Breakdown: Fox-IT Rapport Universiteit Maastricht

Het gebruik van ICT voorzieningen is vrijwel in elke branche een zekerheid. Maar wat gebeurt er als die vanzelfsprekendheid ineens wegvalt? De afgelopen weken waren er problemen met grote ICT voorzieningen en andere organisaties weer regelmaat in het nieuws. Denk bijvoorbeeld aan de ransomware situatie bij de Universiteit Maastricht (UM), onduidelijkheid over de kwetsbaarheden in diverse Citrix applicaties en kwetsbaarheden in Microsoft besturingssystemen. Als klap op de vuurpijl meldt de Autoriteit Persoonsgegevens (AP) op 6 februari jl. dat er een forse stijging is van meldingen rondom datalekken:

“In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018”.

De oorzaken lijken technisch van aard, maar hoe groot is het technische component als we de casus van Universiteit Maastricht nader bekijken? In deze blog bespreken we de belangrijkste punten uit het rapport. Welke lessen kan jouw bedrijf hier uit trekken?

Fox-IT rapport
In opdracht van de UM heeft Fox-IT een rapport opgesteld betreffende de ransomware aanval waar de universiteit eind december 2019 slachtoffer van werd. De universiteit heeft besloten om haar ervaringen en lessen uit dit traject openbaar te maken, zodat anderen hier (preventief) lering uit kunnen trekken. Uiteraard niets dan waardering voor deze transparante aanpak en de bereidheid om de lessen en ervaringen te delen middels een interessant en leerzaam rapport.
De voornaamste conclusies uit dit rapport zijn:

Er was onvoldoende bewustzijn bij medewerkers op mogelijke phishing acties door hackers.

Er zijn (voor zover bekend) 2 e-mails en bijlagen geopend. De deur voor de hackers werd hierdoor op een kier gezet. De Universiteit vermeldt hier een zeer interessant gegeven: “Per seconde worden 30.000 inbraakpogingen geblokkeerd en per dag worden 1400 malware aanvallen gestopt”
Zelfs met een score van 99,9937% afgeweerde aanvallen aan de voordeur loopt een bedrijf dus nog grote risico’s als hackers deze deur slechts op een kier weten te zetten.

Er was geen adequate monitoring of Security Operation Center (SOC) om afwijkingen binnen de IT omgevingen op te vangen, te analyseren en te kwalificeren.

Zonder de monitoring en gezien het tijdsstip van de aanval was er geen adequate handeling mogelijk vanuit de UM. Waarom een SOC nodig is? Dat lees je hier.

De inrichting van het (Windows) netwerk was achterhaald. Zowel de scheiding van diverse netwerkzones als het toekennen van rechten voor specifieke werkzaamheden.

Bijkomend probleem is dat het doorvoeren van updates en patches niet volledig en correct werd afgehandeld. Dit werd ook niet gecontroleerd door de UM. Waar het openen van de phishing mails de deur op een kier had gezet, bleek het daarna voor de hackers eenvoudig om grote delen van de ICT infrastructuur te benaderen en over te nemen.

Er waren onvoldoende offline back-ups gemaakt. Ook waren deze niet adequaat getest.

Er waren wel zogenaamde online back-ups gemaakt. Deze waren gemaakt in de vorm van snapshots. De back-ups stonden echter op de servers die getroffen waren door de ransomware aanval.

Dwangsom
De universiteit heeft, onder andere samen met Fox-IT, hard gewerkt aan een mogelijke oplossing. Maar zag zich uiteindelijk genoodzaakt om de dwangsom van de hackers te betalen. De afkoopsom deed veel stof opwaaien, echter alleen de UM kan een gedegen afweging maken of het betaalde bedrag in verhouding staat tot de reeds geleden schade en de potentiele schade die ontstaat als men langer buiten de eigen ICT systemen wordt gehouden.

