Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie

Ik denk dat die lastig te beantwoorden is, zeker die laatste vragen. Die eerste zijn denk ik vrij eenvoudig te beantwoorden als je de vraag simpel maakt. Ik vermoed dat een beetje bedrijf wel weet wat het per uur kost om niet te kunnen produceren. Zet dat tegenover je RTO..

Veilig zijn je systemen sowieso niet, en "veilig" als concept kunnen we denk ik laten varen. Heel de ICT hangt aan elkaar met een afweging tussen uptime en patchen. Zet je de achterdeur helemaal dicht dan vind iemand langs de voordeur wel ergens een manier om binnen te komen. Wil je alles 100% veilig hebben dan ben je volcontinue aan het patchen en dat is voor de meeste bedrijven echt geen optie. Het enige wat je een beetje kan doen is denk ik damage control in het geval dat er iets is wat om zich heen grijpt. Proberen de schade te beperken als het zo ver is.

Ik vrees dat je buiten allicht wat MKB inmiddels hard moet zoeken naar tape backups. Een jaar of 10 geleden had ik je keihard gelijk gegeven, tegenwoordig is dat toch echt geen werkbare optie meer voor de meeste bedrijven vrees ik.

Is wel een beetje.. Symptoombestrijding. Vrees ik. Ik snap je gedachtegang maar helaas loopt het in de praktijk vaak anders.

Een out of date backup is geen backup waar je wat aan hebt.

Als je voor alles de doodstraf voltrekt heb zeker geen last van recidive.

In Honk Kong was er (voor het China werd) een behoorlijk grote diefstal van luze auto's voor naar het vaste land. Daarvoor hadden ze snelle boten (je takelt een mercedes/bmw/... in het ruim, en gaat met 80-100 Km/u naar het chinese vaste land om een generaal, partijlid oid blij te maken.)
Als ze gepakt dreigden te worden vochten ze zich ongeveer dood omdat de weg naar een gevangenisstraf op vrijwel hetzelfde neer kwam.

Dus bij geweldadige repressie krijg je waarschijnlijk ook geweldadige arrestaties.

[Reactie gewijzigd door tweaknico op 23 juli 2024 03:13]

Door Byron010:

Laat ik een scenario schetsen zodat je begrijpt waar mijn vraag vandaan komt:
Een financieel bedrijf die zijn klanten moet kunnen verifieren, meerdere werknemers die de initiele verificatie kunnen doen en support werknemers die er toegang tot moeten hebben om bepaalde acties te kunnen doen voor de klanten (in combinatie met andere vormen van verificatie).

Hoe zou je dan aanraden om paspoort kopieen op te slaan?

Om te beginnen: een kopie van een identiteitsbewijs is net zoveel waard als een kopie van een bankbiljet: niets. De echtheidskenmerken ontbreken.

Helaas zijn er toch zeer veel partijen die een kopietje-paspoort vereisen ter authenticatie (bewijzen dat de verstrekker de rechtmatige eigenaar is). Zodra zij (of hackers) zo'n kopie in handen hebben, kunnen ook zij zich voordoen als de persoon beschreven op het identiteitsbewijs.

Daaarnaast zijn gegevens op een identiteitsbewijs ongeschikt voor online authenticatie als je weet dat er mensen zijn die misbruik maken van dit systeem. En dat gebeurt. Want die gegevens zijn niet geheim te houden (ook BSN niet).

Als je als (financieel) bedrijf jouw klanten met het risico van identiteitsfraude wilt opzadelen (en wellicht dat risico ruimhartig overneemt bij incidenten), hoor je op z'n minst dataminimalisatie toe te passen.

Dat kan door medewerkers uitsluitend toegang te geven tot gegevens die zij nodig hebben ter (zwakke) verificatie. Bijvoorbeeld, als het om baliemedewerkers gaat, een kopie van de pasfoto (niet het hele ID-bewijs) bij het rekeningnummer; telefonische supportmedewerkers hebben geen foto nodig.

Meestal is het veiliger om de klant te laten inloggen ter authenticatie, maar dat kan wellicht niet altijd.

