Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente

Een rechter heeft geoordeeld dat IT-bedrijf Switch niet de schadevergoeding van 4 miljoen hoeft te betalen die Hof van Twente geëist heeft in verband met de ransomwareaanval in 2020. De rechter vindt dat de gemeente zelf tekortgeschoten was en dat Switch niet onzorgvuldig handelde.

De rechter stelt dat Hof van Twente zelf de rdp-poort naar het internet heeft opengezet, het makkelijk te raden wachtwoord 'Welkom2020' instelde, en geen tweestapsverificatie had geactiveerd. Hierdoor was de gemeente zelf verantwoordelijk geweest voor de ransomwareaanval, oordeelt de rechter. Bovendien zijn zowel de wijzigingen aan de firewallregels als de wijziging aan het wachtwoord niet aan het IT-bedrijf, Switch IT Solutions, gemeld. De gemeente wilde zelf de hoogste beheerrechten, waardoor Switch van tevoren al had gewaarschuwd dat het 'niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente'.

De IT-leverancier had wel gezorgd voor adequate beveiliging, stelt de rechter, en heeft zich daarmee aan diens contractuele afspraken gehouden. In het contract stond namelijk niet expliciet dat de leverancier verplicht was om beveiligingsrisico's te melden, maar wel om signalen van risicovolle situaties te detecteren. "Expliciet overeengekomen is dat proactieve monitoring alleen van toepassing is op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een bruteforceaanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd."

In december 2020 wist een ransomwarebende via een bruteforceaanval toegang te krijgen tot de systemen van de gemeente, die werden geïnfecteerd met ransomware en daardoor onbruikbaar werden. De groep eiste vervolgens 750.000 euro losgeld. Hof van Twente weigerde te betalen en volgens de gemeente is het de volledige IT-infrastructuur kwijtgeraakt. Hof van Twente stelde dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente die niet werden opgemerkt door Switch, en eiste daarom een schadevergoeding van 4 miljoen euro.

Reacties (136)

Oeken 12 mei 2023 17:28

Tsja wat verwacht je van je IT-supplier:

Het Hof van Twente stelde dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente die niet werden opgemerkt door Switch

Vooral als Welkom2020 wel wertkt

[Reactie gewijzigd door Oeken op 22 juli 2024 18:08]

Frame164 @Oeken • 12 mei 2023 17:42

Was het de verantwoordelijkheid van Switch om dat te controleren?

locke960 @Frame164 • 12 mei 2023 18:02

Switch had dat kunnen doen. Ze hadden ook de gemeente kunnen adviseren om een veel strenger complex wachtwoord beleid te voeren. Ze hadden account lock-out policies kunnen adviseren, 2 factor authenticatie, enz, enz.

Allemaal heel goede ideeën, misschien hebben ze zulke dingen ook wel eens voorgesteld, maar uiteindelijk heeft dat totaal geen zin als je partner/klant niet op een redelijk niveau functioneert en zelfs zulke domme dingen doet als een interne server direct aan het internet hangen voor RDP toegang.

Het houd ergens op met klanten tegen hun eigen domheid beschermen.

dj.verhulst @locke960 • 12 mei 2023 18:32

dikke kans dat het ze echt is gezegd, maar dat ze dat naast zich neer hebben gelegd.
en aangezien ze zelf een beheer account hadden met de hoogste rechten en zelf dingen gesteld zijn ze zelf verantwoordelijk .

Al hadden ze maar een poort een ander nummer gegeven dan zou dat al mega veel schelen , en als men het nog wat beter wil een WAN black en white list dan hou je de meeste koekenbakkers wel buiten
Maar als ik naar het gebruikte paswoord kijk denk ik dat dit te hoog gegrepen is.

Laat staan dat men een 2 weg verificatie zou gebruiken .

heb een aantal gemeentes in Twente als klant gehad ,, ik weet hoe er gewerkt en gedacht word, laten we maar zo zeggen veel verbeter ruimte

tvtech

@dj.verhulst • 12 mei 2023 21:51

Oei, rdp onder een ander poortnumer is niet het beste idee zullen we maar zeggen….

dj.verhulst @tvtech • 13 mei 2023 11:58

klopt maar op de originele poort is helemaal stom .

TechSupreme @locke960 • 12 mei 2023 18:31

De gemeente wilde zelf de hoogste beheerrechten, waardoor Switch van tevoren al had gewaarschuwd dat het 'niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente'.

Tja, dan houdt het al heel snel op he. Als een ambtenaartje die van zichzelf vindt dat hij handig is met computers even van alles gaat configureren en dat dan niet meldt, dan is het een naald in een hooiberg.

kroegtijger @TechSupreme • 12 mei 2023 19:07

Dat dus.... met 2 kapiteins op een schip kan je onmogelijk verantwoordelijkheid nemen

arjankoole @kroegtijger • 13 mei 2023 07:24

Dat dus.... met 2 kapiteins op een schip kan je onmogelijk verantwoordelijkheid nemen

Kan wel. Maar dan moet je het goed vastleggen en goed controleren vooral. Ik kan makkelijk zat een aanbesteding uitschrijven voor het beheer van een stuk omgeving, maar daar gaat nooit iemand op inschrijven, omdat er bijna niemand verstand van heeft in dit land.

En dat is een redelijk veel gebruikt product, van een heel groot internationaal bedrijf, met uitstekende ondersteuning en patches. Het is alleen heel complex en heel duur (want het kost je heel veel tijd) om daar een expert in te worden. Veel bedrijven doen dat soort extreem specifieke en relatief zeldzame producten niet.

Blokker_1999

Ransomware
Beveiliging en antivirus

@locke960 • 12 mei 2023 19:24

Switch had dat kunnen doen, en dan leveren ze gratis meerwerk waar ze anders voor betaald hadden moeten worden. Zo werkt het niet. Je maakt afspraken over wat wel en wat niet de verantwoordelijkheid is van een externe dienstverlener. En als dienstverlener doe je er ook niet zomaar wat extra werk bovenop, want dat ondermijnt niet alleen je verdienmodel, het stelt je mogelijks ook weer verantwoordelijk voor zaken die contractueel nooit zijn vastgelegd.

Stel je nu even voor dat de dienstverlener in dit geval wel wat extra monitoring deed, en de gemeente in het verleden ook had ingelicht over potentiele aanvalspogingen. Dan had de gemeente nu ineens wel iets om aan de rechter te zeggen: ondanks dat het niet officieel is overeengekomen, hebben ze het in het verleden wel al gedaan en gingen wij er dan ook van uit dat dit er gewoon bij hoort.

kodak

Beveiliging en antivirus
Ransomware

@Blokker_1999 • 12 mei 2023 21:16

Ik zou herkennen van gebruik wat de performance kan beïnvloeden toch niet als meerwerk beschouwen, juist omdat ze expliciet overeengekomen waren dat ze die performance horen te waarborgen. De beoordeling van de rechter is ook dat het aannemelijk is dat de pogingen om via bruteforce in te loggen invloed op de performance hebben gehad. Maar in plaats van dat het bedrijf moet aantonen haar werk op dat gebied gedaan te hebben, stelt de rechter dat de gemeente maar moet aantonen dat het invloed op de performance had. Terwijl ze dat herkennen dus uitbesteed hadden aan het bedrijf.

