Archief op 2021-10-11

Kamer wil actie tegen gijzelsoftware: ‘Overheid loopt als ziek paard achter feiten aan’

Kamerleden van links tot rechts pleiten voor nieuwe maatregelen in de strijd tegen gijzelsoftware en andere cybercrime. Zo wordt gedacht aan een nationale coördinator cyberveiligheid, nieuwe wetgeving en ‘een tas geld’.

Kamerleden erkennen de grote risico’s die recent in onderzoeksartikelen van deze site werden geschetst. Zo bleek dat inmiddels elke dag wel een Nederlands bedrijf of instelling wordt platgelegd door gijzelsoftware. Dat is software waarmee criminelen computersystemen versleutelen. Pas na de betaling van losgeld kan een slachtoffer weer in zijn eigen systeem. Experts waarschuwden op deze site bovendien dat zo’n aanval, bij het uitblijven van kabinetsmaatregelen, een keer gaat uitmonden in een nationale ramp, bijvoorbeeld als ook drinkwaterbedrijven, energieleveranciers of ziekenhuizen geraakt worden.

Lees hier verder. © AD

Cyberaanval legt VDL Nedcar en andere locaties VDL plat

Industriebedrijf VDL is slachtoffer van een cyberaanval. De productie bij VDL Nedcar in Born ligt stil door de cyberaanval. Op sommige andere locaties in binnen- en buitenland kan niet of maar deels geproduceerd worden, zegt het bedrijf. 

“Onze eigen IT-experts zitten er bovenop en werken samen een cybersecuritybedrijf dat ons hiermee helpt. Het is nog te vroeg om te zeggen hoe groot de impact is en wat de gevolgen zijn”, zegt een woordvoerder tegen RTL Z. 

Of het gaat om een ransomware-aanval kan VDL niet zeggen. Ook is nog onduidelijk waar de aanval vandaan komt. 

105 bedrijven

De VDL Groep bestaat uit 105 bedrijven. Een van de getroffen locaties is de autofabriek VDL Nedcar waar de BMW X1 wordt geproduceerd, net als verschillende modellen van Mini. 

Dat er meerdere locaties getroffen zijn, komt doordat veel systemen van de verschillende locaties met elkaar verbonden zijn, zegt de woordvoerder. Maar niet iedere locatie lijkt even hard getroffen. “De een ligt stuk, bij de andere kunnen nog werkzaamheden plaatsvinden.”

15.000 medewerkers

Verdeeld over negentien landen werken ruim 15.000 medewerkers voor VDL. Het bedrijf is actief op het gebied van ontwikkeling, productie en verkoop van toeleveringen, bussen en eindproducten. VDL was vorig jaar goed voor een omzet van 4,7 miljard euro.

Ransomware

Vanuit VDL is er nog geen bevestiging dat het gaat om een ransomware-aanval. Maar alle aanwijzingen zijn er dat het gaat om een vorm van ransomware, zegt Dave Maasland van cyberbeveiliger ESET Nederland.

“Alle systemen liggen plat op vrijwel alle locaties. Dus het heeft er alle schijn van dat het weer een slachtoffer is van gijzelsoftware.”

Hij noemt het een nachtmerrie voor VDL als productiebedrijf, want bedrijven die bezig zijn met hun cyberveiligheid proberen rekening te houden met verschillende doemscenario’s.

“Als ik de ergste moet bedenken, dan is het wel een digitale hartstilstand waardoor de productie niet meer kan draaien”, zegt Maasland.

‘Losgeldverbod voor cyberverzekering is zinloos’

De overheid moet het vergoeden van losgeld bij ransomware niet gaan verbieden. Volgens jurist Nynke Brouwer is dat geen oplossing. Ze promoveert hierover op 7 oktober aan de Radboud Universiteit.

Nadat een bedrijf wordt platgelegd door ransomware eisen cybercriminelen vaak losgeld voordat de data van het bedrijf weer vrijgegeven worden. Bedrijven kiezen er nu vaak voor om dat losgeld te betalen, zodat zij hun werk weer kunnen oppakken.

De meeste cyberverzekeraars vergoeden het losgeld dat hun verzekerde heeft betaald. Volgens critici moedigen verzekeraars hiermee deze vorm van criminaliteit echter aan. Mede daarom zou het ministerie van Justitie en Veiligheid overwegen het vergoeden van losgeld door cyberverzekeringen te verbieden.

Maar dat is een druppel op een gloeiende plaat, vindt Brouwer. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen. Een verbod zal de betalingen alleen maar de illegaliteit in drukken. Bedrijven vinden dan wel weer een andere manier om te betalen.

Een verzekering is bovendien een overeenkomst. Voor overeenkomsten geldt contractvrijheid. Een verbod op het bieden van verzekeringsdekking vormt een vergaand ingrijpen daarop.