Niet mogelijk op dit moment. We kunnen daar toch wel andere oplossingen voor bedenken. Want waarom zou een werkgever een kopie ID moeten hebben überhaupt. Dat komt door regel/wet-geving. Maar vooral ook omdat we dat nou eenmal zo doen. (gewenning/vastgeroest gedrag)

En dat opslaan is een groter probleem dan de meeste denken.
Een kopie van een ID word zo maar op meerdere plekken opgeslagen zonder dat men het echt door heeft. Daar valt niet tegen op te werken met bewustwording.

Bijvoorbeeld alleen al scan to mail oplossingen.
Werkgever/organisatie maakt kopie, en het liefste digitaal. Dus bijvoorbeeld met scan to mail.
Dan staat die kopie al op meerdere plekken. Namelijk in het geheugen/history van de scanner/printer.
In de send items van het de gebruikte mail account voor de koppeling. In de mailbox van de ontvanger & Op de mail server.. wellicht ook op de backup server.
Word de mail van deze gebruiker ook nog op een mobiel gelezen, staat de kopie ook op die mobiel.
oh, en is die mobiel ook nog gekoppeld aan een backup oplossing in de cloud? staat het daar ook nog een keer.

Dan slaat de gebruiker deze mail of bijlage nog een keer lokaal (bijvoorbeeld standaard in de downloads folder) op om vervolgens op een netwerk schrijf op te slaan. En met een beetje pech word de mail met bijlage ook nog een keer geforward naar iemand anders waar het hele riedeltje zich herhaalt.

[Reactie gewijzigd door Zjemm op 23 juli 2024 03:13]

Dat ligt eraan wat er in het contract, personeelshandboek e.d. staat.
Als daar dingen over staan over dat dit absoluut niet mag, ja dan is dit voer voor ontslag op staande voet.

Of als ze hier al eerder voor gewaarschuwd is dat het niet mag.
Die mailtjes zijn helaas vaste kost nu met Covid-19
Maar gevoelig spul als dat in je mail laten staan......

[Reactie gewijzigd door hackerhater op 23 juli 2024 03:13]

"mailtjes met kopieën van paspoorten van nieuwe medewerkers"
Wie verstuurde deze mailtjes? en waarom gaan er mails rond met dergelijke kopieën? Is werknemer duidelijk geïnstrueerd om dit te verwijderen?

Door corona werden nieuwe medewerkers verzocht een kopie per mail te versturen. Normaliter gebeurt dit op locatie (fysieke controle vóór het tekenen van het arbeidscontract) en wordt de kopie direct in het P-dossier opgeslagen

"De persoon in kwestie was zich volkomen onbewust van de gevaren/risico's."
Dan liet voorlichting te wensen over. (Of werknemer begreep er zelf echt helemaal niets van)

Geloof, me aan de voorlichting ligt het niet. Het is gelukkig een uitzondering, maar de persoon in kwestie was gewoon naïef en vond wat ze deed zelf niet risicovol.

"In 'de systemen' was het allemaal omslachtig en tijdrovend"
Als dit inderdaad te omslachtig en tijdrovend is dan werk je dit soort methoden helaas in de hand

"Omslachtig en tijdrovend" is een subjectieve beleving. Inloggen met MFA vinden sommigen ingewikkeld en tijdrovend, een export draaien uit een P-systeem vinden sommigen omslachtig, niet over p-gegevens kunnen beschikken ivm privacy vinden sommigen onhandig ("ik wil alleen maar een beterschapskaart sturen, waarom mag ik het adres niet?")

Dus ik begrijp je commentaart, echter: welkom in een wereld met echte mensen. Niet iedereen is zich bewust van de risico's van eigen gedrag, niet iedereen ziet de gevaren, niet iedereen kan nieuwe (IT-)vaardigheden snel oppikken en leren, niet iedereen wil (mee)veranderen. 80% van je tijd en energie gaat zitten in 20% van de collega's die meemoeten met de tijd.

Dat is zeker vaak een issue, maar bedrijven als Abiom bedienen een nichemarkt. Als er betrouwbare beveiligings-certificeringen zouden bestaan, zou je die als klant moeten eisen.