Hoewel ik het juridisch juist zou vinden dat een beschuldigde niet zomaar mee hoeft te werken aan de eigen veroordeling, lijkt het me hier dat waarheidsvinding belangrijker is. Het is namelijk duidelijk dat het bedrijf de dienst levert om inzicht in de performance te hebben, dan hoort dat ook beschikbaar te zijn.

Met het negeren van die situatie komt het er op neer dat je als opdrachtgever wel verantwoordelijk bent, maar het recht het kennelijk prima lijkt te vinden dat de opdrachtnemer de betaling neemt en de controle over de verantwoordelijke heeft.

d3burt

@kodak • 13 mei 2023 16:55

Ehhhm, een brute force attack zal niet snel de server zodanig belasten dat het op gaat vallen. De boefjes weten dat als ze met meerdere threads op een server gaan beuken het op gaat vallen, en hun doel is geen DoS maar het verkrijgen van toegang. Dan wil je niet beginnen met een beheerder die aan het kijken is waarom de server traag is.

kodak

Beveiliging en antivirus
Ransomware

@d3burt • 13 mei 2023 19:40

Het gaat niet om wat je als gunstige omstandigheid wil aannemen, maar om aantonen welk omstandigheid er voldoende bewezen gebeurde.

Of er zijn grenzen overeengekomen waarvan het bedrijf bewijs heeft of ze daar op gemeten hebben en wel of niet zijn overschreden. Of die grenzen waren vaag, waarbij alleen het bedrijf kan aantonen wat ze in ze praktijk gemeten hebben en wel of niet overschreden is.

NielsFL @locke960 • 12 mei 2023 20:49

Het houd ergens op met klanten tegen hun eigen domheid beschermen.

"Welkom2020" zegt voor mij alles wat je moet weten. De verantwoordelijke bij de gemeente is gewoon incompetent wat IT betreft. Dat mag overigens best, maar dan moet je niet zelf de admin rechten opeisen en gaan zitten knoeien.

Mensen die hun eigen beperkingen niet kennen op een sleutelpositie zetten kan dit soort gevolgen hebben.

theduke1989 @Frame164 • 12 mei 2023 19:25

Afhankelijk van wat voor contract je hebt natuurlijk.

Als alles aan Switch is uitbesteed, dan hoeft de klant toch niet dit bij te houden? Dan is het de taak van de IT-suplier om dit te voorkomen. Want sowieso is de infra in hun handen en niet bij Hof van Twente.

Rolfie

@theduke1989 • 13 mei 2023 09:45

De klant moet alleen wel het beleid bepalen. Dit eventueel op basis van de adviezen IT leverancier of in overleg. IT kan dit niet zomaar zelf even gaan beslissen.

themadone @Frame164 • 13 mei 2023 16:10

Switch had in theorie moeten weigeren te werken in een omgeving zonder password policy.

Sowieso bizar dat een gemeenteambtenaar op dit niveau toegang heeft gehad tot de firewall terwijl er een dienstverlener rondloopt.

Enige wat switch valt te verwijten, maybe, is dat ze geen auditing op de servers hadden lopen. Aan de andere kant als er ff snel een rdp server is neergeknald door een incompetente ambtenaar die vervolgens ook nog eens open wordt gezet richting internet is doe je er verder niks tegen, maar je had de brute force kunnen detecteren op zijn minst.

En, backups anyone? Ik werk niet voor klanten die weigeren een offline vault te gebruiken met op zijn minst 30 dagen retentie. En voordat er weer iemand begint te blazen dat je de servers niet meer kunt vertrouwen uit die backup, klopt, maar je kunt wel je data terughalen op die manier. Scheelt een hoop tijd en gedoe.

Dit voelt een beetje als de lease maatschappij aanklagen terwijl je zelf je remleidingen doorhaald. Ik vind het van een bijzonder niveau dat deze aanklacht er überhaupt is gekomen.

Die ambtenaar had aangeklaagd moeten worden.

xp65 @themadone • 13 mei 2023 17:05

Minstens 30 dagen is inderdaad aan te raden, al bij voorkeur nog een heel stuk langer. Uit ervaring zijn vele cryptovirussen al maanden actief op achtergrond vooraleer ze effectief toeslaan. Waardoor alle backups van zelfs enkele maanden onbruikbaar zijn.

themadone @xp65 • 13 mei 2023 21:35

Meestal knallen ze alles in 1 keer op slot. Je restored ook geen servers, alleen unencrypted data, de kans dat ze gesnapt worden en pas 10% encrypted hebben is te groot. De backdoors kunnen wel in je OS zitten, maar de data is 9 van de 10 keer nog gewoon prima in orde.

TWyk @Oeken • 12 mei 2023 18:04

Ik verwacht dat er geen brute force aanval op mijn login kan plaatsvinden.
Dat kan ook zonder two-factor authenticatie.
Het is volstrekt normaal om een delay in te bouwen na een paar foute loginpogingen of zelfs een lockout bij meer pogingen.

GoBieN-Be @TWyk • 12 mei 2023 18:17

Met standaard Remote Desktop implementatie is dat niet eenvoudig te implementeren.
Account lockout policies kunnen wel, maar dat moet ook zo ingesteld worden, en de meeste organisaties willen dat niet.

GertMenkel

Beveiliging en antivirus

@GoBieN-Be • 12 mei 2023 18:40

Lockouts zijn niet handig want zo wordt een brute force aanval snel een DoS. Een heel veilig account is nogal nutteloos als je er niet op kan inloggen omdat het constant in automatische lockout zit.

Met een veilig wachtwoord en fatsoenlijke 2FA heb je dat soort dingen eigenlijk ook niet zo hard nodig. Maar goed, een veilig wachtwoord en fatsoenlijke 2FA zijn net zo lastig voor elkaar te krijgen bij dit soort organisaties.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 18:08]

aikebah @TWyk • 12 mei 2023 18:31

Het is volstrekt normaal om een delay in te bouwen na een paar foute loginpogingen of zelfs een lockout bij meer pogingen.

Daar hebben de hackers ook al lang de trickle-brute-force voor uitgevonden. Duurt wat langer... detecteer de delay, backoff en schedule om over 3 uur opnieuw een paar te proberen. Met al die botnetwerken geeft het zelfs niet als er af en toe een bot ook nog op een IP blacklist komt te staan... er zijn er nog genoeg andere in het netwerk beschikbaar om door te blijven gaan met de laag-frequente-bruteforcing.
Heb ze in het verleden wel in de logs gezien.... 3 foute pogingen (of nog minder)... uurtje backoff 3 foute pogingen (of nog minder)... uurtje backoff etcetera.

HenkEisDS 12 mei 2023 17:26

Wat een ratten dat ze uberhaupt de schuld bij hun leverancier in de schoenen probeerde te schuiven.

killercow @HenkEisDS • 12 mei 2023 17:30

nouja, die club had beveilingscans gedaan, een rapport opgeleverd aan de gemeente dat alles cool was, en was vergeten op open rdp poorten te scannen.
Als je daarna inderdaad ook nog eens alle login-pogingen niet detecteerd op die poort, maar wel verantwoordelijk bent daarvoor is dat niet gek om zo'n aanklacht te krijgen als het dan toch mis gaat.

happysan @killercow • 12 mei 2023 17:48

Dat die RDP poort open stond hoeft natuurlijk helemaal geen fout te zijn, dat kan goed een specificatie geweest zijn zodat bepaalde medewerkers op afstand daarop zouden kunnen inloggen. Persoonlijk zou ik het niet doen, maar het is niet heel abnormaal het wel open te hebben.

