Ludo (L.H.F.) Cuijpers
Ludo Cuijpers verbonden aan VISTA college, COG, ROC Nijmegen en HAS… Meer over Ludo (L.H.F.) Cuijpers
Setting
De oefening werd op vier verschillende dagen in april gehouden. De gastinstelling voerde de oefening uit en de overige vier instellingen namen de rollen van response cel en waarnemer op zich. In september wordt de oefening bij de vijfde onderwijsinstelling uitgevoerd maar dan op basis van eerder verworven kennis.
Het verloop van de cybercrisisoefening
De oefening start om 9 uur ’s ochtends: op dat moment ontdekken alle medewerkers en studenten dat ze geen toegang meer krijgen tot het netwerk en hun data. De ict-afdeling ontdekt als snel dat het gehele netwerk door criminelen gehackt is en sluit het netwerk af. Dat is ook het moment waarop het crisismanagementteam (CMT) en de externe responsepartner bij elkaar worden geroepen. In het CMT zitten onder andere het hoofd ICT, de FG, vertegenwoordigers van HR en CvB, een IT-specialist en een communicatieadviseur.
De criminelen geven aan dat zij losgeld eisen, anders zullen ze de buitgemaakte data publiceren op het internet. Tot overmaat van ramp staan er een paar belangrijke gebeurtenissen gepland die niet door kunnen gaan door de hack: op de dag van de hack aanval moet de opdracht voor de salarisuitbetaling worden verstuurd en zijn een aantal afsluitende examens gepland.
Een analyse wijst uit dat de hackers via een phishingmail zijn binnengekomen en dat ze met name data afkomstig van lokale schijven hebben versleuteld. Gelukkig zijn de SaaS-applicaties niet aangetast.
Bevindingen
Na de crisis hebben we uiteraard de oefening geëvalueerd. Wat waren de belangrijkste bevindingen?
- Het CMT kwam bijeen op de onderwijslocatie. Dat is op zich een logische keuze maar die bracht wel problemen met zicht mee: door de hack functioneerden zaken als het netwerk, slagbomen en zelfs de koffieautomaten niet.
- Er was een draaiboek, maar dat bleek niet voorbereid op een hack: daarover ontbrak informatie, zoals afspraken over het al dan niet betalen van losgeld.
- De rollen van het CMT waren wel duidelijk maar de afstemming met de operationele medewerkers was onvoldoende. Sublocaties werden bijvoorbeeld niet geïnformeerd.
- Communicatie met medewerkers, studenten en management was niet mogelijk.
- Regelmatig werd de vraag gesteld waarom de instelling niet verzekerd was i.v.m. een ransomware-aanval (extra kosten respons team, losgeld, etc.).
- Steeds werd de vraag gesteld waarom wij gehackt waren. Was onze technische weerbaarheid niet op orde? Hoe kunnen we dit nu en in de toekomst voorkomen?
- De hackers hadden met name toegang tot onze schaduwadministraties op lokale schijven. Hoe was dit mogelijk?
Aanbevelingen
Op basis van de bevindingen die we tijdens de oefening deden, hebben we een aantal aanbevelingen opgesteld
1. Crisisteam locatie
Wijk uit naar een externe locatie, zodat alle voorzieningen die nodig zijn, goed werken.
2. Draaiboek en afspraken vooraf
Zorg voor:
- Een goedgekeurd draaiboek, dat getest is door de het CMT
- Voldoende mandaat voor het CMT
- Ordemaatregelen (geen gsm)
- 2 getrainde secretariële ondersteuners voor het CMT
- Een uitspraak van het CvB over losgeld (nooit losgeld betalen bijvoorbeeld)
- Een vastgestelde prioritering voor het herstel van voorzieningen (website, e-mail, onderwijs)
3. Rollen crisisteam
|
Voorzitter: |
Roept het CMT bijeen via WhatsApp en schakelt meteen overschakelen naar Signal. Zorgt er ook voor dat overgestapt wordt over de crisis-mailomgeving. Deelt nieuwe gsm’s en laptops uit aan de CMT-leden (zorg dat deze regelmatig getest worden!) |
|
CvB: |
Informeert de raad van toezicht en neemt besluiten |
|
HR: |
Levert het actuele personeelsbestand aan (salarisbetaling) |
|
Financiën: |
Zorgt dat salarissen betaald worden (op basis van salaris vorige maand). Zorgt dat dringende betalingen aan leveranciers uitgevoerd worden. Maakt een financieel logboek voor de accountant |
|
Facilitair: |
Is verantwoordelijk voor facilitaire zaken zoals telefoon, slagbomen, beveiliging, sluiting van gebouwen, catering, enzovoort. |
|
FG/ISO: |
Is de contactpersoon voor AP, MBO Raad/VHS, politie, OCW, gemeente, etc. |
|
Externe responspartner: |
Deze is in de lead (Zet geen servers uit en overhandig logging) |
|
Communicatie: |
Informeert studenten en medewerkers en stelt persberichten op, samen met de responspartner.
|
|
Ict: |
Voert opdrachten uit van de responsepartnet en pakt het herstel van voorzieningen op na groen licht van de responspartner (o.b.v. prioritering vanuit het CMT). Is aanspreekpunt voor SURFcert en geeft sturing aan de werkgroepen SaaS (applicatiebeheerder AFAS, Eduarte, etc.) en Servicepunt. |
|
Werkgroep SAAS: |
Is aanspreekpunt voor de externe applicatieleveranciers. |
|
Werkgroep Servicepunt: |
Is aanspreekpunt voor medewerkers, studenten en sublocaties |
4. Communicatie
- Zorg voor een back-up van communicatievoorzieningen. Ga daarvoor na welke communicatiesystemen er zijn en in welke mate zijn deze (on)afhankelijk van mogelijk gecompromitteerde infrastructuur.
- Zorg ervoor dat de website altijd werkt (en dus onafhankelijk draait van je andere infrastructuur).
- Zorg ervoor dat het CMT een aparte e-mailomgeving heeft, onafhankelijk van de omgeving van de instelling. Bijvoorbeeld: CMT van onderwijsinstelling 1 heeft een complete e-mailomgeving bij onderwijsinstelling 2 en omgekeerd.
5. Verzekering
Onderzoek wat hiervoor de valkuilen zijn. Denk bijvoorbeeld aan de tegenstrijdige belangen tussen de verzekering en de incident-responspartner.
6. Technische weerbaarheid
De volgende zaken moeten vooraf geregeld zijn:
Preventie
- Pentest op eigen netwerk
- Vulnerability scan
- Segmentering (medewerkers, studenten, examen, legacy, BYOD, IOT, enz)
- MFA voor medewerkers en studenten
- Encryptie
- Virusscanner
- Technische weerbaarheid van Office 365
Detectie
- SOC/SIEM
Offsite back up
In het kader van de crisis moeten in ieder geval de volgende bestanden aanwezig zijn:
- Actueel personeelsbestand
- Actueel studentenbestand
- Actueel AD-bestand
- Configuratie switches
- Netwerk- en applicatie-architectuurtekeningen
7. Scholing en awareness
Zorg voor:
- MFA-scholing (niet te snel op “ja” drukken en niet te vaak prompten)
- Phisingmail-scholing (2 dagen van te voren een vooraankondiging sturen van de legale link)
- Beleid en scholing ter voorkoming van ongewenste links
- Continue aandacht voor educatie op gebied van cybersecurity (nieuwsberichten, e-learning, enz.)
En heel belangrijk: voorkom schaduwadministraties op lokale schijven en binnen MS Teams of Sharepoint.
0 Praat mee