Het gebruik van ICT voorzieningen is vrijwel in elke branche een zekerheid. Maar wat gebeurt er als die vanzelfsprekendheid ineens wegvalt? De afgelopen weken waren er problemen met grote ICT voorzieningen en andere organisaties weer regelmaat in het nieuws. Denk bijvoorbeeld aan de ransomware situatie bij de Universiteit Maastricht (UM), onduidelijkheid over de kwetsbaarheden in diverse Citrix applicaties en kwetsbaarheden in Microsoft besturingssystemen. Als klap op de vuurpijl meldt de Autoriteit Persoonsgegevens (AP) op 6 februari jl. dat er een forse stijging is van meldingen rondom datalekken:

In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018”.

De oorzaken lijken technisch van aard, maar hoe groot is het technische component als we de casus van Universiteit Maastricht nader bekijken? In deze blog bespreken we de belangrijkste punten uit het rapport. Welke lessen kan jouw bedrijf hier uit trekken?

Fox-IT rapport
In opdracht van de UM heeft Fox-IT een rapport opgesteld betreffende de ransomware aanval waar de universiteit eind december 2019 slachtoffer van werd. De universiteit heeft besloten om haar ervaringen en lessen uit dit traject openbaar te maken, zodat anderen hier (preventief) lering uit kunnen trekken. Uiteraard niets dan waardering voor deze transparante aanpak en de bereidheid om de lessen en ervaringen te delen middels een interessant en leerzaam rapport.
De voornaamste conclusies uit dit rapport zijn:

  1. Er was onvoldoende bewustzijn bij medewerkers op mogelijke phishing acties door hackers.

Er zijn (voor zover bekend) 2 e-mails en bijlagen geopend. De deur voor de hackers werd hierdoor op een kier gezet. De Universiteit vermeldt hier een zeer interessant gegeven: “Per seconde worden 30.000 inbraakpogingen geblokkeerd en per dag worden 1400 malware aanvallen gestopt”
Zelfs met een score van 99,9937% afgeweerde aanvallen aan de voordeur loopt een bedrijf dus nog grote risico’s als hackers deze deur slechts op een kier weten te zetten.

  1. Er was geen adequate monitoring of Security Operation Center (SOC) om afwijkingen binnen de IT omgevingen op te vangen, te analyseren en te kwalificeren.

Zonder de monitoring en gezien het tijdsstip van de aanval was er geen adequate handeling mogelijk vanuit de UM. Waarom een SOC nodig is? Dat lees je hier.

  1. De inrichting van het (Windows) netwerk was achterhaald. Zowel de scheiding van diverse netwerkzones als het toekennen van rechten voor specifieke werkzaamheden.

Bijkomend probleem is dat het doorvoeren van updates en patches niet volledig en correct werd afgehandeld. Dit werd ook niet gecontroleerd door de UM. Waar het openen van de phishing mails de deur op een kier had gezet, bleek het daarna voor de hackers eenvoudig om grote delen van de ICT infrastructuur te benaderen en over te nemen.

  1. Er waren onvoldoende offline back-ups gemaakt. Ook waren deze niet adequaat getest.

Er waren wel zogenaamde online back-ups gemaakt. Deze waren gemaakt in de vorm van snapshots. De back-ups stonden echter op de servers die getroffen waren door de ransomware aanval.

Dwangsom
De universiteit heeft, onder andere samen met Fox-IT, hard gewerkt aan een mogelijke oplossing. Maar zag zich uiteindelijk genoodzaakt om de dwangsom van de hackers te betalen. De afkoopsom deed veel stof opwaaien, echter alleen de UM kan een gedegen afweging maken of het betaalde bedrag in verhouding staat tot de reeds geleden schade en de potentiele schade die ontstaat als men langer buiten de eigen ICT systemen wordt gehouden.

Er zijn in deze trajecten twee aspecten die een stuk interessanter zijn dan een discussie rondom een afkoopsom. Namelijk de afhankelijkheid van menselijk handelen en de focus die hierbij komt kijken om het werk adequaat uit te kunnen voeren én de combinatie van deze twee factoren.

Laten we eerst het menselijk handelen bespreken. Dat alle medewerkers security aware moeten zijn en niet alleen de ICT medewerkers of de Security Officers behoeft geen uitleg. De kennis van de ICT medewerker moet up-to-date zijn. Dit geldt voor zowel hun eigen ICT omgeving als de nieuwe ontwikkelingen in de markt. Daarnaast is de controleslag belangrijk. Zowel in de vorm van back-ups als het controleren van patchwerkzaamheden.

Op het gebied van focus moeten medewerkers zich volledig kunnen richten op hun taken en vakgebied. Is het nog wel van deze tijd om de ICT volledig in eigen beheer te hebben? Er is meer aandacht, mankracht en budget nodig om de continue stroom nieuwe ontwikkelingen te beoordelen, te implementeren, te onderhouden én je te wapenen tegen alle nieuwe vormen van bedreigingen die deze ontwikkelingen met zich meebrengen

Als we deze twee factoren combineren, is het dan nog realistisch om te verlangen dat het hele ICT security spectrum adequaat wordt afgedekt door een eigen ICT afdeling? De afgelopen jaren hebben we de verantwoordelijkheden en aandachtsgebieden in hoog tempo zien toenemen, waarbij het zeer de vraag is of het reëel is om deze taken allemaal te beleggen bij medewerkers die van origine andere competenties en focus hebben, nog afgezien van de investering die dit vraagt, op meerdere vlakken, van de betreffende organisaties.

We zien dat met name het ICT Security component afhankelijk is van de aandacht die men hieraan kan en wil besteden (focus) en in hoeverre medewerkers de mogelijkheid hebben om de ontwikkelingen in de markt te kunnen volgen en vervolgens benodigde maatregelen te kunnen implementeren. De situatie die ontstaan is en de conclusies uit het rapport, deden ons denken aan een quote van Louise Hay: “I do not fix problems. I fix my thinking. Then problems fix themselves”.

Is het anno 2020 wellicht tijd voor een andere denkrichting, waarbij het hele ICT spectrum bestaat uit diverse partnerschappen en samenwerkingsverbanden en opdrachtgevers als de universiteiten, gemeentes, zorginstellingen etc. acteert als regisseur? In een dergelijke constructie kan elke partner zich focussen op zijn/haar kerntaken, wat het geheel van de bedrijfsvoeringen, naar een hoger niveau tilt dan de (huidige) som der delen.

 

Bent u nieuwsgierig geworden wat Navaio IT Security voor u kan betekenen na het lezen van deze blog over het Fox-IT rapport? Of wilt u van gedachten wisselen? Neemt u dan vrijblijvend contact met ons op om te kijken waar we elkaar kunnen versterken.