Het betalen van losgeld aan criminelen moet verboden worden, dit slaat nergens op. Ik snap de keuze van KNVB (al ben ik het er niet mee eens), maar dit opent gewoon de deur voor de rest van het bedrijfsleven.

Ieder bedrijf gaat aan de beurt komen. Als je ook maar enigszins betrokken bent bij de IT van een bedrijf, is het echt tijd om maatregelen te nemen. Wat voor maatregelen? Geen idee Ik probeer maar gewoon zoveel mogelijk logging toe te voegen (en makkelijk inzichtelijk te maken) en alle potentiele security issues waarvan ik op de hoogte ben te dichten zover tijd en budget dat me gegeven wordt dat toelaat. IP whitelists, 2FA implementeren waar dat nog mist (en verplicht inschakelen), mensen herinneren dat het straks onze beurt is, etc.

Ik vind het jammer dat KNVB (en de meeste andere bedrijven) niet deelt hoe de aanval is uitgevoerd, want deze info kan anderen helpen zichzelf beter te beschermen.

[Reactie gewijzigd door Gamebuster op 12 september 2023 10:05]

Ik snap de neiging om het betalen van losgeld te willen verbieden. Het is echter geen werkbare “oplossing”. De volgende stap is dat criminelen medische data van ziekenhuizen gaan encrypten. Natuurlijk kun je dan kiezen om niet te betalen, maar op een gegeven moment gaat dat gewoon mensenlevens kosten. En ook dan wordt de afweging gemaakt zoals de KNVB die maakt: principes zijn leuk, maar er zit altijd een grens aan. (En daar heeft de KNVB geen VAR voor nodig. )

Dat je voor ziekenhuisgegevens wil betalen (los van of ik dat nou een goed idee vind) betekent natuurlijk niet dat je voor voetbal gegevens OOK wil betalen. De ellende vind ik dat het voor de bedrijven de makkelijkste oplossing is - en je er dus vanuit kan gaan dat en je gegevens op straat liggen, en je er ook nog zelf voor betaalt uiteindelijk, de balans moet toch rond bij de KNVB.

De KNVB verdient genoeg geld met het bewust verspreiden van de gegevens van leden dus die balans komt wel rond.

• https://nos.nl/artikel/22...acywaakhond-laakt-methode
• https://www.bnnvara.nl/ze...aan-maandverbandfabrikant

Oud nieuws maar dit gaat nog steeds door. KNVB-dochterbedrijf Sportlink heeft dit model inmiddels ook gekopieerd naar tientallen andere sportbonden.

Een cynische conclusie zou kunnen zijn dat het gevraagde losgeld dus minder was dan de korte termijn inkomsten uit de verkoop van ledeninformatie door de KNVB.

Niks cynisch aan 😜🤪

Wel weer duidelijk dat achteraf betalen nog steeds gezien wordt als een acceptabele impact?

Wel schandelijk dat paspoorten gewoon in een foldertje opgeslagen worden. Hebben ze er een ROPA voor gemaakt om aan te tonen dat dit van belang is? Persoonsgegevens moet je echt niet laks mee om gaan, wat mij betreft zijn die nog belangrijker dan je berdrijfsgegevens.

De vraag is meer, waarom zouden we toko's als de KNVB moeten toestaan paspoorten op te slaan? Bijna niemand heeft paspoortgegevens nodig.

Dit dus. Als het ledenbestand van mijn club uitlekt zitten daar vooral zo goed als openbare gegevens in. Of gemiddeld gezien goed verkrijgbare informatie.

Dat is ook volgens de avg. Maar de controlerende partijen hebben in Nederland zo weinig macht dat foute praktijken van grote organisaties nauwelijks aangepakt kunnen worden.

Ik heb een vergelijkbare klacht ingediend bij de Autoriteit Persoonsgegevens over Linkedin.
Linkedin vraagt in de procedure van accountherstel een kopie van je paspoort of rijbewijs te uploaden en je mag daarvan niks afblokken.

Dat is absoluut niet volgens de Nederlandse beleidsregels. De AP is op de hoogte en raad aan om van een andere route gebruik te maken voor accountherstel met afgeblokte persoonlijke gegevens zoals het BSN nummer. Linkedin is bezig met een voorziening in NL waarbij je bepaalde gegevens kunt afblokken.

Bedrijven die onterecht persoonlijke gegevens opslaan zoals kopieën van identiteitsbewijzen moeten keihard gestraft worden. Ik raad ook iedereen aan om gebruik te maken van de kopieID app van de overheid waarmee je een kopie van je identiteitskaart kan maken waarbij je gegevens die je niet wil delen eenvoudig kan afblokken.

Werkgevers zijn verplicht om kopieen van paspoorten op te slaan voor de arbeidsinspectie. Foto, BSN, documentnummer moet allemaal leesbaar zijn op deze kopieen.

Ja maar dan in een HR systeem en niet in een foldertje op een file server. Zou me ook niets verbazen als deze data voor een heel ander doel gebruikt werd.

"Potentiële slachtoffers vallen in enkele specifieke categorieën, zo concludeert de bond. Onder meer mensen die contact hebben gehad met het KNVB Sportmedisch Centrum, personen die bij tuchtzaken betrokken zijn geweest en ouders van minderjarige spelers die in een bepaalde periode internationaal zijn overgeschreven"

Een werkgever heeft dit zeker nodig, dit zijn toch geen van allen werknemers van de bond?
Het gaat hier om bondsleden als ik dat zo begrijp.

In dit geval was Linkedin geen werkgever, dus dan mag het niet.

Dat is inderdaad de vraag die ze zich hadden moeten stellen!

Ik kan mij voorstellen dat als het Nederlands elftal een interland in het buitenland speelt dat voor alle voetballers, staf en bobo's van alles geregeld wordt door de bond. Heel vaak zijn visa gewoon via internet te regelen en voor die gelegenheden zal de KNVB dus een scan van je paspoort hebben.
Ik kan mij voorstellen dat sommige persoonsgegevens al heel oud zijn en nooit zijn weg gegooid. En heel oude gegevens werden niet zo heel goed beveiligd. Vaak zijn ze vergeten dat ze die nog hadden.

Het gaat uiteraard niet om (zomaar wat onbelangrijke) "voetbal gegevens"...
Het gaat, zoals altijd bij ransomwareaanvallen, om meerdere belangrijke persoonsgegevens en dan vaak in combinatie met nog andere gevoelige gegevens/informatie.
Als het 'echt zo onbelangrijk' zou zijn zou de KNVB ze natuurlijk ook niet betalen!

Nog altijd anders dan een medisch dossier wat mij betreft. Bovendien zijn ze na betalen nog altijd gestolen, alleen ook weer bruikbaar door de gehackte partij.

Nog altijd anders dan een medisch dossier wat mij betreft.

Dat kan je helemaal niet zeker weten omdat je letterlijk niets weet over wat de ransomwarebende wel in handen heeft...
Misschien is het wel heel veel gevoeliger dan het gemiddelde medisch dossier!
Je kan immers niets meer doen dan (net als ik in dit net zo onwaarschijnlijke tegenvoorbeeld) een volledig ongefundeerde (en daardoor bij voorbaat waardeloze) aanname.

Het enige wat we zeker weten is dat de KNVB het niet als 'gegevens van weinig belang/waarde' zag; omdat ze hebben betaald.

[Reactie gewijzigd door HuisRocker op 12 september 2023 17:37]

Het financieren van de criminelen is ook geen werkbare oplossing omdat je daarmee hun werkwijze in stand houdt. Als ze weten dat er toch wel betaald wordt omdat dat de weg van de minste weerstand is, zullen ze blijven doorgaan totdat elke toko waar ze binnengekomen zijn falliet is. En omdat ze het doen vanuit landen die zich geen hol aantrekken van onze wetgeving, kunnen ze ook niet opgepakt worden. Je kunt deze praktijken dus maar op 1 manier oplossen, en dat is massaal niet betalen.

Wil je je gegevens niet kwijt? Zorg er dan voor dat ze veilig opgeslagen zijn. Dat is echt geen rocket science meer, het vergt alleen een investering in IT security en dat wil er bij de meeste bedrijven nog weleens inschieten omdat het geen geld oplevert.

Wil je je gegevens niet kwijt? Zorg er dan voor dat ze veilig opgeslagen zijn.

En daar heb je geen enkele garantie op. Rocket science is eenvoudig in dat opzicht. Zelfs met goede security heb je geen enkele garantie dat het niet kan mislopen, dat men geen 0-day weet uit te buiten, dat iemand met redelijk wat toegang toch niet per ongeluk een attachment oipent op zijn/haar systeem.

Als elke hack af te vangen was met wat extra investering in security, dan hadden de meeste bedrijven dat al lang gedaan. Je kan het risico verkleinen, je kan het nooit elimineren.

Veilig opslaan betekend in dit geval ook een backup losgekoppeld van het originele systeem zodat als er al een onbekend lek is en er een cryptolocker wordt gedraait je alsnog de gegevens hebt. De noodzaak van betalen is er dan gewoonweg niet meer (of minder).
Daarnaast: zodra je het verboden maakt losgeld te betalen, zorg je ook meteen voor meer incentive om shit goed te regelen. Minimaliseer de kans en minimaliseer de impact.

> Daarnaast: zodra je het verboden maakt losgeld te betalen, zorg je ook meteen voor meer incentive om shit goed te regelen

Het haalt ook de incentive van ransomware groepen weg. Groepen zoals LockBit zijn niet achterlijk, ze doen uitgebreid onderzoek naar het bedrijf dat ze aanvallen. Ze verdienen geld aan losgeld, het dumpen van persoonsgegevens kost ze alleen tijd en geld. Als de kans op betaling te klein is, omdat het verboden is, dan doen ze het gewoon niet.

Het probleem hierin is dat je niet weet of de backup niet al geïnfecteerd is, infectie kan ruim voor dat de gevolgen naar boven komen al plaatsvinden.

Uiteraard, dus je moet voordat je die backup aan een netwerk hangt waar remote opdrachten binnen kunnen komen checken of die schoon is. Maar dat maakt het nog niet onmogelijk om backups te maken en te gebruiken.

Op voorhand dat je installatiemedium schoon is en dat je tijdens de installatie los bent van het internet.

edit: Ik bedoel, zo langzamerhand slaat de paranoia al dan niet terecht toe in deze

[Reactie gewijzigd door Klaus F. op 12 september 2023 13:36]

Het lijkt mij terecht dat als je geraakt wordt je alles dubbelcheckt en heel voorzichtig te werk gaat.

Een infectie heeft nog altijd een vehicle en CPU power nodig. Zorg dat je databestanden niet executable zijn, evt in te lezen op een alternatief OS met alternatieve software die niet op het live systeem draait. Zo ingewikkeld is dat allemaal niet hoor

Zelfs met een heel goede disaster recovery kan die noodzaak er wel degelijk blijven. Waarom denk je dat men tegenwoordig niet alleen je gegevens gaat encrypten, maar ook direct een exfil van die data doet? Omdat als je geluk hebt, je veel gevoelige data in handen hebt die, wanneer deze op straat komt te liggen, enorme schade aan het bedrijf kan berokenen.

En we zijn terug bij af. Kies je er voor om 5 miljoen losgeld te betalen, of ga je tientallen miljoenen aan schadeclaims en reputatieschade riskeren?

En als we morgen verbieden om losgeld te betalen, dan zoekt men gewoon andere manieren om het te doen. Gerust tussenpersonen te vinden in verwegistan die voor een procentje alles voor je regelen. Jij netjes een factuur en je data is weer veilig.

En dan komt het uit en heb je een probleem als bedrijf. Ik denk dat er weinig bedrijven zijn die bewust de wet willen overtreden hiervoor. Vooral omdat het datalek al bekend is en er dus allerlei instanties over je heen gaan komen.

Als elke hack af te vangen was met wat extra investering in security, dan hadden de meeste bedrijven dat al lang gedaan.

Nee, juist niet. Kost het meer geld? Dan doen veel bedrijven het niet. Korte termijn winst staat immers boven alles als je aandeelhouders hebt.

En daar heb je geen enkele garantie op.

En daarom is heh het beste om de voordeur uit je huis te halen. Deze kan toch open gebroken worden.

Tuurlijk, ik kan ook het risico niet uitsluiten dat ik door een bus word aangereden. Ik kan wel maatregelen (laten) treffen om de kans zodanig klein te maken dat ik er goed mee kan leven, wetende dat een foutje mijn leven kan kosten.

Dat zouden bedrijven ook moeten doen, een redelijke risico-afweging maken, en op basis daarvan de security eens goed doen. Voorlopig is de KNVB er uitstekend vanaf gekomen, voor een miljoen (of misschien zelfs minder) hebben ze deze aanval 'afgeslagen', en nu hangt het uithangbord uit: HIER IS GELD TE HALEN! Iedere cracker van niveau zal ze nu als mooi target zien, want ze betalen tenminste. Dat is wat ze nu gekocht hebben, en ik ben benieuwd of hun beveiliging snel genoeg wel op orde is.

