Dit is het tweede deel van het verslag rondom de cybersecurity sessie Cyber&Maritiem. Heb je het eerste deel nog niet gelezen, kijk dan hier.
Aanwezig waren:
- Jacob van der Vis, cyber- en securityexpert bij de Kamer van Koophandel,
- André de Bruin, directeur OSM International (On Site Machining International Services)
Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee was als vanouds verantwoordelijk voor de techniek.
We vervolgen ons verhaal over de ervaringen van André de Bruin na een cyberattack.
“Ik heb geen aangifte gedaan”
Uiteraard stelden we de vraag of André aangifte heeft gedaan. Hij geeft aan dit niet gedaan te hebben. Wel heeft hij er melding van gemaakt. André is van mening dat er met een aangifte niet veel gedaan wordt. Bovendien, als er zoveel werk ligt, en je loopt al achter vanwege de aanval dan moet je nu eenmaal prioriteiten stellen. Uit een onlangs gepubliceerd stuk blijft overigens dat hij hier niet alleen in staat. Slechts 1 op de 5 gedupeerden doet aangifte.
Getroffen maatregelen
André maakt gebruik van de diensten van een in cybercrimepreventie gespecialiseerd bedrijf. Alle laptops die binnen OSM in gebruik zijn worden door deze partij geleverd, geconfigureerd en voortdurend gecontroleerd. Communicatie van buitenaf gaat uitsluitend nog via beveiligde verbindingen. Mensen mogen zelf niets installeren op de apparatuur.
Malware via tekenprogramma
André ging ook bijna de fout in bij de aanschaf van een tekenprogramma. Hij kocht er 1 direct bij de leverancier en 1 via een veiling, compleet met licentie. Na installatie bleek toen van alles mis te gaan op de pc waarop het programma werd geïnstalleerd. Bestanden, waaronder Excel, bleken na installatie niet meer toegankelijk. Let dus op bij aanschaf van programmatuur want ook via deze weg kan er dus van alles misgaan.
Ransomware via beveiligingstrainingsprogramma
Het lijkt bijna onwaarschijnlijk, maar André heeft eerder ook al eens –ca.5 jaar geleden- te maken gehad met een ransomware attack. In die tijd vroeg de dader een, naar huidige maatstaven bescheiden, bedrag van ca. 3000 euro. Dit kwam voort uit een gedownloade beveiligingstraining van Q8. Overigens er is niet betaald. André: “Ik ga nooit betalen”. Hij haalt hierbij het voorbeeld aan van de slijpersoplichtingspraktijken. Ook daar heeft hij destijds overigens mee te maken gehad toen er voor het bedrijf boren werden geslepen. Er werd toen een extreem bedrag voor in rekening gebracht, dat hij dus ook nooit heeft betaald.
Jacob informeert of André ook te maken heeft met cyberrisico’s m.b.t. de machines die hij levert en of deze op enigerlei wijze data vergaren, verwerken of uitwisselen. Dit blijkt niet aan de orde omdat de machines van OSM 100% mechanisch werken en op geen enkele manier gekoppeld zijn aan een computer of een netwerk.
Praktische oplossingen en back-up
De laptops van zijn collega’s werken allemaal los van elkaar en zijn dus niet via een netwerk of via internet verbonden. Alles wordt geïnstalleerd door zijn IT-leverancier. Niemand anders heeft of krijgt toestemming om iets zelf te installeren. Gebruikers hebben ook slechts beperkt toegang tot bestanden, zoals bijv. de financiële administratie (een online boekhoudpakket). Lokale bestanden worden altijd geback-upt naar de cloud. Maar ook bestanden die in de cloud worden opgeslagen, zoals bijvoorbeeld die van de financiële administratie, worden via reverse back-up lokaal opgeslagen.
Alle mail met bijlagen wordt automatisch in de map “ongewenste mail gezet” en dus eerst goed bekeken voordat er een bijlage wordt geopend. Wanneer mensen uit dienst gaan, wordt direct de mail geblokkeerd en wordt de laptop fysiek ingenomen en wordt alle toegang voor die betreffende gebruiker onmiddellijk geblokkeerd. Omdat 24-uurs bereikbaarheid voor OSM heel belangrijk is –er wordt in verschillende tijdzones gewerkt- heeft hij een all-in servicecontract met zijn leverancier op basis van 24-7 bereikbaarheid. Hier betaalt hij een vast bedrag per maand voor. Hij is op deze constructie uitgekomen omdat hij in het verleden te maken had met een partij die alles op “uurtje-factuurtje” in rekening bracht waar hij naar eigen zeggen op “leeg begon te lopen”. Zijn ervaring is, dat ook voor minder ervaren IT-ers vaak forse bedragen in rekening worden gebracht.
Enig idee waar de dader vandaan kwam?
Het is een heel akelig idee als je niet weet waar de dader vandaan komt. Dit is onderzocht via reverse tracking en uiteindelijk bleek dat het om een uit China afkomstige dader ging. De aanval leek niet overigens gericht op OSM getarget te zijn.
“Ik wil alles weten”
Door ervaring wijs geworden stelt André zich op het principe dat hij overal in betrokken wil zijn. Hij wil niet alleen alles weten, maar wil ook van alles weten hoe het werkt. Dit, om vooral zelf in control te kunnen blijven. Dit geldt ook voor bijvoorbeeld de financiële administratie en de applicatie die daarvoor wordt gebruikt. “Je moet gewoon op je hoede zijn, vooral in deze maatschappij”. De bewustwording rondom cyberrisico’s is dan ook enorm toegenomen door zijn ervaringen.
Jacob wil weten hoe André de computers van zijn collega’s onder controle houdt. André geeft aan dat niemand daar zelf iets op mag installeren. Hij checkt deze dan ook regelmatig.
Weddenschap
Uiteindelijk draait alles om vertrouwen. Maar hier kan dus ook misbruik van gemaakt worden. Een korte anekdote om dit te illustreren. Een van zijn -grotere- relaties klaagde dat de productiviteit en concentratie op de IT-afdeling van de organisatie de laatste jaren sterk was teruggelopen. Zij gingen de weddenschap aan, dat 75% van de mensen op dat moment waarschijnlijk met iets anders bezig was dan met werk omdat daar geen enkele controle op was. Iedereen werd gevraagd om direct achter het scherm vandaan te gaan en vervolgens werd er visueel gecontroleerd waar de medewerkers op dat moment mee bezig waren. Het resultaat laat zich raden.
Tips
We sluiten weer af met enkele nuttige tips uit de praktijk. Als je ergens diep in betrokken bent, probeer dan bewust af en toe even afstand te nemen om het grotere geheel te kunnen blijven overzien. Besef dat het soms heel goed is om gemotiveerd te worden door anderen en realiseer je dat mensen vaak maar een klein zetje nodig hebben om zich ergens van bewust te worden. Je leert het meeste van elkaar door met elkaar kennis en informatie te delen.
Daar sluiten we ons graag bij aan.