Als je eens een keer op een firewall bekijkt hoeveel "inlogpogingen" er zijn op een dag dan zul je versteld staan. Dat zijn er tientallen tot honderdtallen per uur, vol automatisch vanuit allerlei IP adressen over de gehele wereld. Zelfs wanneer je overgaat tot region blocking blijft er nog genoeg verkeer vanuit NL / West Europa over.

Het is heel erg snel gedaan om even een verbinding te openen en een inlogpoging te doen, dit wordt volledig automatisch gedaan door andere compromised systemen of systemen in eigendom van de kwaadwillende. Zodra een inlogpoging lukt worden de inloggegevens doorgegeven aan de command & control server, deze zal dan weer andere systemen inzetten om daadwerkelijk de payload te droppen.

Hoewel er in deze case echt wel fouten zijn gemaakt en niemand vrij is van schuld, zou ik niet willen zeggen dat de IT dienstverlener de fout in is gegaan. Niet alleen door de RDP poort open te hebben of al die mislukte inlogpogingen genegeerd te hebben.

dutchgio @happysan • 12 mei 2023 18:04

Tegenwoordig hoort dat gewoon achter een VPN hoor, rdp open naar het internet is sowieso geen aanbevolen configuratie, ook niet met een sterker wachtwoord.

happysan @dutchgio • 12 mei 2023 18:24

Eens, vandaar dat ik aangaf dat ik het persoonlijk niet zou doen.

Neemt niet weg dat het nog heel erg vaak voorkomt.

deludi @happysan • 12 mei 2023 19:26

Het RDP protocol is al een jaar of 10 lek.
Kan niet direct aan internet gehangen worden, ook niet in 2020.

arjankoole @deludi • 13 mei 2023 07:06

Het RDP protocol is al een jaar of 10 lek.
Kan niet direct aan internet gehangen worden, ook niet in 2020.

En toch zijn er honderden die het nog steeds doen.

jongetje

@arjankoole • 13 mei 2023 10:11

Dus daarom moet je het doen omdat honderden anderen het ook doen?
Er zitten ook elke dag mensen met alcohol op achter het stuur, maar moet je het daarom ook maar doen?

arjankoole @jongetje • 13 mei 2023 13:37

Jongetje: het is geen excuus, het is een constatering, mensen en organisaties krijgen dit maar moeilijk in de hoofdjes gestampt dat als je dit soort fratsen uithaalt, je vroeg of laat heel erg op de blaren gaat zitten.

Aldy @jongetje • 13 mei 2023 14:18

Het verschil is dat het één niet verboden is en het andere wel. Verder vind ik de vergelijking prima. Wij vragen alleen altijd dat als iemand in het water springt jij het dan ook moet doen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@happysan • 12 mei 2023 20:45

maar het is niet heel abnormaal het wel open te hebben.

Het open laten staan van een RDP service zodat deze vanaf het publieke Internet beschikbaar is is eigenlijk wel abnormaal, zeker in een bedrijfsomgeving en tegen best practice in. Meerdere guidelines tegen o.a. ransomware noemen dit juist als een van de quick wins om de kans op besmetting af te laten nemen.

databeestje @Bor • 13 mei 2023 09:29

Aanvullend, rdp kan je brute forcen. Er zit geen timer en lockout in die het scanner vertraagd.

Ook met rdp kan je mfa doen zoals met bijvoorbeeld Securnvoy als aanvullend product.

Mic2000 @happysan • 13 mei 2023 03:55

Hoe laat je een gebruiker dan op afstand een rdp verbinding opstellen zonder een poort open te zettrn? Ik lees hieronder al vpn, 2fa (maar Windows server heeft daar toch geen ondersteuning voor?)

arjankoole @Mic2000 • 13 mei 2023 07:11

Hoe laat je een gebruiker dan op afstand een rdp verbinding opstellen zonder een poort open te zettrn? Ik lees hieronder al vpn, 2fa (maar Windows server heeft daar toch geen ondersteuning voor?)

Je laat het dus niet toe zonder VPN. Of Windows wel of geen ondersteuning heard voor 2FA laat ik in het midden, ik ben een Linux nerd, maar je laat gewoon niet dergelijke toegang toe. Niet direct op internet, open en bloot, van een protocol met security issues, en een wachtwoord wat nergens op slaat.

themadone @arjankoole • 13 mei 2023 16:21

Windows servers hebben rras standaard als onderdeel van het os wat je aan kunt zetten. Je krijgt dan een vpn server die je bijvoorbeeld op sstp kunt zetten, 2 factor kan gewoon via bijvoorbeeld duo.

Er is in deze tijd echt 0 rede of logica achter het openzetten van rdp/Citrix/etc.

Beveiliging in lagen is het enige wat werkt. Ik zet standaard een vpn server met 2 factor, vpn clients landen achter de vpn server komen via nat en de layer 7 firewall alleen naar machines die überhaupt zijn verteld waar het vpn segment zich bevindt.

Pas dan mag je een rdp opentrekken, en zelfs dan liever niet.

Thuiswerkers hebben een laptop, dus geen rdp nodig, beheerders pakken maar een console via vcenter met 2 factor op de consoles van de servers.

Zal wel covid stress geweest zijn bij die gemeente want de ambtenaren zaten lekker thuis terwijl de rest van ons op kantoor met mondkapjes liep te klooien natuurlijk.....

analog_ @themadone • 14 mei 2023 10:20

of dat alle verantwoordelijkheid naar gemeentelijk niveau is gebracht en de zak geld wegbespaard is onder neoliberalisme

Vinisz @Mic2000 • 13 mei 2023 08:06

Gebruik azure virtual desktop bijvoorbeeld, of Citrix, vmware oid.
Daarmee staat niets vanuit buiten open (of bijna niets) en heb je dit soort problemen niet. Daarnaast kan de authenticatie dan via Azure AD lopen met conditional access of via een andere IDP die daar ondersteuning voor heeft (of enkel +MFA via een authenticator, liever geen sms meer vandaag de dag)

Vpn zou ik toch niet meer voor gaan, is vaak geen zero-trust oplossing

[Reactie gewijzigd door Vinisz op 22 juli 2024 18:08]

Mic2000 @Vinisz • 13 mei 2023 08:07

Okay, en als je een eigen Windows server wilt hosten (op een eigen machine) wat zijn dan je opties naast een vpn?

morphje @Mic2000 • 13 mei 2023 09:29

Niet, VPN is praktisch gezien een van de weinige opties die over blijven. Al dan niet gecombineerd met IP restricties. Het hangt voornamelijk af van de situatie hoeveel je kan veroorloven in hardware en kosten.

Neem het bovenstaande voorbeeld; Azure AD of een IDP met MFA. Prima, veel toegevoegde security waarde, maar als je het RDP protocol openzet ben je hoe dan ook de sjaak. Het protocol zelf is gewoon slecht en meermaals gebroken. Of "er staat niks meer open naar buiten", maar hoe kom je erop dan? Er staat altijd iets open of je zit al reeds in het netwerk (trust). Conditional access, ook dat is weer een principe van trust.

