begrijp is het niet de encryptie die nu wordt aangezet, maar de automatische decryptie die wordt uitgezet. De encryptie loopt waarschijnlijk al weken / maanden.

Palm_freemium @blissard • 9 november 2021 10:30

Heb je hier meer informatie over?

Als het om grote hoeveelheden data gaat, is het wel een idee om die te encrypten en when necessary te decrypten. Datt betekend echter dat de sleutel voor decryptie op al die duizend systemen aanwezig moet zijn, grote kans dat die dan nog kan worden achterhaald.

blissard @Palm_freemium • 9 november 2021 11:06

bijvoorbeeld:
https://resources.infosec...despread-ransomware/#gref

moonlander @Aphelion • 9 november 2021 09:32

Dan zijn ze niet slim, hadden ze het rond blackfriday moeten activeren.

Maar achteraf denk ik nu, nu is er natuurlijk wel een druk om alle systemen voor blackfriday weer online te krijgen.. dus denk dat ze wel slim zijn haha

[Reactie gewijzigd door moonlander op 22 juli 2024 20:39]

Aiii @Trithereon • 9 november 2021 09:11

Vergeet Kerstmis, deze maand is het Black Friday, en als je daar niet meedoet dan ben je al helemaal de (commerciële) Sjaak.

Het ziet er inderdaad niet naar uit dat MediaMarkt veel keuze gaat hebben in deze, zelfs al hadden ze de beste contingency plannen, dan zie ik niet echt veel scenario's waar ze binnen een week weer up and runnning kunnen zijn.

computerjunky @Aiii • 9 november 2021 11:29

Erge is alleen hierdoor gaat de MM al van mijn lijstje af. Vertrouw ze nu niet met mijn gegevens en mijn geld dus zal ik er dit jaar niets meer kopen...

ilfamo @computerjunky • 9 november 2021 11:43

Of je gaat naar de winkel ipv te bestellen.

computerjunky @ilfamo • 9 november 2021 11:51

Met oog op garantie enz heb ik dat toch liever niet. Erg lullig voor de MM marja het is niet anders. Ik heb alleen nog een paar peperdure dingen op mijn verlanglijstje staan en dat wil ik gewoon goed geregeld hebben.

Krulliebol @computerjunky • 10 november 2021 03:51

Ook als je een product in de winkel koopt, heb je net zoveel recht op garantie.
Alleen de regels rond kopen op afstand (dat je binnen 14 dagen het product terug kunt sturen) zijn niet van toepassing.

J_van_Ekris @Bierkameel • 9 november 2021 08:58

Er is genoeg tegen te doen, oa je backups op immutable storage plaatsen.
Tegenwoordig worden vaak eerst de backup encrypt met een timer en daarna pas je systemen waardoor er weinig te restoren valt en je wel moet betalen.

Men vraagt 50 miljoen, voor de hacker is er inderdaad een serieuze business case om je backups te vernaggelen. Maar het zijn vaak ook clubs met geduld: ze infecteren de backups vaak maanden voordat ze gaan cashen. Zelfs immutable storage helpt dan niet.

Sigmund1 @J_van_Ekris • 9 november 2021 09:21

Kan je dan niet na elke backup (of om de zoveel tijd) de backup checken. Desnoods met een volledig clean systeem, altijd vers geïnstalleerd besturingssysteem ofzo, zonder enige netwerkconnectie?
Ik ben geen expert, ik vraag mij dit oprecht af. Misschien zie ik dit te simpel.

J_van_Ekris @Sigmund1 • 9 november 2021 09:33

Je hebt het over de backup van een compleet bedrijf, inclusief serverparken en kassa-systemen. Dat is gewoon niet te doen. Zo'n backup terugzetten als het moet kost vaak al dagen werk. En hackers zijn ook slimmer dan dat: ze kunnen 50 miljoen verdienen als ze een backup weten te slopen zonder dat je het merkt, en ze verdienen het niet als je de backup schoon weet terug te zetten.

Yggdrasil

@Sigmund1 • 9 november 2021 09:40

Niet echt nee. De aanval werkt vaak met een trigger, bijv. een bepaalde activatiedatum of een externe URL, om actief te worden. Tot die tijd sluimert de code. Hij besmet wel zoveel mogelijk bestanden maar probeert niet op te vallen en niks te beschadigen. De enige hint die je in die tijd vaak ziet is dat er allerlei schrijfacties plaatsvinden naar bestanden die al lang niet meer beschreven zijn.

[BoSS] @Bierkameel • 9 november 2021 08:42

Bij VDL heeft het een maand geduurd...

Martin.Air @[BoSS] • 9 november 2021 09:28

Nu is VDL wel een heel extreem voorbeeld met een groot aantal segmenten. Wel een goed voorbeeld omdat zij daar heel duidelijk de backups goed op orde hadden.

janchtw @Bierkameel • 9 november 2021 08:49

Het gaat er toch niet alleen maar om om "up and running te komen"? Ze dreigen ook om data te publiceren. Ik kan mij voorstellen dat bedrijven gruwelen bij de gedachte dat allerlei privacy/financieel gevoelige informatie van hun klanten online komt te staan.

Sebben @janchtw • 9 november 2021 10:12

Ik denk dat er maar weinig bedrijven zijn die daar meer dan prioriteit aan geven dan wettelijk noodzakelijk is.

c-nan @Bierkameel • 9 november 2021 08:42

Probleem is wel sinds wanneer zijn ze binnen? Wat is een veilige restore point? Wat kost het om te restoren, ben je daardoor niet teveel value kwijt? Hoe zijn ze binnengekomen, want als je dat niet oplost zijn ze zo weer binnen.

Dus het is niet een kwestie van 'even een backup terugzetten'.

HollowGamer @Bierkameel • 9 november 2021 08:46

Als ze onderhandelen dan lijkt me toch meer aan de hand te zijn. Het is erg nasty want ondanks backups, kunnen die door dit soort malware echt wel versleuteld worden en is het zoeken naar welke data nog wel clean is. Tevens verlies je inkomen en mogelijk klanten, dan is elke dag al een probleem.

Dit soort praktijken worden steeds meer ben ik bang. Het is goed verdienen en je hebt als bedrijf niet altijd een oplossing. De cloud helpt wellicht en je kunt simpelweg niet op readonly gaan werken.

[Reactie gewijzigd door HollowGamer op 22 juli 2024 20:39]

Tintel @HollowGamer • 9 november 2021 12:45

Nee - het zou niet goed verdienen moeten zijn [voor de hackers].
Dat het geld en moeite kost. Tja. Dat heb je ook na een brand. En je verliest omzet en je moet je medewerkers door betalen. Maar het zou niet onoverkomelijk moeten zijn.

Het 'voordeel' is nu dat de produkten nog steeds in de winkel / het magazijn liggen. Inventaris kun je opnieuw opmaken. Natuurlijk veel werk. Maar de belangrijkste asset heeft MM nog steeds.
Ook het geld op de rekeningen en de transacties daarop zijn niet verloren. Dus je weet welke leveranciers zijn betaald en welke niet. Ik vermoed dat ze weinig contante geldstromen hebben met leveranciers. En de contante geldstromen met klanten zijn voor het grootste deel, geen bestellingen maar directe afname.

Pragmatisch denken i.p.v. "betaal maar en hoop voor het beste" is de oplossing.

De cloud helpt wellicht

Hoe dan? Die data is dan toch ook versleuteld.

Aerophobia1 @Bierkameel • 9 november 2021 09:19

VDL was een maand volledig down volgens mij

PearlChoco @dutchnltweaker • 9 november 2021 08:54

Zou het niet mogelijk zijn met wetgeving te komen die het VERBIEDT om in te gaan op dergelijke ransomware afpersingen? Van zodra de hackers doorhebben dat Belgische/Nederlandse bedrijven onmogelijk kunnen ingaan op hun eisen valt er voor hen toch ook niets meer te rapen, niet?

In ons ziekenhuis wordt dit als volgt aangepakt (ik ben absoluut een leek):

- server A: alle medische data
- server B: exacte mirror van A, synchronisatie elk half uur
- backup tapes: 3de, cold storage copy van alle data

[Reactie gewijzigd door PearlChoco op 22 juli 2024 20:39]

Anoniem: 715452 @PearlChoco • 9 november 2021 09:38

Over verbieden wordt inderdaad nagedacht, dat speelt al langer.
Over het backupschema wat je aangeeft; ik hoop dat je het te beknopt neerzet want voor een ziekenhuis is dat wat je beschrijft absoluut onder de maat, en zeker niet opgewassen tegen een ransomware aanval.

PearlChoco @Anoniem: 715452 • 9 november 2021 10:05

Backupschema: dat is wat ik ervan met mijn beperkte kennis van weet

In welke zin is dat ondermaats? Er wordt mij gezegd dat in geval van een ransomware attack, de volledige database vanaf nul weer kan worden opgebouwd aan de hand van de tapes. Is dat onvoldoende?

HoppyF @PearlChoco • 9 november 2021 11:07

Ja, dan moet er nog veel meer gebeuren.
Off line backups is wel een onderdeel van het geheel.

SpamLame @PearlChoco • 9 november 2021 11:28

Moeilijk te zeggen, maar aangezien je zelf een leek bent (eigen woorden) kan het zijn dat je dingen verkeerd geinterpreteerd/ anders onthouden hebt.

Als gebruiker van de faciliteiten van het ziekenhuis (IT), ik neem aan dat je er werkt gezien het "ons ziekenhuis". Moet het jou niet uitmaken hoe de systemen beveiligd zijn, maar wil je weten dat ze beveiligd zijn. Stapje verder wil je weten hoeveel data je max kwijt kan raken gemeten in tijd (laatste 5 minuten/uren/dagen), wellicht wil je ook weten hoe lang het duurt voor je de staat van zaken van 5 minuten/uren/dagen terug bereikt hebt. Als je helemaal intresse hebt vraag dan eens de BCP op van je BU/organisatie.

Anoniem: 715452 @PearlChoco • 9 november 2021 17:56

Dat hangt er van af, onderstaand een voorbeeld van eenvoudig backupschema.
Stel dat je elke nacht een back up maakt van je omgeving, en dat is je enige backup. Op dinsdagmiddag klikt iemand een geïnfecteerd bestand aan en dat begint met versleutelen, als dat dezelfde dag nog gedetecteerd wordt ben je de data van dinsdag eigenlijk al kwijt want daar is geen backup van. De laatste backup is immers van maandag.
Maar stel, je detecteert het op dinsdag nog niet maar op woensdag, dan is de backup op dinsdag gaan draaien en maakt een backup van geinfecteerde/versleutelde bestanden. Dan is je backup dus ook nutteloos geworden.

SpamLame @Anoniem: 715452 • 9 november 2021 11:20

@PearlChoco geeft letterlijk aan "ik ben absoluut een leek". Dus over die beknoptheid van het backup schema, wat denk je nu zelf?

FreshMaker @PearlChoco • 9 november 2021 09:58

Zou het niet mogelijk zijn met wetgeving te komen die het VERBIEDT om in te gaan op dergelijke ransomware afpersingen? Van zodra de hackers doorhebben dat Belgische/Nederlandse bedrijven onmogelijk kunnen ingaan op hun eisen valt er voor hen toch ook niets meer te rapen, niet?

In ons ziekenhuis wordt dit als volgt aangepakt (ik ben absoluut een leek):

- server A: alle medische data
- server B: exacte mirror van A, synchronisatie elk half uur
- backup tapes: 3de, cold storage copy van alle data

Ja want verbieden werkt zo goed ...

Wie gaat het bedrijf weer up n running krijgen ?
De overheid, of moet een bedrijf dan maar in elkaar storten omdat de kosten te hoog worden.
Either way, de consument betaalt de prijs

Het is een eenvoudige rekensom, kijk naar de uni van Maastricht ... het kost xx miljoen om weer te starten, of 2 maal xx miljoen om van de grond op te bouwen.

ikbentochniegek @FreshMaker • 9 november 2021 10:50

In het begin gaan bedrijven het wellicht moeilijk krijgen na een aanval, maar als er nooit betaald wordt dan lost het probleem zich vanzelf op omdat het dan uiteindelijk stopt. Dus eerst duurder, daarna goedkoper.
Wellicht kan de overheid, als zij losgeld betalen verbieden, financieel bijspringen om een gehacked bedrijf weer op de rit te krijgen. Of een steunfonds oprichten waar bedrijven aan bijdragen.
Dan rest nog het probleem hoe je bedrijven verhinderd losgeld te betalen. Niet mogen, betekent dat men een aanval wellicht probeert stil te houden en onder de radar gaan betalen.

blk @PearlChoco • 9 november 2021 09:01

Bij een goede ransomware is de vraag: betalen we liever 43 miljoen aan hackers of laten we onze wereldwijde keten met een miljardenomzet failliet gaan waardoor duizenden werknemers op straat komen te staan.

Ja, een verbod zou kunnen, maar ik denk dat dit geen oplossing is waar bedrijven zich bij neer zullen leggen of aan zullen houden. Hackers zullen daarnaast andere targets pakken die erg belangrijk zijn voor de overheid (denk aan nutsbedrijven of de Rotterdamse haven) waardoor ze direct de overheid raken.

Yggdrasil

@PearlChoco • 9 november 2021 09:42

reviews: Losgeldverbod voor ransomware: het gevoel zegt ja, het onderzoek zeg...

computerjunky @PearlChoco • 9 november 2021 11:45

En dan tientallen bedrijven de nek om draaien omdat ze niet meer kunnen werken. De meeste bedrijven zullen niet in staat zijn alles weer te herstellen en door te gaan. En hoe ga je zoiets bijvoorbeeld belasting technisch afhandelen met een bedrijf als ze wel vanaf niets kunnen starten. De hele administratie is pissen.

Tintel @PearlChoco • 9 november 2021 12:46

Waarom toch weer hopen op een overheid die het gaat voorkomen? Alsof verbieden gaat helpen als het niet eens te controleren is....

moredruid @PearlChoco • 9 november 2021 14:24

Op zich een aardig idee om het betalen van ransomware te verbieden maar dan wordt de data niet alleen versleuteld maar ook geëxfiltreerd (zoals nu ook het geval lijkt te zijn bij de MM). Als de data onversleuteld is opgeslagen in de database (wat nog steeds gewoon gebeurt) zijn de gegevens van de klanten (naam, adres, rekeningnummer) gewoon beschikbaar. En als de boel wel versleuteld is, dan hebben ze een bestand waar ze naar believen brute force tools op los kunnen laten, genoeg botnets die het rekenwerk voor je kunnen doen. Dat kun je dan weer voor een leuke duit slijten op het dark web.

Security blijft moeilijk, zeker naarmate de techniek vordert (zowel voor de aanvallers als de verdedigers). En zoals iemand hierboven al zei: als verdediger moet je je hele aanvalsoppervlakte de hele tijd zien te bewaken en verdedigen, zij hoeven maar 1 keer geluk te hebben om binnen te komen.

Cowamundo @dutchnltweaker • 9 november 2021 08:33

Vaak door het openen van een geïnfecteerd bestand in de vorm van een factuur of iets dergelijks.
Dit is in ieder geval niet "zomaar" bij de MM terecht gekomen.

Het is dan ook vaak een medewerker die per ongeluk zoiets opent en het circus begint.
Belangrijk is je personeel op de hoogte te houden van ontwikkelingen op dit gebied en eventueel "opleidingsdagen" aan te besteden. Helaas zien bedrijven ondanks alle ontwikkelingen security en opleidingen hierin nog als een vervelende kostenpost.

4x4 @Cowamundo • 9 november 2021 08:52

Bij mij op de werkvloer heeft de ict een mail met bijlage naar meerdere mensen gestuurd om te kijken hoeveel mensen deze bijlage (die duidelijk malafide was) zouden openen. Geloof dat 80% de bijlage heeft geopend.
De “normale” burger heeft totaal geen idee wat betrouwbaar of onbetrouwbaar is in www land.

Houtenklaas @4x4 • 9 november 2021 09:11

En dan als titel: "Vanaf 1-12 wordt de koffie niet meer gratis, maar kost 50 cent". Bijna 100% garantie dat er op geklikt wordt in alle emotie ...

FreshMaker @Houtenklaas • 9 november 2021 09:51

En dan als titel: "Vanaf 1-12 wordt de koffie niet meer gratis, maar kost 50 cent". Bijna 100% garantie dat er op geklikt wordt in alle emotie ...

Dit, maar vooral dat @4x4 benoemt hoeveel het fout gedaan heeft.

Het is altijd "vingerwijzen" dit soort tests .... 'kijk nu eens, dat mag niet hoor!' belerend toespreken na dit soort tests.

Gelukkig doen ze het bij ons andersom, geen vage testjes of beleringen, maar een voor iedereen verplichte 'cursus' in de vorm van een game, verspreid over het hele jaar.
Duidelijk gewezen op ( soms voor de hand liggende ) gevaren en problemen, maar vooral spelenderwijs aanleren wat de triggers kunnen zijn ...

[Reactie gewijzigd door FreshMaker op 22 juli 2024 20:39]

Houtenklaas @FreshMaker • 9 november 2021 10:39

Nee hoor, geen vingerwijzen. Bij ons precies wat jij zegt, voor iedereen om de zoveel tijd een verplichting om een aantal mini-bewustwordings dingetjes te volgen. Doe je ze niet dan word je daar keurig op aangesproken. Maar dat wordt wel gevolgd door naar een selecte groep een "teaser" te sturen. Nooit om "straf" op te leggen, maar als bewustwording. En dan is het altijd wel grappig wat voor onderwerpen er gekozen worden. Betaalde koffie, parkeergarage alleen nog voor het management, klokken bij het binnenkomen en weggaan, het werkt als een rode lap op een stier. In die emotie klikken er toch veel mensen op zoiets blijkbaar. Aardig neveneffect was kortgeleden een personeelsaanbieding die echt was, maar de security club kreeg die vele 10-tallen keren gemeld

Kortgeleden ook wat USB sticks rondgestrooid rond de ingang, ook garantie voor veel moois. Maar de boodschap is wel goed om daar enorm terughoudend op te reageren.

mjtdevries @FreshMaker • 9 november 2021 13:53

Duidelijk gewezen op ( soms voor de hand liggende ) gevaren en problemen, maar vooral spelenderwijs aanleren wat de triggers kunnen zijn ...

Daarbij ga je er dan echter vanuit dat de oorzaak waarom mensen op phishing mails klikken een gebrek aan kennis is.
Ik denk echter dat dat grotendeels niet het geval is. Als mensen bedacht zijn op het risico dan kunnen ze echt wel een phishing mail herkennen.
Maar in de hektiek van elledag, met een hoge werkdruk lezen mensen niet elk mailtje even nauwkeurig.
En wie kan eerlijk zeggen dat ze altijd elk mailtje van PostNL altijd nauwkeurig bekeken hebben voor ze op de track en trace knop drukken, wanneer ze die dag ook juist zo'n mailtje verwachten.

Een moment van onoplettendheid heb je al snel. En hoe meer medewerkers hoe sneller je beet hebt.
Daar helpt geen training tegen.

FreshMaker @mjtdevries • 9 november 2021 14:44

Wat ik vooral merk, is dat het een erfenis uit het verleden is.
Reacties die ik ook hier regelmatig terug zie komen, en het verkeerd uitleggen van de 'zero trust'

Ik kom uit een cultuur die vooral inhield verbieden, toen ik pas begon hadden we geen internet op de werkstations.
Maar door de vooruitschrijdende wereld is dat onhoudbaar gebleken.
Wat deed de toenmalige ICT - allow-listings opstellen .. dat mag je bekijken, en vooral dat niet.

Dus sinds een paar jaar waar ik veel mag inregelen, moet ik veel collega's vooral dingen opnieuw aanleren lijkt het.
veel te veel mensen gaan er maar vanuit dat "wat niet goed is, is geblokkeerd"
Dus dit soort awareness trainingen zijn wel degelijk nodig

Vullisbak @4x4 • 9 november 2021 09:53

Wordt inderdaad in meerdere bedrijven gedaan en geeft en goed beeld van de klik-bereidheid van je medewerkers. Helaas is iemand direct confronteren met een verkeerde inschatting of onzorgvuldigheid de enige manier om ze scherp te houden. Uiteraard in een no-blame setting.

In ons geval is het gedaan voor en nadat er een uitgebreid training- en awarenessprogramma rondom cybersecurity is gehouden. Hoewel (gelukkig) een flink aantal medewerkers de bewuste email had aangemeld als spam/phishing, was er nog steeds een alarmerend groot deel dat alle rode vlaggen in de email negeerde en binnen enkele seconden de bijlage had geopend of op de link geklikt heeft.

De medewerker is in veel gevallen de zwakste schakel. Je moet als bedrijf dus continu de medewerker scherp houden om niet zomaar in de val te trappen. Een intensieve taak die bovendien erg lastig uit te voeren is, omdat de medewerker bij de zoveelste herinnering/training/email/... zo snel mogelijk naar de skip-knop gaat zoeken of ondertussen de boodschappenlijst voor de bezorgservice gaat invullen. De thuiswerk situatie waar we nu inzitten maakt dit alleen maar lastiger.

[Reactie gewijzigd door Vullisbak op 22 juli 2024 20:39]

Joppiez @Vullisbak • 9 november 2021 10:56

Bij mij op het werk hebben ze voor alle emailverkeer wat buiten het netwerk komt een header geintroduceerd wat boven de tekst komt te staan, in rode koeienletters dat je moet oppassen. Moet zeggen dat het goed werkt, je oog blijft er altijd opvallen dus denk je toch even twee keer na.

looptwellos @4x4 • 9 november 2021 10:06

Hier een linkje met de vraag om wachtwoord te resetten, in een bedrijf met grotendeels ingenieurs oftewel technisch onderlegd. Vergelijkbare dramatische resultaten...

Zelf bijna er in getrapt, toch sterk onderschat hoe snel het kan gaan, het hoeft maar één klein momentje van onoplettendheid te zijn.

[Reactie gewijzigd door looptwellos op 22 juli 2024 20:39]

Tintel @4x4 • 9 november 2021 12:49

Slechte test als de verzender bekend is (eigen ICT). Want we handelen allemaal vanuit vertrouwen. Niet vanuit wantrouwen.

De 'normale' burger vertrouwt ook vooral de mail van bekenden. Daarom wordt altijd de naam 'gespoofed' - terwijl het adres echt wel vaag is.

Anoniem: 159816 @Cowamundo • 9 november 2021 09:31

Naast opleiding moet je er ook gewoon vanuit gaan dat het mis gaat. Als de training wat tegenhoudt is dat mooi meegenomen, maar dat is maar een fractie van beveiliging. Zie het als het bordje "pas op hier waakt een hond", dat houdt ook maar een klein beetje tegen.

[Reactie gewijzigd door Anoniem: 159816 op 22 juli 2024 20:39]

heuveltje @Cowamundo • 9 november 2021 17:34

Dit is de "spam 10.000 bedrijven" en zie wat er lukt.
Voor die grotere vissen als MM word echt wel wat meer moeite gestoken.

ik heb al van een poging gehoord bij een groter bedrijf, waarbij er gebeld werd met een gespoofed nr van een ict leverancier, een perfect nederlands sprekende man aan de lijn kregen, die precies alle namen en termen daar kende,. En belde met problemen over een verbinding, en daar wat wou laten aanpassen voor wat testen.

Het leek een compleet normaal verzoek, en als we het hadden uitgevoerd, hadden ze een kleine ingang gehad. Het is dat mijn collega om onduidelijke reden toch een "spidersense gevoel" kreeg, en na controle met dat bedrijf bleek dit geen actie van hen te zijn geweest.

Is nog aangifte van gedaan, maar daar is vziw nooit iets uitgekomen

Anoniem: 1322 @dutchnltweaker • 9 november 2021 08:39

Is er dan werkelijk echt niks tegen te doen?

Ja, hoor. Genoeg. Ten eerste moderne IT hebben. Moderne werkplekken zijn individuele geïsoleerde werkplekken dus impact is veel veel kleiner. Goed permissie systeem zorgt dat impact nog kleiner wordt en moderne filesharing technieken zoals OneDrive en Google drive maakt het nog weer kleiner (one click restore). Met oplossingen zoals Google workspace heb je er helemaal geen last van (voor nu) want de gebruiker heeft alleen toegang tot data via een website. Laat staan als ze Chromebooks hebben.

Anyway, genoeg tegen te doen maar deze bedrijven zijn vooral van de oude IT.

Computers in domeinen hebben toegang tot domain controllers. Als je die te pakken hebt, dan heb je toegang tot alle computers in dat domein. Slechts twee ‘hops’ nodig dus. Oude IT uitfaseren betekent echter ook nieuwe werkwijzen. En daar is geen geld voor, net als security.

orvintax @Anoniem: 1322 • 9 november 2021 09:20

Het is voor een organisatie als de MediMarkt echt niet zo simpel als even een Google Workspace abbonementje af te sluiten...

bamboe @orvintax • 9 november 2021 10:54

daar heb je gelijk in maar voor een klein deel van die 43 miljoen hadden ze mischien best wel een iets beter beveiligd systeem kunnen opzetten en was dit mischien voorkomen.....

Anoniem: 1322 @orvintax • 9 november 2021 11:43

Dat hoor ik vaker maar toch zie ik wekelijkse bedrijven die er totaal geen moeite mee hebben. Nee, het is niet simpel maar als je tegenwoordig nog in de 'oude IT' zit dan snap je het niet... Office 365 is al weer 10 jaar oud en Microsoft is niet echt subtiel geweest in wat je moet gaan draaien.

mvrhrln @Anoniem: 1322 • 9 november 2021 11:07

haha, jij moet de politiek in gaan, in een week hebben we dan vrede op aarde, en geen honger meer.

De vraag was "is er dan werkelijk ...", als antwoord dan met wat theoretisch gebrabbel komen wat leuk staat op een schoolproefwerk is dan niet echt een oplossing.

Anoniem: 1322 @mvrhrln • 9 november 2021 11:51

Ik werk veel met overheden en kan je garanderen dat daar geen vrede te halen valt

De vraag was "is er dan werkelijk ...", als antwoord dan met wat theoretisch gebrabbel komen wat leuk staat op een schoolproefwerk is dan niet echt een oplossing.

Geen theoretisch gebrabbel, Microsoft Office 365 bestaat al 10 jaar en Google Workspace al 15 jaar. Het is ook niet zo dat Microsoft bijvoorbeeld niet duidelijk is in zijn boodschap. Als je nog op oude IT zit dan heb je er gewoonweg niets aan gedaan en ondervindt je tegenwoordig de gevolgen.

Als je het alsnog gebrabbel vind dan raad ik je aan om eens met Microsoft te bellen. Die kunnen je een mooie demo geven.

mjtdevries @Anoniem: 1322 • 9 november 2021 13:56

En de ervaring IT-ers onder ons weten:
Een demo/powerpoint werkt het altijd. De praktijk is echter anders.

Dat betekent niet dat er geen maatregelen getroffen kunnen worden. Maar aangezien we nooit horen hoe de slachtoffers beschermd waren, weten we ook niet welke maatregelen wel en niet effectief zijn gebleken.

Anoniem: 1322 @mjtdevries • 9 november 2021 16:33

En de ervaring IT-ers onder ons weten:
Een demo/powerpoint werkt het altijd. De praktijk is echter anders.

Agree to disagree, de demo/powerpoint is prima duidelijk en al honderd keer vertoond. Microsoft (als voorbeeld) geeft al bijna een decennia aan dat ze enkel nog maar aan hun cloud werken. Dat zie je ook vaak bij grotere bedrijven, die werken al jaren op die manier. Voorbeeld is een klant met +20.000 man (en vrouw) in de media wereld. Ze zaten al vroeg in Azure en krijgen weinig mee van crypto malware. Mede ook omdat ze hun medewerkers de keuze geven in hardware (en veel voor Mac kiezen).

Als ervaren IT-er kan ik je garanderen dat er meestal simpelweg de wil of leiderschap ontbreekt om er mee door te pakken. Men wil liever doormodderen met de huidige omgeving en bij de eerste de beste tegenslag wordt de handdoek in de ring gegooid... Applicaties zijn hierin de grootste showstoppers en men is dan niet bereid om die oude stoffige Windows applicatie de nek om te draaien.

Bedenk je ook even dat in een ouderwets domein je maar 1 hop verwijderd bent van volledige controle over de omgeving. Een domain controller (de kroonjuwelen van je organisatie) zijn altijd bereikbaar vanaf een domain-joined computer. En met Print Nightmare was het maandenlang een open deur... Oude IT is inherent kwetsbaar voor malware ellende en het gaat nog veel groter worden. Microsoft maakt zich niet druk want die heeft al een oplossing. Klanten hoeven die alleen nog maar te implementeren.

Ik vind het helemaal prima dat ik mij tegenwoordig geen zorgen hoef te maken over die oude ellende.