Time will tell. Het is een interresante ontwikkeling in mijn ogen. KNVB als geld piñata die eventueel wel een strakke security heeft. Hebben ze hiermee juist de uitdaging uitgegeven?

Tja - zolang de overheid zelf ook deals kan maken met mogelijke criminelen om eventuele andere criminelen op te sporen of dat bedrijven straffen kunnen afkopen, heeft de overheid botor op haar hoofd als ze zou verbieden losgeld te betalen. Ze onderhandelt zelf ook met criminelen...
En je dochter/zoon of de CEO in een piraten-landje vrijkopen is natuurlijk ook financiering van criminele acties.... ook verbieden dan?

Zelfs als je wel betaalt is er geen enkele garantie dat de verkregen gegevens vernietigd worden. Natuurlijk is de gemiddelde crimineel ook weer niet zó dom om die gegevens dan meteen alsnog te publiceren, maar dat de boel bewaard wordt totdat er een nieuw nut voor gevonden is lijkt me behoorlijk aannemelijk.

De crimineel wordt dus niet betaald om te voorkomen dat de gegevens uitlekken, de crimineel wordt betaald om de gegevens niet direct te lekken. Het enige waar je voor betaalt is het redden van je eigen hachje, en dan nog eens tijdelijk.

Plus dat als het publiekelijk bekend is geworden dat je losgeld betaalt, dat je jezelf daarmee een doelwit maakt van andere criminelen die hetzelfde grapje uithalen. Het is tenslotte ook bekend dat je al eerder gehacked was, dus er valt én geld te halen, én een ingang te vinden. De kans dat het lek er nog steeds is, is best aanwezig. En als je 1 lek had, had je er wellicht nog meer, door hetzelfde mismanagement.
Als ik zo'n crimineel was, had ik na het lezen van dit artikel een nieuw slachtoffer gevonden. Daarbij maakt het echt niks uit of ze zojuist al door iemand anders te grazen zijn genomen. Als ze enige morele overwegingen hadden, waren ze niet met dit soort praktijken bezig.

Dus als de gegevens niet goed verwijderd zijn en worden gestolen (gekopieerd) bij de initiële crimineel door een andere crimineel. Die eigenlijk niet zo begaan is met het lot en betrouwbaarheid van zijn concurrent.

Ondanks dat er betaals is is die dataset van de KNVB is nog steeds wat waard, aangezien voor de KNVB beschermen van persoonsgegevens van leden zwaarder weegt dan het principe om zich niet te laten afpersen. Ben benieuwd hoe vaak ze KNVB dan betaalt. En wat de reactie is als er na 3 keer betalen en vierder keer niet tóch gepubliceerd wordt.

Nog los van deze dataset profileert de KNVB zich nu ook niet als target voor de toekomst?

Edit / toevoeging die mijn verhaal ontkracht : Hieronder zegt Thijs Hofmans "...er zijn vrijwel geen voorbeelden waarbij hackers een bedrijf meerdere keren afpersten met dezelfde hack of data." dus ook niet de situatie die ik beschrijf.

[Reactie gewijzigd door Zwaai Haai op 12 september 2023 11:35]

de criminelen redden ook graag hun verdienmodel. Als ze niet te vertrouwen zijn zal niemand betalen...
Graag een voorbeeld van toch verkopen na betalen.

Inderdaad, zou me niks verbazen dat ze dit gewoon bewaren en zodra ze opgepakt worden ter onderhandeling gebruiken of alles publiceren zodra ze er simpelweg mee stoppen

En als je wel betaald moedig je ze dan aan om meer en meer ziekenhuizen aan te vallen voor steeds hogere losgeld eisen.

Voor zover ik weet vallen ze nooit ziekenhuizen aan. Ze vallen aan wat ze kunnen aanvallen... als daar per ongeluk een niet commercieel ziekenhuis tussen zit geven ze doorgaans de decryption key zomaar terug.
Toch één maal gelezen bij deze groep... of ze het altijd zo doen ben ik niet zeker :-)

Maar is er dan ook echt bewijs dat niet betalen zal leiden tot minder incidenten. Ik ben daar niet van overtuigd.

Je kan wellicht beter dan een instrument introduceren dat (toetsbaar) verplicht wordt maatregelen te nemen wanneer je voor het incident onvoldoende had georganiseerd.

Kijk eens hoeveel spam er in je inbox zit, dan weet je in essentie het antwoord al. Zelfs al blijven diegene die betalen de uitzondering, het blijft de moeite lonen.

Het faciliteren en belonen van criminelen is geen werkbare oplossing. Het is slechts een houding om zowel het genomen risico te accepteren en dat uit te breiden met het kiezen om ook nog criminelen te gaan belonen en daarmee aan te zetten nog meer slachtoffers te maken.

Daarbij is het ook nog erg raar. Iedereen moet overal aan ‘know your customer’ doen, talloze landen en partijen waar je geen enkele financiële relaties mee mag hebben. Wil je een rekening openen moet je je identificeren en wordt je doopceel doorgelicht op banden met de onderwereld. Maar ‘gewoon’ zomaar een crimineel (mogelijk een terrorist of onderdaan/medewerker van Iran / noord-Korea / IS / …) en we doen alsof er niks aan de hand is. Ik zou zeggen dat dit net omdat je niet kan bewijzen aan wie je betaalt sowieso al niet door de beugel kan.

Dan moet je je als ziekenhuis ook achter de oren krabben. Als je geen back-up (niet digitaal maar procedureel) voor als er iets mis gaat dan ga je nat. Het klembord aan het voeteneind van een bed is er niet voor niets.

<edit>
Zie dit op het zelfde niveau als het stelen van apparatuur. Wat als er een MRI scanner verdwijnt, of stuk gaat? Dan kan je ook niet door.... En ja deuren fysiek dicht houden is een stukje makkelijker dan digitaal.
</edit>

Het betalen van losgeld moedigt alleen maar aan. Of het verboden en bestraft moet worden laat ik even in het midden maar het is wel het domste wat je kunt doen vanuit het perspectief van een samenleving.

[Reactie gewijzigd door JMS 450 op 12 september 2023 10:53]

Een werkbare oplossing wordt vrijwel altijd bij het ontwikkelen van digitale producten de prullenbak in gesmeten.
"De kans dat XYZ gebeurt is zo klein dat we daar geen tijd en geld aan moeten besteden"
Als het dan zover is en de beveiligings experts genegeerd zijn, is het antwoord altijd "dat konden we niet voorzien"
Dit gaat niet om principes mbt wel of niet losgeld betalen. Dit gaat om principes van digitale veiligheid die niet gehandhaafd worden en daarna de slachtoffer spelen.
Ook al hebben ze betaald, die gegevens zijn nu volledig op het darknet beschikbaar. Enig verschil is de KNVB gelooft dat de data nu veilig is. Er is totaal geen reden om te betalen.
Gewoon hardware wipen of vervangen en backup terugzetten, niks meer en niks minder.

Principes zijn leuk, totdat je er zelf grote nadelen aan ondervindt. En dat vergeten mensen het vaakst. Ja, iedereen begrijpt wel waar dat die roep vandaan komt om nooit te betalen. Maar net zoals overheden wel degelijk onderhandellen met terroristen, net zoals ouders wel degelijk losgeld betalen als een kind ontvoert wordt is het niet vreemd dat bedrijven betalen wanneer ze de keuze hebben tussen waarschijnlijk de boeken moeten sluiten of verder te kunnen gaan.

In dat fictieve scenario kost het ook mensenlevens als er wel wordt betaald. Dat geld gaat dan niet naar investeren in het ziekenhuis en haar mensen. Er wordt minder of slechtere zorg geleverd.

Verbied het, en belangrijker: hang er serieuze consequenties aan als wel wordt betaald. Dus niet een boete voor de organisatie, dan blijft het een kosten/baten afweging (euro’s vs slechte reclame). Liever een boete voor de bestuurders als persoon.

Tja en hoe kom je er dan achter dat er betaald is? Dan betaalt men stiekem, en houdt het hele lek onder de pet. Melden betekent immers naast de gebruikelijke lek-boetes ook vervolging voor de directie, en dat risico nemen ze echt niet.

Wat mij betreft gewoon wachten totdat organisaties doorkrijgen dat betalen betekent dat je blijft betalen, en daar dan ook goed aan blut gaat. Lastiger voor overheid, want die kan niet failliet, maar uiteindelijk wordt security zoveel goedkoper dan losgeld dat ze het zelfs up-front misschien durven te betalen. Ja, er gaan een aantal criminelen heel rijk worden in de tussentijd (en we gaan ze niet vangen ook, niet in Uzbekistan), en ja dat is niet leuk enzo, maar directies leren alleen als iets geld kost, anders niet.

Simpel: boekhouding.
Als er in de boeken ineens 100k is betaald aan een onbekende bron dan valt dat op.

Tja, met die logica zou er uberhaupt nooit smeergeld door bedrijven betaald kunnen worden want dat valt op bij de boeken-controle die elk jaar door de accountant gedaan wordt...

Natuurlijk kan men dat wegwerken: echter is smeergeld betalen strafbaar en men komt er vaak toch wel achter, juist doordat men de boekhouding niet kan verklaren.

Je moet gewoon door de zure appel heen als maatschappij.

Maak het voor bedrijven illegaal om ransomware groepen te betalen. Als je ze betaalt is het bestuur / RvT hoofdelijk aansprakelijk, of je hangt er een dikke boete aan van 5x het ransomware bedrag.

Zul je zien dat ransomware groepen Nederland als de pest gaan mijden want waarom met veel moeite een hele spear fishing campaign opzetten als je toch niet betaald gaat krijgen

Gaat niet werken... 1x het ransom bedrag plus 5x dat bedrag aan boete, kan nog steeds 'goedkoper' zijn dan het verlies of publicatie van al je gegevens....

En daarnaast, als je de site van AP leest ben je bij een datalek verplicht de eventuele schadelijke gevolgen zo veel mogelijk te beperken. Als je die redenering volgt zou je eigenlijk verplicht zijn om dat losgeld te betalen, omdat dat het risico van het publiceren van die data verkleint en dus de schadelijke gevolgen beperkt.

Bedrijven en zeker ziekenhuizen moeten gewoon dagelijks een off-site backup maken, of een backupsysteem hebben dat offline gaat na het backuppen, zodat die dingen gewoon met een paar klikken teruggezet kunnen worden.

Daarnaast hebben verschillende bedrijven al meegemaakt dat ze helemaal geen data terugkregen na het betalen van losgeld, dus gewoon maar losgeld betalen geeft geen zekerheid.

Medische data zijn net gewone data. Eerder zijn ziekenhuizen ook al target geweest. Ik denk, dat het principe voor moet blijven gaan. Medische data is goeddeels te reconstrueren uit de data zoals die bij de huisarts bekend is.

De huisarts krijgt alleen maar een samenvatting van de specialist. Dan mis je nog een hele hoop informatie

Ik vind dat mensen hier het wel gemakkelijk weg wuiven als een ziekenhuis getroffen wordt door ransomware/ gestolen data. Als je maanden/jaren aan data kwijt zou zijn door een hack of dat je voor een tijd niet in staat bent zorg te leveren is dat een afweging die je niet kan afdoen door gewoon te zeggen dat men niet dient te betalen.

Door het betalen van losgeld geeft nog geen zekerheid dat de criminele je gegevens als nog misbruiken.

Ransomware houd toch je eigen kopie van de gegevens gegijzeld en ze betalen toch om zelf weer bij hun eigen data te kunnen

Ze dreigden om stukken opbaar te maken als ze niet zouden betalen. Op Twitter werden er al een aantal stukken getoond.

In dit geval is het ook nog eens een betaling doen aan land waar sancties gelden. Ik zou zowiezo beginnen met het beboeten van bedrijven die losgeld betalen. De hoogte van de boete is dan gelijk aan die van het losgeld. Van dat geld gaan we de toezichthouders uitbreiden zodat tokos als de KNVB minder de kans krijgen data op te slaan die ze niet nodig hebben en teven een team van white-hat hackers neerzetten die bedrijven in NL gaan hacken. Iedere gelukte hack kost het bedrijf 1% van de jaaromzet. Gewoon de hackers voor zijn dus.

Leuk dat je medische gegevens noemt.

Natuurljk blijven dit soort dingen altijd een risico. Maar bv door deze op een pasje op te slaan heeft iedereen zijn eigen backup.

Daarnaast is de vraag in hoeverre kost het levens als je dit wel toe staat. Hoeveel mensen belanden extra in de criminaliteit.

Het is zo lastig te zeggen. Maar ik denk wel dat het goed is dat er een verbod komt op het betalen van losgeld zonder tussenkomt van justitie.

Niet alleen om mensenlevens het gaat hier om de gegevens van de miljoenen leden (waaronder veel kinderen) van de KNVB. Ik had begrepen dat er ook zedenzaken tussen zaten. Dan kan ik wel begrijpen dat je die afweging gaat maken.

Let wel op de sensitivitwit van deze case het gaat o. Slachtoffers van tucht zaken.