Zero trust klinkt leuk als principe, maar security is altijd een balans tussen veiligheid en werkbaarheid. Volledige zero trust is voor de meeste bedrijven zo onwerkbaar dat het werk tot stilstand komt. Als je daadwerkelijk gaat kijken naar de details zou de correcte term Minimal Trust zijn

Vinisz @Mic2000 • 13 mei 2023 08:14

Dan komen we wel een beetje in de “ja maar” scenarios terecht. Het hangt er bijvoorbeeld vanaf of die machine dan hybrid joined is aan azure AD , of enkel Azure AD, zo ja, dan kan je nog steeds Azure virtual desktop gebruiken, voor zover ik weet ook gewoon Citrix en Vmware hoor, why not ?

Indien deze helemaal los staat en dan zijn er nog tal van opties, en als
Je toch VPN wilt, zorg we dan voor dat je MFA op de opbouw van de vpn heb zitten en dat de vpn alleen maar naar deze machine kan verbinden, nergens anders heen

Mic2000 @Vinisz • 13 mei 2023 08:16

Oké dankjewel

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Vinisz • 14 mei 2023 09:45

Vpn zou ik toch niet meer voor gaan, is vaak geen zero-trust oplossing

Waarom niet en waarom de andere zaken die niets met de gevraagde functionaliteit te maken hebben, namelijk een RDP verbinding, wel?

Vinisz @Bor • 16 mei 2023 14:17

Gevraagde functionaliteit is een “remote desktop” of “remote apps” neem ik aan (niet rdp op zichzelf, dat is een protocol)
De zaken die ik noem hebben er wel degelijk mee te maken omdat het oplossingen zijn om het doel te bereiken.
Zoals ik al noemde is VPN meestal geen zero-trust oplossing en wordt er veel te vaak gesteld “als het vpn heeft, dan is het veilig” , wat totaal onwaar is.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Mic2000 • 13 mei 2023 09:31

Je hangt een server toch niet rechtstreeks aan internet maar plaatst daar minimaal een Firewall voor? Daar zou je een VPN ook kunnen inregelen.

dipje2 @Mic2000 • 13 mei 2023 10:40

Simpelste (wat standaard is bij en ons en een hoop anderen lijkt me ) is dit soort dingen dicht gooien , behalve een statisch ip adres van je eigen vpn dienst.

Het kan zo simpel zijn als bij PIA of zo een vast ik adres-optie kopen .

Dus mensen moeten eerst inloggen op een vpn om een bepaald op adres te krijgen (en hier kan 2fa ook bij) , om vervolgens de dienst te kunnen gebruiken .

Dit voorkomt gewoon dat alle botjes oneindig kunnen proberen en brute forcen. Dan heb je meestal ook alleen de vpn service te monitoren voor 'raar gebruik '.

Dit is vast niet 100% foolproof (ip blocks zijn vast doorheen te komen op een manier ) maar maakt het wel stukken simpeler.

arjankoole @dipje2 • 14 mei 2023 08:30

IP blocks zijn doorgaans alleen te omzeilen als je het complete remote subnet kan kapen, dan wel de remote machine kan overnemen. Spoofing werkt al niet, omdat het bidirectional verkeer is.

Overigens:

Dan heb je meestal ook alleen de vpn service te monitoren voor 'raar gebruik '.

Hier ga je nat. Je grootste security vector komt van binnen. Je moet altijd alles monitoren op raar gedrag.

Techno Overlord @happysan • 13 mei 2023 08:20

Die eerste alinea van jou krijg ik de rillingen van. Ik hoop dat jij nergens zeggenschap hebt over IT infra. Natúúrlijk zet je geen RDP poort open naar het internet en al helemaal niet met zo'n simpel wachtwoord. Ook al zat die pentest van Switch eraan te komen. Ik mag hopen dat de IT'er van Hof van Twente die dit gedaan heeft een flinke reprimande of zelfs ontslag aangeboden heeft gekregen.

Waah @happysan • 13 mei 2023 13:09

De rdp poort is door Hof van Twente zelf open gezet. Dus dat kun je de IT dienstverlener niet (direct) kwalijk nemen....

En ik zou als IT dienstverlener ook niet verantwoordelijk willen zijn als je klant de hoogste beheerrechten heeft....

HuisRocker @killercow • 12 mei 2023 18:10

Er zijn al zoveel artikelen over deze zaak geweest, de feiten zijn al lang bekend, geen enkele expert had een andere uitspraak verwacht.

Het is 'gewoon' weer een typisch voorbeeld van gemeentelijk falen en niets anders. Zoals @dj.verhulst het ooit mooi omschreef in 1 van die vorige artikelen:

... gemeentes ...
structureel te weinig mensen en eigen kennis in huis, die eigenlijk helemaal niet zo bijzonder goed betaald worden dus die vertrekken vaak. mensen die aangesteld worden om bepaalde politieke redenen niet dat ze de beste kandidaat waren.
te veel mensen bemoeien zich met dingen waar ze echt geen moer van snappen maar wel van alles van vinden. verstikkende bureaucraten ambtenaren cultuur

Het gevolg daarvan is welkom2020 als wachtwoord en geen gebruik van 2fa, dat lag dus niet aan de '3rd party IT', vandaar de uitspraak zoals die er nu is...

Heroic_Nonsense

@HuisRocker • 12 mei 2023 22:34

Precies, en de gemeente was dan ook nog aan Switch "vergeten te melden" dat ze wat instellingen en rules hebben aangepast, waardoor Switch niet eens wist dat er zaken waren aangepast.

Ik vind het een mooie uitspraak; ik hoop ook dat bepaalde mensen in ondernemend Nederland (en vooral lokale overheden) nu eindelijk eens wakker worden en zich realiseren dat *aas niet betekent dat je niets meer hoeft te doen of weten en vooral ook niet betekent dat je ergens je handen vanaf kunt trekken als het misgaat en het de vendor maar laat oplossen of aansprakelijk stelt.

Want die laatste twee argumenten heb ik de afgelopen 10 jaar meermaals horen langskomen in overleggen als pluspunten van *aas - hoe hard ik ook probeer om ze te ontkrachten.

[Reactie gewijzigd door Heroic_Nonsense op 22 juli 2024 18:08]

jongetje

@Heroic_Nonsense • 13 mei 2023 10:13

Als de gemeente of iemand anders echt alles As A Service had genomen en er daar zelf niemand achter de knoppen zit. Dan zouden ze van elke wijziging op de hoogte moeten zijn van alle componenten en configuraties want ze zijn dan de enige die het überhaupt kunnen. Als je dingen alsnog hybride gaat doen om welke reden dan ook creëer je deze situaties.

[Reactie gewijzigd door jongetje op 22 juli 2024 18:08]

sjettepetJR. @jongetje • 14 mei 2023 12:25

Bij een volledige As A Service structuur is de leverancier wel verantwoordelijk voor het in de gaten houden van de veiligheid van de systemen. Als de klant iets vraagt wat hun systeem onveilig maakt is het de bedoeling dat de leverancier ze daarover inlicht, dat is onderdeel van de service die je koopt. Je neemt immers een service in gebruik omdat je zelf de expertise niet in huis hebt.

Maar het is cruciaal dat je als bedrijf of gemeente dan ook een structuur aanhoud waarbij de leverancier volledige controle heeft over het systeem. En daar gaat het fout omdat ze dat om een of andere reden niet willen.

iFap @HenkEisDS • 12 mei 2023 17:29

Er zijn altijd twee kanten van een verhaal. We weten ook niet alle details. Maar het is wel makkelijk inderdaad om de schuld bij een partij neer te leggen als je uiteindelijk zelf verantwoordelijk bent. Maar geloof me, er zitten ook veel IT partijen die er een zooitje van maken.

