Als we het KNMI mogen geloven dan waaien we dit weekend allemaal weg vanwege een storm die zelfs haar eigen naam heeft gekregen, Ciara. De verwachting is dat Ciara aardig wat schade gaat aanrichten, maar goed, het meteorologisch instituut geeft al code rood af wanneer het langer dan 5 minuten regent. Uiteraard gaan we het in deze blog verder niet hebben over het weer, alhoewel het CDA daar anders over denkt. Die willen graag een weerbericht maar dan voor beveiligingslekken en aanvallen. Dat u het maar weet. Deze week gaan we voor het laatst naar de Universiteit van Maastricht, zien we hoe de overheid het volk informeert over de kwetsbaarheid van IoT-apparaten en hebben we een stijging van digitale aanvallen in 2019 waargenomen.
In dit blog behandelen we de meest interessante topics die gisteren aan bod kwamen tijdens het symposium. Wilt u het hele rapport lezen, die is vrij beschikbaar via deze link. In voorgaande blogs hebben we gespeculeerd dat de Universiteit van Maastricht hoogstwaarschijnlijk losgeld heeft betaald om de bestanden te laten ontsleutelen. Gisteren werd dat bevestigd. In totaal maakte de universiteit een bedrag van 197.000 euro over. Dat is een maandsalaris voor een semi-degelijke voetballer, maar voor een universiteit is dit een flinke financiële klap. De aanvaller kwam binnen via een phishing aanval. Deze voerde hij uit op 15 en 16 oktober via e-mails met het onderwerp “documents”. De link in de e-mail bevatte uiteraard een kwaadaardig document en dankzij een ongepatcht besturingssysteem op twee servers kon de aanvaller uiteindelijk vrij bewegen door het gehele netwerk. Het gevolg? 267 servers en 2 werkstations gecompromitteerd, waaronder ook een archiefsysteem.
In eerste instantie detecteerde de antivirussoftware van de universiteit nog de poging van de aanvaller om malware te installeren. Als antwoord hierop besloot de aanvaller deze zelfde software te deïnstalleren. Op 23 december werd uiteindelijk de ransomware uitgerold en binnen 50 minuten was alles versleuteld. In het symposium stelt de universiteit dat het had moeten detecteren dat de antivirussoftware was uitgeschakeld. Wij willen niet de betweter uithangen, maar dit had inderdaad moeten worden gedetecteerd. Omdat de aanvaller het ook voor elkaar had gekregen om toegang te krijgen tot de online back-ups, had de universiteit uiteindelijk weinig keuze meer. Op 29 december zijn er 30 bitcoins, met een waarde van 197.000 euro betaald in het belang van de studenten, medewerkers en de universiteit zelf. Echter is dit bedrag slechts een onderdeel van de totale kosten, deze zullen nog veel hoger zijn. Concluderend wordt gesteld door de universiteit dat de menselijke factor uiteindelijk het belangrijkste is geweest. Als de phishingmail was herkent als zodanig, dan was dit allemaal wellicht niet gebeurd. Een wijze, maar dure les. Een pijnlijk detail dan nog, om af te sluiten. De twee servers die niet gepatcht waren? Uit onderzoek is inmiddels gebleken dat deze twee servers een zeer belangrijke beveiligingsupdate van mei 2017 (!!) misten. We kunnen het niet vaak genoeg zeggen laat een laks updatebeleid niet de reden zijn voor uw faillissement.
Als u de blogs van het afgelopen jaar een beetje heeft bijgehouden dan zal het volgende u niet verbazen. In 2019 ontving de Autoriteit Persoonsgegevens (AP) in totaal bijna 27.000 meldingen. Dit is een stijging van maar liefst 30% ten opzichte van het voorgaande jaar. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal melding jaarlijks stijgen. Opvallend is dat het aantal maandelijkse melding rond de 2200 lag voor de eerste negen maanden van het jaar en dat er in de laatste drie maanden van het jaar een acute stijging plaatsvond met 2600, 3100 en 3600 meldingen in respectievelijk oktober, november en december. Uit het rapport blijkt dat dit te maken heeft met meldingen afkomstig van factoring bureaus. Deze bureaus nemen uitstaande facturen van organisaties over. Bij deze meldingen ging het met name om datalekken als gevolg van herinneringsbrieven voor openstaande facturen die zijn ingezien door een verkeerde ontvanger. Veruit de meeste datalekken worden nog steeds veroorzaakt door menselijk falen. Ofwel, het versturen of afgeven van persoonsgegevens aan een verkeerde ontvangers. Veel interessanter is dat er een stijging van 25% ten opzicht is van 2018 in het aantal meldingen over hacking, malware- en/of phishing incidenten. Deze meldingen kwamen voornamelijk voor in de zorg en het onderwijs. En als organisaties zo laks blijven met het doorvoeren van beveiligingsupdates dan zal dat aantal in 2020 flink stijgen. Zo werd deze week ook bekend dat er nog altijd 8.000 via internet toegankelijke Citrix-systemen kwetsbaar zijn voor aanvallen. En dat is niet alles. Er zijn ook nog bijna 9.000 windows-servers online die via de BlueGate kwetsbaarheid aan te vallen zijn. Dit blijkt uit cijfers van het Nederlands Security Meldpunt. En laten we wel wezen, als organisaties updates blijven negeren en niet kunnen inzien dat awareness een enorm belangrijke rol speelt binnen informatiebeveiliging, dan stijgt het aantal meldingen in 2020 gestaag door.
Tot slot dan, wat hebben IoT-apparaten en de overheid gemeen? Ze zijn beide gebrekkig beveiligd. Flauwe grap, maar daarom niet minder waar. Echter is het ministerie van Economische Zaken een nationale campagne gestart om gebruikers van IoT-apparaten ervan bewust te maken dat die dingen geüpdatet dienen te worden. Uit onderzoek onder duizend Nederlands die een IoT-apparaat thuis hebben bleek dat het merendeel wel weet dat updates belangrijk zijn, maar deze toch lang niet altijd worden geïnstalleerd. Om ervoor te zorgen dat mensen toch hun apparatuur gaan updaten is de overheid de “Doe je updates-campagne” gestart.
Onder het mom van “Even je apparaten checken, voordat ze je hacken” probeert de overheid mensen bewuster te laten omgaan met apparaten die met het internet verbonden zijn. Mede door de aard van de apparaten kunnen criminelen zonder al te veel moeite je gezin begluren, gegevens stellen of het apparaat overnemen. Dit alles is te voorkomen door simpel de boel goed te updaten, niet zo lastig toch? Momenteel wordt er zelfs aan een wetsvoorstel gewerkt om updates te verplichten. Dit voorstel stelt dat verkopers verplicht zijn om software-en beveiligingsupdates aan te blijven bieden voor IoT-apparaten om gebruikers beter te beveiligen. En dit is mooi in lijn met een bericht van de consumentenbond dat deze week naar buiten kwam. Op basis van eigen onderzoek stelt de consumentenbond dat de fabrikanten van IoT-apparaten zeer laks zijn met de beveiligingsupdates. Bij de 10 verschillende producten die ze getest hebben kwamen maar liefst 27 kwetsbaarheden naar voren. Dus ondanks dat de gebruiker zeker zijn of haar aandeel moet leveren, begint het hele verhaal natuurlijk bij een degelijk product. Genoeg werk aan de winkel dus. Tot die tijd misschien gebruik maken van een ouderwetse deurbel zonder camera. Werkt ook prima hoor.