SuperDre @Anoniem: 1322 • 9 november 2021 12:12

oh wow, jij hebt de oplossing gevonden....... wacht even OneDrive en Google Drive, maar hoe denk jij dat dat gaat helpen, is immers gewoon een datastorage.
Tuurlijk kun je het wel proberen te beperken, maar vaak genoeg wordt bij dit soort zaken ook gebruik gemaakt van zeroday leaks, tja, en daar doe je heel weinig tegen.
En soms zijn bepaalde werkwijzen gewoonweg niet praktisch. Maar altijd leuk om te bedenken dat het allemaal wel even simpel aan te passen is omdat bepaalde werkwijzes wel bij jouw situatie werken.

Anoniem: 1322 @SuperDre • 9 november 2021 13:32

oh wow, jij hebt de oplossing gevonden....... wacht even OneDrive en Google Drive, maar hoe denk jij dat dat gaat helpen, is immers gewoon een datastorage.
Beide oplossing hebben ingebouwde herstel mogelijkheden (versioning) zodat herstel eenvoudig is. Microsoft stuurt je zelfs een mailtje met een one-click restore:
https://support.microsoft...fd-40f4-acc7-b8c12c73637f

Ik zeg ook helemaal niet dat het probleem verhelpt, ik reageer op de vraag of hier helemaal niets aan te doen is. Maar aan de reactie te zien denk je meer in de problemen dan de oplossingen.

mjtdevries @Anoniem: 1322 • 9 november 2021 16:51

Maar aan de reactie te zien denk je meer in de problemen dan de oplossingen.

Stop alsjeblieft met dat soort onzinnige uitspraken.

Als iemand beren op de weg aanwijst, dan is het niet omdat die persoon in problemen denkt ipv oplossingen, maar dan is het omdat die persoon wil voorkomen dat ze in volle vaart tegen de beer botsen.

Het zijn juist de mensen die "in oplossingen denken" die vervolgens tegen de beer botsen omdat ze de andere geluiden niet wilden horen.

Om even terug te gaan naar de cloud.
Soms is het gewoon verboden om de data in de cloud op te slaan. Daar sta je dan met je OneDrive en Google Drive oplossing. Soms is het alleen voor sommige klanten verboden. Maar ga je dan twee systemen met klantdata optuigen?

En de belangrijkste bedrijfsdata staat meestal niet in simpele storage oplossingen als OneDrive en Google Drive. En dan is een one-click restore met versioning vaak ontzettend complex of zelfs onmogelijk.

Als je het met OneDrive af kunt, dan heb je daar mooie opties ja. Maar dat is maar een minderheid van de bedrijven.

Anoniem: 1322 @mjtdevries • 10 november 2021 08:42

En weer iemand die denkt in problemen. Wie kan er zijn data niet in de cloud opslaan? Overheden? Gaan allemaal naar Azure. Zorg? Zitten allemaal al in een cloud…

Ik hoor dit excuus zo vaak maar wijs mij eens 1 organisatie aan die dit ‘niet mag’. En graag een link naar de regel graag.

Als je echt kijkt naar regelgeving dan staat daar nooit ‘mag niet in cloud’. Regelgeving is niet zo specifiek.

En de belangrijkste bedrijfsdata staat meestal niet in simpele storage oplossingen als OneDrive en Google Drive.

Wat? Bepaal jij voor iedereen wat belangrijke data is? Dat is een grote uitspraak. Wat voor speciale storage systemen denk je dat gebruikers data dan nodig hebben?

mjtdevries @Anoniem: 1322 • 10 november 2021 10:03

Ik hoor dit excuus zo vaak maar wijs mij eens 1 organisatie aan die dit ‘niet mag’. En graag een link naar de regel graag.

Ik hoor dit excuus zo vaak maar wijs mij eens 1 organisatie aan die dit ‘niet mag’. En graag een link naar de regel graag.
https://www.defensie.nl/d...ta-s/2020/02/04/abdo-2019
Hoofdstuk 4, onderdeel 4.9 voorwaarde 29

Het gebruik van een public Cloud-dienst (computing, opslag, transport) is niet toegestaan

Dat jij nooit te maken hebt met klanten die zeer vertrouwelijke informatie hebben, betekent niet dat anderen hier daar niet mee te maken hebben.
Deze kan ik makkelijk noemen omdat het publiekelijk staat.
Maar als je Defensie als klant hebt, dan mag je het feit dat ze je klant zijn vaak niet eens vertellen. En dat geld ook veel voor andere klanten met zeer vertrouwelijke informatie. In de meeste gevallen zal iemand je dus niet kunnen verwijzen naar zo'n regel omdat ook dat verboden is.

En je noemt de overheden wel zo makkelijk. Die hebben in het verleden dat inderdaad toegestaan, maar recent zijn ze tot de conclusie gekomen dat O365 toch niet voldoende GDPR compliance bied en zijn met Microsoft in onderhandeling over speciale extra vereisten voor de overheid.
Die uiteraard voor alle bedrijven moeten gelden, maar de overheid onderhandeld op dit moment alleen nog voor zichzelf.

Nu je bij deze weet dat de wereld complexer is dan waar jij mee te maken hebt, hoop ik dat je voortaan wat anders reageert op mensen die aangeven dat het niet altijd zo makkelijk is.

Anoniem: 1322 @mjtdevries • 10 november 2021 14:23

Ha, ik had al wel verwacht dat je met Defensie zou komen. De club die nog draait op Windows XP en Windows 7.

Dat jij nooit te maken hebt met klanten die zeer vertrouwelijke informatie hebben, betekent niet dat anderen hier daar niet mee te maken hebben.
Ik werk regelmatig met vertrouwelijke informatie en cloud diensten worden daar veelvuldig gebruikt. Maar gefeliciteerd, je hebt gelijk. We kunnen niets doen tegen de crypto malware en moeten maar gewoon blijven betalen. Dat is je doel, toch? Ik zou niet weten wat je hiermee behaalt maar ik vind het prima want des te meer incidenten, des te meer cloud migraties.

En je noemt de overheden wel zo makkelijk. Die hebben in het verleden dat inderdaad toegestaan, maar recent zijn ze tot de conclusie gekomen dat O365 toch niet voldoende GDPR compliance bied en zijn met Microsoft in onderhandeling over speciale extra vereisten voor de overheid.
Allemaal mooi die onderhandelingen en theorie maar je vergeet dat de oude IT bij de overheid volledig afbrokkelt en migraties aanvragen gaan er niets minder hard om. Vorige maand heeft een collega nog een mailbox migratie afgerond voor een grote gemeente en er zijn twee gemeenten aanstaande. SharePoint Online aanvraag ligt er ook al. De gemeentes zijn het kat-uit-de-boom kijken zat en moeten door. En het is niet zo dat Microsoft ergens anders ontwikkeltijd in steekt anders dan cloud. Voor gemeenten is het ook prima dat ze clouddiensten gebruiken zolang ze zich aan de BIO regelgeving houden.

Die uiteraard voor alle bedrijven moeten gelden, maar de overheid onderhandeld op dit moment alleen nog voor zichzelf.
Enkel de rijksoverheid heeft momenteel afspraken. De gemeenten moeten het zelf regelen (via hun vakorganisatie).

Nu je bij deze weet dat de wereld complexer is dan waar jij mee te maken hebt,
Nope, gaan we helaas niet doen. Alleen omdat je aan komt zetten met een organisatie zoals Defensie wil dat niet zeggen dat dit de norm is. Of dat ik ooit weer ouderwetse IT aan zou raden. Tevens, als we defensie als standaard zouden nemen dan zaten we allemaal nog op Windows XP/7. Zij hebben dezelfde problemen als iedereen en
de 'terughoudenheid' van defensie is geen maatstaaf maar een uitzondering. Een niche... De praktijk is dat iedereen en alles over gaat op cloud. Er zijn zoveel aanvragen (ook van onze overheid) dat de IT organisaties de vraag niet eens aankunnen.

hoop ik dat je voortaan wat anders reageert op mensen die aangeven dat het niet altijd zo makkelijk is.
Je mist ook helemaal het punt. Mijn opmerking is dat er prima wat te doen is tegen crypto malware: moderne IT. Nee, die bied niet 100% weerstand maar het mitigeert de meeste problemen van oude IT waardoor de impact zeer klein is. Het gesprek:

Is er dan werkelijk echt niks tegen te doen?

Ja, hoor. Genoeg. Ten eerste, moderne IT hebben.

oh wow, jij hebt de oplossing gevonden....... wacht even OneDrive en Google Drive, maar hoe denk jij dat dat gaat helpen, is immers gewoon een datastorage.

Beide oplossing hebben ingebouwde herstel mogelijkheden
Ik zeg ook helemaal niet dat het probleem verhelpt, ik reageer op de vraag of hier helemaal niets aan te doen is.

Dan kom jij:
Stop alsjeblieft met dat soort onzinnige uitspraken.
Als je het met OneDrive af kunt, dan heb je daar mooie opties ja. Maar dat is maar een minderheid van de bedrijven.

Wat? Bepaal jij voor iedereen wat belangrijke data is? Dat is een grote uitspraak. Wat voor speciale storage systemen denk je dat gebruikers data dan nodig hebben?

Ik zal eerlijk zijn, ik draai de hele dag cloud migraties en ik twijfel ook wel eens of het wel verstandig is dat klanten hun gehele hebben en houden bij een Amerikaans bedrijf neer te leggen. Maar daar gaat het hier niet over, als we crypto malware tegenkomen dan heeft het nauwelijks impact.

En ps. ik zeg nergens dat een cloud transitie 'makkelijk' is. Als het makkelijk zou zijn dan zouden we niet zoveel nieuws hebben over bedrijven die volledig worden platgelegd door malware. Maar met oude IT knoop je alles aan elkaar en ben je altijd maar 1 hop verwijderd van volledige netwerktoegang (domain controllers).

