Print:

Terminal gehackt? Wat te doen volgens Brenno de Winter

Redactie IIR, Trainingen en congressen

LinkedIn profiel

27 juni 2017, de dag dat bedrijven in verschillende landen zijn getroffen door een grootschalige nieuwe aanval met ransomware. Allerlei Oekraïense firma’s en het Russische oliebedrijf Rosneft zijn slachtoffer geworden, maar zo ook de Rotterdamse APM Terminals!

Brenno de Winter, Beveiligingsexpert, die erin slaagde de ov-chipkaart te kraken, vertelt ons meer over deze aanval.

Wat is er eigenlijk aan de hand bij APM?

Er zijn partijen getroffen door ransomware. Partijen in Nederland maar ook in Rusland en Oekraïne. Dit houdt in dat bestanden zijn versleuteld op computers. Beveiligingsbedrijven geven nu aan dat dit gaat om dezelfde zwakheid die misbruikt werd bij het WannaCry virus een aantal weken geleden. Dit is een nieuwe variant die bedrijven lam legt. In wezen wordt misbruik gemaakt van reeds bekende lekken.

Wat betekent dit voor APM?

Dit betekent een verstoring van de dagelijkse operatie. Wat het precies betekent hangt af van welke computers zijn getroffen. Sturen de computers bijvoorbeeld chemische processen of andere apparatuur aan? Dan zijn de gevolgen verstrekkender, maar het kan ook gewoon je kantoor platleggen.

APM wordt nu betrokken in de beeldvorming bij deze problematiek. Dat voelt natuurlijk erg naar. Het is geen leuk nieuws dat je in de media komt omdat je betrokken bent bij een groot virus. Als het hierbij blijft heeft het geen grote gevolgen voor de reputatie, maar creëert wel veel onrust.

Belangrijk is nu om te kijken, waar komt het vandaan en hoe stop je het? Daarnaast is het natuurlijk van belang dat systemen worden bijgewerkt. Dit virus verspreidt zich namelijk juist omdat systemen niet zijn bijgewerkt.

De computersystemen voldeden eigenlijk dus niet aan de veiligheidseisen?

Je bent verplicht om je computersysteem goed te beveiligen, maar het hangt er erg vanaf aan welke eisen je moet voldoen. Dat hangt ook bijvoorbeeld af van welke systemen het betreft. Zo moet een bank voor bepaalde systemen aan hogere veiligheidseisen voldoen dan een reguliere kantooromgeving.

Maar het niet bijwerken van je computersystemen en het in gebruik hebben van een verouderde Windows-versie, die in maart al is verbeterd, roept wel de vraag op; hoe goed zijn je update-processen in de organisatie?

Hadden ze dit kunnen voorkomen? Zo ja, hoe?

Ja, dit had je kunnen voorkomen door te updaten en een anti-virus te hebben die niet zozeer het virus detecteert, maar die wel de activiteit stopt wanneer er iets raars gebeurt. Het is belangrijk afwijkend gedrag meteen te kunnen detecteren.

Wat adviseer je hen en het personeel om te doen?

Zoals je bijvoorbeeld bij Fox-IT zag gebeuren, ontstond er paniek en werd alles platgegooid. Het hangt van de situatie af of dat wel het verstandigst is om te doen. Wat je op dit moment wel kunt doen is wanneer je back-ups hebt, de back-ups terugzetten, systemen goed bijwerken en weer overgaan tot de orde van de dag.

Er zit natuurlijk nog wel een heel traject aan vast. Aangezien op bijna iedere computer ook persoonsgegevens staan, dient gemeld te worden bij de Autoriteit Persoonsgegevens dat er een datalek is geweest. En uiteraard moet gekeken worden of het beveiligingsplan nog wel up-to-date is. Stel jezelf de vraag: is dit het beste wat we hebben kunnen doen? Zo waren er al drie maanden updates beschikbaar die precies dit lek voorkomen. Uiteraard ervan uitgaande dat Avira software een goede analyse heeft uitgevoerd.

Is er ook belangrijke informatie gestolen?

Ja het is heel goed mogelijk dat er met een virus mee, informatie gestolen wordt. Dat er meer functionaliteit zit in het virus. Dit vermoeden was er ook bij Dorifel in 2012. Toen dit speelde, leek het er sterk op dat bestanden werden gekopieerd naar servers aan de andere kant van de wereld. Dat is een mogelijkheid, en is iets waar je op beducht moet zijn. Het is de vraag of het een en hetzelfde stuk malware is, of dat er meerdere varianten van dit virus zijn. Daar weten we op dit moment nog te weinig van.

Wat is de beste oplossing?

In het belang van onderzoek kan het nuttig zijn om niet meteen alles plat te leggen. Dan kun je geen analyses meer uitvoeren. Aan de andere kant wil je ook niet dat een virus zich vrij gaat verspreiden door je organisatie. Dus dat je op een gegeven moment stukken netwerken platgooit, is wel logisch. Wat is nu het beste? Goed onderzoek doen, de rust bewaren, kijken waar dit vandaan komt en hoe je daar lessen uit kunt trekken.

Het gaat hier eigenlijk om een digitale kidnap. Er wordt losgeld gevraagd. Moet dit betaald worden?

Dit is een lastig debat. Aan de ene kant kun je natuurlijk zeggen dat je het business model voedt door te betalen. Dat moet je eigenlijk niet doen. Maar als je een bedrijf bent zonder back up, en je kunt geen kant op, je bent al je data kwijt, dan zeg je dus ook tegen zo’n bedrijf: ga maar failliet.

Dat kun je ook niet maken. Daar zal je een tussenoplossing voor moeten vinden. Als het even kan, zou ik niet betalen. Dan moet je wel beschikken over goede back-ups die je terug moet zetten en je beveiliging verbeteren. Dan heb je geen enkele noodzaak om te betalen. Als je klem zit en het is betalen of verzuipen, dan heb je geen andere keus dan betalen.

Zijn de daders te achterhalen?

Nee, het is heel lastig te achterhalen wie de daders zijn. Soms kun je de bron van de verspreiding achterhalen. Je zou kunnen kijken naar sporen in Oost- Europa en de olie-industrie, waar deze hack begonnen is.  Maar ik zou de kans niet te hoog inschatten. De kans dat je daders pakt is heel erg klein.

Welke lessen wil je bedrijven meegeven?

Als je iets wilt verbeteren op dit gebied, kun je drie dingen doen:

 

Naast back ups hebben en terugzetten moet de computer ook opnieuw geïnstalleerd worden. Mijn advies is dan ook een reservekopie van de hele computer (of omgeving) te hebben

  1. Goede back ups maken, maar ook de computer opnieuw installeren. Mijn advies is dan ook een reservekopie van de hele computer (of omgeving) te hebben.
  2. Zorgen dat je systemen goed zijn bijgewerkt.
  3. Ook betalen heeft geen zin, aangezien de provider het e-mailaccount waarmee slachtoffers communiceren, heeft afgesloten.
  4. Zorg dat je data goed gescheiden is. Dus dat als zoiets toeslaat, je niet alles in een keer kwijt bent. Dit doe je door je netwerk technisch te scheiden en bepaalde gevoelige data eventueel op een andere computer op te slaan. Daar dus ouderwets in te zijn, door de netwerken fysiek te scheiden.

 

Tijdens de conferentie Opslagtanks, 8 & 9 november 2017 hoort u alles over het hacken en beveiligen van uw plant.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten