Vorige maand kwam de KNVB in het nieuws na een ransomwareaanval door hackersgroep Lockbit. Zo’n aanval is bijna geen nieuws meer, het bleef veelal bij artikelen in de kantlijn. Opvallender was dat tussen de regels door was te lezen dat het losgeld al was betaald. Ook dit was blijkbaar geen nieuws. Zitten we in de fase dat we simpelweg afkopen en doorgaan?
Nee, gelukkig niet. Om het nieuws heen ontstond ook een hoop discussie over het wel niet betalen van het losgeld. Het blijft natuurlijk een heet hangijzer; waar doe je goed aan?
Aan de ene kant wil je niet meewerken aan crimineel gedrag en betalen zou het systeem volgens velen in stand houden. Anderzijds wil je er alles aan doen – richting jezelf en eventueel andere gedupeerden – om gegevens zo snel mogelijk terug te krijgen. Hoewel je natuurlijk nul garantie hebt dat de gegevens niet alsnog op het darkweb gepubliceerd worden, is die kans ook weer niet zo heel groot. Hackersgroepen zijn niet dom; ze halen hun eigen businessmodel onderuit als ze laten betalen en de gegevens alsnog publiceren.
Het gaat hier niet om een hacker ergens op een zoldertje, maar een professionele organisatie met een (zeer) winstgevend businessmodel. Je kan zelfs opzoeken welk trackrecord een bepaalde hackergroep heeft. Dit dan ook weer niet alles omdat een hackergroep zich ook als een andere kan voordoen.
Circuit
Het blijft dus een precaire afweging tussen het beschermen van de gedupeerden en de instandhouding van het crimineel circuit. Als er mensen worden gegijzeld in plaats van data, dan zijn de meeste mensen het er wel over eens dat betalen waarschijnlijk de beste optie is. Als je auto gestolen wordt en je krijgt de kans hem terug te krijgen, zou je ervoor kiezen? Op een of andere manier hebben data nog steeds een aparte status.
We moeten als maatschappij vooral lessen trekken en kijken hoe we beter beschermd kunnen zijn tegen hackers. Wij zien nog te vaak dat er onvoldoende maatregelen zijn getroffen op het gebied van preventie en detectie. Gelukkig komt hier nu uitgebreidere regelgeving voor. We hadden de AVG al, de aankomende NIS2 gaat nog duidelijker en strengere eisen stellen aan hoe organisaties om moeten gaan met data- en systeembeveiliging. Het wel of niet betalen van losgeld is daar geen onderdeel van. Gelukkig maar, want als het goed is, hoeft het zo ver niet te komen.
Voetbalbond
Of de KNVB nu wel of niet had moeten betalen, zal een discussie blijven. Onder de nieuwe wetgeving had de voetbalbond (en alle andere organisaties) een boete kunnen krijgen indien ze niet hadden voldaan aan de richtlijnen. Die boetes kunnen oplopen tot tien miljoen euro of twee procent van de totale wereldwijde omzet. De vraag is dan maar net wat goedkoper (en beter) was geweest: het losgeld, de boete of de investering in goede preventie en detectie?
Simpel: NIET (punt).
1. Als je je data terug wil krijgen (lees de sleutel krijgen om de data weer leesbaar te maken) omdat je geen goede backup hebt, heb je zelf je zaken niet op orde. Investeer die potentiële bitcoins die je zou moeten betalen NU in een goede backup (offline of beter nog offsite en met een goede, zo lang mogelijke retentie).
1a. Of investeer die bitcoins in een service om de code te kraken zodat je ook zonder die sleutel je data weer beschikbaar krijgt.
2. Zoals aangegeven, ze willen de data niet publiceren omdat dat het dreigement niet meer werkt. Maar door het dreigen is het verleidelijk om overstag te gaan. En daar gokken ze dan ook op.
3. Publiceren ze wel, jammer dan. Zie punt 2, en daarna punt 1. (Maak je niet druk om een eventuele boete van de AP of wie dan ook, die komt vanzelf al wel vanwege de inbraak, niet omdat de gegevens alsnog zijn gepubliceerd.)