En weet je wat het resultaat is al deze commotie? Dat de mediamarkt eens goed naar zijn infrastructuur gaat kijken en overgaat naar moderne werkplekken. Alle cloud twijfel is plotseling weg want management hangt in hun nek. Die crypto criminelen zullen net zolang doorgaan tot al die oude IT weg is.

Tintel @Anoniem: 1322 • 9 november 2021 12:51

Serieus? Denk je echt dat een simpele offsite file storage de oplossing is?

RobbieB @dutchnltweaker • 9 november 2021 08:40

Phishing mails zijn tegenwoordig zo goed dat het niet ‘stom’ is dat ze geopend worden. Dat beeld moet echt verdwijnen.

In het geval van de Hive groepering is het waarschijnlijk via Cobalt Strike beacons gegaan en iedere moderne IDS/IPS zou dat toch moeten detecteren.

Er is zeker wat tegen te doen, maar besef je ook dat een aanvaller vanuit Rusland tot in den treuren kan blijven proberen tot hij binnen is. Ben je als bedrijf in staat zo’n aanval wekenlang af te slaan?

Vic-Green @RobbieB • 9 november 2021 09:14

Phishing mails zijn tegenwoordig zo goed dat het niet ‘stom’ is dat ze geopend worden. Dat beeld moet echt verdwijnen.

Dat beeld moet juist aangescherpt worden. We moeten van de naïeve houding echt af.

911GT2 @Vic-Green • 9 november 2021 09:32

Ik ben benieuwd dan. Ik weet bijna 100% zeker dat er een mail te maken is waar ook jij in zou trappen. Ik zie het zelf bij mijn ouders die gewoon normale mails ook niet meer durven openen omdat ze bang zijn voor de gevolgen, en de kwaadwillende mails zijn tegenwoordig zo 'goed' dat je dat echt niet zomaar op pikt.

mjtdevries @911GT2 • 9 november 2021 13:59

Klopt helemaal.

Daarom moet je als bedrijf zorgen dat in ieder geval je eigen interne mails makkelijk te herkennen zijn tov de phishing mails. Helaas is dat makkelijker gezegd dan gedaan.
Hoeveel bedrijven hebben geen nieuwsbrieven die vanuit externe adressen verstuurd worden, met allerlei moeilijke te interpreteren links, omdat ze dan zo mooi kunnen zien welke items uit de nieuwsbrief goed gelezen worden?

icceni @RobbieB • 9 november 2021 11:15

Ik moet de eerste phishingmail nog tegenkomen zonder spelfouten en met een opmaak en toonzetting die lijkt op iets wat ik van een betrouwbare afzender zou ontvangen.
Tip: verdiep je eens in de Nederlandse taal, en je vist alle nepmails er zo uit.

FairPCsPlease @RobbieB • 9 november 2021 09:49

Internet-criminaliteit met phishing-mails die niet eens meer als phishing herkenbaar zijn, omdat ze zo goed geschreven zijn, is zo beangstigend, dat het met de klimaatverandering nog veel meer reden geeft om niet te willen leven

. Ik wordt de wereld zo zat.

computerjunky @RobbieB • 9 november 2021 11:37

Totaal niet mee eens. Het is in 99,9% van de gevallen zo simpel als je statusbalk checken en kijken waar de link naar toe gaat. Voor die overige 0,01% kijk ik even naar de bron en dan zie je ip adressen uit landen die duidelijk niet bij de mail horen.

Aerophobia1 @dutchnltweaker • 9 november 2021 09:22

Zolang er duizenden hackers met goedkeuring en ondersteuning van hun overheid mogen opereren om bedrijven kaal te plukken en onrust te zaaien stopt dit niet.
Dit moet op een hoger niveau worden aangepakt.

hawke84 @Aerophobia1 • 9 november 2021 09:43

En dat gaat niet gebeuren.

Die overheden zijn maar wat blij dat deze hackers buiten hun grenzen onrust zaaien.

911GT2 @Aerophobia1 • 9 november 2021 09:33

Dit dus!

sojab0on @dutchnltweaker • 9 november 2021 09:59

In de bassis is dat splitsen goed voor veel bedrijven maar in comersie zoals mediamarkt dienen system met elkaar te praten zie digitale prijskaarten, en facturatie en betaal systemen die praten met elkaar anders zouden prijzen nooit op die kaartjes komen en ook nooit in een kassa bekend zijn

dutchnltweaker @sojab0on • 9 november 2021 10:05

Snap ik, maar is er niet iets aan te doen om deze infrastructuren met elkaar te laten praten als standalone? Dus ze communiceren wel maar als de 1 gehackt wordt blijft de ander overeind.

4x4 @dutchnltweaker • 9 november 2021 08:48

Soms laat men met opzet besmette usb-sticks in de buurt van een potentiële slachtoffer slingeren in de hoop dat een medewerker die oppakt en uit nieuwsgierigheid in een werk pc stopt.

HoppyF @4x4 • 9 november 2021 11:17

Dat is wel zo’n oude truc, inmiddels ook wel achterhaald maar in het verleden is dit wel voorgenomen.

computerjunky @4x4 • 9 november 2021 11:40

Waarom de usb poorten op een werk pc überhaupt werken is me een raadsel.

Bij de MediaMarkt staan er overigens pc's in de winkel die lang niet altijd afgeschermd staan. Niet heel handig.

SuperDre @4x4 • 9 november 2021 12:15

Nouja, bij een mediamarkt zou het dan best simpel kunnen zijn. "Ik heb vorige week deze USB-stick hier gekocht, heb er data op gezet en gister kon ik deze ineens niet meer lezen." en dan gaat die fysieke helpdesk eens kijken of zij die USB-stick kunnen inlezen.. Ja, dat zouden ze natuurlijk alleen moeten doen op een PC/Laptop die compleet los staat van welk netwerk dan ook, en ook alleen via CD's zouden worden geupdate.

digibaro @dutchnltweaker • 9 november 2021 09:25

Dit zijn nog de zichtbare aanvallen doordat er op openlijk om losgeld wordt gevraagd. Onderwater vinden veel meer aanvallen plaats door groepen in het buitenland die gesteund worden door de overheden (state actors) met vaak als doel het leeg trekken van bedrijven qua data.

QuatroXL @dutchnltweaker • 9 november 2021 09:42

Is er dan werkelijk echt niks tegen te doen? Ten eerste hoe is het ze gelukt, heeft iemand stom genoeg een file geopend?

Het is erg gemakkelijk om te stellen dat iemand een bestand heeft geopend. Ik ben werkzaam bij een grote organisatie met meer dan 40.000 gebruikers en die krijgen met enige regelmaat een fake phising mail toegezonden om te zien dat ze opletten wat wel of niet te openen.

Deze manier van testen is naar mijn idee alleen een inventarisatie maar geloof mij iedereen trapt er wel eens in! Onder de juiste (vervelende) omstandigheden zoals stress of met de juiste inhoud kan het ook jou gebeuren.

Het is veel belangrijker als IT organisatie om te kijken welke schade je kunt voorkomen als iemand zo'n link opent.

Left @dutchnltweaker • 9 november 2021 09:43

Wat is er in 15 jaar verandert?

Bitcoin

nightraven79 @dutchnltweaker • 9 november 2021 09:43

heeft iemand stom genoeg een file geopend?

de zwakste schakel is nog steeds de mens....

smolders2007 @dutchnltweaker • 9 november 2021 10:06

Zolang er betalingen via crypto kanalen kunnen plaatsvinden zonder dat iemand ook maar weet wie er achter die rekeningen zit denk ik dus dat dit probleem alleen maar erger wordt. Wij mogen als gewone burger niet eens een bankrekening openen zonder uitgebreide legitimatie en inschrijving bij gemeente terwijl er met BitCoin totaal niets achterhaald kan worden.

CyberFly @dutchnltweaker • 9 november 2021 10:25

Naar mijn idee is er geen technische oplossing nodig voor dit probleem maar een sociale oplossing. Zelfs met zeer specialistische kennis mag je kiezen tussen werken tot je dood gaat of werken tot je dood gaat. Dat maakt criminaliteit zeer aantrekkelijk, na een succesvolle aanval kan je met pensioen. Klinkt dat niet een stuk aantrekkelijker dan werken tot je 75ste?

Scriptkid @dutchnltweaker • 9 november 2021 10:35

BITCOIN,

Voorheen moest men via bank transfer betalen, dat was traceable,

nu met Bitcoin is er een heel betaalnetwerk met zeer moeilijk te tracen en makkelijk wit te wassen netwerk van currency ontstaan.

TheekAzzaBreek @dutchnltweaker • 9 november 2021 11:20

Voorkomen is nauwelijks mogelijk.

In theorie kan je je primaire systemen van het internet afkoppelen, in de praktijk is dat niet werkbaar.

Je kassa's zijn gekoppeld aan voorraadbeheer, voorraad beheer aan order management en die order zullen toch een keer de deur uit moeten. Voorraadbeheer is gekoppeld aan de back office en een back office zonder email of chat apps is tegenwoordig ondenkbaar.

Bij ons op het werk wordt er geëxperimenteerd met software die op storage niveau de I/O patronen van ransomware probeert te herkennen. In zo'n geval wordt de machine waar dat patroon vandaan komt van het netwerk gehaald. Klinkt goed, maar als een developer b.v. een groot zip archief uitpakt of een checkout doet in versie beheer slaat die software ook aan.
En zelfs als ze dat opgelost krijgen: het is natuurlijk een kwestie van tijd tot de malware industrie daar omheen weet te werken.

Morkatog @dutchnltweaker • 9 november 2021 11:50

Je vermoeden is spot on: In de meeste gevallen krijgt een medewerker een phishing mail met een link waar op geklikt wordt. Vervolgens is het hek van de dam.

