Gegijzeld door je IT-dienstverlener

Stel je voor: jouw werkgever wordt getroffen door ransomware. Je belt om 17:15 op vrijdag in paniek je IT-dienstverlener. Niet bereikbaar. Maandagochtend om 8 uur word je te woord gestaan. Kostbare tijd is verloren. Waargebeurd.

Stel je voor: je bent een IT-dienstverlener en één van je klanten is getroffen door ransomware. In één van de eerste crisismeetings scheld je de directie van de klant uit. Je moet daarna nog weken samen verder om de crisis op te lossen. Waargebeurd.

Helaas kan ik een boek schrijven over situaties waarbij het herstel- en onderzoeksproces bij incidenten negatief beïnvloed werden door de IT-dienstverlener en/of door de samenwerking tussen klant en IT-dienstverlener. Van updates die niet gegeven werden tot gebeurtenissen die onder het tapijt geveegd werden, van erachter komen dat nog meer organisaties gehackt zijn tot gegijzeld worden door je IT-dienstverlener.

Voorbeelden in overvloed, helaas. Deze voorbeelden komen uit mijn eigen praktijkervaringen en zijn bedoeld om te leren en met elkaar het gesprek aan te gaan. Er zijn gelukkig ook genoeg voorbeelden waarbij de samenwerkingen wel goed gaan tijdens incidenten. Tenminste… dat denk ik. Want eerlijk is eerlijk: ik ben die tot nu toe maar beperkt tegengekomen. Dat komt, hoop ik, omdat de organisaties die het gesprek aangaan met hun IT-dienstverlener minder snel gehackt worden.

“We gaan pas aan de slag als deze waivers getekend zijn”

De gehele operatie lag stil door een ransomware-aanval en de IT-dienstverlener wilde pas ondersteunen met het oplossen van het incident wanneer meerdere vrijwaringen getekend waren. Onredelijke vrijwaringen waarin de IT-dienstverlener volledig vrijgesteld werd van aansprakelijkheid. Dan wordt het kiezen: snel tekenen en verder kunnen met het herstel van het incident of een juridische discussie voeren en vertraging oplopen in het herstel. Zorg ervoor dat ondersteuning bij incidenten door IT-dienstverleners vooraf geregeld is. Ook juridisch. Focus daarnaast op het herstel en bewaar de eventuele schuldvraag voor later.

“De versleutelde systemen hebben we al weggegooid”

Er was onvoldoende schijfruimte beschikbaar om de back-ups te herstellen dus de IT-dienstverlener had de versleutelde systemen weggegooid. Zonder afstemming met de klant over de gevolgen hiervan. Een onbewuste keuze met mogelijk grote gevolgen. Wat als de back-ups toch niet bruikbaar zijn? De optie om de systemen te ontsleutelen is niet meer mogelijk. Daarnaast worden de onderzoeksmogelijkheden aanzienlijk beperkt. Een deel van de sporen is namelijk te vinden op de versleutelde systemen en dat had ondanks de versleuteling nog bruikbare informatie kunnen opleveren. Zorg ervoor dat dit soort keuzes in overleg gaan en dat implicaties hiervan goed doorgesproken worden.

“De klant maakt gebruik van een shared omgeving: we kunnen de gevraagde logging niet opleveren”

De logging in een shared omgeving bevat niet alleen informatie van je eigen organisatie maar ook van andere organisaties. Om die reden delen IT-dienstverleners (naar horen zeggen) die logging niet. Helaas komen organisaties hier te vaak achter tijdens incidenten waardoor er relevante informatie voor het onderzoek ontbreekt. Als organisatie is het belangrijk goed na te denken over de consequenties van de keuzes die je maakt. Vraag dit na bij je IT-dienstverlener. Daarnaast is het aan de dienstverlener om hun klant proactief te informeren over de implicaties van het kiezen voor een shared omgeving.

“We kunnen geen grafiek van het netwerkverkeer opleveren”

Helaas zijn er nog veel organisaties die hun logging niet of onvoldoende hebben ingericht waardoor het onderzoek niet of zeer beperkt uitgevoerd kan worden. In dit soort situaties kan een grafiek van het netwerkverkeer waardevolle informatie opleveren over data exfiltratie. Hier zitten veel haken en ogen aan en zekerheid geeft het niet, maar toch is het een route die je bij gebrek aan logging wilt bewandelen. Ook op het moment dat de logging wel beschikbaar is, zou zo’n diagram snel inzichten kunnen geven. Een enorme piek in het netwerkverkeer in de periode voor de encryptie zou het wel eens kunnen betekenen dat er data geëxfiltreerd is. Controleer vooraf bij je Internet Service Provider of het mogelijk is om deze informatie te ontvangen

“Wij hebben alvast contact opgenomen met de cybercriminelen”

Met als gevolg dat de criminelen boos waren geworden. Een situatie waar je niet in wilt zitten. Steeds vaker hoor ik voorbijkomen dat onderhandelen niet zo ingewikkeld is. We kunnen allemaal toch ook in meer of mindere mate onderhandelen als we een auto kopen dus waarom hier niet? Ergens begrijp ik het wel. Maar zijn de mensen die onderhandelen op de hoogte van de laatste trends of de risico’s die eraan vastzitten? En in hoeverre zijn zij emotioneel betrokken bij de zaak? Mijn advies: laat onderhandelingen door een expert doen.