Dit is een van de weinige gevallen waar ik het nodig vind om de data te beschermen door betalen.

Of wil jij deze slachtoffers nog eens door de publieke schandpaal halen door een fout van de knvb ??

Snap het standpunt van Gamebuster prima.
Veel materiele zaken als die gejat zijn (fisieke wereld), koop je toch ook niet terug van de crimineel. Wordt niet minder door gejat maar dat komt door mensen die mee liften en goedkoop je spullen kopen, wat verwerpelijk is.
Maar als mijn gegevens in een ziekenhuis gegijzeld zijn, dan zal de zorg nogmaals moeten beoordelen wat er loos is met mij en verder tot de orde van de dag. Die patient meld zich wel.

Wat voor garanties heb je na betalen?
Alle data zal waarschijnlijk al gestolen zijn, en na decrypten gewoon verder gaan is ook niet echt een optie.
Als je echt geen backup heb van maximaal 24 uur voordat alles geencrypt is, ben je zeker met belangrijke medische gegevens gewoon crimineel slecht bezig.

Principes zijn pas principe als ze pijn doen, tot die tijd zijn het wensen ;-)

Iedere keer weer dezelfde discussie onder dit soort artikelen, leuk altijd.

Je kunt er niks aan doen als bedrijf. Als je eenmaal zover bent is het óf losgeld betalen óf in veel gevallen de hele boel opdoeken.
Je kunt het ook niet voorkomen tenzij je iedere back-up met een whitelist van bestanden gaat werken, en dat is gewoon niet te doen in een organisatie van meer dan 3 mensen. Ransomware gaat tegenwoordig maandenlang ongemerkt mee in je hele netwerk, is steeds minder goed te herkennen, en als het eenmaal actief wordt heb je dus geen enkele back-up die niet geïnfecteerd is tenzij je jaren terug gaat (en dat is niet te doen, want dan ben je jaren aan data kwijt).

Het enige dat je kunt doen is je verzekeren tegen cyberaanvallen en je gebruikers goed op de hoogte houden. Zelfs ouderwetse totaaloplossingen als gebruikers in een tijdelijke VM laten werken halen weinig meer uit, want je hebt tegenwoordig allemaal wel een netwerkmap of mail waarmee je 't toch intern blijft verspreiden.

Je kunt het ook niet voorkomen tenzij je iedere back-up met een whitelist van bestanden gaat werken, en dat is gewoon niet te doen in een organisatie van meer dan 3 mensen. Ransomware gaat tegenwoordig maandenlang ongemerkt mee in je hele netwerk, is steeds minder goed te herkennen, en als het eenmaal actief wordt heb je dus geen enkele back-up die niet geïnfecteerd is tenzij je jaren terug gaat (en dat is niet te doen, want dan ben je jaren aan data kwijt).

Weet je dat zeker? Zo geavanceerde ransomware heb je echt niet nodig hoor. Toegang krijgen tot 1 account van 1 medewerker met net de (on)juiste security-settings en je kan vaak al bij een bom aan info komen. Even de Google Drive en mail downloaden van de juiste medewerker en je het al voldoende info om losgeld te eisen.

De laptop van 1 medewerker in handen krijgen en je hebt opeens 100 excel dumps met gevoelige gegevens, dat soort grappen.

[Reactie gewijzigd door Gamebuster op 12 september 2023 10:14]

Dat is in veel gevallen helemaal waar ja, maar dat wordt vaak afgedaan in deze discussie(s) met 'dan moet je de boel maar beter beveiligen'.
Mijn punt (nog verder versterkt door jou) is dus ook vooral dat er gewoon bijna niet tegenop te beveiligen valt. Je kunt je hele organisatie iedere week naar een training sturen en wekelijkse phishing tests doen, maar er hoeft er maar één met de verkeerde toegang in te trappen, en als je daar dan niet direct achter komt heb je al een probleem.

Jep. Het is gewoon niet te doen. Nergens In veel bedrijven wordt IT security niet serieus genomen. Mensen toegang geven tot gegevens zodat ze hun werk kunnen doen zonder dat ze die gegevens per ongeluk lekken, (of minder veilig opslaan) is... een uitdaging.

[Reactie gewijzigd door Gamebuster op 12 september 2023 11:09]

Juist dat is inderdaad het probleem, de IT beveiliging in ons land is bij de meeste bedrijven en instanties niet op orde. Zolang men dat niet serieus gaat nemen is dit probleem nooit grootschalig op te lossen. Allereerst al die cloud rommel dumpen en terug naar interne oplossingen en zorgen dat je mensen met kennis standby hebt. En een gelaagde netwerk beveiliging invoeren en goed kijken, waar moet men bij kunnen en waar niet, wat moet men kunnen en wat niet. Letterlijk alles dicht timmeren, audits op de belangrijke gegevens en werknemers verantwoordelijk maken voor hun gedrag.

Ik zeg niet dat je 100% kunt voorkomen dat er nooit wat gebeurd, maar je kunt een heel eind komen.

Wat hebben cloudoplossingen hier nou weer mee te maken? Waar ze interne oplossingen lopen te doen gaat het juist vaker fout omdat ze daar vaak helemaal niet in gespecialiseerd zijn, en doen ze dingen zoals poort 22 open laten staan.

En ja, als de KNVB jouw bedrijf vrolijk een productie tabel opstuurt met 20k naw-gegevens terwijl je om dummy data heb gevraagd... dan sta je daar met je oplossingen.

Dat heeft er alles mee te maken, cloud lijdt er toe dat er vaak geen intern IT personeel meer rond loopt, geen aanspreekpunt en dus geen verantwoordelijke. Bovendien zijn cloud diensten vaak (niet altijd) simpel te benaderen vanaf het hele wereld. En jou data kan ook door zo'n partij uitlekken.

En opzettelijk uitlekken kan altijd maar dan kun je tenminste als je fatsoenlijke auditing hebt ingesteld meteen de verantwoordelijke aanwijzen. Dat gaat niet als alles in de cloud zit en jij er geen controle over hebt.

Ik ga er even vanuit dat jij niet werkzaam bent binnen de ICT: bij ieder bedrijf wat ik ken waar men een intern team van ICT personeel heeft zorgde een overgang naar de cloud er niet voor dat er geen ITers meer rondliepen.

Mensen hebben nog steeds een machine nodig, er moeten nog steeds user accounts aangemaakt/beheerd worden, exchange online policies configureren, conditional access etc.
En dan heb ik het nog niet eens gehad over bv infra opzetten in Azure.

Dat je fysiek geen beheer aan servers hoeft te doen wilt niet zeggen dat er voor de ITers geen werk meer is....

De grote banken nemen dit heel serieus hoor. Heb er dagelijks mee te maken.

Nergens wordt IT security serieus genomen.

Nergens is echt overdreven. Wellicht bij de bedrijven waarbij jij hebt gewerkt, daar heb ik geen idee van. Maar bij het bedrijf waarbij ik werk, verwachten onze klanten ook een bepaalde mate van beveiliging en eisen dat dan ook gewoon doodleuk van ons.

Bij ons in het bedrijf zijn er jaarlijks audits voor certificeringen bijvoorbeeld, security juist op IT gebied speelt bij ons een hele belangrijke rol. Zo zullen er echt wel meer bedrijven zijn, dus zeggen dat nergens IT security serieus genomen wordt, is echt overdreven.

[Reactie gewijzigd door CH4OS op 12 september 2023 11:03]

Aangepast ja

Mijn punt (nog verder versterkt door jou) is dus ook vooral dat er gewoon bijna niet tegenop te beveiligen valt.

Dat 'er niet tegenop te beveiligen valt' is natuurlijk een beetje een dooddoener. Dat komt een beetje over alsof het niet uitmaakt welke beveiligingsmaatregel je treft, men komt er toch wel doorheen. Maar zonder de maatregelen ben je ook zo open als een deur, iets wat mij betreft helemaal onwenselijk lijkt.

In dat op zicht kan training en voorlichting inderdaad wel degelijk helpen bij bijvoorbeeld bewustwording en dat zou ook al bergen aan IT problemen kunnen voorkomen.

[Reactie gewijzigd door CH4OS op 12 september 2023 11:11]

Ik zeg zeker niet dat het niet uitmaakt welke maatregelen je treft, je kunt absoluut een deel van de risico's indekken en het risico verlagen.

Het gatenkaas principe geldt hier ook, hoe meer laagjes hoe kleiner de kans dat je er met een vinger in één lijn doorheen prikt, maar het probleem is dat als er eenmaal een doorheen is je het waarschijnlijk niet merkt tot het te laat is.

Beveiliging is inderdaad altijd zo sterk als de zwakste schakel.

Dan doe je het juist verkeerd. Als je het juiste model hanteerde is er niet echt een zwakste schakel.

Dan doe je het juist verkeerd. Als je het juiste model hanteerde is er niet echt een zwakste schakel.

Er is altijd een plek waar de beveiliging het gemakkelijkste breekt en dus op zijn slechtst is. Ongeacht welk model je gebruikt. Daarnaast zijn gebruikers ook een niet al te sterke schakel wmb.

Een ondoordringbare beveiliging bestaat gewoon niet. Als je dan zeker wilt zijn dat iets veilig is, doe het dan gewoon niet.

[Reactie gewijzigd door CH4OS op 12 september 2023 12:24]

Beveiliging is niet zoals een aaneenschakeling. Je moet dat als lagen zien, niet als een ketting waarbij de zwakste schakel kan breken. Elke laag is dan meer of minder sterk, maar je moet alle lagen breken om ergens bij te kunnen komen, en dan nog moet je er voor zorgen dat als er bij komt, dat de toegang als nog beperkt is. En als je dan al wat data kunt downloaden dat deze data encrypted is.
Bij ons in de db’s kun je niet een select * from table; doen, alles gaat vita stored procedures met rechten. Ssh kan al niet eens zonder extra rechten aan te vragen in externe systemen. En als je root wilt hebben, dan daar ook weer apart toestemming for vragen met 4 ogen en MFA. En dan. Of heb maar weer beperkt toengang tot data, en deze is dan ook weer encrypted op disk.

Ook een laag kan net zo goed een zwakte hebben, dus wat dat betreft maakt het niet uit of je het een laag of een schakel noemt.

Bij een zwakke schakel valt je hele systeem omver. Bij een zwakke lag heb je weer een volgende laag waar je eventueel doorheen moet.

Hier hamer je op slechts twee maatregelen en omdat die twee samen niet voldoen doe je net alsof er niet valt te beveiligen. Dit is gewoon niet waar.

Kom maar eens met argumenten dan, want 'nietes' hebben we niks aan

Het is uberhaubt geen logische gevolgtrekking:

1) We weten dat de componenten voor een dergelijke aanval vaak COTS ingekocht worden (bijvoorbeeld).
2) We weten dat de moeite om een bedrijf te infecteren klein is, aangezien er veel bedrijven denken uberhaubt geen doelwit te zijn.
3) We weten dat de pakkans minimaal is.
4) We weten ook dat de winst bij een aanval hoog is en veelal worden gebruikt als investering om grotere bedrijven te pakken (#1).

Ergo, als je het niet nauw neemt met de wet, zou het een trefzekere veilige methode zijn om geld afhandig te maken als bedrijven zich niet zouden kunnen verdedigen. En dat laatste is niet het geval. Zoals je in de bijlage bij #2 kan lezen zijn veel grotere bedrijven prima in staat om aanvallen af te slaan, dat heeft alles met investeren te maken.

(Informatie)beveiliging is maatwerk, ITers die gelijk met maatregelen smijten (of zelfs 2 maatregelen noemen en denken daarmee alles gedekt te hebben) zijn gewoon niet geschikt voor die klus. Het begint bij het bestuur: Wát zijn de belangen van het bedrijf? Wát is het bedreigingsmodel? Hoe ver wijkt de bedrijfsvoering af van de standaarden aangaande dit onderwerp? En pas daarna kan je gaan kijken naar welke maatregelen je gaat implementeren, zowel technisch als bedrijfskundig. Daar kan bijvoorbeeld heel goed uit naar voren komen dat backups steekproefgewijs gecontroleerd worden op integriteit zodat slapende ransomware gedetecteerd kan worden.

Mooi voorbeeld is de hack bij Lastpass. Slachtoffer geworden in prive sfeer en een mfa verzoek geaccepteerd ding dong we zijn binnen! Kan je je personeel nog zo goed opleidgen of een systeem zo goed dicht timmeren.

Dat ging wel iets verder doorhet slecht omgaanmet unencrypted passwoorden op de dev machine. Daar waren dus een hele keten aan failures de oorzaak

Even de Google Drive en mail downloaden van de juiste medewerker en je het al voldoende info om losgeld te eisen.

De laptop van 1 medewerker in handen krijgen en je hebt opeens 100 excel dumps met gevoelige gegevens, dat soort grappen.