Waah @iFap • 13 mei 2023 13:11

De 2 kanten zijn gehoord in de rechtzaal en die heeft een duidelijke conclusie getrokken.

Alle details zijn aardig bekend. Dus in dit geval is het aardig duidelijk.

En ja, overal heb je beunhazen. Ook in de IT natuurlijk.

sambalbaj @HenkEisDS • 12 mei 2023 17:46

Is dit niet een (bestuurs) aansprakelijkheidsverzekering die het probeert te verhalen?

nst6ldr @HenkEisDS • 12 mei 2023 17:29

Maar dit is toch zakendoen anno nu? AaaS (alles as a service) en "ontzorgen" zijn de termen van ondernemend Nederland, denkende dat ze daarmee ook hun verantwoordelijkheid afkopen.

Frame164 @nst6ldr • 12 mei 2023 17:42

Onzin. Uitbesteden betekent ook dat je fatsoenlijke afspraken maakt. In dit geval is er gewoon sprake van een slecht contract. Jij doet toch ook niet allemaal zaken waarvoor geen opdracht tegenover staat van een klant?

bamboe @Frame164 • 12 mei 2023 18:13

Hoezo een slecht contract, ze hebben zich daar gewoon aan gehouden en de gemeente niet. Als jij je voordeur open zet en er lopen mensen naar binnen en stelen je huis leeg, dan krijg jij ook niets terug van de verzekering.

aikebah @bamboe • 12 mei 2023 18:35

Hoezo een slecht contract, ze hebben zich daar gewoon aan gehouden en de gemeente niet. Als jij je voordeur open zet en er lopen mensen naar binnen en stelen je huis leeg, dan krijg jij ook niets terug van de verzekering de leverancier van je deur die je zelf open hebt laten staan tegen hun adviezen in.

Wel de juiste tegenpartij pakken als je de open voordeur met IT dienstverlener wilt vergelijken.

arjankoole @aikebah • 13 mei 2023 07:19

Maar die dienstverlener was niet betrokken bij het openzetten van de voordeur

Dat deed de gemeente helemaal zelf.

theduke1989 @bamboe • 12 mei 2023 19:26

Nee maar switch is toch de gene waar ze hun huis aan hebben gegeven om te zorgen dat alles goed verloopt.

SilentDecode @theduke1989 • 12 mei 2023 19:48

Nee maar switch is toch de gene waar ze hun huis aan hebben gegeven om te zorgen dat alles goed verloopt.

Nee, want het Hof van Twente heeft ook beheer in eigen handen gehad. Dat betekend dat ze zelf ook het een en ander open hebben gezet om dit te veroorzaken.

WhatsappHack

Beveiliging en antivirus

@theduke1989 • 12 mei 2023 20:29

En die hebben dus gezegd dat ze beheer toegang kunnen geven aan de gemeente die dat perse op eigen initiatief wilde, maar dat Switch dan niet kan instaan voor welke gevolgen dan ook van eventuele aanpassingen die gemaakt worden door de medewerkers van de gemeente. Heel logisch.

Ik zet dezelfde clausules in de voorwaarden. Soms heb je namelijk klanten die perse root toegang eisen tot fully managed servers/infra, terwijl ze daar eigenlijk niets te zoeken hebben. Soms puur als backup, soms omdat ze het beter denken te weten (al snap ik de uitbesteding dan niet helemaal maar ale) of “kunnen helpen door sommige dingen zelf te doen” (wat zelden helpt.

). Nou prima, maar als je er zelf aan gaat lopen hannesen en je sloopt iets: mij niet aankijken of verwachten dat je rotzooi opruimen dan gratis is. En zeker mij niet aansprakelijk stellen.

Ik vind dat ook niet meer dan logisch eigenlijk. Waarom zou je in vredesnaam aansprakelijkheid aannemen voor iets dat ze zelf doen? Als je klant allemaal spul gaat aanpassen kan je moeilijk garanderen dat het goed en veilig blijft draaien, zeker als het zonder jouw medeweten gebeurt/jij niet geconsulteerd wordt of wat ze willen doen nou wel zo’n goed idee is.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:08]

theduke1989 @WhatsappHack • 12 mei 2023 21:13

Ik weet niet of het de beheer vanuit het hof verkeerd heeft gehandeld of de medewerkers die daar werken. Of beide.

Maar een stukje veiligheid hoor je te implementeren. Als ze de infra uitbesteed hebben of tenminste de core business bij Switch is die verantwoordelijk vindt ik. En ondanks dat er wat tech people toegang wilt. Zou je dit moeten tracken (change requests etc) op kunnen stellen..
In die zin kan je de gene verantwoordelijk maken voor de fout.

Al heb je wel gelijk, het moet in het contract staan wat echt gedekt wordt en wat niet.

Maar hieruit zullen dus meer gemeenten goed moeten kijken hoe ze beheren en wat uitbesteden.

Bij ons is het zo.
- servers worden beheerd bij een 3de partij (we hebben alleen toegang via de VMware console om machines te starten, rebooten en snapshots maken. Het netwerk wordt beheerd door GroupIT van ons wat in Ireland zit. Die beheren alles via fortinet omgeving.

We hebben daarom ook niet veel rechten. We hebben ManageEngine/ Rapid7 om onze machines zelf te patchen. Dat doet de 3de partij of GroupIT niet voor ons.

En toegang krijgen tot 3de partij kan je vergeten bij ons. Is pot dicht en wordt niet toegestaan. Ongeacht sommige dat willen.

[Reactie gewijzigd door theduke1989 op 22 juli 2024 18:08]

Antitech @theduke1989 • 13 mei 2023 01:24

Het is duidelijk dat het hof van twente fouten heeft gemaakt. Zeker als publieke instelling heb je de verantwoordelijkheid om je netwerk/systemen regelmatig te laten contoleren/auditen door een specialist die niet de leverancier van de systemen is. Als er een fatsoenlijke audit was geweest dan hadden ze de slechte punten zeker gevonden.

Bij een audit moet je met de billen bloot, en dat is voor sommige (minder goede) techneuten en managers best eng. En dan hoor je waarschijnlijk van de auditor dat je fouten heb gemaakt die je weer moet fiksen. Allemaal gedoe... Dat is vaak een reden om dan maar geen audit te doen.

arjankoole @Antitech • 13 mei 2023 07:15

De meeste gemeentes zijn aangesloten op digid voor een digitale burger omgeving, en daar zit sowieso een audit / pentest aan vast. Maar die raakt niet altijd dit soort dingen, als de scope alleen de systemen die met digid koppelen raakt.

Rolfie

@Antitech • 13 mei 2023 09:38

Defineer een goede audit eerst eens.

Wat ook een audit hangt van de scope af. "Een audit" hoeft dit echt niet naar voren te brengen.

HSG @WhatsappHack • 12 mei 2023 23:49

Nou dit dus. Ik snap dat soort klanten nooit. Je besteed je IT uit om vervolgens de betweter uit te hangen. Besteed het dat niet uit.