Voor een deel is dit echt iets waar mensen zelf bewust van moeten worden en tegen op moeten treden. Een andere optie is om alle html opmaak uit mails te schrappen. Een link die er in de mail uitziet zoals dit voorbeeld kan dan bijvoorbeeld niet gemaskeerd zijn als iets anders. Of hier nog een beter voorbeeld: https://tweakers.net (code : [url ="https://niettweakers.net"]https://tweakers.net[/ url]

BadRespawn @dutchnltweaker • 9 november 2021 12:15

Wat is er in 15 jaar verandert? Het internet commercieel is al actief sinds de jaren 90, maar zulke dingen werden er toen niet gedaan. Ik iedergeval niet on zo een schaal.

Steeds meer bedrijven hebben in die 15 jaar steeds meer gegevens online gezet waardoor het voor criminelen steeds aantrekkelijker is geworden, en die criminelen hebben 15 jaar ervaring kunnen opdoen en hebben dus knowhow en tools kunnen ontwikkelen. En dat alles gaat in de toekomst gewoon door.

Daartegen beveiligen is uiteindelijk een kwestie van geld, en bedrijven maken altijd een afweging tussen kosten en winst.

Not_Disclosed 9 november 2021 15:25

Als de winkels nog open zijn zou ik er toch niet graag zaken doen. Duidelijk is dat de hackers al binnen zijn, de vraag is in hoeverre zijn ze binnen? Ik zou er niet graag een pinbetaling doen wetende dat ze gehackt zijn er het onwaarschijnlijk is dat de kassasystemen al veilig/geaudit zijn. Ik denk dat Mediamarkt in het belang van de consument de winkels gewoon dicht moet doen.

NivKing 9 november 2021 12:38

En wie betalen zo meteen die bitcoins als ze betalen?
Precies jij als consument.

vinkjb @NivKing • 9 november 2021 13:44

Die betalen we allemaal als belastingbetaler vrees ik, Bitcoin is nepgeld en die wordt omgewisseld voor echt geld en zomaar weer miljoenen euro verdwenen van de markt in criminele handen

dave1995 @NivKing • 9 november 2021 12:45

Word betaalt met Monero. Niet Bitcoin.

Krulliebol @dave1995 • 9 november 2021 19:11

Waar baseer je dat op? Volgens dit artikel (en andere nieuwsbronnen) gaat het om bitcoin.

Volgens RTL Nieuws zit de Hive-groepering achter de aanval en eisen de criminelen 43 miljoen euro in bitcoin.

dave1995 @Krulliebol • 9 november 2021 19:15

Omdat Bitcoin gezien het feit de FBI ook met deze groep bezig is veelste riskant is. De media maakt er Bitcoin van. Bitcoin word zelden tot nooit gebruikt met dit soort bedragen in het illegale circuit.

pharmacist @dave1995 • 10 november 2021 08:47

wordT betaalD

tilburgs82 9 november 2021 08:25

Ze hebben het er regelmatig over om niet in te gaan op dit soort aanvallen.
Helaas gaat dat niet werken, want een bedrijf maakt altijd een afweging tussen kosten voor het “losgeld” en de kosten voor alles op opnieuw opzetten.

GrooV @tilburgs82 • 9 november 2021 08:50

Het is ook makkelijk praten van de overheid, die verliezen er niks mee. Zo roepen dit wel maar bieden geen bescherming zoals bij een “normale” gijzeling waarbij de politie het overneemt en achter de daders gaan.

Ik ben er ook geen voorstander van maar bedrijven moeten door. En dan gaat het mij niet eens om de aandeelhouders maar om het personeel wat er werkt, die hebben hier ook niet voor gekozen en ook geen invloed op de IT infra

Rob_Dielemans @tilburgs82 • 9 november 2021 08:53

Helaas is dat de verkeerde overweging voor een kosten baten analyse, het moet zin, alles opnieuw opzetten, waarbij de nadruk ligt op een systeem waar ransomware onmogelijk/zeer lastig is. Of losgeld betalen + de kosten om je huidige systeem aan te passen zodat ransomware onmogelijk/zeer lastig is.
In dit geval kan het eerste goedkoper zijn. Maar het is hier natuurlijk makkelijk speculeren.

Edit. Ik vergat dat ze natuurlijk ook data in handen hebben die, ik zeg maar wat, niet voldoen aan de GDPR. Dus dan moeten ze dat ook meenemen in de calculatie.

[Reactie gewijzigd door Rob_Dielemans op 22 juli 2024 20:39]

Vizzie @tilburgs82 • 9 november 2021 08:53

Regeling maken dat ze voor elke euro losgeld twee euro moeten betalen om de criminelen op te laten sporen en te berechten. Ze maken het probleem erger dus betaal dan ook maar voor het oplossen.

moredruid @Vizzie • 9 november 2021 14:32

De meeste threat actors vallen buiten de NLse jurisdictie. Ze zitten in landen die niet meewerken aan uitlevering of zijn in dienst van de overheid aldaar (Noord-Korea en Rusland om de 2 bekendste te noemen), die lachen je gewoon uit als aankomt met je verhaal.

Als je ze al ergens mee zou kunnen pakken dan zou je het fundamentele principe van crypto (ontraceerbaarheid) moeten gaan kraken zodat je "gemarkeerde" crypto kan overboeken en daarna de wallet kan blokkeren/overnemen.

ultimasnake @tilburgs82 • 9 november 2021 08:59

In dit geval is kosten-baten niet het enige ding... Deze organisatie staat bekend om ook gegevens (van klanten!) uit te lekken als er niet betaald wordt. Ik ga er voor 99% zeker vanuit dat de Mediamarkt zijn zaken niet op orde heeft en 99% zeker ook te veel data heeft bewaard die niet in bezit had moeten zijn bij de Mediamarkt (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) en dus echt niet mogen worden uitgelekt.

kodak

Networking en security
Ransomware

@tilburgs82 • 9 november 2021 09:16

Als het goed is maak je ook de afweging of het ethisch en legaal is criminelen financieel te laten verdienen.

Scriptkid @tilburgs82 • 9 november 2021 10:40

Hoezo voorkomt betalen dat je niet alles opnieuwed moet opzetten, want dat moet je toch , je kunt bij een admin credential compromise nl niks meer vertrouwen.

PatRamon 9 november 2021 08:26

Wat ik nou nog steeds niet snap (zoals vele)
Zorg dat je minimaal 1x per dag back-ups maakt en het je zelf als bedrijf makkelijk kunt maken om dat terug te zetten.
*En zeker de backups op een andere locatie opslaan.

Dan maar 1 dag alles sluiten en iedereen naar huis sturen om je systemen terug te zetten.
En uiteraard gewoon ouderwets een papieren of externe "simpele" rapport van ins en outs van je goederen.

Geef deze manier van oplichting geen kans om "te onderhandelen" en vermeld er lach gewoon de eisers uit doormiddel van je backups.
-
Excluparts mooi voorbeeld, die ging niks betalen.
Dan maar alles opnieuw tellen/balansen.

honey @PatRamon • 9 november 2021 08:33

Vaak zijn je backups ook encrypted. Ze zitten soms al weken of maanden op je netwerk.

WouterG @honey • 9 november 2021 09:10

Back-ups zouden op immutable storage moeten staan. Dan kan de malware wel in de back-ups zitten maar is deze nog niet versleuteld. De uitdaging is dan wel om de data uit de back-ups te gaan halen zonder het activeren van de malware.

FreshMaker @WouterG • 9 november 2021 10:07

Back-ups zouden op immutable storage moeten staan. Dan kan de malware wel in de back-ups zitten maar is deze nog niet versleuteld. De uitdaging is dan wel om de data uit de back-ups te gaan halen zonder het activeren van de malware.

Dan is de factor tijd een goede ...
want wanneer is jouw backup obsolete ?
Sales data van 6 maanden geleden is leuk voor de statistiek, maar helpt je niet met de inventaris.
Als ik een backup van 6 maanden geleden moet terugzetten van "alles" dan heb ik een enorme achterstand, en kan ik net zo goed 'schoon' beginnen.

WouterG @FreshMaker • 9 november 2021 11:09

Zodra het daadwerkelijke versleutelen begint zou je dat op moeten merken d.m.v. tools of doordat je er simpelweg achter komt dat applicaties niet meer werken. De voorgaande back-up zou nog intact moeten zijn doordat hij immutable is.
Systemen plat gooien, applicaties opnieuw inrichten (of image die gemaakt is bij het opbouwen van het systeem), back-up bestanden terugzetten uit de laatste back-up, zorgen dat de malware niet overgezet wordt en draaien.

De schaal waarop dit bij de Mediamarkt speelt maakt dit natuurlijk niet eenvoudig...

FreshMaker @WouterG • 9 november 2021 11:36

Vrijwel altijd zit er tussen het versleutelen en de echte infectie meer tijd.

Er wordt gebruikt gemaakt van een sleutel online, die niet acteif is.
Sluimerend op de achtergrond doet de aanvaller zijn werk, en als hij alle gewenste data heeft, zet hij op een forum of website een berichtje wat nergens op slaat.

( simplistische manier "if user pietje post hallo then encrypt")

Zie je de versleuteling gebeuren, ben je te laat ... data is al gekopieerd, en terugzetten backup laat het over X dagen weer opnieuw beginnen

Hatsjoe @FreshMaker • 9 november 2021 15:47

Daarbij ga je er vanuit dat je complete machine images terug zet. Dat moet je natuurlijk niet doen. De backups van de data zet je terug, maar al je machines bouw je vanaf de grond af aan opnieuw op. Op die manier bestaat de infectie niet meer, en wanneer de data weer terug gezet is, ben je weer in de lucht.

