En toen werd de cloudprovider prooi van ransomware

Zal je op je bedrijf alles op orde hebben wat IT-beveiliging betreft - ook personeel getraind - blijkt het datacentrum waar je heel je hebben en houwen hebt ondergebracht, slachtoffer te zijn geworden van een ransomware-aanval.

Thijs DoorenboschMeer van deze auteur

ransomware — © CC0 - Pixabay.com

CC0 - Pixabay.com

Het overkwam de klanten van CyrusOne, een van de grote datacentrumproviders in de Verenigde Staten, maar ook aanwezig in Europa en Azië. Het bedrijf beheert 45 datacentra en heeft meer dan 1000 klanten. Gelukkig zijn niet alle faciliteiten van het bedrijf besmet met een versie van de REvil (Sodinokibi) ransomware. Het bedrijf zoekt nu samen met de politie en opsporingsdiensten uit wat er is gebeurd.

Een van de klanten van CyrusOne - FIA Tech, een financieel dienstverlener - moest gisteren zijn klanten melden dat zijn clouddiensten de hele dag onbereikbaar waren vanwege een probleem bij de datacentrumprovider, signaleerde ZDNet. Hoewel het bericht niet vermeldde wie de datacentrumprovider is, vond de nieuwsdienst snel uit dat FIA Tech een van de slachtoffers is van het onheil bij CyrusOne.

Risico was bekend

CyrusOne onderkende al eerder het risico van ransomware voor het eigen bedrijf en klanten. De (potentiële) aandeelhouders van het beursgenoteerde bedrijf werden daarvoor zelfs gewaarschuwd via de papieren die het bedrijf moet aanleveren bij de Amerikaanse beurstoezichthouder SEC.

CyrusOne wil zelf geen commentaar geven op wat er is gebeurd. Een bron die ZDNet sprak, concludeerde dat het herstel van de servers en de gegevens van klanten een langdurige geschiedenis zal worden. CyrusOne is niet van plan te betalen aan de afpersers. Dit om te voorkomen dat het aantrekkelijk wordt voor criminelen de actie in de toekomst te herhalen.

Aantrekkelijk doelwit

"De datacenter- en hosting-sector is een aantrekkelijk doelwit voor ransomware-criminelen. Ze richten zich op netwerken waar zo veel mogelijk computers aan hangen", zegt Michiel Steltman, directeur van DINL, de brancheorganisatie voor digitale infrastructuurleveranciers. "De hostingproviders zijn zich erg bewust van dit risico. Alle serieuze hosters zijn lichtjaren verder met hun beveiliging dan het gemiddelde MKB-bedrijf", verzekert Steltman die voor het antwoord op vragen van AG Connect ruggespraak heeft gehouden met de branchvereniging voor hostingbedrijven DHPA.

Tegelijkertijd is een risico nooit 100 procent uit te sluiten, zoals blijkt uit het voorval bij CyrusOne. Het is dus interessant te volgen wat uiteindelijk de oorzaak is van de besmetting bij CyrusOne. Het beheernetwerk is bij de professionele Nederlandse datacentra strikt gescheiden van de domeinen waar klanten gebruik van maken, verzekert Steltman. Ook is er een uitgebreide training van het personeel en een auditing van de procedures. Zo mogen vanaf het beheernetwerk geen links naam het openbare internet worden aangeklikt.

Steltman: "Vergelijk de datacentersector met de bankensector en de luchtvaart. Er is heel veel aandacht voor beveiliging, maar de kans dat er iets mis gaat kan nooit nul zijn. Vaak heeft het toch te maken met menselijke fouten."