ID: S202603071604
Status: school
Tags: Avans 2-2 Keuzenmodule, Cybersecurity, hacks and alike
avans 2-2 m2 podcast preperation
Assignment
Bestudeer met je projectgroep de twee case studies. Kijk daarbij naar de aanleiding, de impact en de snetheid waarmee de betreffende organisatie zich weer kon herpakken.
Voor iedere organisatie: wat waren de te beschermen ākroonjuwelenā van de organisatie?
Wat maakte het verschil in hoe snel een organisatie weer up-and-running was?
Hoe heeft ā in jullie ogen ā een ISMS hier een bijdrage aan geleverd?
Als resultaat leveren jullie een podcast op van minimaal 5 en maximaal 10 minuten waarin jullie de casus kort bespreken en integraal antwoord geven op bovenstaande vragen. Er komen minimaal 3 groepsgenoten in de podcast aan het woord.
Deadline: woensdag 11 maart, 17.00 uur.
CASUS 1 Casus 1 is Hoppenbrouwers, hierover hebben we al eerder gastlezing gehad, het gaat in de opdracht over hun hack. Hun boek over de hack kan je ook lezen hier op brightspace.
CASUS 2 Casus 2 gaat over Maersk. Maersk is ook gehacked en daar kan je hier meer over lezen. Dit is ook de PDF die school wilt dat we lezen. Je kan het ook hier vinden in de wayback machine als de PDF niet meer bestaat.
Vragen
Kroonjuwelen
Hoppenbrouwers
- Operationele continuĆÆteit: ~1.500 medewerkers werkend over 17 vestigingen in Nederland
- Bedrijfscritische data: Facturen, bestellingen, contracten (4 uur aan data verloren tussen 12:00-16:00 op 2 juli)
- Technische infrastructuur: ~2.000 laptops/devices die moesten worden gecontroleerd
Maersk
- Havenoperaties: Volledig geautomatiseerde containerafhandeling (Tweede Maasvlakte)
- Logistieke continuĆÆteit: ~1/3 van de goederenoverslag in Rotterdam was afhankelijk van APM
- Internationale shipping: 3 van 9 bedrijfsonderdelen geraakt (APM Terminals, Maersk Line, Damco)
- Geen dataleak (in tegenstelling tot Hoppenbrouwers risico): focus op vernietiging van data
Verschil
| Aspect | Hoppenbrouwers | Maersk |
|---|---|---|
| Malware-type | Ransomware (geld-gericht) | Wiperware (vernietigings-gericht) |
| Herstelmogelijkheid | Back-ups beschikbaar | Alles herbouwen: 4.000 servers, 45.000 PCās, 2.500 applicaties |
| Strategie | Snel terug-up-en-running | Volledig IT-systeem van nul af aan |
| Downtime | 2 dagen | 9+ dagen, daarna maanden recovery |
| Personeel involved | ~200 mobilisatie | Massale IT-teams 24/7 |
- Maersk had geen backus en hoppenbrouwers wel. Maersk moest alles opnieuw bouwen.
- De tweede maasvlakte was compleet geautomatiseerd, nul mogelijkheden tot handmatig.
- Hackers zaten al jaren in het moederbedrijf en konden dus al veel rondneuzen
- De patches van microsoft waren niet geinstalleerd
- Wiperware is erger dan Ransomware.
Information Security Management System - ISMS
Hoppenbrouwers
- Wat de ISMS heeft gedaan:
- Geinvesteerd in nieuwe storgage units waarop backups vaak gemaakt werden.
- Multi factor authentication beperkde de schade van verspreiding van de supply chain attack.
- Ze communiceerde goed met medewerkers via webinars.
- Wat de ISMS NIET heeft gedaan:
- De vendor Kaseya was niet gescreend
- Geen formeel incident response plan
Maersk
- Wat de ISMS heeft gedaan:
- Er was geen ISMS, of een hele slechte.