Ik ben zelf werkzaam als AWS Architect, en ik snap ook echt wel dat het makkelijker gezegd dan gedaan is. Echter is een op de juiste manier opgezet systeem wat betreft backups en infra relatief makkelijk te herstellen, zonder dat de infectie weer opnieuw optreed (mits het lek gedicht is).

Het probleem zit hem 9/10 keer op hoger niveau. Geen budget om te investeren in beveiliging, geen budget om een CISO aan te nemen, geen budget om engineers te trainen op gebied van informatiebeveiliging, of simpelweg geen tijd om dingen juist te doen door onmogelijke deadlines.

De technologie is er, en is niet eens zo moeilijk om juist te gebruiken. Je moet het echter wel doen. Wanneer het bedrijfsleven maar ook het MKB hun zaken gewoon goed op orde hebben verliezen dit soort hacker groepen hun bestaansrecht. Uiteraard vinden ze wel weer iets anders, maar ransomeware is echt iets dat gewoon gemitigeerd kan worden.

PatRamon @honey • 9 november 2021 08:36

Precies dat kan ook nog gaande zijn.
Zal alleen maar meer voorkomen in de toekomst helaas.
Jammer dat het ene bedrijf na het andere bedrijf volgt, en niet van elkaars fouten leren of wellicht al te laat zijn.
Kosten plaatje en vermoedelijk zou er toch iets meer geïnvesteerd moeten worden in de beveiliging

tweakytwink @PatRamon • 9 november 2021 08:30

Wie zegt dat de backups van gisteren geen slapende malware bevatten, en 24u later weer alles om zeep is ? En 3000+ servers restoren is met de meeste forever incremental ook wel even een opgave.

turbojet80s @tweakytwink • 9 november 2021 09:05

en wie zegt dat de backdoor niet nog steeds open staat nadat je je losgeld hebt betaald?

Ootje70 @tweakytwink • 9 november 2021 09:15

Of dat de data gestolen is en het vrijgeven daarvan onderdeel uitmaakt van de bedreiging. Dan heb je wellicht je systemen weer draaien maar kunnen financiële gegevens, persoonlijke gegevens van klanten en leveranciers gelekt zijn die daarna weer gebruikt kunnen worden om deze bedrijven en personen aan te vallen en te bedreigen.

BadRespawn @tweakytwink • 9 november 2021 12:24

Wie zegt dat de backups van gisteren geen slapende malware bevatten,

Aan de andere kant, backup van gegevens hoeft in principe geen uitvoerbare code te bevatten. Daarnaast kan voordat een backup wordt gemaakt de integriteit vd gegevens worden getest (evt als tussenstap; eerst een testbackup maken). Hoe dan ook zal betere beveiliging meer geld kosten en dus de winst drukken. Er moet eerst bereidheid zijn om er meer geld aan uit te geven.

YoMarK @PatRamon • 9 november 2021 09:06

De backup server is natuurlijk de eerste die geformatteerd(lees: onklaar gemaakt) gaat worden. Enige wat helpt is er voor zorgen dat backups nooit(ook niet door de beheerders van het systeem ) verwijderd kunnen worden of offline worden bewaard.

Yggdrasil

@YoMarK • 9 november 2021 09:47

Nee, dat is meestal niet wat gebeurt want veel te opvallend. Meestal worden de bestanden al maanden eerder besmet maar nog niet 'geactiveerd' en dus maandenlang zijn er besmette bestanden gebackupt. Als de aanval dan getriggerd wordt, door tijdstip of een externe trigger, zijn je backups eigenlijk een mijn die op scherp staat. Welke backup kun je veilig terugzetten? Hoe ver moet je terug gaan? Als je een backup terugzet die besmet is, wordt dan alles opnieuw besmet en moet je dan opnieuw beginnen? Etc.

YoMarK @Yggdrasil • 9 november 2021 09:55

Dat is probleem 2. Natuurlijk, 'immutable storage' is niet het antwoord op alle problemen, maar als je de data nog hebt, ook al moet je die daarna gaan 'wassen' is beter dan dat je helemaal niets meer hebt.
Overigens als we het hebben over b
v. een fileshare, het valt veel te veel op om individuele bestanden te infecteren al maanden voordat ze op de knop drukken.

R4gnax

Networking en security

@Yggdrasil • 9 november 2021 13:12

Nee, dat is meestal niet wat gebeurt want veel te opvallend. Meestal worden de bestanden al maanden eerder besmet maar nog niet 'geactiveerd' en dus maandenlang zijn er besmette bestanden gebackupt.

Dat is niet hoe time-delayed cryptolockers in de regel werken.
In de regel werken ze door een filter-driver op het geinfecteerde systeem te installeren die bestanden op de achtergrond, alsmede in real-time (wanneer ze opgeslagen worden) dmv een public key encrypt. Bij het uitlezen van de bestanden decrypt de filter-driver de content on-the-fly mbv de bijhorende private key die ook ergens op schijf weggemoffeld staat.
Na verloop van tijd is alles op je systeem grondig encrypted en zijn de encrypted files ook je backups ingevloeid, maar heb je als gebruiker nog niets gemerkt. Echter: die backups zijn dan al lang en breed versleuteld en waardeloos. Op dat moment loopt de timer af; wordt de lokale kopie van de private key gewist; en activeert de malware popups etc. om zich aan de gebruiker kenbaar te maken.

Hier is alleen tegen te wapenen door niet alleen backups te maken, maar ze ook op een schoon systeem te inspecteren.

noostenb @PatRamon • 9 november 2021 08:34

Probleem daarbij is dat je waarschijnlijk gelijk de backdoor die de aanval mogelijk heeft gemaakt terugzet. De aanvaller kan het truukje zo herhalen. Bovendien is het mogelijk dat de data al enige tijd geleden is versleuteld en alleen maar “on the fly” werd ontsleuteld voor businessapplicaties. Dan heb je ook niets meer aan je backup van gisteren maar moet je (veel) verder terug.

grasmanek94 @noostenb • 9 november 2021 08:50

on the fly

Oprechte vraag, heb je voorbeelden van malware die dat doet?

Zoiets hoorde ik nog niet voorkomen, al is het niet onmogelijk.

Spykie @PatRamon • 9 november 2021 09:06

Je snapt het niet omdat je blijkbaar niet in de materie zit, dat geeft niet maar doe dan niet alsof je het allemaal wel weet.

Met betrekking tot malware heb je vaak *niets* (of niet veel) aan backups, je weet vaak niet (snel genoeg) wanneer de malware binnengekomen is waardoor je geen veilig herstel punt hebt.

Daar zit je dan met je 23 Exabyte aan backups van 3000+ servers.

Beter gewoon betalen, je bedrijf weer online en daarna verdere stappen ondernemen
of (maar dit is vaak geen optie) opnieuw opbouwen.

sniper20 @Spykie • 9 november 2021 10:29

Niet elk bedrijf heeft 3000 servers. Back-up terugzetten is vaak het redmiddel bij Ramsomware. Zeker bij kleinere bedrijven. Zorgen dat je een goede (offline) backup hebt.

HSG @PatRamon • 9 november 2021 09:27

Excluparts lijkt mij een veel kleiner bedrijf dan Mediamarkt.

moredruid @PatRamon • 9 november 2021 14:53

Jij gelooft toch niet dat je op 1 dag een paar duizend servers opnieuw hebt ingericht en meerdere petabyte aan data gerestored, getest en gevalideerd hebt?

Indien wel: binnenkort komt er een hele aardige man met een witte baard op bezoek, ik zou alvast een plekje reserveren.

Mandrake466 9 november 2021 09:19

Is de helpdesk van Hive klantvriendelijk? Weet iemand dat?

Vic-Green @Mandrake466 • 9 november 2021 09:29

Meestal proberen we de klant toch gerust te stellen en proactief naar een betaalbare oplossing te werken

[Sarcasme]

Macboe @Mandrake466 • 9 november 2021 09:30

dutchgio @Mandrake466 • 9 november 2021 09:32

Ze vroegen naar verluid eerst $240 miljoen, dus de helpdesk heeft ze al een flinke korting gegeven. Best klantvriendelijk zou je zeggen...

Ocin32 9 november 2021 08:26

Op een geven moment kan ik me voorstellen dat onderdeel van dit verdienmodel gaat worden dat ze systeembeheerders proberen te benaderen en deze een flink geldbedrag bieden om ergens een achterdeurtje te bouwen. Ook met gegarandeerde uitbetaling uiteraard, anders is het niet interessant. Er zal in elk bedrijf wel een gefrustreerde systeembeheerder rondlopen.

Blijft een bijzonder vervelende ontwikkeling dit, keihard aanpakken, maar wie dan precies…

Jer0entjeh88 @Ocin32 • 9 november 2021 08:47

Inderdaad, wat pak je aan? Toch rijst bij mij de vraag; zou dit ook zo lucratief zijn zonder crypto? Geld overmaken naar een willekeurige bankrekening is een stuk makkelijker te traceren en terug te halen.

Allard @Jer0entjeh88 • 9 november 2021 09:11

Bitcoin is gestart in 2009. Hoewel ransomware al sinds de jaren 90 bestaat is het pas echt gaan groeien vanaf ca 2011. Noem het een educated guess, maar ik denk dat het succes van cryptocurrency en ransomware (en andere computercriminaliteit) aan elkaar gekoppeld zijn.

Vic-Green @Allard • 9 november 2021 09:23

Internet is gestart in xxxx. Hoewel ransom al sinds de jaren x bestaat is het pas echt gaan groeien vanaf ca de start van internet. Noem het een educated guess, maar ik denk dat het succes van internet en ransom(ware) (en andere criminaliteit) aan elkaar gekoppeld zijn.

mvrhrln @Allard • 9 november 2021 11:08

de vraag is dan wie drijft wie aan ?