Maar dat is geen ransomware. Dat is een datalek. Zeker erg, maar voor een bedrijf nogal wat minder destructief, aangezien die wel nog steeds toegang hebben tot hun eigen data.
Via die route kan vast wel ransomware geinstalleerd worden, maar dan moet je net een gebruiker hebben met de goeie rechten die overal bij kan.

Maar dat is geen ransomware. Dat is een datalek

KNVB betaalde data om te voorkomen dat data gelekt werd, niet om hun data terug te krijgen (volgens dit artikel). Dat het ransomware is, is dus irrelevant: Het is gewoon een datalek.

Mij maakt het niet uit of het ransomware is of een datalek. Beiden zijn even ongewenst.

Een datalek is het ongeacht of het via ransomware verkregen is of niet. Door de hack alleen al is er immers data/informatie gelekt naar de inbrekende/ongewenste partij, dat is de datalek al.

Hoe dat vervolgens is gebeurd, is niet heel relevant: het blijft een datalek. Maar de manieren waarop jij dat eerder omschreef (Gamebuster in 'KNVB betaalde losgeld aan cybercriminelen om persoonsgegevens te beschermen'), waar @JakkoFourEyes op reageert, dat is geen ransomeware.

[Reactie gewijzigd door CH4OS op 12 september 2023 11:12]

Geef het beestje een naam, maakt mij niet uit.

Bij ons heb je NPA’s nodig om op systemen in te loggen. Allemaal 4 ogen princiepen en als je eenmaal wilt inloggen is het MFA.
Onze systemen waar ik op werk is er ook geen SSH aanwezig. Alles gaat en moet via pipelines. Vaak rete irritant maar wel veilig
Geen enkele database is toegankelijk en als ze al toegankelijk zijn is het via stored procedures op je eigen tabellen, nooit op tabellen van André teams. Zelfde als voor Kafka bus, cassandra etc..
Je kunt dus niet gemakkelijk bulk data downloaden of iets installeren zonder een pipeline te maken.

Verzekeringen tegen cybercrime stellen gelukkig wel eisen. Dus met alleen een verzekering ben je er niet. Dan komt er risico, vulnerability en patch management bij. IAM, MFA en PAM. En met een beetje geluk stellen ze ook eisen mbt XDR, XOAR, DMS en opleiden/bewustwording van personeel.
In alle gevallen gaat het je een hoop geld kosten en neemt de aanvalsvector flink af met zo’n verzekering (en kun je je afvragen of die verzekering wel zin heeft als je al die maatregelen toch al treft)

Maar zelfs al die maatregelen zijn niet 100% dekkend. Je doet wat je kunt om het tegen te houden, maar ook daarmee krijg je pas een volledige dekking wanneer je op het kunt komt dat je werknemers voor iedere letter in een Word-document een formulier moeten invullen om het bestand te kunnen opslaan. Extreem voorbeeld, maar dat is wel de enige manier om zeker te weten dat er geen wijzigingen gedaan worden die niet bewust door een gebruiker gebeuren.

En opleiden van je personeel is een leuk idee, maar als je ziet wat voor statistieken uit de gemiddelde blackbox phishing test komen dan wordt heel duidelijk dat je zwakste schakel in veel gevallen toch een groot probleem blijft. Senioren die maar nét door de training komen en het een uur later alweer zijn vergeten, om maar een generaliserend voorbeeld te geven, zijn vaak ook de mensen die een dag later doodleuk op de phishing link klikken en inloggen met hun O365 account.

Dus ik denk dat zo'n verzekering zeker wel nuttig is voor een grote organisatie die de capaciteit heeft om die maatregelen in te voeren, want zelfs met alles dat je zelf kunt doen blijft het risico meer dan 0.

Het risico blijft meer dan 0, dat is altijd zo. Opleiden van mensen is ook niet eenmalig, maar een continue bezigheid. Bewustwording komt niet na 10 minuten lezen.

Doordat je voor de verzekering moet investeren, en de verzekeringen op het moment dat het gebeurd heel nauwkeurig kijken of je aan alle voorwaarden voldeed (zorg maar dat je al die info aanleverde), is de vraag hoe nuttig ze zijn. Het is ook de vraag wat ze doen en wat ze opvangen. Dus een bedrijf zal zeer goed de afweging moeten maken of het nodig is of dat het risico al afgedekt wordt door dezelfde maatregelen te nemen zonder de verzekering. De verzekeringen op dit gebied zijn namelijk in kostprijs flink gestegen en hebben voorwaarden flink aangescherpt.

Het probleem is voornamelijk de investering, het budget voor beveiliging. Alles wat je moet doen om cybercrime te verkleinen kost een hoop geld. Geld dat een management liever in de zak houdt omdat ze het nut er al niet van in zien.
Voor de hoogste risico groepen hoop ik dat NIS2 daadwerkelijk keihard wordt omgezet in een wet, waarbij management hoofdelijk aansprakelijk wordt gesteld en zelfs tijdelijk uit functie kan worden gezet door mismanagement op cybersecurity front. Ik vrees echter dat een toezichthouder straks verzuipt in het werk en dit nooit zal doen.

[Reactie gewijzigd door SunnieNL op 12 september 2023 11:30]

Het probleem begint natuurlijk omdat alles en iedereen via netwerkverbindingen/internet overal bij moet komen. Want dat is makkelijk. En makkelijk en security gaan nooit lekker samen. Alle maatregelen daarna zijn een poging om de vector te verkleinen.

Ik ben geen specialist, maar een airgapped systeem lijkt me een mogelijkheid om de vector echt drastisch te verlagen. Dat is natuurlijk wel van de afdeling 'niet makkelijk'.

Zelfs airgapped kan stuk, zie iraanse kerncentrale. Echter kun je bijvoorbeeld prima je productie vloer machines airgappen, neem een laser cutter of iets in die trant, ik heb ze gezien met windows xp. Machine van paar miljoen ga je niet om de paar jaar ruimen. Dan maar in een los segmentje met eigen switches etc.

We kunnen van alles verzinnen om beter beveiligd te zijn, maar zolang we niet eens daadwerkelijk iets aan opsporing en vervolging gaan doen is het dweilen met de kraan open.

Hoezo zitten bepaalde landen nog aan het internet? Waarom halen we de kabels niet gewoon door, en ja die kunnen dan lekker met bitcoin een server in nederland huren, maar dat gaat lastig worden om die te benaderen als je geen onderdeel meer bent van het internet.

In het geval de criminelen dan naar "normale" landen gaan verhuizen om het toch voor elkaar te krijgen is het makkelijk oppakken en opsluiten.

Iedere keer weer dezelfde discussie onder dit soort artikelen, leuk altijd.

Je kunt er niks aan doen als bedrijf.

Dit staat gewoon haaks op het feit dat getroffen bedrijven nog altijd uitzondering op de regel zijn, en van de getroffen bedrijven er ook genoeg zijn die gewoon netjes recovery in gang zetten. Als de criminelen de gegevens dan lekken is jammer, maar het is niet ongebruikelijk dat de gegevens (of subsets) alsnog te koop aangeboden worden aan criminelen die interesse hebben in gegevens van mensen. Dat kan je gewoon terugvinden op zeronet of tor forums.

graag een voorbeeld van iemand die betaalde waarbij de data toch nog online te koop was achteraf dan

Geen voorbeeld maar statistieken over 2022: 18% van de betalende slachtoffers vond alsnog hun data terug op het darkweb.

Een andere interessante regel in dat rapport is hoe 35% van de betalende slachtoffers geen key kreeg. Wat dat betreft is het geromantiseerde beeld van thief's honor echt een totaal onverdiende hardnekkige urban myth.

Het is wel degelijk te voorkomen. Veel criminelen komen nog altijd bij gevoelige gegevens door menselijke fouten en onvoldoende prioriteiten stellen in beschermen.
Dat er daarmee kans is dat je slachtoffer kan worden wil niet zeggen dat er niets anders tegen te doen valt dan accepteren dat het zal gebeuren. Dat doet de verzekeraar ook niet: die schat de kans in hoe lucraties het is om aan het risico te verdienen.
Het zal mij daarbij niets verbazen als de criminelen hier een inschatting maken of een organisatie bereid is ze te belonen en aan te moedigen nieuwe slachtoffers te maken zolang de organisatie er zelf maar geen last van meent te hebben.

Het betalen van losgeld aan criminelen moet verboden worden, dit slaat nergens op. Ik snap de keuze van KNVB (al ben ik het er niet mee eens), maar dit opent gewoon de deur voor de rest van het bedrijfsleven.

Helemaal mee eens. Sterker nog: ik zie dit gewoon als het financieren van een criminele organisatie, wat reeds verboden is. De criminelen krijgen namelijk een signaal dat wat ze doen geld oplevert. Wat mij betreft is dit dus een dubbelopje, naast het onzorgvuldig omgaan met persoonsgegevens.

Ik vind het jammer dat KNVB (en de meeste andere bedrijven) niet deelt hoe de aanval is uitgevoerd, want deze info kan anderen helpen zichzelf beter te beschermen.

Hoewel ik met je eens ben dat openheid van zaken hierin van belang is, vrees ik dat niet veel anderen zich beter gaan beschermen. Het is over het algemeen een investering die weinig bedrijven bereid zijn te doen. De algehele gedachtegang is 'het overkomt ons niet'. Het feit dat het de buren overkomen is, is voor velen nog geen prikkel om zelf maatregelen te nemen.

Mochten we inderdaad eens een instantie aanpakken met bovengenoemd dubbelopje, dan ziet de rest ineens dat het ook Justitie menens is. Wellicht dat dat dan voor een grotere motivatie zorgt om IT security intern tegen het licht te houden en erin te investeren.

Het is over het algemeen een investering die weinig bedrijven bereid zijn te doen. De algehele gedachtegang is 'het overkomt ons niet'.

Dat is niet mijn ervaring. Middel-grote bedrijven willen wel, maar weten niet hoe en zijn vrijwel altijd afhankelijk van externe partijen. Die partijen zijn dan niet betrokken genoeg om het diep in het bedrijf op orde te krijgen.

Wat je daar zegt is eigenlijk. Het bedrijf wil er niet voor betalen. Als ze echt zouden willen zouden ze er budget voor hebben.

Net zoals na een ransomware aanval. Na de aanval is er altijd budget… van te voren nooit.

Ik heb het woord "budget" niet eens genoemd? Men wil best betalen, maar ze kunnen zelf niet verifieren of de externe partij daadwerkelijk levert. Bedrijven weten zelf niet eens of hun eigen beveiliging op orde is en zijn hiervoor afhankelijk van externe partijen.

Het is niet alsof je kunstof kozijnen aanschaft waarbij je gewoon ziet dat je nieuwe kozijnen hebt.

Het niet-weten is per definitie een budget issue. Lees geen interesse…
Voor kennis moet je betalen. Deze kennis moet je ook willen implementeren. Weer een budget issue.

Externe partijen willen best veel doen. Maar als je niet betaald. Krijg je ook niet de service…
En waarom wil je überhaupt een externe partij hiervoor…..neem iemand (team) in dienst hiervoor. Weer een budget issue.

[Reactie gewijzigd door internet4me op 12 september 2023 11:21]

Het niet-weten is per definitie een budget issue. Lees geen interesse…

Wat een onzin

Externe partijen willen best veel doen. Maar als je niet betaald. Krijg je ook niet de service…

Moet je wel een competente externe partij hebben. Dit kan je niet altijd weten, tenzij je een 2e partij inhuurt om de 1e te controleren.

En waarom wil je überhaupt een externe partij hiervoor…..neem iemand (team) in dienst hiervoor. Weer een budget issue.

Omdat er genoeg bedrijven zijn die groot genoeg zijn waarvoor dit relevant is, maar niet groot genoeg om zelf personeel in te kunnen huren voor dit doel, laat staan een team hiervoor. En zelfs dan weet je niet wie je moet inhuren en of deze persoon competent is.

waarvan ik op de hoogte ben

Dus als het gebeurd.. heb jij dan gefaald? Niemand weet alles, niemand weet elke security issue mogelijk.

Is het geen exploit, backdoor of softwaretooltje, kan het ook nog social hacking, afpersing of 'boze' medewerker zijn. Waterdicht bestaat niet, het is alleen de vraag tot hoeverre jij achteraf kan zeggen 'ik heb er alles aan gedaan', betaling om verspreiding tegen te gaan - hoe onlogisch dat klinkt - is er dus ook 1 van.

Dus als het gebeurd.. heb jij dan gefaald?

Ik heb alleen gefaald (in mijn ogen) als ik niet alles heb gedaan wat ik had kunnen doen Als ik bekende security-issues laat liggen en er niets mee doe.

kan het ook nog social hacking, afpersing of 'boze' medewerker zijn.

Dat is naar mijn mening DE ingang die voornamelijk voorkomt in "mijn wereld", want de tech is over het algemeen wel in orde, en als de tech niet in orde is schreeuw ik daar moord en brand over. Over tech heb ik controle, handelen van mensen niet.

Bij verkeerd handelen van mensen (omdat hun PC gehackt is, omdat ze boos zijn of omdat ze incompetent zijn) kan je alleen maar de schade beperken met logging (zodat je zsm kan ingrijpen) en zo min mogelijk data makkelijk beschikbaar maken.