Gelukkig zijn er ook een hoop bedrijven die hun IT uitbesteden puur omdat IT niet hun product is en bij het uitbesteden er alle vertrouwen in hebben dat het goed gaat.

arjankoole @HSG • 13 mei 2023 07:19

Het heeft soms te maken met een stukje mandaat. Er zijn systemen bij gemeentes die gevoelige informatie bevatten, waar ze voorzichtig mee om gaan en geen externe partijen bij willen hebben. Dan besteden ze bijvoorbeeld kantoor automatisering uit, en een deel van het andere spul, maar niet de “kroonjuwelen”. En soms zijn er ook applicaties en platformen die je niet kunt uitbesteden aan zo”n partij, omdat bijna niemand in dit land kennis heeft van dat soort spul. (Ik ben bekend met een dergelijk product)

Dat hoeft geen probleem te zijn, als je het goed doet. In dit geval overduidelijk niet het geval.

HSG @arjankoole • 13 mei 2023 08:09

Maar dat los van als je bijvoorbeeld je KA-omgeving uitbesteed dat je de betweter uit gaat hangen. Als je je KA-omgeving uitbesteed laat de leverancier dan zijn ding doen.

Ik snap wel dat er systemen zijn waar kritische applicaties of data op staat maar die moet je überhaupt niet willen uitbesteden. Beter gezegd...die systemen moet je gewoon in huis houden.

Ik beheer een applicatie die inventariseert wat er allemaal in onze infra-omgeving draait. Dus software, hardware, servers zoals Linux, Windows, OpenVMS ect maar ook op een server wat voor software erop staat, patches, packages, welk domein, naam, ipadres, welke certificaten erop geconfigureerd staat, schijven, processor, geheugen noem maar op. Een typische configuratiemanagementsysteem. Daarnaast legt hij relaties tussen de componenten vast waardoor je een holistische view en inzicht krijgt hoe je infraomgeving er uit zit. Iets waar hackers om zitten te smullen. Je snapt wel dat wij deze systeem noooooooooooooit bij een andere partij gaan onderbrengen.

[Reactie gewijzigd door HSG op 22 juli 2024 18:08]

curkey @HSG • 13 mei 2023 10:39

Er zijn toch genoeg multinationals die hun cmdb in cloud tools als ServiceNow hebben zitten. Evenals hebben ze kritische systemen als hun ERP extern gehost.

Het is vooral een kwestie van hoe goed je de implementatie en diensten regelt, dan maakt het voor de meeste zaken weinig uit waar je iets hebt staan (een enkele niche daargelaten).

arjankoole @curkey • 13 mei 2023 13:38

Er zijn toch genoeg multinationals die hun cmdb in cloud tools als ServiceNow hebben zitten. Evenals hebben ze kritische systemen als hun ERP extern gehost.

Het is vooral een kwestie van hoe goed je de implementatie en diensten regelt, dan maakt het voor de meeste zaken weinig uit waar je iets hebt staan (een enkele niche daargelaten).

En genoeg tech bedrijven die dat absoluut niet doen.

HSG @curkey • 14 mei 2023 09:43

Klopt maar ook een hoop niet zoals financiële- en overheidsinstellingen.

Vaevictis_ @Frame164 • 12 mei 2023 18:14

Uitbesteden kun je alleen als je de zaken op orde hebt en ook het vermogen hebt om regie te voeren. Dus je bent en blijft altijd eindverantwoordelijk. Dus niet uitbesteden en wij hoeven niets meer te doen.

Ludewig @Frame164 • 12 mei 2023 19:55

Dit is een prima contract. De gemeente eist gewoon dingen die niet in het contract staan. Het is alsof je internet afneemt van KPN en vervolgens eisen dat ze je computer komen repareren.

[Reactie gewijzigd door Ludewig op 22 juli 2024 18:08]

Marcel Br @Ludewig • 13 mei 2023 19:49

Welk bedrijf?
Het bedrijf eist niet,het is de gemeente Hof van Twente die eist en verloren heeft.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Frame164 • 12 mei 2023 20:51

In dit geval is er gewoon sprake van een slecht contract.

Jij kent het contract en de afspraken hierbinnen en hierheen begrijp ik? Wat maakt dit contract specifiek slecht?

Marcel Br @Bor • 13 mei 2023 19:50

Dat ze daarom verloren hebben?

SlaadjeBla

@HenkEisDS • 12 mei 2023 17:34

En middels deze kansloze rechtszaak de burger nog meer op kosten jagen. Wat dachten ze zelf toen ze de rechtzaak startten?

Zinloos, kansloos, maar alles behalve kosteloos.

SSH @HenkEisDS • 12 mei 2023 20:17

Gewoon incapabel. De falende ambtenaren mogen gewoon blijven zitten, horen de zak te krijgen.

Frame164 12 mei 2023 17:46

Overheden zijn qua hoeveel geld vaak de grootste opdrachtgevers. Een klein overheidsproject is vaak groter dan wat in het bedrijfsleven gebruikelijk is. Logischerwijs zou je dan verwachten dat overheden de best beschikbare projectleiders en contract manager in dienst heeft. Maar dat wordt vervolgens beperkt door dingen als de Balkenendenorm. Nu wil meer geld natuurlijk niet zeggen dat je betere mensen keijgt maar de beste mensen hebben wel een prijskaartje maar dat verdien je gewoon terug doordat projecten beter lopen.

Liberteh @Frame164 • 12 mei 2023 18:39

Overheidsopdrachten werken op basis van aanbesteding. En daar wint meestal de partij die 1. alles kunnen bieden wat gevraagd wordt en 2. hierbij ook het goedkoopste is. In de praktijk kost het uiteindelijk altijd meer omdat de begroting niet goed gedaan is of dat de opdrachtgever eigenlijk andere eisen had.

Maar goed, je kan er dus niet vanuit gaan dat alles het beste van het beste is want de goedkoopste wint. Dat IT bedrijven die werken in opdracht van de overheid zoveel geld verdienen heeft meer te maken met "kunnen" dan "moeten".

eheijnen 12 mei 2023 17:37

Toch wel gedurfd van de Gemeente om bij zoveel overduidelijke fouten toch nog eens naar de rechter te stappen en te proberen de leverancier de schuld in de schoenen te schuiven....Knap staaltje....

Getuigd van mateloos optimisme

[Reactie gewijzigd door eheijnen op 22 juli 2024 18:08]

DeSoepkip @eheijnen • 12 mei 2023 18:01

Voor 4 miljoen is het het proberen waard toch?😋

cariolive23 @DeSoepkip • 12 mei 2023 20:20

En de extra juridische kosten worden verrekend met de salarissen van de verantwoordelijke ambtenaren?

jpsch @eheijnen • 12 mei 2023 18:17

Toon je als gemeente dat je 't serieus neemt. En hogere juridische kosten zijn uitlegbaar.

Annihlator @jpsch • 12 mei 2023 19:28

Ik zou toch willen stellen dat als ze had willen laten zien dat ze t serieus kon nemen, ze had toegegeven dat zijzelf degene zijn die meerdere stukken advies hebben genegeerd.

Het gaat zelfs zover dat ze haast een referentiedocument "best practices" gehad lijken te hebben maar alsnóg precies het tegenovergestelde hebben gedaan.

dj.verhulst @eheijnen • 12 mei 2023 18:34

en geld genoeg ( van de burger )

eric.1

12 mei 2023 17:52

Hoogste beheerrechten en dan zelf een rdp-poortje openen, Welkom2020 als wachtwoord gebruiken en geen 2fa instellen...dan vraag je er wel om.

SSH @eric.1 • 12 mei 2023 20:20

Workaround voor als je geen password manager hebt en geen domain account kan aanmaken.
Maar hoe krijg je met een local account domain rechten? Dan kan natuurlijk niet, dus ergens doet mij vermoeden dat dit verhaal op tweakers niet compleet is.