Cyberverzekeringen zijn de laatste jaren sterk in opkomst. Zij bieden een ruime dekking bij cyberincidenten, zoals herstelkosten na een aanval, boetes en aansprakelijkheid bij privacy-overtredingen en netwerkincidenten, schade door bedrijfsstilstand en kosten van verweer in een juridische procedure.

Daarnaast zijn er zogenaamde incident response-diensten, redelijk uniek voor verzekeraars. Als een bedrijf bijvoorbeeld getroffen wordt door ransomware, stuurt de verzekeraar een team van experts op het gebied van IT, juridische diensten en communicatie op ze af.

De overheid moet cyberverzekeraars dan ook niet zien als hinder, maar als handig hulpmiddel voor betere cyberbeveiliging, betoogt Brouwer. In de praktijk kunnen verzekeringen namelijk helpen het beveiligingsniveau van bedrijven te verbeteren.

© Emerce

Scholen bewaren te veel en te lang gegevens van studenten en docenten

Onderwijsinstellingen bewaren te veel en te lang bepaalde informatie over studenten en docenten. Dat blijkt uit twee datalekken bij ROC Mondriaan in regio Den Haag en de Hogeschool van Arnhem en Nijmegen (HAN), maar het gaat vaker fout.

Volgens de Europese privacywet moeten gegevens worden verwijderd als ze niet meer nodig zijn, zegt ICT-jurist en hoogleraar Frederik Zuiderveen Borgesius. Maar het gaat bij onderwijsinstellingen en organisaties wel vaker mis. “Hier wordt soms slordig mee omgegaan.” Hoe groot de problemen precies zijn, is niet bekend.

De HAN en het ROC werden de afgelopen tijd het slachtoffer van hacks waarbij losgeld werd geëist. In beide gevallen weigerden de scholen te betalen, waarna gegevens werden gelekt.

Deze gegevens waren erg privacygevoelig. In de dataset van het ROC trof NU.nl onder andere sollicitatielijsten, overlijdenskaarten van studenten, klachtenafhandelingen en andere gevoelige gegevens aan. Bij de HAN werden zelfs formulieren met de politieke voorkeur van een honderdtal studenten bewaard. Ook lekten lijsten waarop de functiebeperking van tweeduizend studenten werd vastgelegd.

Iets wat niet altijd mag, zegt Zuiderveen Borgesius. “Gegevens van studenten en docenten mogen alleen bewaard worden, als daar een geldige reden voor is. Ze mogen niet zomaar rondzwerven op een server.” Bij lijsten met de politieke voorkeur van studenten, of oude overlijdenskaarten van oud-studenten, is het dan ook maar de vraag of de gegevens bewaard hadden mogen blijven.

Gegevens op andere manier bewaren

De HAN en het ROC zeggen zich nu na de datalekken ook af te vragen of sommige van de gelekte gegevens bewaard hadden mogen blijven. Woordvoerders van beide scholen laten weten onderzoek te doen naar deze kwestie.

“De politieke voorkeur van studenten werd in 2011 gevraagd via een enquête voor een schoolkrant, wat toen iets heel logisch was”, vertelt een woordvoerder van de HAN. “Destijds is deze informatie bewaard gebleven, maar door het lek ontstaat nu de vraag of dit wel had gemogen. Die vraag gaan we de komende tijd beantwoorden.”

Een woordvoerder van het ROC vertelt dat hetzelfde onderzoek ook wordt gedaan bij de Haagse scholengemeenschap. “We kijken nu heel kritisch naar de gegevens die zijn gelekt, en gaan onderzoeken in hoeverre we in de toekomst anders moeten omgaan met het bewaren van gegevens van studenten en docenten.”

Lees hier verder. © Nu.nl

Overheid wil dat meer bedrijven digitale veiligheid met ‘red teaming’ testen

Meer bedrijven en organisaties zouden red teaming moeten toepassen om de veiligheid van hun systemen en netwerken te testen, zo vindt het ministerie van Binnenlandse Zaken. Dat heeft daarom een whitepaper gepubliceerd waarin wordt uitgelegd hoe organisaties hiermee aan de slag kunnen gaan (pdf).

Bij red teaming wordt door een red team een realistisch aanvalsscenario toegepast om beveiligingsmaatregelen, op het gebied van mensen, processen en techniek te testen. Zo kunnen zwakheden worden vastgesteld, kan het personeel worden getraind en wordt gemeten in welke mate de organisatie ‘in control’ is op het gebied van informatiebeveiliging.

Daarnaast creëert een red team oefening awareness. “Het opent de ogen voor de huidige feitelijke staat van veiligheid van de organisatie en geeft aan waar nog werk verzet moet worden”, zo laat het whitepaper weten.

Volgens het document is het belangrijk dat een red team oefening op de juiste wijze wordt opgezet. Het gaat dan om een goede voorbereiding, het kiezen van een leverancier, het maken van afspraken over de oefening, het uitvoeren van de oefening en het opvolgen van de resultaten. Naast een beschrijving van de verschillende aspecten bevat het whitepaper ook een checklist.

Lees hier verder. © Security.nl

© MeT-Groep