Waterdicht bestaat niet, het is alleen de vraag tot hoeverre jij achteraf kan zeggen 'ik heb er alles aan gedaan'

100% eens.

betaling om verspreiding tegen te gaan - hoe onlogisch dat klinkt - is er dus ook 1 van.

Ik vind het niet onlogisch en ik heb er begrip voor. Ik vind gewoon dat het verboden moet worden, zodat het geen optie meer is.

[Reactie gewijzigd door Gamebuster op 12 september 2023 10:26]

Het is voor mij ook een en al schijn. Als een crimineel eerst bij jouw inbreekt om spullen te jatten, hoezo zou je ze dan vertrouwen dat met losgeld betalen daarmee persoongegevens "veilig" worden gesteld? Ze waren toch al gestolen, dus dan blijft dat per definitie toch onveilig? Met name omdat een kopie van iets bijzonder makkelijk te maken is.

Klinkt voor mij als bedrijfstechnisch een ondoordachte poging om het PR brandje te blussen. Feit blijft dat deze mensen nog steeds niet kunnen traceren wie hun gegevens hebben, en of deze nog steeds worden verkocht of elders in omloop zijn of blijven.

Daardoor concludeer ik ook dat betalen van losgeld volstrekt zinloos is. Het beloond deze criminelen en faciliteert (als in: financieert) nieuwe pogingen op andere doelwitten. Want wederom, waaruit blijkt dat deze criminelen uit goede idealen handelen?

[Reactie gewijzigd door Hans1990 op 12 september 2023 10:34]

Als een crimineel eerst bij jouw inbreekt om spullen te jatten, hoezo zou je ze dan vertrouwen dat met losgeld betalen daarmee persoongegevens "veilig" worden gesteld?

Omdat dit niet zomaar criminelen zijn. Dit zijn complete organisaties, die net zoveel baat hebben bij een goede reputatie als normale bedrijven. Als blijkt dat zij zich niet aan hun afspraken houden dan gaat niemand meer betalen, en verdwijnen hun inkomsten.

Komend vanuit een leidinggevende positie denk ik niet dat een eenduidige wet zin heeft. Sterker nog het actief verbieden zal eerder ertoe leiden dat sommige enerzijds hacks achterhouden, anderzijds alsnog betalen maar dan niet publiekelijk.

Wij laten ons jaarlijks auditen door een externe partij, op veiligheid, op veiligheidseisen, op lopende regels omtrend publieke data. Wij proberen de veiligheid van pubieke data zo goed mogelijk te doen, desalnietemin ben je nog steeds beperkt in wat de daadwerkelijke regels zijn (ik zit in het buitenland). Ook ben je beperkt als bedrijf zijnde in je budget. Ik heb toevallig twee bedrijven en waarbij met een waar ik een paar honderd man heb, IT best netjes is geregeld al zeg ik het zelf, weet ik dat bij het tweede bedrijf dat beduidend kleier is het zeker niet zo goed gesteld is. Maar IT is voor ons altijd een kostenpost. Ja betere oplossingen zorgen ervoor dat we beter ons werk kunnen doen, maar het kost altijd geld. Dus je let altijd met je P&L op de totale kosten, inclusief IT.

Ik denk zoals ik al aangaf een eenduidige wet geen oplossing is. De regelgeving (ik ben niet bekend in NL maar wel in het buitenland) moet duidelijk zijn hoe publieke data opgeslagen dient te worden tegeljkertijd dient de overheid actief te auditen, dit gebeurd dus nergens bij mijn weten. Dit maakt het ook voor hackers een stuk lastiger om ergens binnen te komen. Maar tegelijkertijd een stuk begrip voor ieder bedrijf hoe ze met een hack omgaan zou ook niet verkeerd zijn. Als je aan de regels voldoet, wat kunnen we dan nog meer? Data verloren/publiekelijk laten gaan? Systemen maar wipen en van nul beginnen? De boel plat laten liggen tot de IT binnen weet te komen? Ik begrijp heel goed waarom de KNVB betaald, je hebt een snelle oplossing en je data wordt gewaarborgd (die gooien ze echt niet publiekelijk daar hebben ze geen baat bij na betaling). Leuk is anders maar het werkt.

Het betalen van losgeld aan criminelen moet verboden worden, dit slaat nergens op.

Nee, niet doen, dat maakt het probleem erger.
Losgeld situaties zijn altijd zo dat je eigenlijk geen keuze hebt. De orijs is (veel) lager dan de straf.
Door losgeld te verbieden maak je de straf zwaarder en dus de drempel om te betalen lager!
Als het verboden is zullen mensen het stiekem doen in plaats van hulp te zoeken bij experts en de politie.

Nu is losgeld betalen nog een zakelijke beslissing waarin een organisatie een afweging maken tussen betalen of niet. Als het verboden is kan het geen zakelijke beslissing zijn dus moet het een persoonlijke beslissing worden, zonder hulp van experts. Criminelen zullen zich aanpassen en zich gaan richten op persoonlijke aanvallen waarbij individuele mensen gechanteerd worden. ("Als je niet betaalt staan morgen de foto's van je dochter op internet")

Als je betalen verbiedt maak je het ook onmogelijk om samen te werken tegen de aanvallers. Je kan je niet verdedigen als je niet weet wat er speelt in de wereld. Slachtoffers moeten vrijelijk kunnen praten over wat ze is overkomen zodat anderen daar van kunnen leren en maatregelen treffen.

Er zijn er die zegen dat je criminele steunt door te betalen en dat klopt maar het is ook een vorm van victim-blaming. Het slachtoffer kiest hier niet voor maar moet omgaan met de gegeven situatie. Op dezelfde manier wil ik betalen ook niet zien als een soort boete voor slechte beveiliging. Tegelijkertijd moeten we er niet aan voorbij gaan dat alles z'n prijs heeft, dat beveiliging altijd (te) duur is als je de gevolgen niet kan zien van niks doen. Daarom zou ik het willen omdraaien en zeggen dat we de criminelen helpen als we betalen verbieden want dan maken we onszelf blind voor de kosten en gevolgen.

Onderschat ook niet hoe belangrijk duidelijk voorbeelden zijn. Toen iemand in mijn sector voor het eerst een paar ton moest betalen had mijn directeur opeens een extra zak geld voor security, terwijl er niks was gebeurd dat hij rationeel gezien nog niet wist.

Het betalen van losgeld aan criminelen moet verboden worden, dit slaat nergens op. Ik snap de keuze van KNVB (al ben ik het er niet mee eens), ...

Dat kan letterlijk niet; als je de keuze van de KNVB snapt dan begrijp je dus ook wel dat er ethisch/praktisch altijd een grens zit aan tot hoe ver je wil en kan gaan met 'nooit toegeven aan criminelen' ten opzichte van 'de gevolgen die het voor betrokkenen kan hebben als je nooit toegeeft aan criminelen'.

Die 'nooit' is aantoonbaar theoretisch en daarom zal afpersing (en andere criminaliteit) altijd blijven bestaan; ieder persoon, ieder bedrijf, iedere overheid en iedere andere instelling heeft een grens tot waar principes reiken, daar overheen en dan worden andere zaken altijd belangrijker dan die (helaas niet voldoende doordachte , en daarom puur theoretische) principes.

Indien het nog niet zeker is dat het lek is gedicht wil je niet details geven hoe je gehackt bent.
Je zou immers dan opnieuw "gehackt" kunnen worden waardoor iemand anders met de data er vandoor kan gaan en je opnieuw kan/wilt betalen.

NCSC is het orgaan dat CVE meldt via hun website of nieuws bulletins per mail.
als SOC zou je kunnen zeggen dat je je tijd gebruikt om het internet af te struinen naar info over Zero days.

Ik zou er in ieder geval niet happig op zijn om details naar buiten te brengen via mijn eigen organisatie.
ik zou dat overlaten aan de deskundigen. (NCSC / FoxIT etc)

[Reactie gewijzigd door crzyhiphopazn op 12 september 2023 10:09]

Logging gaat je maar weinig helpen, het is als het hebben van beveiligingscamera's waarop je achteraf ziet dat een man met een bivakmuts je huis leeg haalde. Logging met actieve notificatie kan je helpen, maar waarschijnlijk ben je dan alsnog te laat.

2FA en IP whitelisten is al een stuk beter om je beschermingsniveau op te krikken, maar ook daar moet je rekening mee houden dat ze daar doorheen komen.

Je moet vooral een plan hebben. Wat ga je als eerste recoveren? Waar naar toe (kun je de huidige storage/servers gebruiken of moet je die laten staan voor forensische analyse)? en welke backups ga je gebruiken?

en het allerbelangrijkste zorg op zijn minst voor immutable of liefst beter, echte offline backups. Veeam of Commvault is leuk, maar als je backups online in je netwerk hangen kunnen ze die ook wissen en kun je niets anders dan betalen voor decryptie en op je blote knietjes bidden dat je de sleutel ook echt krijgt na betaling en decryptie geen weken gaat duren. en test die backups regelmatig handmatig en het liefst dagelijks geautomatiseerd en controleer dat allemaal.

maar dat los 't probleem van in dit geval de KNVB niet op, namelijk dat data ook in handen van de criminelen is. Als ik 't artikel zo scan was de KNVB geen gegevens kwijt, maar is er gewoon een kopie gemaakt.

Het betalen van losgeld aan criminelen moet verboden worden, dit slaat nergens op.

Tja, het inbreken zelf is ook verboden en toch gebeurd dat ook en veel ook. Ik vind het makkelijk roepen vanaf de zijlijn dat betalen verboden zou moeten worden. Dat gaat niets oplossen namelijk en brengt het alleen maar verder naar de achtergrond, waar het verder niemand opvalt. Men blijft toch wel inbreken en vervolgens de data van de ander versleutelen.

Mee eens, ieder bedrijf zal wel eens een keer slachtoffer kunnen worden. Voor de vele IT-ers in het bedrijfsleven, zal dit vast ook wel enige tijd een (hot)topic zijn en de nodige aandacht krijgen.
Logging, monitoring, netwerksegmentatie, 2FA en andere soorten toegangsmechanismen om een blokkade op te werpen zijn de onderwerpen. Hoe, dat is voor ieder bedrijf anders afhankelijke van budget, mensen en kennis.

Ik vind het jammer dat KNVB (en de meeste andere bedrijven) niet deelt hoe de aanval is uitgevoerd, want deze info kan anderen helpen zichzelf beter te beschermen.

Ik kan mij indenken dat de betrokken instanties die dit hebben uitgezocht het vast wel ergens delen.
Het openbaar delen van deze informatie zou kunnen helpen, maar het kan ook de 'slapende honden' wakker maken.

Wat betreft het delen van de informatie, dan denk ik aan partijen die bij jouw bedrijf security scans kunnen doen (in welke vorm dan ook). De mogelijk kwetsbaarheden zullen dan ongetwijfeld worden gedeeld met de daarbij mitigerende maatregelen. Investeren en zoveel mogelijk eraan doen waarbij je mag hopen dat het jouw bedrijf niet overkomt.

Het niet willen delen geeft in mijn ogen voornamelijk aan dat de schuld bij de knvb ligt en ze niet alles eraan hadden gedaan om dit te voorkomen.

Als je als bedrijf er alles aan doet, kan het alsnog gebeuren. Maar dan kun je met opgeheven hoofd zeggen wat er is gebeurd en hoe ze jouw zaken hebben omzeild. Dat kan helpen in de bestrijding bij anderen. Een (menselijke) foutje waardoor dit is ontstaan wordt door het publiek wel vergeven door het inzicht wat ze door delen verkrijgen.

Daar past wel een hint: het alternatief is in detail verklaren wat er is gebeurd...

Wanneer een inbreker met een mes aan je voordeur staat... Moet het dan ook verboden zijn om je portemonnee mee te geven omdat het de deur opent voor de rest van de straat? Buigen voor criminelen zou in mijn ogen niet verboden/strafbaar moeten zijn.

Ik begrijp het dilemma inzake wel/niet betalen bij (digitale) afpersing maar ik weet niet of een verbod op betalen de oplossing is.. Brengt het een bedrijf niet alleen maar meer in de penarie? Dan 'moeten' ze straks 3 ton betalen aan de afpersers en tot overmaat van ramp nog een 4e ton aan de overheid als boete.

[Reactie gewijzigd door B Tender op 12 september 2023 11:08]

Dat is een stomme analogie en totaal iets anders dan wat ik schreef.

Je wil dat het verboden gaat worden te betalen? Besef wel dat in sommige gevallen voor een bedrijf de keuze dan gaat zijn: failliet+klantgegevens op straat. Met als enige alternatief: betalen.

Met logging, 2FA en patchen ga je het niet redden als je met een hackers "bedrijf" te maken krijgt waarbij een team academisch geschoolde IT-ers rustig gaan bekijken welke gaatjes er in de (technische) infra, bedrijfsvoering en "BKAC" zitten.