Er zijn in deze trajecten twee aspecten die een stuk interessanter zijn dan een discussie rondom een afkoopsom. Namelijk de afhankelijkheid van menselijk handelen en de focus die hierbij komt kijken om het werk adequaat uit te kunnen voeren én de combinatie van deze twee factoren.

Laten we eerst het menselijk handelen bespreken. Dat alle medewerkers security aware moeten zijn en niet alleen de ICT medewerkers of de Security Officers behoeft geen uitleg. De kennis van de ICT medewerker moet up-to-date zijn. Dit geldt voor zowel hun eigen ICT omgeving als de nieuwe ontwikkelingen in de markt. Daarnaast is de controleslag belangrijk. Zowel in de vorm van back-ups als het controleren van patchwerkzaamheden.

Op het gebied van focus moeten medewerkers zich volledig kunnen richten op hun taken en vakgebied. Is het nog wel van deze tijd om de ICT volledig in eigen beheer te hebben? Er is meer aandacht, mankracht en budget nodig om de continue stroom nieuwe ontwikkelingen te beoordelen, te implementeren, te onderhouden én je te wapenen tegen alle nieuwe vormen van bedreigingen die deze ontwikkelingen met zich meebrengen

Als we deze twee factoren combineren, is het dan nog realistisch om te verlangen dat het hele ICT security spectrum adequaat wordt afgedekt door een eigen ICT afdeling? De afgelopen jaren hebben we de verantwoordelijkheden en aandachtsgebieden in hoog tempo zien toenemen, waarbij het zeer de vraag is of het reëel is om deze taken allemaal te beleggen bij medewerkers die van origine andere competenties en focus hebben, nog afgezien van de investering die dit vraagt, op meerdere vlakken, van de betreffende organisaties.

We zien dat met name het ICT Security component afhankelijk is van de aandacht die men hieraan kan en wil besteden (focus) en in hoeverre medewerkers de mogelijkheid hebben om de ontwikkelingen in de markt te kunnen volgen en vervolgens benodigde maatregelen te kunnen implementeren. De situatie die ontstaan is en de conclusies uit het rapport, deden ons denken aan een quote van Louise Hay: “I do not fix problems. I fix my thinking. Then problems fix themselves”.

Is het anno 2020 wellicht tijd voor een andere denkrichting, waarbij het hele ICT spectrum bestaat uit diverse partnerschappen en samenwerkingsverbanden en opdrachtgevers als de universiteiten, gemeentes, zorginstellingen etc. acteert als regisseur? In een dergelijke constructie kan elke partner zich focussen op zijn/haar kerntaken, wat het geheel van de bedrijfsvoeringen, naar een hoger niveau tilt dan de (huidige) som der delen.

Bent u nieuwsgierig geworden wat Navaio IT Security voor u kan betekenen na het lezen van deze blog over het Fox-IT rapport? Of wilt u van gedachten wisselen? Neemt u dan vrijblijvend contact met ons op om te kijken waar we elkaar kunnen versterken.

By van der Mark|2020-10-27T09:36:02+01:00March 3, 2020|Blog|0 Comments

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
sp_landing	1 day	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.
sp_t	1 year	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.

Cookie	Duration	Description
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_S3S4QWSG9R	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_110801228_1		This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	16 years 5 months	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.

Cookie	Duration	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	14 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.

Breakdown: Fox-IT Rapport Universiteit Maastricht

Breakdown: Fox-IT Rapport Universiteit Maastricht

About the Author: van der Mark

De 9 grootste cybersecurity problemen

Webinar Managed Detection & Response: Een hacker binnen enkele minuten detecteren.

Security Awareness: De top-7 valkuilen

Heb je een SOC nodig?

Leave A Comment Cancel reply

Breakdown: Fox-IT Rapport Universiteit Maastricht

Deel dit verhaal, kies je platform!

About the Author: van der Mark

Related Posts

De 9 grootste cybersecurity problemen

Webinar Managed Detection & Response: Een hacker binnen enkele minuten detecteren.

Security Awareness: De top-7 valkuilen

Heb je een SOC nodig?

Leave A Comment Cancel reply