Gehacked…! En nu?

Enkele weken geleden werd het notariaat opgeschrikt door het bericht dat een IT-leverancier gehacked was en een kleine honderdtal notariskantoren hun werkzaamheden moeten opschorten deze week. Het onderstreept nogmaals het belang van een sterke focus op databeveiliging. We stellen hierover een 7-tal vragen aan Edwin de Brave, Business Unit Manager van Rely.

Wat is er gebeurd?

Uitstekende vraag… maar om eerlijk te zijn, weten we eigenlijk vrij weinig. Een van onze concullega’s lijkt eind vorige week gehacked te zijn en we zien dat de effecten nog steeds niet opgelost zijn. De KNB was de eerste die er melding van maakte via social media op vrijdag 16 april, en we zien dat de notariskantoren die daardoor getroffen zijn, hun werkzaamheden nog niet hebben kunnen hervatten. Het enige wat we nu kunnen doen is speculeren op wat we wel weten en wat er qua berichtgeving naar buiten komt. Er wordt gesproken over het ‘uit voorzorg afsluiten van servers en databases’ en we weten dat Csirt Dsp, het cybersecurityincident-responseteam voor digitale dienstverleners van Economische Zaken, is ingeschakeld. Daarnaast is ook de website van de leverancier zelf uit de lucht.

Dat lijkt serieus?

Dat is ook serieus. 96 kantoren die gewoon stil liggen, en als ze al bereikbaar zijn, kunnen ze niets anders dan de klanten vragen om geduld. Niet in de systemen kunnen, is simpelweg niet kunnen werken. De dienstverlening komt dan volledig tot stilstand met alle gevolgen van dien. En het wrange is ook nog eens, je kan klanten niet eens bereiken… de agenda’s zitten in het systeem, net zoals de contactgegevens dus je staat simpelweg stil.

Wat kan de oorzaak zijn?

Zoals gezegd; we weten het niet zeker maar de huidige tekenen lijken op een hack waarbij gebruik gemaakt wordt van ransomware. Kijk, als je een organisatie offline wil halen, of wil pesten, dan voer je een DDoS-aanval uit; je zorgt voor een enorme hoeveelheid aan verkeer richting een netwerk of platform waardoor die het niet kan verwerken en vastloopt. Vergelijk het met de tolwegen of zelfs een drukke avondspits; normaal kan de snelweg genoeg verkeer aan, maar als er ineens een grote piek is, loopt het vast. Alleen… dit is geen DDoS-aanval; typisch aan zo’n aanval is, dat ‘ie een behoorlijk tijdelijk karakter heeft. Je kan niet eeuwig verkeer die kant op sturen, en zelfs al lukt dat wel kan je met een paar noodgrepen er voor zorgen dat het verkeer wordt afgewend of geabsorbeerd wordt zodat er een minimaal niveau van dienstverlening mogelijk is.

De inzet van Csirt Dsp, het feit dat er weinig informatie naar buiten komt, de tijdsduur van het incident en het feit dat de eigen website plat ligt, wijst allemaal richting een Ransomware-aanval.

Wat is een Ransomware-aanval?

Bij een Ransomware-aanval wordt er gebruik gemaakt van een kwetsbaarheid om binnen te komen. Dat kan een aangeklikte phishing-e-mail zijn, een niet geüpdatet server, een openstaande firewall, het kan van alles zijn. En let wel; het is geen toeval he…. Het romantische beeld dat er een scholier ‘per ongeluk’ in een onbekend netwerk beland; vergeet het maar. Het zijn doelbewuste acties van criminelen die binnen willen komen en geld willen verdienen. En daar MOET je je tegen wapenen. Je moet zorgen voor een actief beveiligingsbeleid om dit soort incidenten het hoofd te kunnen bieden. Zodra een crimineel dan binnen is, wordt er razendsnel gekeken hoe er geld verdient kan worden. Het kan zijn dat er eerst nog maanden rondgeneusd wordt, er zoveel mogelijk privé data wordt buitgemaakt om later te verkopen of dat het systeem gegijzeld wordt.

Dat laatste doen ze met Ransomware. Zoals de vertaling doet vermoeden; er wordt losgeld gevraagd om het systeem weer vrij te geven. In praktijk wordt het platform, servers, databases en alles waar ze bij kunnen komen versleuteld. En niet op een makkelijke manier. Er is echt geen chocolade meer van te maken. De enige kans die gegeven wordt is om geld (of in veel gevallen zijn het digi-coins zoals bijvoorbeeld bitcoins) te betalen om een ontcijfersleutel te krijgen waarmee je je eigen systeem kan ontcijferen.