Gewoon accepteren dat je beet bent genomen en/of dat je de boel slecht hebt geregeld. En het proberen in de toekomst beter te doen.

Het betalen van losgeld kan niet echt verboden worden. Het is ook gewoon een zakelijke transactie (al is het onder dwang). Of iemand of een bedrijf het losgeld betaald is gewoon gebaseerd op een risico analyse.
Het melden van een datadiefstal is verplicht, maar het doen van aangifte niet. Gelukkig heeft de KNVB dat wel gedaan en als het meezit kan het betalen van het losgeld zelfs helpen om de hackers op te sporen.

Dat de KNVB niet deelt hoe de aanval is uitgevoerd kan op meerdere grondslagen berusten. Mogelijk is dit op verzoek van justitie om eventuele opsporing niet te bemoeilijken. Aan de andere kant kan het bekend maken van een hack-methode ook andere hackers uitnodigen om diezelfde methode te gaan gebruiken.

Zelfs beveiliging is gebaseerd op een risico-analyse. Het is enerzijds het gebruiksgemak en anderzijds het risico dat er belangrijke gegevens worden gestolen en welke gegevens dat (kunnen) zijn.

Het betalen van losgeld kan niet echt verboden worden. Het is ook gewoon een zakelijke transactie (al is het onder dwang).

Hoe kom je daar nou weer bij? Dat is net zoals een gestolen fiets kopen (waarvan je weet dat-ie gestolen is) "gewoon een zakelijke transactie" noemen. Je kan het prima verbieden.

[Reactie gewijzigd door Gamebuster op 12 september 2023 12:23]

Rare vergelijking. Het kopen van een fiets waarvan je weet dat die gestolen is, valt onder heling en is al verboden. De koper heeft hooguit de voordelen van de gekochte fiets. Niet kopen heeft geen nadeel (behalve dat je moet lopen).

Aan het niet betalen van losgeld kleven alleen nadelen. Aan niet betalen kunnen best ernstige consequenties kleven, waarvoor je wettelijk ook aansprakelijk kunt worden gesteld. Zelfs als het betalen van losgeld verboden is, blijft het een afweging van kosten en risico's.

Het criminaliseren van slachtoffers is altijd een slecht idee. Niet alleen omdat mensen dan gewoon geen aangifte meer doen maar ook omdat het hele losgeld proces ook dient als opsporing en we er ook veel leren en kunnen voorkomen.

Wat voor maatregelen?
Allereerst denk ik dat de gedachtegang moet veranderen... het is niet langer een vraag OF je gehacked wordt, maar WANNEER je gehacked wordt. Verplaats de focus naar contingency, in plaats van preventie (nog steeds belangrijk, maar contingency wordt belangrijker)

Daarbij zie ik bij ons dat er slechts beperkt met gelaagd beveiligingsmodel gewerkt wordt. De voordeur (laptops, workstations) worden enorm dichtgetimmerd, to het bijna onwerkbare toe. Maar achter de voordeur is het (deels) vrijheid-blijheid.

Vertrouwen op preventie en bewustwording (e.g. van die e-cursussen over phising) is wel een hele naïeve insteek van beveiliging. De mens is altijd de zwakste schakel, en dat kun je de mens niet kwalijk nemen. Fouten gebeuren nu eenmaal, door stress, werkdruk, haast, complexiteit, of gewoon "oeps te snel geklikt".

Werkdruk en haast is een factor die niet onderschat moet worden. E.g. in mijn vak, software maken, trekken we vaak externe libraries naar binnen om snel features in elkaar te zetten. Maar bij een security breach bij een open-source developer of package server kan er dus malware in zo'n library geinjecteerd zijn (supply-chain-attack). Nu vertrouwen we dat Microsoft/NPM/Apache/etc hun security op orde hebben, maar garanties zijn er niet. Als software dev heb ik niet de tijd (of überhaupt mogelijkheden als het om een binary gaat) om van iedere library de hele code te gaan lezen of daar wat geks in zit. En wanneer ik (of een collega) zo'n malicious library naar binnen trek, dan zit het dus achter de voordeur.

Wat betreft supply-chain-attack... iedere automatische update is dus een attack-vector.

Dus de mentaliteit moet anders, het uitgangspunt van "de voordeur op slot doen" klopt niet meer.

Wat ik niet begrijp:
KNVB betaalde losgeld aan criminelen om "persoonsgegevens leden te beschermen."

Wie verzekerd KNVB dat het losgeld de persoonsgegevens beschermd?

Het zijn hackers, criminelen. Ga je op hun woord geloven dat ze na betalen losgeld niet alsnog je data doorverkopen elders?

Onlangs ook bij ons voorgekomen. Wij hadden de backups niet op orde.
Dan was het de afweging tussen kosten voor de ransom t.o.v. kosten om de verloren data "opnieuw te verzamelen/bouwen".

De bond zegt dat het beschermen van persoonsgegevens zwaarder weegt dan het principe om zich niet te laten afpersen.

Bij de KNVB wegen wel meer dingen zwaarder dan principes...

Terecht. Daarom moet je het ook verbieden.

Losgeld voor data zodat deze niet gelekt kan worden lijkt stupide omdat de crimineel altijd de data achter de hand kan houden. Je kunt er nooit zeker van zijn dat het alle kopieën betreft. Echter, de crimineel heeft wel belang er bij om in ieder geval te doen alsof ze de data niet meer hebben (en deze dus niet te lekken): als ze dat wel zouden doen, zou hun businessmodel naar de vaantjes gaan. Dan betalen de volgende slachtoffers immers niet.

Ik zou als crimineel in deze business zijnde dus de data niet lekken van een 'betalende klant', muv mogelijk een eventuele exit-strategie. Dat kan plaatsvinden op het moment dat je in grove geldnood zit en/of het moment dat je wilt stoppen in deze branche. Vziw zien we dat niet in de praktijk. Betalen lijkt dan ook dat er niet gelekt wordt.

Verder ga je deze figuren niet pakken, ze zitten veelal in landen waar wij geen uitleveringsverdrag mee hebben zoals Rusland.

Wat voor maatregelen? Geen idee

Dat is aan security experts en organisaties zoals het SOC (dat je uit kunt besteden). Je noemt 2FA, maar 2FA middels telefoonnummer is tegenwoordig niet meer adequaat. Dat is het eigenlijk nooit geweest. Een determined attacker houdt dat niet tegen. Het kan zelfs averechts werken 'ik heb 2FA dus waarom sterk wachtwoord?'

Ik probeer maar gewoon zoveel mogelijk logging toe te voegen (en makkelijk inzichtelijk te maken) en alle potentiele security issues waarvan ik op de hoogte ben te dichten zover tijd en budget dat me gegeven wordt dat toelaat. IP whitelists, 2FA implementeren waar dat nog mist (en verplicht inschakelen), mensen herinneren dat het straks onze beurt is, etc.

Red teaming, pentest, auditing, een SIEM opzetten er zijn zat mogelijkheden. Een simpele is betaal een security bedrijf om via een scam mail proberen binnen te komen. Kijk hoeveel medewerkers erin tuinen.

[Reactie gewijzigd door Jerie op 12 september 2023 15:11]

Tegenwoordig is er ook tooling die kan helpen bij security hardening. Wij gebruiken Snyk binnen onze organisatie en ben erg onder de indruk. Het scanned alle repo's; dit is dan vooral als je met code te maken hebt; en hiermee wordt het dichten van vulnerabilities een makkie.

Daarnaast begint het vaak voor de meeste bedrijven ook heel simpel. Zorg dat je 2FA binnen je organisatie goed is opgezet en werkelijk een 2de inlog vector is via een veilig kanaal loopt (geen email of sms). Daarnaast als het even kan ook niet opzetten in een tool zoals Bitwarden/Lastpass omdat dat juist het doel van een 2de inlogvector voorbij gaat.

Daarnaast is een security officer een belangrijke rol. Deze kunnen toetsen of mensen binnen de organisatie niet vallen voor "the obvious" phishing attacks door dit regelmatig te challengen, kijken of alle relevante accounts aan het gewenste veiligheids niveau voldoen, verbetering van security overzien op alle vlakken... dat soort zaken.

[Reactie gewijzigd door Muna34 op 12 september 2023 15:23]

Dat verbieden is toch een beetje apart. Want daarmee neem je de keuze weg van een bedrijf wat niet illegaal bezig was. Dat het dom is - tja, maar dat is in onze ogen zo. Alles via een overheid proberen af te dwingen is blijkbaar al mislukt want andermans gegevens encrypten mocht al niet en ook geld vragen om het weer toegankelijk te krijgen mocht niet...

Want het effect is anders dan toch: niet meer melden.

En ze zouden voor elk gelekte persoons gegeven de persoon in kwestie 1000 euro moeten betalen + 1000 euro boete.

Dan wordt er tenminste door bedrijven meer geld uitgegeven aan persoonsgegevens opslag en beveiliging. Waar er wel strenge controle op staat en fouten zwaar worden bestraft hoor je nauwelijks dat gegevens van hun op straat komen. Kijk naar bv banken. Die moeten tientallen miljoenen uitgeven aan beveiliging en controle op opslag van gegevens. Als ze dit niet doen dan komen er boeten die ook tien tallen miljoenen zijn.

Of geld uitgeven voor beveiliging en opslag of het niet doen....

Hef gewoon een belasting op dit losgeld van 500%. De criminelen weten dan dat ze niet zoveel kunnen vangen, omdat 6x een hoge vraagprijs vaak niet snel betaald zal worden, dus dat drukt de prijs en daarmee hun winst. En dat geld wordt dan additioneel gebruikt om die criminelen op te sporen.

Ik blijf het toch een dilemma vinden, je betaalt niet en de gegevens liggen op straat of worden doorverkocht.
Je betaalt en je bent er vanaf, of je betaalt en ze doen niks en je bent je gegevens ook kwijt.

Als je werkt met erg gevoelige gegevens, dan zou je toch een apart infrastructuur hiervoor moeten neerzetten waar je niet zomaar bijkunt of is afgesloten van het net?

[Reactie gewijzigd door dutchnltweaker op 12 september 2023 10:03]

Ze hebben wel een reputatie hoog te houden, dus als je betaald ben je er ook van af.
Anders betaald er juist niemand meer.

Tot de beveiliging van bedrijven en verenigingen over vijf jaar tip top in orde is en het cybercriminelen niet meer lukt om ransomware geïnstalleerd te krijgen. Ze kunnen dan alsnog de eerder gestolen data verkopen, dus ik zou er niet van uit gaan dat je er "van af bent" na betaling.

Het maakt cybercriminelen niet uit wie ze aanvallen hoor. Er zal altijd een organisatie zijn die minder goed beveiligd is dan een ander en 100% veilig is ook een utopie. Nieuwe aanvalsmethoden zullen er blijven komen. Daar waar mensen werken worden fouten gemaakt.

Aanvallen zal altijd mogelijk zijn, maar dat wil niet zeggen dat aanvallen met ransomware (of gegevens op een andere manier stelen) altijd zal blijven kunnen.

Een crimineel heeft geen acceptabele reputatie. Alles wat acceptabel lijkt is wat personen zelf er bij bedenken om hun eigen gedrag goed te praten, niet omdat de crimineel het goed met ze voor heeft. De criminelen bewijzen met het slachtoffers kiezen, inbreken, stelen en afpersen op vier zwaar onacceptabele manieren dat het hun niet om de reputatie te doen is maar om het geld, macht en massaal rechten schenden.

Dat lees ik wel vaker, maar dat is geen garantie. Het komt voor dat de data alsnog gelekt wordt of dat ze na het betalen meer geld gaan vragen.

https://www.zdnet.com/art...s-leaked-its-data-anyway/

1% of organizations that had data encrypted paid the ransom but didn’t get data back.

Bron: https://www.sophos.com/en-us/content/state-of-ransomware

However, the tactic has now reached a tipping point, with groups such as Sodinokibi, Maze, Netwalker, Mespinoza and Conti starting to publish data even after payment, and/or demand a second ransom be paid to prevent publication, Coveware claimed.

Bron: https://www.infosecurity-...-groups-post-stolen-data/

Alarmingly, nearly a third (29%) who paid a ransom demand still had data leaked, and over a quarter (26%)

Bron: https://www.hiscoxgroup.c...ss-releases/2022/08-11-22

Whether they paid or not, only 29% of victims were able to restore all their encrypted or blocked files following an attack. Half (50%) lost at least some files, 32% lost a significant amount, and 18% lost a small number of files. Meanwhile, 13% who did experience such an incident lost almost all their data.

Bron: https://www.kaspersky.com...-their-full-data-returned

with groups such as Sodinokibi, Maze, Netwalker, Mespinoza and Conti starting to publish data even after payment

Dan weet je dus als bedrijf dat je die groepen niet meer hoeft te betalen, en die zijn dus heel rap al hun inkomsten kwijt.

Doen ze toch een nieuw 'bedrijf'.
Dat is echt 0-effort voor ze

Ze hebben wel een reputatie hoog te houden, dus als je betaald ben je er ook van af.
Anders betaald er juist niemand meer.

