Deel je expertise met de SURF-community

NOZON 2022: een kijkje achter de schermen bij een tabletop-cybercrisisoefening van vijf instellingen

Cybersecurity
Latest update: 08 november 2023

In april hebben vijf onderwijsinstellingen de NOZON-cybercrisisoefening gehouden. NOZON is het kleine broertje van OZON. Het idee is dat elke deelnemende instelling zelf een korte table-topoefening op IT- of strategisch niveau met behulp van centraal aangeleverd materiaal. Voor deze editie hebben we de malwareaanval op het Mondriaan College van augustus 2021 nagespeeld. Wat waren onze bevindingen en welke aanbevelingen doen we? Je leest het in deze blog.

816
Leestijd 5 minuten

0 Praat mee

Setting

De oefening werd op vier verschillende dagen in april gehouden. De gastinstelling voerde de oefening uit en de overige vier instellingen namen de rollen van response cel en waarnemer op zich. In september wordt de oefening bij de vijfde onderwijsinstelling uitgevoerd maar dan op basis van eerder verworven kennis.

Het verloop van de cybercrisisoefening

De oefening start om 9 uur ’s ochtends: op dat moment ontdekken alle medewerkers en studenten dat ze geen toegang meer krijgen tot het netwerk en hun data. De ict-afdeling ontdekt als snel dat het gehele netwerk door criminelen gehackt is en sluit het netwerk af. Dat is ook het moment waarop het crisismanagementteam (CMT) en de externe responsepartner bij elkaar worden geroepen. In het CMT zitten onder andere het hoofd ICT, de FG, vertegenwoordigers van HR en CvB, een IT-specialist en een communicatieadviseur.

De criminelen geven aan dat zij losgeld eisen, anders zullen ze de buitgemaakte data publiceren op het internet. Tot overmaat van ramp staan er een paar belangrijke gebeurtenissen gepland die niet door kunnen gaan door de hack: op de dag van de hack aanval moet de opdracht voor de salarisuitbetaling worden verstuurd en zijn een aantal afsluitende examens gepland.

Een analyse wijst uit dat de hackers via een phishingmail zijn binnengekomen en dat ze met name data afkomstig van lokale schijven hebben versleuteld. Gelukkig zijn de SaaS-applicaties niet aangetast.

Bevindingen

Na de crisis hebben we uiteraard de oefening geëvalueerd. Wat waren de belangrijkste bevindingen?

  • Het CMT kwam bijeen op de onderwijslocatie. Dat is op zich een logische keuze maar die bracht wel problemen met zicht mee: door de hack functioneerden zaken als het netwerk, slagbomen en zelfs de koffieautomaten niet.
  • Er was een draaiboek, maar dat bleek niet voorbereid op een hack: daarover ontbrak informatie, zoals afspraken over het al dan niet betalen van losgeld.
  • De rollen van het CMT waren wel duidelijk maar de afstemming met de operationele medewerkers was onvoldoende. Sublocaties werden bijvoorbeeld niet geïnformeerd.
  • Communicatie met medewerkers, studenten en management was niet mogelijk.
  • Regelmatig werd de vraag gesteld waarom de instelling niet verzekerd was i.v.m. een ransomware-aanval (extra kosten respons team, losgeld, etc.).
  • Steeds werd de vraag gesteld waarom wij gehackt waren. Was onze technische weerbaarheid niet op orde? Hoe kunnen we dit nu en in de toekomst voorkomen?
  • De hackers hadden met name toegang tot onze schaduwadministraties op lokale schijven. Hoe was dit mogelijk?

Aanbevelingen

Op basis van de bevindingen die we tijdens de oefening deden, hebben we een aantal aanbevelingen opgesteld

1. Crisisteam locatie

Wijk uit naar een externe locatie, zodat alle voorzieningen die nodig zijn, goed werken.

2. Draaiboek en afspraken vooraf

Zorg voor:

  • Een goedgekeurd draaiboek, dat getest is door de het CMT
  • Voldoende mandaat voor het CMT
  • Ordemaatregelen (geen gsm)
  • 2 getrainde secretariële ondersteuners voor het CMT
  • Een uitspraak van het CvB over losgeld (nooit losgeld betalen bijvoorbeeld)
  • Een vastgestelde prioritering voor het herstel van voorzieningen (website, e-mail, onderwijs)

3. Rollen crisisteam

Voorzitter:

Roept het CMT bijeen via WhatsApp en schakelt meteen overschakelen naar Signal. Zorgt er ook voor dat overgestapt wordt over de crisis-mailomgeving. Deelt nieuwe gsm’s en laptops uit aan de CMT-leden (zorg dat deze regelmatig getest worden!)

