De gemeente Amstelveen heeft woensdag 24 juni 2015 alle ict-dienstverlening stilgelegd na een ransomware-aanval. Een medewerker klikte op een malafide link in een privé e-mail, waardoor het virus zich in het systeem nestelde. De gemeente heeft die middag alle dienstverleningen stilgelegd om het virus op te sporen en te analyseren.
Aan het eind van de ochtend heeft een medewerker op een malafide link geklikt in een e-mail van een privé-account. ‘De aanval was dus niet op onze gemeente gericht’, benadrukt een woordvoerder van de gemeente. Rond een uur of drie heeft het ict-team het virus gedetecteerd. De gemeente legde het gehele ict-systeem stil. Daardoor konden burgers bijvoorbeeld geen paspoorten en rijbewijzen aanvragen.
Na de detectie van de malware en het stilleggen van het ict-systeem is een extern team ingevlogen om het virus op te sporen en te analyseren. Voor deze analyse is een testomgeving gebouwd, waar de hele nacht uitgebreid werd getest wat het gedrag van het virus is en welke schade het heeft aangericht. Het expertteam heeft groen licht gegeven om de systemen weer te starten. Op donderdag 25 juni waren alle publiekbalies van de gemeente Amstelveen weer geopend.
Voor nu heeft het virus alleen schade aangericht aan de Office-documenten die op woensdag zijn aangemaakt. De gemeente kijkt welke maatregelen er voor de toekomst getroffen moeten worden.
Ransomware bij gemeentes
Gemeente Amstelveen is niet de eerste gemeente is getroffen door ransomware. Eerder deze maand lagen drie Friese gemeenten plat door ransomware. Ook hier had een medewerker op een malafide link geklikt.
Uit ervaring merk ik dat veel eindgebruikers zelfs de meest overduidelijke malware mailtjes gewoon openen. Slecht vertaalde en zelfs duitstalige “Hello Freund” berichten. Als dit het geval is, dan keihard aanpakken. Grote puntmuts met ezelsoren op en de rest van de dag in de hoek staan.
Dan mag je wel op taart trakteren.
Of ijsjes als het warm is.
“Voor nu heeft het virus alleen schade aangericht aan de Office-documenten die op woensdag zijn aangemaakt.”
Dat klinkt alsof ze de back-up wel goed op orde hebben, Ransomware is over het algemeen namelijk niet zo selectief om alleen de meest recente documenten te versleutelen. Je zult trouwens maar een (mid)dag vrij hebben genomen om je paspoort te verlengen, het feit dat continuïteit van primaire processen door privé mails in gevaar kunnen worden gebracht lijkt me namelijk reden voor vragen;-)
Voor mijn gebruikelijke criticasters:
https://www.computable.nl/artikel/opinie/security/5248088/1276896/licht-uit-spot-aan.html
Ik vraag me af of we dit soort fenomenen in de toekomst vaker zullen gaan meemaken. Immers, de grens tussen privé en zakelijk is steeds meer aan het vervagen.
In hoeverre blijven zakelijke omgevingen dan nog verstoken van onzorgvuldigheden binnen de privé omgeving?
>>>>>
In hoeverre blijven zakelijke omgevingen dan nog verstoken van onzorgvuldigheden binnen de privé omgeving?
Privé e-mail wordt opgehaald van een extern systeem en dient als zodanig behandeld te worden. Veelal is het probleem dat het om encrypted verkeer gaat, waardoor het bij veel organisaties ongemerkt kan binnenkomen.
En dat levert weer een volgend probleem op: in hoeverre mag een werkgever “privé-verkeer” decrypten voor de controle op virussen en malware?
Wat men in ieder geval had kunnen doen is de link naar de malware site blokken. De link waarop geklikt is, haalt meestal de payload op. Dat had ook zonder decryptie kunnen worden geblokkeerd.