Reputatie? Heb je hun identiteit gecontroleerd? Je kan eigenlijk niet weten of je te maken hebt met een "gerenommeerde" groep of met een copy-cat die een hit-and-run doet. Er is geen enkele garantie dat je ze je data niet als nog publiceren of doorverkopen (of dat ze zelf weer gehacked worden), nu of in de toekomst.

Er zijn genoeg systemen air gapped, en USB poorten geblokkeerd, zodat er op kritische systemen niet zomaar software gezet kan worden.
Alleen is communicatie echt een ding en op enig moment moet er gecommuniceerd worden.
Met datadiodes kun je communicatie van buiten naar binnen wel voorkomen, maar n de praktijk wordt dat al snel een lastige. Ook omdat je in bijna alle gevallen een mensen in het proces toevoegde, waar de CMS systemen nu de hele flow overnemen en er alleen in uitzonderingen een mens naar kijkt.

Of je betaalt, en de afpersers verkopen de gegevens alsnog door. Je hebt geen enkele garantie dat die bende zich aan zijn woord houdt. Enige motief dat ze hebben om niet alsnog te publiceren is hun reputatie voor eventueel volgende succesvolle aanvallen.

dan zou je toch een apart infrastructuur hiervoor moeten neerzetten waar je niet zomaar bijkunt of is afgesloten van het net?

Je hebt niets aan die gegevens als je erniet bij kan. Je kan niet alle gevoelige gegevens op een HDD zetten en die in een afgesloten kluis gooien. Heel veilig, maar je hebt er niets aan.

Je hebt niets aan die gegevens als je erniet bij kan. Je kan niet alle gevoelige gegevens op een HDD zetten en die in een afgesloten kluis gooien. Heel veilig, maar je hebt er niets aan.

Tja, data back-ups verdwijnen ook in kluizen voor safe keeping en andere ongewenste invloeden zodat je niet je hele hebben en houden kwijt raakt bij een brand bijvoorbeeld. Maar je hebt er verder inderdaad niets aan...

[Reactie gewijzigd door CH4OS op 12 september 2023 10:38]

Encrypten de gegevens en via een aparte infrastructuur inloggen moet toch wel kunnen?

Dan komt er een medwerker langs, druk op "Excel export" in dashboard, zet kopie op dropbox, en daarna wordt zijn dropbox behackt. "Maar dan moet je excel export verbieden!" "Men mag geen persoonlijke gegevens uploaden naar hun eigen dropbox" Uhu, goed idee, helemaal mee eens. Succes met afdwingen. Allemaal mogelijk in theorie, maar in praktijk... people will find a way.

Security moet bedrijfsbreed ingebakken zitten, en dat zit het nergens. Niet volgens mijn standaard, in ieder geval.

[Reactie gewijzigd door Gamebuster op 12 september 2023 10:17]

Succes met afdwingen. Allemaal mogelijk in theorie, maar in praktijk... people will find a way.

Precies de reden waarom betalen van dit soort praktijken verbieden ook niet gaat werken.

Je kunt het ethisch verwerpelijk vinden, omdat op deze manier misdaad loont. Dat ben ik ook zeker met je eens, maar er zijn ook best situaties te bedenken, waarom je dit wel zou doen. Daar kun je het niet mee eens zijn, maar dat is dan de keuze van het slachtoffer toch?

En nogmaals, (digitaal) inbreken is ook verboden, maar toch vinden er jaarlijks genoeg overvallen en hacks plaats, ondanks dat het niet mag en waarvan met de buit vaak ook best goed verdiend wordt. Ondanks dat het dus (in wezen) bij de bron al verboden is kun je niet verwachten dat zaken niet gebeuren.

Verbieden van dit soort afpersing te betalen gaat dus nooit werken, dan verdwijnt het zoals eerder gezegd naar de achtergrond, people will find a way. Slachtoffers willen nog erger gewoon voorkomen. Of daar een beweegreden voor is of niet, dat is aan het slachtoffer.

In het verlengde van dat zou je ook kunnen zeggen dat wanneer je met gevoelige informatie komt te werken, dat je je bewust dient te zijn van de gevaren. Een cursus bijvoorbeeld zou daar best bij kunnen helpen.

Of, wat je ook wel ziet: fake physing mailtjes bijvoorbeeld, die mensen bewust maken op te passen en dus te trainen. Want laten we wel wezen, de meeste van dit soort hacks ontstaan vaak doordat een interne medewerker net dat verkeerde mailtje geopend heeft met die link naar die leuke afbeelding van die kat, of die bijlage heeft geopend.

Ik blijf erbij dat voorkomen beter is dan te genezen in dit soort zaken. Ook de digitale beveiliging is zo sterk als de zwakste schakel.

[Reactie gewijzigd door CH4OS op 12 september 2023 10:53]

Sowieso maak je periodiek een kopie en die sla je ergens op waar geen verbinding naar toe loopt. Zo ingewikkeld is dat niet, en door deze nalatigheid gooit men het altijd op ransomware om de zaak af te doen.
Feit: een ransomware-aanval is nooit de methode om binnen te dringen. Dat is altijd iets anders wat buiten beeld wordt gehouden.

Misschien het backup-systeem niet in de serverrruimte bij de rest zetten. Dan valt het wat meer op als die door een onbekend proces wordt benaderd en versleuteld. De meest rigoreuze oplossing: de netwerkkabel eruit halen...
En bij het maken van een backup niet meteen de vorige overschrijven omdat er geen ruimte is.

[Reactie gewijzigd door blorf op 12 september 2023 11:22]

Sowieso maak je periodiek een kopie en die sla je ergens op waar geen verbinding naar toe loopt. Zo ingewikkeld is dat niet, en door deze nalatigheid gooit men het altijd op ransomware om de zaak af te doen.

Let op: ransomware is al weer passée. Tegenwoordig is het populair om te dreigen je data te publiceren/verkopen. Daar is haast niks tegen te doen als ze je data eenmaal in handen hebben.

Feit: een ransomware-aanval is nooit de methode om binnen te dringen. Dat is altijd iets anders wat buiten beeld wordt gehouden.

Goed punt. Je zou zelfs kunnen stellen dat in een goed ontworpen systeem er altijd meerdere dingen moeten falen voor er iets mis gaat. Als het fout gaat bij één storing dan is het (per definitie) niet goed ontworpen.

Ik geef de schuld aan Windows omdat die niet houdt van beheerders die controle hebben over fysieke hardware en alles graag abstraheren. Om te vookomen dat iets bestandssystemen achter een server versleutelt hoef je alleen maar iets te draaien dat regelmatig controleert dat wat permanent is opgeslagen ook daadwerkelijk vindbaar is in de vorm die je zou verwachten. Dat betekent directe toegang tot je fysieke opslag-apparatuur.

Zeker. Maar dat kost geld, en de ene collega wil dit en de ander dat, en de organisatie vindt eigenlijk alles te duur.

Er is niemand dat je kan garanderen dat na betaling je gegevens niet voor alsnog op straat komen. Dit zou echt verboden moeten worden.

Er is niemand dat je kan garanderen dat na betaling je gegevens niet voor alsnog op straat komen

Dat klopt weliswaar, maar het verdienmodel rondom ransomware maakt het aannemelijk dat dit niet gebeurt, pervers als dat klinkt. Zeker bij grote ransomwarenamen ken ik eigenlijk nagenoeg geen voorbeelden waarbij er na betaling alsnog gegevens online zijn verschenen. Dat zou natuurlijk wel kunnen (je weet veel ook niet), maar aantoonbaar linkbare informatie zoals facturen van een bepaald bedrijf verschijnen zelden online na betaling.

Fijn zeg dat de gemoedstoestand van de hackers bepalen of ze nog een keer een paar ton komen ophalen.

Dit is sowieso nooit een eenmalige afkoop maar een abonnementje alleen bepalen zij de termijnen.

Daarbij komt ook nog eens dat je van alle andere organisaties in NL vooral de pseudo overheid de bounty verhoogd en maar weer bewezen hebt dat de euros hier voor t oprapen liggen...

[Reactie gewijzigd door dieguyvanit op 12 september 2023 11:04]

Dat is een frame dat jaren geleden als angstbeeld werd neergezet maar er zijn vrijwel geen voorbeelden waarbij hackers een bedrijf meerdere keren afpersten met dezelfde hack of data.

Bovendien heeft het niks met de gemoedstoestand van hackers te maken, maar met hoe het verdienmodel is opgezet. Daarbij is 'betrouwbaarheid' belangrijk - hoe pervers dat dus ook klinkt.

[Reactie gewijzigd door TijsZonderH op 12 september 2023 11:05]

Aangezien gebrek aan bewijs niet hetzelfde is als betrouwbaar zijn is het bij de omstandigheden volkomen onredelijk op deze manier criminelen betrouwbaar te noemen. Hooguit wekt het misplaatst vertrouwen, door een paar zeer belangrijke criminele kenmerken te negeren: Ze kiezen slachtoffers te maken, niet om betrouwbaar te zijn. Ze kiezen om te stelen, niet om betrouwbaar te zijn. Ze kiezen om te chanteren en af te persen, niet om betrouwbaar te zijn. En als dat tegen jezelf dan al niet genoeg is daar ook aan vast dat ze het belonen gebruiken om meer slachtoffers te maken, meer te stelen, meer af te persen.

Daarbij hebben we niet voor niets wetgeving dat zomaar beweren dat een ander zorgvuldig met persoonsgegevens om gaat niet genoeg is. Juist ook omdat organisaties, dus ook criminele, het gebrek aan transparantie en redelijk inzicht misbruiken om op misplaatst vertrouwen steun te krijgen en ondertussen de gegevens niet naar belofte te verwerken of verwerking te stoppen. Dan kun je het niet selectief omgekeerd maar kunnen beweren met zoveel criminele kenmerken en gebreken.

Dat is geen frame....
Wanbestuur wordt nu afgekocht bij criminelen of tot aan de hoogste rechter bevochten in t geval van mijn gemeente hof van Twente.
Niet onderhandelen met cyberterroristen dan maar met de billen bloot schandalig is het.

Mja als t niet je eigen geld is ja en je hoeft er niet voor aan de productielijn te staan of te straten is het snel vergeven blijkbaar.

Bovendien heeft het niks met de gemoedstoestand van hackers te maken, maar met hoe het verdienmodel is opgezet. Daarbij is 'betrouwbaarheid' belangrijk - hoe pervers dat dus ook klinkt.

Vertrouwen op het verdienmodel van criminelen. Er zijn zaken in het leven waar ik meer op vertrouw.

Nou als ik ergens op durf te vertrouwen is het feit dat mensen, en zeker criminelen, geld willen verdienen. En het is veel makkelijker en lucratiever om de organisatie waarbij je hebt gestolen af te persen, dan om de gegevens door te verkopen. En als eenmaal blijkt dat je de gegevens alsnog doorverkoopt, wordt het bijna onmogelijk om daarna nog bedrijven af te persen.

Het is interessant om na te denken over manieren om juist deze 'betrouwbaarheid' aan te vallen.

Dus.. betalen om je gegevens niet te laten lekker .. en dan een maand later alsnog zelf je gegevens lekken.

Ik sta open voor betere suggesties overigens.

Grote ransomware groepen zijn al eens eerder gestopt (of afgesplitst en onder andere naam door te gaan). Niets weerhoud ze er van op het moment van stoppen nog en grote slag te slaan met verkopen.
Uit rapporten blijkt al dat een derde van de bedrijven die betalen om hun data terug te krijgen, dit uiteindelijk ook niet krijgen. Dus hoe betrouwbaar zijn ze? Het verhandelen van data gebeurd veelal onder de radar en de bron is ook niet altijd meer achterhaalbaar. Er zijn gevallen bekend van niet betalen, waarbij melding kwam dat de data is gereleased, maar die data daarna nooit op de darknet is teruggevonden.

Met alle data lekken de afgelopen jaren is ook de vraag of van de meeste mensen al niet heel veel data al bekend is. Dan doet de knvb het betalen in dit geval ook niet om hoe mensen te beschermen, maar zichzelf. Het ‘kijk ons eens het beste met jullie voor hebben, we hebben betaald om te voorkomen dat jullie data op straat komt’ (daarbij even buiten de feiten houden hoe die data überhaupt al op straat kwam). Uitermate slechte damage control. De publieke opinie van betalen veranderd en dit komt al bij een grote groep professionals als not done over.
De knvb had ook een ID/cybercrime verzekering kunnen afsluiten voor 5-10 jaar voor de mensen die geraakt waren. Zelfde effect voor die mensen en daarmee zijn ze ook geholpen als de data alsnog boven water komt. Dat is voor de publieke opinie net zo goed en voor de professionele opinie nog beter.

[Reactie gewijzigd door SunnieNL op 12 september 2023 11:10]

Dan doet de knvb het betalen in dit geval ook niet om hoe mensen te beschermen, maar zichzelf.