Hoe moet je hierop reageren?

Primair zijn er 3 mogelijkheden. De eerste is meegaan met de crimineel en simpelweg geld betalen. Dat is geen garantie dat je ook daadwerkelijk de ontcijfersleutel krijgt na betaling maar het kan een mogelijkheid zijn. Een van de bekendere gevallen van ransomware was de hack bij de universiteit van Maastricht waarbij er uiteindelijk € 197.000,- losgeld is betaald. De tweede mogelijkheid is ontcijferen. Dat is mogelijk bij een relatief makkelijke ransomware, maar bij een beetje serieuze aanval kost het dermate veel moeite dat dit eigenlijk niet mogelijk is. De derde optie is om alles af te sluiten en geheel opnieuw op te bouwen. Dat is een hels karwei. De meeste platformen zijn echt geen ‘plug en play’ maar zijn zorgvuldig ontworpen systemen die je niet in enkele dagen online krijgt. Bovendien moet er een compleet gescheiden back-up beschikbaar zijn, want de ransomware mag de back-up niet bereikt hebben. Ook mag die ook niet nog eens niet al te oud zijn. Hoe dan ook; er zal sprake zijn van opbouwtijd én het verlies van data van een periode tussen de laatste goede veilige back-up en de gijzeling zelf.

Wat kun je er zelf aan doen?

Eigenlijk is dat al gezegd: zorg voor een actieve beveilings strategie. En dat is meer dan alleen de technische kwetsbaarheden uitsluiten maar ook controle daarop, bijblijven met de laatste gesignaleerde kwetsbaarheden EN zorg dat de mens-factor ook meegenomen wordt. Er ligt tegenwoordig veel meer gevaar op de loer voor de gebruikers dan voor de IT-afdelingen. Het simpelweg op een verkeerde link klikken, een bijlage downloaden of een wachtwoord afgeven aan die vriendelijke behulpzame helpdesk medewerker die zojuist belde omdat er iets ingesteld moest worden. Het zijn echt hele makkelijk fouten die gemaakt kunnen worden. En dus moeten medewerkers getraind worden; gebruik veilige(re) wachtwoorden, plak geen post-its op je monitor met een wachtwoord, etc. En je ziet aan dit incident; dus ook bij een organisatie die dit juist wel voorop moet hebben staan in de core van hun eigen business. Een foutje is snel gemaakt, maar het oplossen kan een enorme hoeveelheid tijd en energie kosten.

Hoe zit het bij Rely?

Uiteraard geldt dat in het verleden behaalde resultaten geen garantie geven voor de toekomst. Maar we kunnen tegelijkertijd wel bogen op een enorm goed track-record. Je kan simpelweg geen garantie geven op 100% beveiliging maar we kunnen wel duidelijk aangeven wat we doen om dit soort zaken te voorkomen.

De managed hostingomgeving staat onder volledige controle en beheer van de Claranet locatie in Son. Deze locatie is in het bezit van een ISO 27001:2013, en een ISAE 3402 –type 2 rapportage over de periode 1-1-2020 t/m 31-12-2020. Claranet werkt samen met de externe datacenters, welke allemaal gevestigd zijn in Nederland. Daarnaast is Claranet in het bezit van een ISAE3402–type 2 rapportage, over de periode 1-1-2020 t/m 31-12-2020, uitgegeven door de onafhankelijke auditor. Om zo’n certificaat te krijgen worden er heel wat zaken grondig gecontroleerd: van zorgen dat aan de security eisen wordt voldaan tot het monitoren dat de back-ups goed worden uitgevoerd. Binnen onze NotarisSuite zijn de individuele kantoren ondergebracht in zo genaamde “bubbels”. Problemen bij één kantoor geven geen problemen bij een ander kantoor. Back-ups worden gemaakt op een apart platform en er is een patch beleid om zo, security lekken zo veel mogelijk te voorkomen. Daarnaast worden er security checks uitgevoerd en is er antivirus software geïnstalleerd. Het voordeel van het gebruik van een door Claranet gebouwd platform is, dat er in verschillende landen informatie wordt verzameld over mogelijke security lekken waardoor het risico wordt beperkt ten opzichte van een puur lokale IT partij.

Neem contact met ons op

Laat een e-mail achter

Vul onderstaand formulier in en we zullen zo spoedig mogelijk contact met u opnemen

Velden aangeduid met een * zijn verplicht.

CAPTCHA
Deze vraag is om te testen of u geen computer bent om automatisch spam tegen te gaan.

Neem contact met ons op

085 27 33 255