šŸŒµOldMartijntje

avans 2-2 keuzenmodule module 2 opening

8 min read

ID: I202603021001
Status: lecture-notes
Tags: Avans 2-2 Keuzenmodule, Cybersecurity

avans 2-2 keuzenmodule module 2 opening

Opdracht

Deze opdracht is voor de workshop 1 les van donderdag.

Op basis van de gastpresentatie beantwoord je als groep de volgende vragen:

  1. Welke afdelingen of functies binnen een organisatie (behalve IT) spelen volgens jou een cruciale rol in de voorbereiding of bestrijding van een cyberaanval? En geef aan waarom! En wie is hier ā€œin the leadā€?
  2. Hoe zou een organisatie zich voor moeten bereiden op een cyberaanval? Benoem zowel technische als organisatorische en strategische aspecten?
    Waar begin je en hoe bouw je dit op? Wat is de rol van het management hierbij? En wanneer is goed goed genoeg?
  3. Wat had het bedrijf van de gastspreker in jullie ogen nog meer kunnen doen om dit te voorkomen en/of de schade te beperken?

Maak een powerpoint presentatie waarin je de antwoorden op bovenstaande vragen plaatst.
Let op voldoende diepgang; zorg dat je het antwoord onderbouwd, bronnen verzameld en waar mogelijk met voorbeelden komt.

Uitwerking

3 - Er is niet veel te verbeteren want ze deden het al heel goed. Maar de volgende 2 had beter gekunt:

  • Backups testen, want ze hadden snapshots maar ze moesten uitzoeken hoe ze het konden deployen.
  • Het crisisplan afmaken had veel voorkomen.

Gastpresentatie

  • Spreker: Marcel de Boer

Filmpje: bedrijven in 17 landen 200 nederlandse ondernemers hoppenbrouwers techniek

Dit gaat over de hack op Hoppenbrouwers.

Het neemt toe dat bedrijven ervaringen delen. en daar is veel behoefte aan. Hij heeft al meer dan 100 lezingen gehouden

Hoppenbrouwers heeft 20 vestingen, 1700 medewerkers. 320 miljoen euro omzet toen het gebeurde.

Ze houden zich bezig met technische instlalaties in schoolgebouwen distibutie centra, thuis, industrie etc etc.

Het incident

2017 hadden ze een risico sessie, waar ze IT zijn gaan zien als het belangrijkste risico. de techniek die je bij klanten installeerd, hoe hou je die veilig? Daar hebben ze maatregelen getroffen, technisch en organisatorisch

  • ISO27001
  • Cyber verzekering

Een week of 2 er voor was de mandenmakers groep getroffen door cyber attack

Ze hadden gezegd dat we in 2 dagen terug in het bedrijf zouden zijn (wat nog nooit was meegemaakt), dit zorgde voor een goede mindset

vr 2 juli 2021

  • Om 18:30 1e vermoedens
  • ICT trok snel de conclusie dat het een ernstige situatie was
  • Systemen en verbindingen uitgeschakeld
  • Chrisisdienst Chubb Crawford ingeschakeld
  • In het nieuws: Kaseya, wereldwijde besmetting
  • Om 22:30 crisisteam aanwezig op kantoor Udenhout
  • Team opgestart en beveiligingsbedrijf en collegaā€™s geinformeerd en geactiveerd
  • Om 23.12 uur eerste communicatie naar andere collegaā€™s
  • splitsing gemaakt tussen ICT-activiteiten en organisatorische zaken
  • om 3.00 plan de campagne

Kaseya was gehacked en het was een supply chain attack. Kaseya had lekken die ontdekt waren door cyber criminelen. Dit zorgde voor een wereldwijd probleem. Hierdoor wisten Hoppenbrouwers dat ze nog niet heel lang in hun netwerk actief waren.

Er waren maar 4 events te vinden in de logs waarbij ze binnen kwamen. 14:55 firewall logs om 16:31 was de randsomeware uitgerold.

Ze waren bezig met een noodplan maar dat was nog niet af en stond op een computer waar ze niet meer bij konden

Zaterdag ochtend om 3 uur hadden ze een plan uitgepland op een whiteboard. Ze moesten alle laptops gana verzamelen om de 2000 laptops te kunnen ā€œcleanenā€. Verder vroegen ze iedereen of ze toevallig mee konden helpen.

Er stonden die tijd al dingen in de cloud, die waren allemaal platgelegd.

Ze zijn gaan proberen te slapen thuis, maar als je maalt dan slaap je niet goed. Dus iedereen was ook weer vroeg wakker

Op het kantoor werkde alleen de koffie apparaat nog.

Za 3 juli

  • Om 7.30 start het ICT team
  • Om 8.30 zijn veel collegas gestart
  • Om 11 uur ging het ICT team van IA naar vestigingen
  • Om 14:00 waren er 200 collegas aan het werk om alles op te lossen
  • om 17:00 waren bijna alle vestingen gecontroleerd en laptops ingeleverd. (dit gebeurde handmatig)
  • om 21:00 waren 90% van laptops ingeleverd, 80% gecontroleerd

Op iedereens laptop werd n papier geplakt van de eigenaars naam en telefoon. en allemaal op een rij gelegd.

ieder uur was een staasnde vergadering om stand van zaken te bespreken. Er was toevallig iemand jarig die zaterdag, grote organisatie, maar toch kwam hij naar werk nadat het feest was afgeblazen, dus er werd taart gebracht.

In bijde datacenters hadden ze nimble storage van HP voor net 1 half jaar. Die stonden allemaal op slot. Als 1e gingen ze op zoek of de backups nog bestonden. Maar de backups waren moeilijk te gebruiken als alle 150 servers op slot staan. Ze gingen een snapshot terugplaatsen wat een soort van Image is van het hele systeem.