CvB:

Informeert de raad van toezicht en neemt besluiten

HR:

Levert het actuele personeelsbestand aan (salarisbetaling)

Financiën:

Zorgt dat salarissen betaald worden (op basis van salaris vorige maand). Zorgt dat dringende betalingen aan leveranciers uitgevoerd worden. Maakt een financieel logboek voor de accountant

Facilitair:

Is verantwoordelijk voor facilitaire zaken zoals telefoon, slagbomen, beveiliging, sluiting van gebouwen, catering, enzovoort.

FG/ISO:

Is de contactpersoon voor AP, MBO Raad/VHS, politie, OCW, gemeente, etc.

Externe responspartner:

Deze is in de lead (Zet geen servers uit en overhandig logging)

Communicatie:

Informeert studenten en medewerkers en stelt persberichten op, samen met de responspartner.

 

Ict:

Voert opdrachten uit van de responsepartnet en pakt het herstel van voorzieningen op na groen licht van de responspartner (o.b.v. prioritering vanuit het CMT). Is aanspreekpunt voor SURFcert en geeft sturing aan de werkgroepen SaaS (applicatiebeheerder AFAS, Eduarte, etc.) en Servicepunt.

Werkgroep SAAS:

Is aanspreekpunt voor de externe applicatieleveranciers.

Werkgroep Servicepunt:

Is aanspreekpunt voor medewerkers, studenten en sublocaties

4. Communicatie

  • Zorg voor een back-up van communicatievoorzieningen. Ga daarvoor na welke communicatiesystemen er zijn en in welke mate zijn deze (on)afhankelijk van mogelijk gecompromitteerde infrastructuur.
  • Zorg ervoor dat de website altijd werkt (en dus onafhankelijk draait van je andere infrastructuur).
  • Zorg ervoor dat het CMT een aparte e-mailomgeving heeft, onafhankelijk van de omgeving van de instelling. Bijvoorbeeld: CMT van onderwijsinstelling 1 heeft een complete e-mailomgeving bij onderwijsinstelling 2 en omgekeerd.

5. Verzekering

Onderzoek wat hiervoor de valkuilen zijn. Denk bijvoorbeeld aan de tegenstrijdige belangen tussen de verzekering en de incident-responspartner.

6. Technische weerbaarheid

De volgende zaken moeten vooraf geregeld zijn:

Preventie

  • Pentest op eigen netwerk
  • Vulnerability scan
  • Segmentering (medewerkers, studenten, examen, legacy, BYOD, IOT, enz)
  • MFA voor medewerkers en studenten
  • Encryptie
  • Virusscanner
  • Technische weerbaarheid van Office 365

Detectie

  • SOC/SIEM

Offsite back up

In het kader van de crisis moeten in ieder geval de volgende bestanden aanwezig zijn:

  • Actueel personeelsbestand
  • Actueel studentenbestand
  • Actueel AD-bestand
  • Configuratie switches
  • Netwerk- en applicatie-architectuurtekeningen

7. Scholing en awareness

Zorg voor:

  • MFA-scholing (niet te snel op “ja” drukken en niet te vaak prompten)
  • Phisingmail-scholing (2 dagen van te voren een vooraankondiging sturen van de legale link)
  • Beleid en scholing ter voorkoming van ongewenste links
  • Continue aandacht voor educatie op gebied van cybersecurity (nieuwsberichten, e-learning, enz.)

En heel belangrijk: voorkom schaduwadministraties op lokale schijven en binnen MS Teams of Sharepoint.

Dit artikel heeft 0 reacties

Gerelateerde artikelen

  1. “Waarom wordt de campus ontruimd?!" - SURFcert oefent grootschalige cybercrisis

    Cybersecurity

  2. Kennisveiligheid en cybersecurity: verschillen en overlap in awareness

    Cybersecurity

  3. 28 januari Dag van de Privacy: dit kan jij doen om je privacy te beschermen

    Cybersecurity