4. Wordt ook al aangegeven, je hebt geen garantie dat ze niet alsnog publiceren/verkopen. In dat geval betaal je alleen om je data weer beschikbaar te krijgen maar niet om de ander dreigementen op te voorkomen. Daarmee hebben ze dus dubbel winst.
Het is net als een fiets. Je fiets wordt gejat, dan koop je voor 25 euro een andere fiets (die gezien de prijs ongetwijfeld ook is gejat). Maar die wordt dan ook weer gejat, dus koop je maar weer een andere fiets voor 30 euro (ja, ja, inflatie, ook bij hun) enzovoort. Stop gewoon met het in stand houden van een business model. Natuurlijk is het duurder om bij de fietsenwinkel een nieuwe (tweedehandse) fiets te kopen maar dit business model is uiteindelijk duurder voor iedereen.
Wat betreft het verschil tussen het gijzelen van mensen en data is de keus niet zo zwart-wit als sommigen denken. En hetzelfde geldt voor de soep van bestuurljke boetes die blijkens een rechterlijke toetsing niet zo heet gegeten wordt als deze opgediend wordt. Ik snap dat Capo dei Capi Aleid wolfsen daar anders over denkt maar voordat hij over de boeven begint moet hij even naar zijn politieke vrienden kijken. Ik weet zeker dat deze liever betalen om het deksel op de doofpot te houden dan dat ze integer en transparant handelen.
In de vraag van: “Je geld of je leven” geven politici altijd makkelijk het geld van een ander weg…..
@Berry je hebt gelijk over het op orde brengen en houden van het beheer. Maar als het slachtoffer geen goede (beveiligde) back-up heeft en het bedrijf daardoor snel kan omvallen, dan zit deze wel klem. Dan is betalen soms toch beter.
Natuurlijk moet het slachtoffer daarna alsnog de juiste maatregelen nemen, dus zorgen voor een infrastructuur met een goed ontwerp, beheer volgens een professionele opzet, met preventief updatebeleid en detectie van inbreuken en malware, enz. Immers, de hackers weten het slachtoffer te vinden, weten hoe je infrastructuur in elkaar zat, weten dat het slachtoffer bereid was om te betalen en wat deze kon betalen. Na pakweg 2 maanden proberen ze het nog een keer, want het slachtoffer kan denken dat de bliksem maar één keer op dezelfde plek inslaat.
Lang niet iedereen weet dat bij het gebruik van ransomware alle recente back-ups versleuteld kunnen zijn door de hackers. De 3-2-1 back-upregel werkt goed bij technische problemen en calamiteiten, maar niet bij hacken en ransomware (of misbruik van MS BitLocker Drive Encryption). Een back-up met goed geteste data op een Write Once CD of DVD kan niet meer door hackers versleuteld worden. Simpel maar wel doeltreffend voor de meeste situaties.
Ik stelde jaren geleden al eens de vraag over beheersbaar of beheerbaar omdat IT-systemen voorbij de begrenzingen van de organisatie gaan met als gevolg een beperkte controleerbaarheid. Aangaande operationele controle over de ICT-componenten in de architectuur wijs ik op het feit dat zo’n 60% buiten de invloedssfeer van de ICT-afdeling valt door vanuit de business gecontracteerde ICT zoals cloud oplossingen. En ergens heb ik het idee dat een oude discipline zoals het configuratiemanagement weer aan belang gaat winnen in het vraagstuk van beheerbaar of beheersbaar.
Misschien dat het principe van Write Once, Read Many (WORM) van optical opslag ook weer terug komt maar ik denk dat andere gegevensdragers meer kans hebben. Want iedereen op C-level management weet dat de klok niet gestolen wordt maar de tijd wel want het verlies van een recente back-up is niet zo’n groot probleem. Vers in het geheugen is herstel extra werk maar het: ‘I know what you did last summer’ meer gaat om de archivering waar termen zoals legal holds in de bewaarplicht de discussie veranderen.
Punt 1 van Berry gaat uit van een vrijblijvendheid, door de hond gebeten of door de kat gekrabt gaat de chantage om een afweging van uitkomsten want de Russische roulette van kansberekening met 6 gevulde kamers van een revolver en de beurt aan de KNVB wees ik op natuurlijke personen die maatschappelijk geofferd worden. Kleine piemeltjes van dickpics en te grote ego’s wringt het strafrecht met het bestuurlijke recht want de soep wordt niet zo heet gegeten als deze opgediend wordt door een beheersbaarheid van de risico’s versus de beheerbaarheid van de ICT.