Blokker_1999

Ransomware
Beveiliging en antivirus

@SSH • 13 mei 2023 10:46

Andere gebruikers due op dezelfde server aan melden met domeinrechten. Pik je er zo uit. En als dan iets als lsass niet aanstaat haal je de credentials van die gebruikers moeiteloos op.

alwuzomondo 12 mei 2023 19:54

Brenno de Winter heeft in 2021 deze zaak onderzocht en er een mooi duidingsrapport over geschreven, inclusief een reeks aanbevelingen die ook over beleid en besturing gaan. Het staat hier https://www.vtmgroep.nl/kennisbank/bevindingen-nfir-bij-hack-hof-van-twente

mentalozzie 12 mei 2023 17:36

Je moet jezelf kapot schamen gemeente…

Al heb ik ook bij klanten gezeten… vooral gemeentes en zorginstellingen. Om te huilen gewoon…

silverchaoz @mentalozzie • 12 mei 2023 17:51

Je moet jezelf kapot schamen gemeente…

Al heb ik ook bij klanten gezeten… vooral gemeentes en zorginstellingen. Om te huilen gewoon…

Hoeveel huisartsenpraktijken al hun patienten gegevens jaren lang in de download map laten staan, niet verwijderen en nooit de computer vergrendelen is ontelbaar

Vaevictis_ @silverchaoz • 12 mei 2023 18:11

Tandartsen ook, kreeg paar jaar geleden de vraag of ze het dossier per normale mail mochten versturen. Ik zei of Zorgmail of ik kom de map wel halen. Uiteindelijk zelf gehaald.

Triblade_8472 @Vaevictis_ • 12 mei 2023 19:43

En wie garandeert dat Zorgmail geen RDP server heeft die open toegankelijk is?

Het feit dat ze tientallen certificaten bezitten garandeert letterlijk 0.

KnoxNL @Vaevictis_ • 12 mei 2023 19:26

Alleen als je weet hoe zorgmail werkt by design (in ieder geval tot een jaar of 2-3 jaar gelden, weet niet hoe de vlag er nu bij hangt) dan kom je er achter dat het ook een wassen neus is/was.

RoyTrenneman @KnoxNL • 12 mei 2023 19:34

Is. Mooi verdienmodel om de digibeten in de zorg een nutteloze dienst te leveren.

Escrimador @RoyTrenneman • 13 mei 2023 09:09

Kan je daar wat meer over vertellen want ik ben ik wel benieuwd naar.

zorgmail afschaffen is niet zo eenvoudig, het is net als whatsapp, iedereen om je heen gebruikt het inmiddels

SURFivor @Vaevictis_ • 13 mei 2023 09:30

Pas geleden had een tandartspraktijk mijn medisch dossier naar me toegestuurd via een onbeveiligde mail met daarin logingegevens naar mijn dossier, inclusief ww.

dj.verhulst @silverchaoz • 12 mei 2023 18:33

idd , heb dingen gezien ....
en dan zeuren over een viriusscanner licentie van enkele tientjes maar wel een dikke bak voor de deur..

Houtenklaas 12 mei 2023 17:58

RDP openzetten op het internet staat hier gelijk aan op staande voet ontslag. Daar hoort op zijn minst een meer dan dichtgetimmerde VPN ingang bij, vaste IP nummers vanaf waar je vandaan komt om zodoende meerdere lines of defence te hebben. Dit is kneuzengehalte 2.0. Neemt niet weg dat als er duizenden inlogpogingen worden gedaan, iemand dat het moeten opvallen, op zijn minst dat er een poort openstaat die "RDP" heet wat niet heel comfortabel zou moeten voelen. En niemand daar heeft ooit van "port knocking" gehoord?

Maar we waren er niet bij, misschien zat er wel een systeembeheerder die thuis wel handig was met computers, geen opleiding daarin gehad heeft en alle security issues van de afgelopen 10 jaar volledig gemist heeft. En de advocaat van Hof van Twente heeft (aanname) gewaarschuwd voor de mogelijke afloop en ze hebben doorgezet. Bizar.

imqqmi

@Houtenklaas • 12 mei 2023 18:37

Monitoring zat blijkbaar niet in het contract, of werd wel gerapporteerd maar niets mee gedaan vermoed ik. Heb genoeg bedrijven gezien die niets met rapportages doen, of de logs in het geheel niet inzien of monitoren.
Maar goed, monitoren is niet preventief, dat is achteraf, na een mogelijke aanval. Iedere gemeente zou een actief gecertificeerd beveiligingsbeleid moeten voeren, liefst centraal geregeld.
Helaas hebben ze geen blameless retrospective gedaan maar meteen procederen die handel, lekker je verantwoordelijkheid nemen, not. Kans is groot dat het nog steeds niet goed op orde is.

Houtenklaas @imqqmi • 12 mei 2023 19:00

Nu denk ik ook niet dat er een geweldig budget beschikbaar zal zijn ... Gemeenten krijgen er vele taken bij van het rijk, maar met volstrekt onvoldoende budget. Toptalent verwacht ik dat ook niet 1-2-3 daar ... Maar ik zou het samen met een stel buurgemeenten oppakken en inderdaad centraal beleggen. Overigens hoeft monitoring ook niet heel spannend te zijn. Hoeveelheid inlogpogingen die mislukt zijn kan je een trend van bijhouden. IP blokken geografisch uitsluiten geeft al wat lucht. Desnoods alleen NL ip nummers toestaan. Zit je in het buitenland, dan bel je maar ...

Overigens als je als serieus bedrijf monitoring uit een contract haalt, daar vind ik ook wat van. Ik vermoed dat er wel rapportage zal zijn, maar inderdaad in een la ligt te verstoffen. Maar goed op vacatures letten daar binnenkort

MPAnnihilator @Houtenklaas • 12 mei 2023 20:34

rapportage van security events monitoring noemen is toch al een stevige misser... dat is zoals een hartspecialist, een huisdokter noemen.

Veel IT leveranciers leveren wel pure monitoring oplossing, via ICMP, SNMP, funtionele bereikbaarheids tests, netflow enz... maar deze inlogpogingen detecteren heb je door een voorgekauwde slimmere FW of application firewall voor nodig met ingebouwde of externe SIEM en niet alleen detection maar vooral prevention.

Houtenklaas @MPAnnihilator • 12 mei 2023 23:37

Een SIEM was 20 jaar geleden wellicht hippe shit, maar vandaag de dag echt niet meer. Maar ik vermoed dat domweg het budget er niet voor is. 't Aardige is, als je even zoekt op "IT eisen gemeente" je een scala voorbij ziet komen waar je op in kan stappen. De overheid heeft ook wel door dat het niet allemaal spik en span is, daar bestaat inmiddels een BIO voor (Baseline Informatiebeveiliging Overheid). Nu nog toepassen, uitvoeren en handhaven. 't Aardige: Ik kom nergens iets tegen over budgetten ... Ik ga er van ook van uit dat de overheid iets oplegt aan gemeenten, maar er geen budget beschikbaar wordt gesteld. Op deze site staan vooral zaken als "stimuleren", "helpen bij de implementatie" en "helpen het proces te ondersteunen". Je moet dus van alles, maar waar je het van betaalt mag je zelf uitzoeken als overheidsinstelling ...

morphje @Houtenklaas • 13 mei 2023 12:08

Ik weet niet wat jij verstaat onder SIEM, maar 20 jaar geleden was er Nagios, Splunk en soortgelijke middelen. Nauwelijks de titel SIEM waard. Machine Learning bestond niet eens. Het internet was nog jong en veelal een wilde westen. Een WAF implementeerde je in de code van je site en SSH beveiligde je met fail2ban.