FreshMaker @Jer0entjeh88 • 9 november 2021 10:02

Inderdaad, wat pak je aan? Toch rijst bij mij de vraag; zou dit ook zo lucratief zijn zonder crypto? Geld overmaken naar een willekeurige bankrekening is een stuk makkelijker te traceren en terug te halen.

Als ik zo eens een rondje systeembeheerders maak, denk ik dat er heel veel zijn, die niet eens het verschil kennen tussen een paper wallet en een online wallet, laat staan dat ze die crypto 'ongezien' op hun eigen rekening gaan krijgen.

Want die persoon moet gewoon zijn huur/hypotheek blijven betalen uiteindelijk

J_van_Ekris @Ocin32 • 9 november 2021 09:01

Op een geven moment kan ik me voorstellen dat onderdeel van dit verdienmodel gaat worden dat ze systeembeheerders proberen te benaderen en deze een flink geldbedrag bieden om ergens een achterdeurtje te bouwen. Ook met gegarandeerde uitbetaling uiteraard, anders is het niet interessant. Er zal in elk bedrijf wel een gefrustreerde systeembeheerder rondlopen.

Is chantage niet effectiever? Want als de Admin toch nog enige integriteit heeft meldt hij het zonder schade voor zichzelf bij de organisatie. Bij chantage sluit je die weg af...

dakka @J_van_Ekris • 9 november 2021 10:01

Meestal beide, je wordt eerst gelokt met geld, groot deel vooraf betaald, dan hebben ze al 1 voet achter de deur als je toch iets probeert

Master_duck 9 november 2021 08:31

Verbaast mij dat veel bedrijven geen Disaster Recovery Plan hebben.

Als ze die hadden dan heb je echt wel binnen een paar dagen de boel weer draaien. Al is dat wel heel veel werk en niet alles zou tip top zijn maar toch.
De data die ze hebben en zullen publiek maken zou niet heel erg schokkend moeten zijn. leuk is het niet.
Maar 1 manier hoe je dit kan laten stoppen: betaal niet als we dat allemaal doen, is er geen geld meer mee te verdienen.

Dick Ravestein @Master_duck • 9 november 2021 08:44

Waarschijnlijk weten die gasten dat ook. Zij zullen dan ook de losgeld vraag daarop aanpassen. M.a.w. het is (veel) goedkoper om het losgeld te betalen dan het niet te doen en een "disaster recovery plan" (wat dat ook inhoud) uit te voeren.

Edit: wat justitie wel moet doen is als ze de mensen pakken die dit doen ze opsluiten en de sleutel weggooien. De pakkans is hoogstwaarschijnlijk zeer klein maar als ze gepakt worden moeten ze ook heel zwaar gestraft worden.

[Reactie gewijzigd door Dick Ravestein op 22 juli 2024 20:39]

Anoniem: 316512 @Dick Ravestein • 9 november 2021 08:50

Wat een bijzondere conclusie. Een disaster recovery plan en goed inrichten van je backupstrategie hoeft helemaal niet zoveel te kosten.

Dick Ravestein @Anoniem: 316512 • 9 november 2021 09:08

Daarom zet ik het het er ook achter " wat dat ook inhoud ". Waar praten we dan over voor een multinational als de MediaMarkt qua kosten? Die criminelen vragen ca. 50 miljoen dollar in Bitcoin. Kun je het daarvoor beveiligen?

moredruid @Anoniem: 316512 • 9 november 2021 14:47

Het maken van zo'n plan en de boel eenmalig inrichten is peanuts vergeleken bij het bijhouden en testen van zo'n plan en de maatregelen, laat staan de uitvoering van een hele "reset" na een calamiteit.

zomaar een paar dingen die in me opkomen:
- hoe waarborg je je backup
- hoe controleer je bij een test of na een calamiteit al je systemen (bij een organisatie als de MM makkelijk een paar duizend servers, om nog maar niet te spreken over POS, Kiosken, IoT devices, printers, routers, storage)
- hoe toets je dit alles en zorg je dat je bij blijft (processen, budget) terwijl de top alleen maar ziet dat het (heel veel) geld kost maar zogenaamd niets oplevert.

Anoniem: 316512 @moredruid • 9 november 2021 14:49

Dat zijn zaken die je allemaal geautomatiseerd onder controle kan hebben en met de juiste procedures (ISO 27001 enz) moet kunnen waarborgen.

Is het allemaal zo simpel? Uiteraard niet.
Kan het goedkoper dan nu losgeld betalen (los gezien van de reputatieschade?) Absoluut.

moredruid @Anoniem: 316512 • 9 november 2021 15:10

Vooropgesteld dat we het alleen hebben over versleuteling en niet over exfiltratie van de bedrijfsdata (dan ben je hoe dan ook de Sjaak want je (klant-)gegevens kunnen zo op straat komen te liggen met alle gevolgen van dien):

ISO27001 is net de zwakste standaard van het stel, dat zegt helemaal niets over security behalve dan dat je er wat procesjes en procedures voor hebt ingericht. SSAE 16 &18 of ISAE 3402 doet daar voor de financiële markten wat bovenop, maar dat heeft voornamelijk te maken met compliancy hoewel er daardoor ook wat security zaken geraakt worden. SOC 2 is wat dat betreft wat flexibeler en moderner. Let wel, dit is vanuit het oogpunt van een auditor, iets waar een hacker lak aan heeft of hooguit gebruikt om (als ie die gegevens gevonden heeft) te bepalen wat zijn makkelijkste aanvalsvector is. Zodra een hacker ziet wat je DR is gaat ie op zoek naar de gaten in die flow en zal ie deze uitbuiten.

Rannasha @Master_duck • 9 november 2021 08:50

Verbaast mij dat veel bedrijven geen Disaster Recovery Plan hebben.

Dat is niet altijd genoeg. Met goede voorbereiding kun je inderdaad relatief snel de boel weer op de rails zetten vanuit je backups, maar steeds meer ransomware aanvallen versleutelen de data niet alleen, maar uploaden ook een kopie naar een server van de aanvaller, met de bedreiging dat de data openbaar gemaakt wordt als het losgeld niet wordt betaald.

Afhankelijk van de aard van het bedrijf kan het uitlekken van zoveel interne gegevens ontzettend schadelijk zijn voor het bedrijf, de klanten en toeleveranciers. En tegen deze dreiging heb je niet zoveel aan een goed backup systeem.

BadRespawn @Rannasha • 9 november 2021 12:32

[...]
maar steeds meer ransomware aanvallen versleutelen de data niet alleen, maar uploaden ook een kopie naar een server van de aanvaller, met de bedreiging dat de data openbaar gemaakt wordt als het losgeld niet wordt betaald.

Het begint er mee dat ongeoorloofde toegang mogelijk is; de beveiliging is niet op orde.

Rinzwind 9 november 2021 08:37

Decentralisatie... centraal alles beheren maakt het ook stuk makkelijker centraal alles stuk te maken.

En kennis in huis hebben ipv voor elk dingetje een dure consultant willen inhuren die regelmatig er te weinig van weten zelf maar daar terecht komen door marketing power van het consultantsbureau.

En reeele recovery testen.

himlims_ @Rinzwind • 9 november 2021 08:41

hoe wil je beheer anders doen? fysiek naar iedere bak? is ook kansloos

blijf van mening dat overheid bedrijven verplicht zou moeten stellen tot een gedegen backup; nee dat vangt niet alles af (stel men zit al maanden in je systeem, en dus ook in je oudere backup). Echter heeft het verleden aangetoond dat in praktijk dat de enige 'werkbare' oplossing is.

Heb je niet een bruikbaar backup systeem / procedure, is betalen de enige optie. Tenzij je jouw toko wilt opheffen, incl. voltallig personeel op straat.

thunder8 @himlims_ • 9 november 2021 09:08

Met dit soort Ransomware is een gedegen backupstrategie misschien je enige kans, maar het is niet voor niets dat een infectie pas na dagen wordt getriggerd en dan de boel op slot gaat. Daar gaat geen enkele backup tegen helpen, zeker niet als je ook nog eens dagelijks online mogelijk 1000-en bestellingen aanneemt, moet verzamelen en uitleveren. Terug gaan naar een paar dagen ervoor is niet te doen, als je al te weten komt hoelang ze al in je systemen zitten.

Dergelijke groeperingen moeten niet alleen voor computercriminaliteit worden gepakt, maar van mij mag de aanklacht nog wel een tandje zwaarder. Wereldwijd levenslang eisen zonder kans op vervroegde vrijlating, zodat het niet uitmaakt in welk land je je verstopt. Daarnaast mag de pakkans ook hoger, dus meer internationale samenwerking om dit soort criminelen eerder op het spoor te komen en te pakken. Het gaat hier niet om een paar scriptkiddies, maar om professionele criminele organisaties die een maatschappelijk ontwrichtende functie hebben. Wil nog niet zeggen dat het terroristen zijn, maar het zit er ook niet heel ver vanaf.

J_van_Ekris @himlims_ • 9 november 2021 11:39

blijf van mening dat overheid bedrijven verplicht zou moeten stellen tot een gedegen backup; nee dat vangt niet alles af (stel men zit al maanden in je systeem, en dus ook in je oudere backup). Echter heeft het verleden aangetoond dat in praktijk dat de enige 'werkbare' oplossing is.

Wat heb je aan een maanden oude backup? Je voorraadposities kloppen niet meer, je prijzen kloppen niet meer en ook al je bestellingen zijn verdwenen. Dit soort bedrijven zijn enorm kwetsbaar omdat een backup van een week oud net zo goed aan decennium oud kan zijn: de data is te volatiel om het zo te backuppen dat het bedrijfstechnisch nog zin heeft.

Overigens is dat niet voorbehouden aan dit soort winkeliers. Zelfs een administratief bedrijf of adviesbureau hebben daar last van. Een backup klinkt leuk, totdat je meer dan een dag terug moet.

BadRespawn @himlims_ • 9 november 2021 12:34