@Jaap, natuurlijk snap ik het dilemma. Dat de Universiteit van Maastricht betaalt omdat anders de studies van studenten in gevaar komt. Of dat een bedrijf betaalt omdat anders de productie (te) lang stil komt te liggen (dan is de vraag bij de directie toch wat meer kost, betalen of productieverlies). Dat neemt niet weg dat ik toch soms het gevoel heb dat er nog lichtzinnig wordt gedacht over “toch maar betalen”. Zeker als het gaat om betalen om te “voorkomen” dat data (alsnog) gepubliceerd kan gaan worden.
Ik vind het dan ook vreemd dat er een verzekering voor ransomware is gekomen. Wat, dus je denkt wel na om een verzekering af te sluiten, maar niet over hoe je de gevolgen kunt minimaliseren. Let wel, ik zeg niet voorkomen, dat is onmogelijk. Als je die instelling hebt kijk je anders naar hoe je je omgeving opzet. En er zijn al genoeg voorbeelden (UM, Hof van Twente etc) waar je van kan leren.
Natuurlijk, voorkomen is het beste (maar onmogelijk) dus zeker zo belangrijk is hoe je kunt herstellen van een catastrofe. Dat geldt niet alleen voor een ransom aanval, maar ook voor andere oorzaken van uitval. (overstroming, brand, een trein die je datacenter binnen komt rijden.) Mijn omgeving is zo opgezet dat ik altijd kan herstellen, wat er ook gebeurt, binnen een dag met minimaal verlies aan data.
De zelfoverschatting van ‘mijn omgeving’ is nogal naïef doordat een exfiltratie van data om het gedrag van de gebruikers gaat. Roekeloos als ze zijn verplaatsen ze bedrijfsgegevens naar de cloud vanwege toegankelijkheid middels any time, any place & any device. Een dikke streep door het ‘mijn omgeving’ begint bij BYO. Want de kansen van 6 gevulde kamers en jouw beurt om de trekker van de revolver over halen gaat om een keuze in zetten aangaande een morele vraag tussen goed en slecht.
O tempora, o mores!
Hof van Twente was als in je broek plassen voor het warme gevoel, ingehuurde troubadour voor de lofzang leverde jurdisch weinig op en kostte de belastingbetaler alleen maar geld. En wat betreft het voorkomen van herhaling denk ik dat Berry als de gebruikelijke beheerder is die geen weet heeft van de realiteit. Termen als RPO en RTO zijn nietszeggend als je geen weet hebt van de waarde van de data want de olifant in de hoek van de kamer gaat uiteindelijk om de bewijslast. Herstel van een omgeving versus een reconstructie van de geschiedenis;-)
@Oudlid, dat is geen zelfoverschatting. Ik heb het over de omgevingen die ik direct onder beheer heb. Voor zover ik weet heb ik niets te maken met gegevens in de cloud. Los daarvan, dat is aan de gebruiker, ik ben niet verantwoordelijk voor wat de gebruiker met zijn data doet. Maar gelukkig ken ik mijn gebruikers, en daarvan weet ik dat ze de data niet in de cloud zetten, daarom/daarvoor zitten ze ook juist op mijn omgeving.
De basis van mijn vertrouwen is juist hoe de omgeving en backup strategie is opgezet. En ik weet heel goed wat de realiteit is, ik ben bekend met de andere kant van de terminal. Juist daarom heb ik een omgeving opgezet die veilig (maar werkbaar) is, en houd rekening met veel mogelijke scenarios op het gebied van beveiliging en recovery.
1) Volledig read-only omgeving, behalve daar waar de gebruiker zelf data neerzet. Daarmee is het onmogelijk om iets in programmatuur (OS, applicatie) aan te passen. Dat alleen al houdt virussen en ransomware buiten de deur. Toegegeven, de gebruiker data zou dan nog wel aangetast kunnen worden, maar dat wordt dan via een andere omgeving geïntroduceerd.
2) Gelimiteerde access op de omgevingen en op permissies in de omgeving. Geen onnodige poorten of services die open staan, IP based access op kritieke services en wat open staat wordt actief gemonitored.