Backups

  • 1 keer per dag
  • wordt gemaakt server niveus
  • kopie van alle gewijzigde data
  • kost tijd om te maken
  • tijdrovend om terug te plaatsne

snapshots

  • kost 3m terug te plaatsen

Er was een prioriteiten lijst met welke servers eerst moesten, en welke minder belangrijk waren.

zondag ochtend kregen ze de eerste 2 servers terug in ene beveligde omgeving, en ieder uur was er een update ne kregen ze meer servers terug in de beveiligde omgeving.

zondag

  • om 8uur start ICT team
  • eerste servers actief
  • laptops worden ingelever den opgeschoond. Moeilijkke gevallen worden extra onderzocht

Mensen werden steeds beter met lopende band werk van het controleren van computers. Zetten het op een rijtje van laptops.

Ook waren er mensen die hun kinderen mee namen. Tieners wilde ook meehelpen met de laptops controleren. er waren ook kleine kinderen die gingen tekenen. en er was iemand in de organisatie die zich over een baby ontfermde.

houdt in de gaten dat er ook corona was tijdens dit moment.

zondag en maandag hadden ze webinars voor medewerkers. met zoā€™n 1500 kijkers. Het doel was medewerkers te informeren over wat er gaande was, maar ook om uitt el leggen hoe maandag ochtend ging verlopen.

Iedereen moest een nieuw wachtwoord krijgen, alle 1700 mensen hun wachtwoord te resetten, die ze dan maandag zelf moesten resetten.

elk projectteam is nu een crisisteam

  • nadenken over vragen van klanten en neem eventuele zorgen weg
  • op geen enkele projectlocatie kun je spullen gebruiken die er nog staan
  • help mee met vestigingen en andere teams
  • denk na wat hebben wij na vrijdag 12.00 nog gedaan
  • kunnen mijn monteurs morgen meteen aan het werk of eerst naar de zaak

maandag

  • om 13uur waren alle vestigingen weer online
  • protocol 99 naar 100% wordt uitgerold
  • contactpersonen van IA engineer van vestiginsleider
  • meeste monteurs konden gewoon doorwerken
  • wachtwoorden nog niet allemaal geweizigd

Alleen laptops met groene sticker kregen bedraad access tot netwerk. wifi is voor weken uitgeschakeld gebleven om te zorgen dat geen besmette laptop weer verder kon besmetten.

financiele impact

  • eigen uren 150.000
  • northware 100.000
  • overige externe ondersteuning 35.000
  • bedrijfschade 90.000
  • overige 35.000
  • totaal 400.000

Bedrijfschade kwam door engineers die weggehaald werden bij projecten omdat ze intern nodig waren.

als het 3 weken stil had gelegen had het ipv 90.000 had het 7.5 miljoen kunnen wezen.

Communicatie naar klanten, pers te woord staan. informeren stakeholders, kranten zoals omroep brabant. Het communicatie afdeling had het ook druk.

Preventieve maatregelen:

  • ISO27001
  • wachtwoord beleid
  • update / patch management
  • bewustzijn medewerkers verhogen
  • Advanced threat protection
  • multifactor authentication (dat was toen bijzonder)
  • network segmentation
  • backup strategie

na het incident:

  • uitgebreide monitoring en response signaling
  • endpoint security geimplementeerd
  • rechten van systeem beheerders zijn beperkt
  • patch management strakker ingericht
  • documentatie van IT middelen verbeterd
  • crisisplan is verder uitverwerkt
  • security officer aangesteld
  • leveranciers worden beter gecontroleerd
  • regelmatige bewustwordingscampagnes voor medewerkers
  • we communiceren regelmatig over dreigingen

de rechten van systeembeheerders zijn aangepast dat je 2 systeembeheerders nodig hebt voordat je bepaalde dingen kan doen. en nog andere maatregelen.

open cultuur: mensen voelen zich vrij om fouten toe te geven, en het maakt de organisatie weerbaar.

Vorig jaar waren er 7 collegas gevallen voor een phising aanval. en daar hebben ze hun wachtwoord ingevuld. Dit werd meteen gedetecteerd en dichtgegooid. Maar die medewerker heeft ook op intranet verteld wat er fout is gegaan en waarom hij er voor is gevallen.

De mens kan de zwakste schakel zijn, maar de mens kan ook de sterkste schakel zijn.

hoppenbrouwers heeft er een boek over geschreven, het was eerst bedoeld voor hun eigen organisatie. ook is er later een podcast gemaakt. Het boek staat ook op brightspace: link.

Kaseyawilden ze sowieso al vervangen, maar ze waren dus te laat :D

Ze hadden contact gehad met de aanvallers, via het dark web. Ze wisten al dat de hackers aan het bluffen waren over data. 50.000 dollar was het bedrag wat ze aan alle 2000 bedrijven vroegen. Laat dit soort gesprekken altijd over aan professionals.

een kleine 10% van de laptops bleek geinfecteerd te zijn.

De politie was geinformeerd maar het werd overgedragen aan de FBI

Al het geld behalve het eigen risico is vergoed door de verzekering. Toen der tijd was het 20.000 euro per jaar. En er werd alleen gevraagd om jaaromzet en in welke branche ze in actief waren. ALs je nu een verzekering wil afsluiten moet je door heel veel meer hoops heen springen, en laten weten wat je maatregelen zijn.

Het is gedaan door een russisch-oekraiens hackers groep. Tijdens de oorlog zijn ze door rusland wel weer vrij gelaten :/

De single point of failure was het automatische update systeem.

Kaseya had 9/11 lekken gefixed, maar dat was dus niet optijd :D

References

dit is de presentatie op Brightspace.

Graph View

Backlinks