Dat is een beetje het lastige punt, klanten weten niet waar ze om moeten vragen. Er is geen kant en klare checklist of algemene standaard waar iedereen op terug kan vallen voor een zeker basis niveau. Nou ja, standaarden genoeg in deze wereld maar als de doelgroep die niet kent heb je er niks aan. Maar om te weten wat je dan wel moet vragen kost een grote investering in IT-kennis terwijl de hele outsource beweging er juist is om die kennis niet te hoeven hebben.

Ja, maar zelfs als je een redelijk overzicht van je assets hebt, denk ik dat je ICT-beveiliging nooit redelijk en betaalbaar voor elkaar kunt krijgen bij de complexiteit van bergen legacy-meuk gemixt met allerlei cloudoplossingen, BYOD en thuiswerkers (zoals gebruikelijk in de gemiddelde hedendaagse MKB ICT-omgeving).

Dat klopt, je doet wat je kan. De vervelende valkuil van IT is dat niemand het kan betalen om het goed te doen (met een paar uitzonderingen voor techreuzen als Google). Ieder normaal bedrijf heeft een IT-omgeving die eigenlijk niet voldoet en eigenlijk niet veilig genoeg is (ik besef dat dit zeer relatief is).

Het aanvalsoppervlak is dan gigantisch en dus kost zinvol beveiligen veel te veel geld (nog los van managers die denken dat "cloud" betekent dat de leverancier voor alle beheer en beveiliging zorgt).

Goeie, dat is inderdaad ook deel van het probleem. Een van mijn stokpaardjes is dat men het verschil niet ziet tussen "cloud" en "uitbesteden" en dat ze geen idee hebben wat ze nu eigenlijk wel en niet krijgen. De aanname is meestal dat de nieuwe werkwijze goedkoper is, maar in mijn ervaring is dat vaak toch niet omdat er niet goed gebruik wordt gemaakt van de nieuwe mogelijkheden. Het typische voorbeeld is iemand die z'n 2 redundante servers met 128G RAM ieder naar de cloud verplaatst en dan ook twee instances wil met 128G RAM ieder hebben, in plaats van de software te herschrijven om slim gebruik te maken van de mogelijkheden van de cloud. Dat wordt een duur en vervelend traject.

We bewaren alles online (stel dat een collega het ooit nodig heeft, dus iedereen mag erbij) want opslag kost bijna niks. En opruimen kost meer tijd naarmate de berg groter wordt; vaak is er geen beginnen meer aan.

Een strategie is om al je data direct al een levensduur mee te geven en die na verloop van tijd automatisch te laten archiveren of verwijderen. Liefst natuurlijk met een 'grace period' zodat je data kan terughalen die te vroeg is verwijderd.

In zo'n context ISO 27001 goed implementeren is ondoenlijk. En mocht een auditor jouw ISMS goedkeuren, is het de vraag wat dat waard is.

Mooie, ik geloof dat ik hier nog wel een paar collega's mee op de kast kan jagen

We hebben m.i. behoefte aan minder complexe ICT-omgevingen. En aan beveiligings-certificeringen die dat meewegen maar ook in hoeverre data minimalisatie (incl. data lifecycle management) is geïmplementeerd.

Wijze woorden. Hoe minder je hebt hoe minder er stuk kan gaan en hoe makkelijker de omgeving te overzien is. Overal (ook buiten de IT) ontstaan de meeste problemen door communicatie en samenwerken, of het gebrek daar aan. Een van de redenen dat software zo lastig is, is dat er geen fysieke of ruimtelijke beperkingen zijn aan software. In je auto zal een probleem met je dakraam geen invloed hebben op remmen want die twee zitten niet bij elkaar in de buurt en hebben niks met elkaar te maken. In software zijn er niet dat soort natuurlijke scheidingen. Alle software zit in hetzelfde RAM en gebruikt dezelfde CPU en alle software kan in pricipe invloed hebben op alle andere software, de scheidingen zijn kunstmatige constructies.
Maar helaas werkt de markt niet zo, software wordt vooral verkocht op features en meer features is beter. Het KISS*-principe verliest het eigenlijk altijd van het BLINGBLING**-principe.

* Keep it Simpel
** Niks zo belangrijk als uiterlijk vertoon

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 03:13]