3) Een offline (tape) backup maakt het onmogelijk om deze achteraf te wijzigen.
4) DR is geregeld in meerdere procedures, van simpel image restore tot het van scratch opbouwen van een omgeving. Daarmee kunnen we snel een omgeving herstellen, we zijn dan alleen afhankelijk van de kwaliteit van de gebruiker data uit de backups.
5) Gedegen retentie van dag/week/maand backups waardoor we ruime mogelijkheden hebben voor een restore in time. In een extreem geval is het dan dus mogelijk om per bestand te bekijken welke versie nog correct is. Hier heb je dan wel te maken met politiek, want wat is belangrijker, de homedirectory van de directeur of de CRM omgeving? (CRM is van belang voor het bedrijf, maar de directeur is verantwoordelijk voor de KTO)
Je hebt inderdaad gelijk aangaande RPO en RTO. Maar ook dat is vaak politiek, een manager vindt RTO vaak het belangrijkste, al was het maar omdat beschikbaarheid een KPI is. Terwijl onderzoek naar wat er is gebeurd zeker zo belangrijk is. Gelukkig kan ik ook dat opvangen. Als eerste gaat de omgeving weer in de lucht voor de gebruikers, maar tegelijkertijd zorg ik voor een testomgeving waarmee ik kan onderzoeken wat er is gebeurd.
Ik zit aan de andere kant van de terminal welke voor een onwerkbaarheid zorgt doordat de hedendaagse realiteit om samenwerken met partners gaat waarin Sharepoint in de cloud zo z’n voordelen heeft t.o.v. het heen-en-weer mailen. Wat betreft exfiltratie van data lijkt het me dus naïef om te denken dat je informatiestromen onder controle hebt. Want het gaat bij ransomware tenslotte niet om het beschermen van OS & applicaties maar om het beschermen van de bedrijfsdata, de zwakheid in punt 1 van de ‘andere’ omgeving.
Het is missschien geen zelfoverschatting maar de permissies in punt 2 gaan om het rechtenbeheer, ik zit niet meer in het rode team maar vroeger kon ik vrij makkelijk bij de systemen komen middels het management netwerk. Wat betreft de achterdeur van Hof van Twente zijn OS & applicaties niet veilig voor een directe aanval op de infrastructuur, punt 3 van een scheiding is interessant en ik verkoop graag tape maar integriteit van punt 4 gaat om een schone omgeving.
Ik sla dus een groot deel van de reactie over omdat punt 5 niet om de retenties (bewaartijd) gaat maar de versies, de reis terug in de tijd tot een punt (RPO) van herstel welke veilig is. Mijn gelijk aangaande RPO en RTO gaat niet om politiek maar techniek, de veilige omgeving van OS en applicatie is namelijk niet het probleem. Het IK in reactie zou ik graag terug zien in een opinie, ik heb er vele geschreven welke nog altijd van waarde zijn. Want CRM van de KNVB gaat om het vertrouwen, de gokkast van Kenneth was BV Kansloos doordat spelers geen gladiatoren zijn.
In het spel en de knikkers is de KNVB een bijzondere rechtspersoon wat betreft de politiek want maatschappelijk vinden we voetbal belangrijker dan het welzijn van natuurlijke personen, meeste juristen struikelen hierover omdat het bestuursrecht en strafrecht om twee loketten gaat. Want zoals ik al stelde wordt de soep van boetes uiteindelijk niet zo heet gegeten als dat deze opgediend wordt. Nalatigheid in een zorgplicht voor de mens versus de bescherming van een systeem leg ik de bal graag op de stip voor de discussie.
Bij geen reactie van de auteur hierin weet ik precies welk vlees ik in de kuip heb, de hedendaagse ambtelijke richtlijnen zijn tenslotte niet de vizierlijnen voor de toekomst. Goed versus slecht wijs ik op ‘klokkenluiders’ van hackers die opeens de bonnetjes van politici publiceren, ik was de ghostwriter voor 3 CEO’s. Het beschermen van de gedupeerden en de instandhouding van een crimineel circuit gaat om de onrechtmatige verkregen winst, de voetbalbond heeft vooral wat uit te leggen over de transfers.