- Wat de ISMS NIET heeft gedaan:
- Geen backups
- Geen recovery systems
- Geen security audits
- De backdoor niet gedetecteerd
- Geen defenseāinādepth
- Geen microsoft patches geinstalleerd
- Geen handmatige faalback voor de 2e maasvlakte
- geen handmatige administratie
Onderzoek
Een willekeurig overzicht van cyberaanvallen in Nederland
Op 2 september 2011 bleek dat er in juli van dat jaar een digitale inbraak had plaatsgevonden bij het bedrijf DigiNotar. Dit bedrijf verzorgde beveiligingscertificaten die een veilig en betrouwbaar internetverkeer met (onder andere) overheidsstellingen dienden te garanderen. Als gevolg van de digitale inbraak waren beveiligingscertificaten uitgegeven die door hackers waren vervalst, hetgeen betekende dat bezoekers van overheidssites niet de garantie hadden op de desbetreffende overheidssite terecht te komen. De kans was groot dat zij naar een malafide website werden doorgeleid.
In augustus 2012 werden verschillende gemeenten en instellingen getroffen door het virus Dorifel, dat op netwerkschijven actief naar Microsoft Officedocumenten zocht, deze onleesbaar maakte en besmette voor verdere verspreiding. Het virus verspreidde zich via systemen die eerder geĆÆnfecteerd waren geraakt met het ZeusvirĆ¼s, dat bekendstaat als een ābanking trojanā en is gemaakt om bank- en inloggegevens te stelen.
Op 5 april 2013 werd ING getroffen door een DDoS-aanval, waardoor het mobiel en internetbankieren bij deze bank en ook betalingen via iDeal bij andere banken enige tijd niet mogelijk was. In diezelfde maand raakte als gevolg van een DDoS-aanval de website van de Nederlandse Spoorwegen voor enige tijd onbereikbaar en was ook DigiD tijdelijk niet of moeilijk te gebruiken. In augustus 2013 werd de openbare vervoerssite ā9292.nlā door een DDoS-aanval geraakt. Rond diezelfde tijd maakte Yahoo bekend slachtoffer te zijn geworden van een cyberaanval, waarbij namen, e-mailadressen, telefoonnummers, geboortdata en oversleutelde beveiligingsvragen van drie miljard Yahoo-accounts waren gestolen.
In augustus 2015 was internetprovider Ziggo doelwit van een DDoS-aanval. Ziggo-gebruikers konden daardoor enkele dagen niet of moeilijk gebruikmaken van internet. In diezelfde maand kreeg ook de website Politie.nl een DDoS-aanval te verduren, waardoor het voor burgers niet mogelijk was om via internet aangiftte te doen.
In juni 2016 bleek dat Chinese hackers het computernetwerk waren binnengedrongen van het Nederlands-Duitse bedrijf Rheimmetall Defence. Het bedrijf, gevestigd in Ede, is gespecialiseerd in defensietechnologie en leverde onder andere materialen voor pantservoertuigen.
Bron: De PDF van de Maersk casus.
Voor een up-to-date lijst kan je naar www.datalekt.nl, dit is een database van cybercrime. Je kan deze data opvragen in RSS, Atom, JSON en Markdown. Je kan hier ook op een kaart kijken waar er lekken gebeurt zijn. Deze website houdt het bij sinds 2016.
Hoppenbrouwers
Type: Ransomeware Naam: Hacker groep: Russisch
Supply chain attack
2 juli 2021 gebeurt.
Maersk
Type: Wiperware Naam: NotPetya Hacker groep: Ukraine
Supply chain attack
Niet alleen APM terminals, maar ook andere bedrijven.
Vrachtschepen konden niet worden gelost, lagen dagen stil of moesten uitwijken naar andere havens. 250 - 300 miljoen euros in financiele schade.
Het NCSC werdt ingeschakeld.
27 juni 2017 gebeurt.
Na 9 dagen waren de terminals weer deels operationeel.
Maersk moest hun hele IT-infrastructuur herbouwen. 4000 servers, 45000 pcās en 2500 applicaties moesten opnieuw worden geinstalleerd.
Geen dataleak