SIEM is very much alive en meer relevant dan je zou denken. Microsoft Sentinel is een product wat pak em beet de afgelopen 5-6 jaar is ontwikkeld en nu pas echt tractie krijgt. Elastic SIEM is niet veel ouder. Maar dat zijn echte SIEM oplossingen, centrale logging met krachtige storage backends en machine learning mogelijkheden om buiten de gebaande patronen afwijkingen te detecteren.

Het MITRE framework bestaat ook nog maar sinds 2018 en zo kan ik nog wel even doorgaan.

Dus dan rijst de vraag: als SIEM 20 jaar geleden de hippe shit was (toen het nog in feite een hersenspinsel was), wat is dan vandaag de dag de hippe shit volgens jou?

Houtenklaas @morphje • 13 mei 2023 23:24

Je leest me verkeerd. 20 jaar geleden was er nauwelijks een fatsoenlijke SIEM, tegenwoordig out-of-the-box. Dat bedoel ik met "vandaag de dag geen hippe shit meer". Het is out of the box beschikbaar. Er is geen enkel excuus om dat te laten liggen. Vandaag de dag lijkt "kennis" en "bezint eer ge begint "de hippe shit. Hoe haalt een systeembeheerder nota bene het in zijn hoofd om een RDP poort op het internet open te zetten, afgezien van het domme password is dat nooit een goed idee. Niet soms, niet af en toe, maar gewoon NOOIT. Kennis is de hippe shit van vandaag.

morphje @Houtenklaas • 15 mei 2023 08:19

Dan heb ik je inderdaad verkeerd begrepen, waarvoor mijn excuses. Hoewel ik nogmaals je comment heb gelezen en ik het er alsnog niet direct uithaal, maar dank je voor de uitleg. Ik zit te veel in marketingspeak, waar hippe shit juist hetgeen wat net op de slope of enlightenment zit van de hype curve.

Ik ben het met je eens dat SIEM nu goed beschikbaar is, maar eenvoudig is het alles behalve dat. Of je zet teveel aan en je wordt overladen met meldingen of je zet minimaal dingen aan en je mist zaken. Een goede SIEM is zo goed als de medewerker die het SIEM bedient. Ook is een SIEM alles behalve goedkoop en dat is vaak een drempel voor veel organisaties.

Maar ja, kennis is altijd de meest hippe shit geweest. Nu en 20 jaar geleden

Domheid lijkt ook te regeren (zoals het openzetten van een rdp poort

)

Houtenklaas @morphje • 15 mei 2023 15:28

Als iemand me verkeerd begrijpt heb ik het niet duidelijk verteld, mea culpa. Zolang maar duidelijk is dat IT en security een vak is waar de juiste keuzes gemaakt moeten worden en waar ook een fatsoenlijk budget voor moet zijn. Weinig geld beschikbaar hoeft niet eens heel erg te zijn, als we dan maar beseffen dat er dan sommige dingen simpelweg een nogo zijn. Tegenwoordig zou ik vol inzetten op risk assessments, bewustwording en de SIEM inderdaad zo inrichten dat de gulden middenweg gevonden wordt. Segmenteren, drempels opwerpen, het lastiger maken dan bij de buurman en alleen zaken aan het internet hangen als dat door gebruikers ook via dat medium bereikt moet worden. En de rest hoort daar simpelweg niet bij. Maar goed, het geeft een hoop mensen hier een uitstekende boterham

morphje 12 mei 2023 17:50

En dit gaat alleen maar leuker worden naarmate de tijd verder wegtikt. Vooral met die nieuwe NIS2 richtlijnen gaat er een potentiele beerput ontstaan van papieren tijgers, wegverzekeren en allerlei security bedrijven die monitoring diensten verrichten.

Had het IT bedrijf die inlogpogingen moeten opmerken? Dat is een goede vraag, dat valt namelijk onder scoping. Werd er betaald voor een SOC dienst die dat opmerkt? De firewall config werd ook niet gemonitord, want anders was dat allang opgemerkt. In dit geval heeft de rechter geoordeeld dat dit niet onder scope van het contract viel, maar 1 lettertje verkeerd in een e-mail of contract en je hangt als leverancier.

Ben momenteel bezig om iets te doen met SOC/SIEM. Zowel extern als een interne optie. En dat is echt geen goedkoop grapje. Je geeft al snel 50k per jaar uit en dan heb je feitelijk nog maar een standaard dekking (en dus geen firewall config monitoring). Maar ik heb ook gemerkt dat je zonder problemen 300k per jaar kan uitgeven. Leuk dat je dan alles extern belegt, maar je hebt ook nog een extra FTE nodig voor de communicatie afhandeling tussen jou in het security bedrijf.

dutchgio @morphje • 12 mei 2023 18:02

Voor die 300k per jaar was deze ransomware aanval niet voorgekomen, niet op deze manier in ieder geval.
Rdp poort naar het internet met een zwak wachtwoord is wel heel erg de deur wagenwijd openzetten, dat valt dan echt wel op.
En dan had je waarschijnlijk nog altijd geld bespaart in plaats van dat de aanval nu gekost heeft.

morphje @dutchgio • 12 mei 2023 19:21

Hindsight 20/20. risco = kans*impact. Impact is hoog, maar als de kans laag wordt ingeschat is dus je risico laag. En dan heb je nog de tijdsdimensie. Het risico bepaalt uiteindelijk de investering. Althans dat zou het moeten zijn.

Als men de toekomst had kunnen voorspellen, dan had men gewoon de PC op tijd offline gehaald. Kosten nul, impact nul. Maar ook dat is net zo'n onrealistische uitspraak.

Probleem is dat 300k per jaar (extra) een significante investering is voor zo'n kleine gemeente. Daar kan je flink wat software of mensen van inkopen. Idem is er geen enkel MKB IT bedrijf wat eventjes 300k uittrekt zonder dat er een solide onderbouwing ligt. Zelfs al kan ik zo'n bedrag verantwoorden, dan moet ik ook nog steeds lullen als brugman om het daadwerkelijk te krijgen.

Maar zelfs als je het geld zou krijgen. Dan nog heb je dit soort cases nodig om de uitgaven te verantwoorden. Want dan kan je zeggen "kijk, wij hebben afgelopen jaar 3 aanvallen tegen gehouden en deze gemeentes hebben last van randsomware gehad met zoveel kosten". De ene z'n dood is de ander z'n brood

Polderviking

12 mei 2023 17:51

De rechter stelt dat het Hof van Twente zelf de rdp-poort naar het internet heeft opengezet, het makkelijk te raden wachtwoord 'Welkom2020' instelde, en geen tweestapsverificatie had geactiveerd.

De gemeente zal wel een verhaal hebben voor deze volgorde van gebeurtenissen.
Maar dat je dit doet, en dan een derde aansprakelijk gaat proberen te stellen voor gevolgschade, dat is wel echt next level arrogant hoor.

Op dit item kan niet meer gereageerd worden.

Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente

Lees meer

Reacties (136)

Sorteer op:

Weergave: