Beheer

Security
goudkluis

Lessen van: Maastricht University en Norsk Hydro

Ransomware voorkomen is beter dan betalen, maar beide zijn kostbaar.

© DNB
9 april 2020

Ransomware voorkomen is beter dan betalen, maar beide zijn kostbaar.

Wat hebben een Nederlandse universiteit en een Noorse aluminiumproducent met elkaar gemeen? Beide zijn geraakt door ransomware. Hard geraakt. Maar de twee organisaties hebben in hun rol van ransomwareslachtoffer ook opvallende verschillen. Ze zijn tegenpolen in hoe zij hun IT-gijzeling hebben doorstaan. Van beide benaderingen valt veel te leren.

Het was een nacht van maandag op dinsdag, vlak voor kerst 2019, toen de gijzeling gebeurde bij de Maastricht University. De eerste berichten spraken van een cyberaanval die het e-mailverkeer en de Windowssystemen trof van de universiteit in het zuiden des lands. Een woordvoerder van de onderwijsinstelling verklaarde toen al gelijk dat het ging om ransomware, en dat daardoor medewerkers en studenten geraakt werden. Zij waren afgesneden van e-mail, enkele websites en wetenschappelijke data van de universiteit zelf.

Het was een maandagnacht in maart 2019 toen de gijzeling gebeurde bij aluminiumproducent Norsk Hydro. De eerste berichten spraken van een cyberaanval die de productie verstoorde van het Noorse bedrijf met kantoren en fabrieken wereldwijd. Diezelfde dinsdag dat deze cyberaanval wereldkundig werd, is bevestigd dat het om ransomware ging. Na infectie van het centrale IT-systeem is de verstoring verspreid naar locaties in andere landen. Enkele fabrieken zijn stilgelegd en in bepaalde gevallen zijn – normaliter geautomatiseerde – productieprocessen handmatig opgepakt.

Voor, tijdens en na

In beide geruchtmakende gevallen van ransomware-infecties is de impact fors gebleken. Ondanks de flinke verschillen tussen deze twee soorten organisaties, kunnen vele anderen hiervan leren. Of zij nu onderwijsinstellingen, productiebedrijven of dienstverleners zijn, of grote multinationals, nationale instituten of bescheiden mkb’ers. Het gaat om de optelsom van technische tegenmaatregelen, zorgvuldige voorzorg, snelle respons, flexibiliteit in fixen én doordraaien, plus nazorg.

Eerst even het opvallendste verschil tussen de Maastricht University en Norsk Hydro. Verschil qua ransomwareslachtofferschap dus, niet qua organisatie zelf. De Limburgse universiteit heeft uiteindelijk besloten om de digitale afpersers te betalen. De gegijzelde gegevens waren simpelweg te kostbaar om verloren te laten gaan. Want ook de back-ups waren versleuteld door de ransomware, en reproductie van de data was niet bepaald doenbaar. Dit heeft Maastricht University zo’n €197.000 gekost.

De Noorse aluminiumproducent heeft besloten om de gijzelnemers níét te betalen. Sommige stilgelegde fabrieken zijn enige tijd offline gebleven, andere zijn met kunst- en vliegwerk deels operationeel gebracht. Daarbij is op verminderde capaciteit geproduceerd, en zijn sommige productielijnen door onderbreking van bijvoorbeeld het smeltproces beschadigd. Toch is het principiële besluit om niet te betalen consequent aangehouden, wat Norsk Hydro vele tientallen miljoenen euro’s heeft gekost.

Betalen soms onvermijdelijk

De les die hieruit valt te leren, is niet dat de een of juist de ander een verkeerd besluit heeft genomen. Soms is betalen onvermijdelijk, heeft de Vereniging van Nederlandse Gemeenten (VNG) laten weten naar aanleiding van twee andere Nederlandse gijzelingsgevallen. Die volgden begin dit jaar, vrij kort op de Maastrichtse gijzeling, die dus is afgekocht.

“Betalen kan een optie zijn wanneer een aanvaller al heel lang in het netwerk zit en beheerdersrechten heeft verworven. En wanneer er geen goede back-ups meer beschikbaar zijn”, legt een VNG-woordvoerder uit aan AG Connect. Immers, als een getroffen organisatie niet betaalt, moeten alle gegijzelde gegevens opnieuw worden opgebouwd. “Dat kan soms wel een jaar kosten. Betalen is dan een stuk minder duur. Het wordt een afweging. Wereldwijd zie je dat er in veel gevallen dan wel betaald wordt.”

Schat data op z’n waarde

De les is dus dat er een goede data-inschatting gemaakt moet worden. Welke data is hoeveel waard, mede op basis van hoelang het duurt – en dus hoe kostbaar het is – om die data opnieuw in huis te krijgen. Lang niet iedereen heeft een supergeheim Coca-Colarecept, maar de bedrijfsvoering is van veel meer data afhankelijk. Daarbij weegt ook mee wie de klant is van een organisatie, en wat voor verplichting er is naar die afnemer toe.

Formeel is het advies, vanuit beveiligingsdiensten en wetshandhavers maar ook IT-securityexperts, om niet te betalen. Voor het volgen van dat advies is er wel wat vereist. Dat is dan een volgende les: wees voorbereid, op een scenario waarbij essentiële IT-systemen en data daarin niet meer toegankelijk zijn. Simpel gedacht zou een organisatie een volledig dubbel uitgevoerde omgeving moeten hebben, die dan wel op een of andere manier goed gescheiden is van de dagelijks gebruikte productieomgeving.

Bereid terugvaloptie voor

Zo’n opstelling is dus eigenlijk helemaal niet zo simpel. Hoe dan ook is het zo dat een dubbel uitgevoerde omgeving flink duurder is. Maar het strikt gescheiden houden is complex, en dus ook duur. Beter is het om op deze twee paarden te wedden: het hanteren van de 3-2-1-regel voor back-ups, en het hebben van een terugvaloptie. Laatstgenoemde kan mogelijk primitief zijn, als het maar werkt en blijft werken tijdens digitale rampen.

Norsk Hydro was in staat om deels door te draaien met zijn productie omdat het nog de mogelijkheid van handwerk had. Natuurlijk niet volledig handwerk qua metaalbewerking, maar wel handmatige bediening van de fabrieksapparatuur daarvoor. Én niet te vergeten handmatige berekening van benodigde materiaalsamenstellingen, mengverhoudingen, temperaturen, en dergelijke. De aluminiumproducent had nog wat oudgedienden in dienst van vóór het computertijdperk, zeg maar.

Maastricht University heeft qua medewerkers vast ook mensen met historisch besef en dito onderwijservaring in dienst. Maar dat geeft geen garantie dat hun kennis en kunde ook IT-loos ingezet kan worden. Zeker niet als de dienstverlening behoorlijk digitaal is en ‘de klant’ dat ook verwacht. Abrupt opschalen qua locaties kan dan vereist zijn, maar daarvoor moeten mensen wel eerst bereikt worden. Een alternatief communicatiekanaal, mét daarbij apart opgeslagen contactgegevens is vereist.

3-2-1-regel, plus 1?

Aparte opslag is een andere les die valt te leren, vooral van Maastricht University. Gegevens zijn kostbaar en back-up is belangrijk, dat weet iedereen wel. Maar de 3-2-1-regel voor back-ups blijkt toch niet alom bekend, of alom nageleefd te worden. De regel is simpel: zorg voor 3 kopieën van je data, bewaar die op 2 verschillende opslagmediums, en zorg voor 1 offsite back-up. De uitvoering van dit 3-2-1 is natuurlijk niet zo simpel.

Bovendien is deze IT-wijsheid geformuleerd om te beschermen tegen meer traditionele datarampen. Denk aan bitcorruptie, mediumslijtage, en bijvoorbeeld brand op de hoofdlocatie. 3-2-1 blijkt minder goed te beschermen tegen ransomware, die sluw doordringt voordat het zijn slag gaat. Misschien is er nog een toevoeging nodig: 3-2-1 plus 1 offline back-up? Of 3-2-1 plus een gedeelde of gedistribueerde back-up?

In het geval van wetenschappelijke informatie, en onderwijsdata zonder persoonsgegevens, is een opstelling denkbaar waarbij instellingen elkaar gebruiken als extra back-up. Openheid en samenwerking, zeg maar. Makkelijker gezegd dan gedaan, maar misschien het overwegen waard. Zeker als het om de resultaten en fundamenten gaat van diepgaand wetenschappelijk onderzoek. De daarmee vergaarde tera- of zelfs petabytes zijn niet zomaar opnieuw te verkrijgen, niet zonder jarenlange inspanning.

Bewaken en blijven bewaken

Een andere herculische inspanning is echter wel nodig, eigenlijk verplicht. De logische les die voortkomt uit besef van de waarde van data, is dat die rijkdom wel goede bescherming behoeft. Niet slechts goed bewaard, maar goed bewaakt. En dat betekent op constante basis kritisch bekijken: wie heeft toegang tot wat en waarom? Waarbij de 'wie' niet alleen personen of gebruikersaccounts betreft maar ook applicaties en systemen.

Niet voor niets zijn logging en monitoring beveiligingszaken waar securityexperts als Fox-IT op hameren. Dit heus niet alleen voor de eigen business van leveranciers en dienstverleners, want er is securitywerk genoeg. Te veel zelfs. Dit werk voorkomen is beter dan ervoor betalen, net zoals bij ransomware dus.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (aprilnummer 2020). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.