De knvb had ook een ID/cybercrime verzekering kunnen afsluiten voor 5-10 jaar voor de mensen die geraakt waren. Zelfde effect voor die mensen en daarmee zijn ze ook geholpen als de data alsnog boven water komt. Dat is voor de publieke opinie net zo goed en voor de professionele opinie nog beter.

Dat soort verzekeringen zijn in mijn ogen niet veel beter dan de criminelen waar het om gaat.
Wat heb je aan zo'n verzekering? Je kan nooit bewijzen dat je schade hebt geleden door een specifieke hack en dat de info niet ergens anders vandaan is gekomen. Van wat ik er van gezien heb dekken de meeste van die verzekeringen eigenlijk niks. Ken je iemand die er ooit succesvol gebruik van heeft gemaakt?

Ik heb verschillende van dat soort verzekeringen "gekregen" als "dank" voor datalekken. Ik heb er nog nooit iets van gehoord of gezien en zou niet weten hoe ik moet aantonen dat een lek is ontstaan doordat (bv) Twitter jaren geleden iets heeft laten lekken. Ik geloof niet dat ze ooit een cent zouden uitkeren.

Die verzekeringen zijn niet voor het dekken van de schade maar voor ondersteuning als jouw gegevens bv worden gebruikt bij het aankopen van een Ferrari, althans dat was mijn verzekering uit de PS lek en ook enkele andere die ik heb bekeken.

Uit rapporten blijkt al dat een derde van de bedrijven die betalen om hun data terug te krijgen, dit uiteindelijk ook niet krijgen

Heb je een voorbeeld van zo'n rapport? Je betaalt ransomware toch niet om data terug te krijgen, maar om het te laten vernietigen door de bendes?

Dat laatste is natuurlijk afhankelijk van de ransomware. Die kan ook alleen encrypten of beiden doen (encrypten en versturen). Zie oa https://www.veeam.com/new...able-to-recover-data.html en https://www.itworldcanada...ng-data-back-telus/477202

[Reactie gewijzigd door SunnieNL op 12 september 2023 11:16]

Ah ik denk dat we dan van begrip verschillen. "Data terugkrijgen" is in de context van deze onderzoeken hetzelfde als "de encryptie terugdraaien" zodat je gewoon weer up and running bent. Maar de discussie ging imo over het lekken van data achteraf op het dark web. Daarvan ken ik weinig tot geen voorbeelden waarbij dat achteraf toch gebeurde.

Het zou ook stom zijn. Je ontvangt als crimineel een torenhoog bedrag en gaat dan alsnog publiceren. Ook dat is nieuws. De volgende klant die je wil gaan afpersen, zal dan zeggen: hoezo ga ik betalen? Je gaat het toch publiceren .. Hoe moet je dan je oorlog in Oekraïne financieren losgeld binnenhalen?

Hoe weet die volgende "klant" dat? Je gaat toch niet je eigen naam geven? Ik zou de naam van een andere groep gebruiken en zopdra het geld binnen is kijken hoe ik er nog meer aan kan verdienen.

Je kan niet reken op eer onder criminelen.

Ten eerste gebruikt bijna iedere groep hun eigen ransomware. Dus een andere naam uitgeven betekent ook dat je hun software moet gebruiken. Ten tweede is je voordoen als een andere crimineel, en vervolgens hun reputatie beschadigen, nou niet echt een hele slimme tactiek. Tenzij je heel erg graag in de problemen wil komen.

Afhankelijk van het bedrag kan het best de moeite waard zijn. Even als extreem voorbeeld, stel ze hebben gevoelige persoonsgegevens van 100.000 leden, en ze vragen 1000 euro losgeld, dan ookal is er maar een 10% kans dat ze zich aan hun woord houdem, lijkt me dat alsnog een goede deal.

Zoals met alle deals valt of staat het een beetje met de prijs die gevraagd wordt. Ik ga er van uit dat de knvb hier echt wel over nagedacht heeft. Ik zou graag 1 euro betalen als dat betekent dat mijn gegevens waarschijnlijk niet uitlekken.

De bond zegt dat het beschermen van persoonsgegevens van leden zwaarder weegt dan het principe om zich niet te laten afpersen.

Alleen je hebt geen enkele garantie dat de persoonsgegevens niet al uitgelekt zijn.

Garantie niet, echter het doel van de randsom is niet om de gegevens te lekken maar om geld te verdienen. Zullen geen domme lui zijn en mogelijk zelfs principieel in hun handelen (al dan niet op een vreemde manier).

Het model van deze bedrijven is erop gebaseerd dat losgeld veel winstgevender is dan de persoonsgegevens verkopen.
Één keer lekken en je reputatie is maar de maan en daarmee neemt je kans om losgeld te innen exponentieel af.

Dat lees ik wel vaker, maar dat is geen garantie. Het komt voor dat de data alsnog gelekt wordt of dat ze na het betalen meer geld gaan vragen.

https://www.zdnet.com/art...s-leaked-its-data-anyway/

1% of organizations that had data encrypted paid the ransom but didn’t get data back.

Bron: https://www.sophos.com/en-us/content/state-of-ransomware

However, the tactic has now reached a tipping point, with groups such as Sodinokibi, Maze, Netwalker, Mespinoza and Conti starting to publish data even after payment, and/or demand a second ransom be paid to prevent publication, Coveware claimed.

Bron: https://www.infosecurity-...-groups-post-stolen-data/

Alarmingly, nearly a third (29%) who paid a ransom demand still had data leaked

Bron: https://www.hiscoxgroup.c...ss-releases/2022/08-11-22

Yet for 17% of those, paying the ransom did not guarantee the return of stolen data.
Whether they paid or not, only 29% of victims were able to restore all their encrypted or blocked files following an attack. Half (50%) lost at least some files, 32% lost a significant amount, and 18% lost a small number of files. Meanwhile, 13% who did experience such an incident lost almost all their data.

Bron: https://www.kaspersky.com...-their-full-data-returned

[Reactie gewijzigd door devices op 12 september 2023 12:27]

Mja blijven wel criminelen, die zou ik niet zomaar op hun woord geloven. Kan best dat als ze over een paar jaar er geen zin meer in hebben, security bij menig bedrijf verbeterd is, ze er mee kappen en alsnog alles verkopen.

Ik denk eerder dat je dit moet lezen als “We worden regelmatig afgeperst door de FIFA en UEFA, dus dit valt reuze mee.”

De catch22 situatie.. het blijft een tricky ding.

Toch lijkt er maar bar weinig 'bewijs' te zijn dat data alsnog verhandeld wordt na betalen, de 'honor among thieves' lijkt dus nog steeds hoog in het vaandel te staan, andere kant voed je het systeem wat juist deze business in leven houd.

Toch heb ik het gevoel dat zulke 'jongens' betrouwbaarder zijn dan menig 'big corpo' die data opslaat, die al meer dan eens een 'oepsie' van data hebben gehad.

Allereerst netjes dat de KNVB het aan de grote klok hangt.

Een bende dieven steelt iets en dan moeten de arme drommels er maar op vertrouwen dat hun gegevens niet elders lekken.

Het zou netjes zijn, indien van toepassing, als de getroffenen gratis een nieuw id-bewijs kunnen aanvragen, dat in elk geval de legekosten door de KNVB worden betaald. Zodat ze in elk geval een ander id-serienummer hebben. Tot zover kan ik hierover niets vinden.

Met "sorry" komt een slachtoffer niet zo ver als er allerlei onheil over hem heen komt. Krijgt het slachtoffer een gratis advocaat om bijvoorbeeld deurwaarders buiten de deur te houden? Om een eventuele negatieve BKR-registratie te verwijderen?

"KNVB betaalde losgeld om persoonsgegevens te beschermen."
Sorry.. Wat??
Er zijn helemaal geen persoonsgegevens beschermd door te betalen!
De gegevens zijn al gestolen en kunnen altijd weer opduiken.
Geloven in de betrouwbaarheid van dieven is zinloos.

In mijn ogen zou er een wettelijk verbod moeten komen op betalen van losgeld.
De enige manier waarop ransomware stopt is als de geldkraan opdroogt.

De betrouwbaarheid van deze dieven is juist erg goed. Zodra ze zich niet aan hun woord houden gaat niemand nog betalen. Ja het is duidelijk chantage maar alle data dieven/ransomware uitbaters hebben alleen maar geld zolang ze zich ook aan hun woord houden.
Voor de bedrijven zelf is zeker bij ransomeware het vaak goedkoper om te betalen en er vanaf te zijn dan weken of wel maanden werk hebben aan alles terug te zetten, backups te checken (die potentieel al geinfecteerd waren) met de daarbij bijkomende dataverlies en vertragingen.

Zolang de groep actief is zal dit misschien het geval zijn, maar op het moment dat zo'n groep uit elkaar valt kan die data nog steeds heel makkelijk verkocht worden.
Criminelen zijn gewoon niet betrouwbaar, en om hier de suggestie te wekken dat dat wel het geval is vind ik een kwalijke zaak.

Dat het goedkoper is om te betalen is precies de reden waarom het in mijn ogen verboden zou moeten worden.

Als het gaat om data terug krijgen, dan zeg ik, had je maar betere backups moeten draaien.
En als het gaat om het "beschermen" van klant gegevens is het in mijn ogen sowieso nutteloos.
Op het moment dat de gegevens al gestolen zijn zijn ze nooit meer veilig of je nou betaalt of niet.

Belangrijk is om te begrijpen dat criminelen hier op twee manieren geld aan kunnen verdienen.

Ten eerste door al je data te encrypten en geld te eisen voor de encryptiesleutel. Als je een goede backup hebt die gecontroleerd is op ransomware, zou je zo'n aanval kunnen afweren doordat je je data alsnog terug kan zetten. Dit kan bijvoorbeeld met Amazon S3 Object Lock storage, of een lokale Linux-server met een XFS-volume met een immutability periode voor backupbestanden, waarin ze niet verwijderd kunnen worden. Zoiets heeft relatief weinig potentiële invalshoeken voor hackers als je deze goed configureert.

De tweede methode om geld te verdienen, zoals genoemd in dit artikel, is door de data ook te stelen en dan te dreigen deze te publiceren. Dit betekent dat je je data niet alleen tegen ransomware(schrijven) moet beveiligen, maar ook tegen leestoegang. Je omgeving en back-ups moet dus nog veel veiliger zijn, zodat hackers op géén manier toegang kunnen krijgen.

Zoals in meerdere reacties al genoemd is heeft LockBit een "goede" reputatie voor zijn betalende klanten. Het risico voor een klant is dat als de data op straat komt te liggen, zij nog veel grotere imagoschade oplopen dan wanneer ze betalen. Denk hierbij aan bijvoorbeeld identificatiebewijzen en bankgegevens van klanten, in het ergste geval.

Niet betalen wanneer al je backups ook versleuteld zijn, betekent voor de meeste bedrijven verlies van bijna alle data en daarmee faillisement. Het lijkt heel simpel om te roepen "nooit betalen!", maar zonder maatregelen als wetgeving die dat verbiedt zal LockBit gewoon door blijven gaan, omdat ze weten dat er betaald kan worden. Het blijft een lastig dilemma; bedrijven kunnen het beste gewoon meer investeren in hun cybersecurity.

Voor de mensen met een Videoland-abonnement, Daniël Verlaan heeft LockBit zelf geïnterviewd. Erg interessant om te begrijpen hoe zo'n organisatie functioneert en denkt, het is al lang veel meer dan alleen maar een paar "script kiddies".

[Reactie gewijzigd door Bouwer21000 op 12 september 2023 14:07]

Gewoon een groot probleem in de wereld dit.
Ik hoop dat men, het bedrag, wel uit eigen kas heeft betaald en niet de abbo`s omhoog gooien erdoor of subsidies gebruiken, om maar niet in de eigen kas te komen, want dan benadeel je anderen met jouw probleem (ongeacht hoe dit kan en komt).

Beetje broekzak / vestzak verhaal natuurlijk. Als vereniging zullen ze geen winstoogmerk hebben, dus het is niet alsof er aandeelhouders nu moeten bloeden. Linksom of rechtsom is het geld wat nu niet meer ten goede van de leden komt.

Heeft iemand al ervaring met een anti-ransomware software?
Zoals RICOH RansomCare powered by BullWall ?
https://www.ricoh-europe....omware-attack-prevention/

Ze roepen het al op hun eigen website

100% security doesn’t exist

Het is een extra maatregel bovenop alles wat je al kan doen. Ransomware veranderd ook en encryptie wordt niet altijd meer gedaan. Kopiëren en geld vragen voor niet verspreiden komt meer en meer voor (en als bedrijven daar al voor betalen, waarom zou je dan nog moeite steken in encrypten)

backups, backups, backups.

Tegen ransomware helpen alleen goede backups, online en offline. Voor het voorkomen van datadiefstal zul je naar je interne processen moeten gaan kijken, wie kan waar bij. Maar ook naar auditing software die je verteld als iemand ineens meer files begint te benaderen dan gebruikelijk. Dan nog goede monitoring op je firewall en je komt een heel eind, maar 100% gaat je nooit lukken helaas.