“We kunnen geen toegang tot security-monitoring console geven”

Kunnen of willen geen toegang geven? Dat blijft altijd de vraag. Het merendeel van de organisaties die ik ondersteunde bij incidenten had hun security-monitoring verre van op orde. Vaak was er wel security-monitoring-tooling aanwezig maar daar werd niet naar gekeken. Zo’n tool is een bron van informatie en als onderzoekspartij wil je hier graag toegang tot krijgen. Zeker wanneer andere logging beperkt is. Het zou zo fijn zijn als dit vooraf geregeld is.

“Hier heb je de gegevens van onze Managed Service Provider. Hij heet…”

Managed Service Providers met één medewerker. Ik kom ze maar al te vaak tegen. Mensen met passie voor het vak en toewijding aan de klant. Met deze mensen werk ik bovengemiddeld fijn samen tijdens een incident. Helaas is er ook een keerzijde. Er is maar één medewerker. Alle druk voor IT-herstel en het aanleveren informatie ligt op deze persoon. Er wordt gejongleerd tussen jouw organisatie en de andere klanten. De werkzaamheden stapelen zich op, evenals de gewerkte uren. De vermoeidheid slaat toe. Het risico op fouten en uitval ook. Risico’s die niet alleen impact hebben op jouw organisaties maar ook op de andere klanten. Ik zie de medewerker voor mijn ogen aftakelen en probeer ervoor te zorgen dat hij zichzelf niet vergeet. Maar de betrokkenheid is hoog, misschien wel te hoog. Ga het besprek aan met je IT-dienstverlener. Kan er voldoende en juiste ondersteuning geleverd worden tijdens een incident?

En toen werd je gegijzeld door je IT-dienstverlener…

De organisatie werd getroffen door een ransomware-aanval. Ondersteuning van een incident response partij werd ingeschakeld via de verzekeraar. De IT-dienstverlener schakelde ook een incident response partij in. Onderzoek werd uitgevoerd en systemen werden weer beschikbaar gemaakt. Het verliep wat stroef maar voortgang was er wel. Uiteindelijk was het moment daar: de verbindingen konden weer beschikbaar gemaakt worden. Maar niets bleek minder waar. De IT-dienstverlener wilde de verbindingen pas inrichten als aangetoond kon worden dat het onderzoek 100% juist en volledig uitgevoerd was, dat alle ongewenste activiteiten gevonden waren én dat de omgeving 100% veilig was. Onmogelijk. De klant werd opnieuw gegijzeld. Dit keer niet door ransomware maar door de IT-dienstverlener. Advocaten moesten ingeschakeld worden. Ik moest de zaak afronden voordat de omgeving weer beschikbaar was. De schade werd onnodig groter gemaakt.

Ga dan weg bij de IT-dienstverlener

Al deze voorbeelden hadden niet plaats hoeven vinden als er vooraf duidelijke afspraken gemaakt waren, communicatie plaatsvond of als men eerlijk durft toe te geven waar de expertise niet ligt tijdens incident response.

Tijdens een presentatie vroeg ik aan de aanwezigen of ze na het horen van deze voorbeelden weg zouden gaan bij de IT-dienstverlener na de afhandeling van het incident. Meer dan de helft zei ja. En ik moet ook zeggen dat tijdens de incidentafhandeling klanten regelmatig zeiden dat ze de IT-dienstverlener zouden vervangen. Maar het gebeurde vaker niet dan wel. Ze willen wel maar zijn nog bezig met de nasleep van het incident, de mensen zijn opgebrand dus er is geen ruimte om een nieuwe IT-dienstverlener te zoeken of de kosten zijn te hoog. Men gaat weer over tot de orde van de dag en wisselen heeft geen prioriteit meer. Of er wordt vanuit gegaan dat nu de omgeving beter beveiligd is het niet nog een keer zal gebeuren.

Het is ook maar de vraag of het wisselen van IT-dienstverlener het probleem oplost. Als organisatie ben je zelf verantwoordelijk voor je risico’s. Het is belangrijk goed na te denken over de consequenties van de keuzes die je maakt en bewust te zijn van hoe de samenwerking met je IT-dienstverlener werkt. Het vooraf maken van afspraken over hoe te reageren op incidenten is hierin noodzakelijk. Tegelijkertijd vind ik dat IT-dienstverleners hierin een proactieve houden moeten nemen en de samenwerking tijdens incidenten met hun klanten moeten bespreken. En dan hebben we het nog niet eens gehad over: wat als jouw IT-dienstverlener gehackt wordt? Een scenario waarin er ook een grote impact op jouw organisatie kan zijn en tijdig de juiste informatie ontvangen nog een grotere uitdaging is. Ook daar wil je op voorbereid zijn.

Over Lisa

Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.

Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.

Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.

Over Lisa

De rol van security leveranciers draait niet om het verspreiden van angst, maar om het leiden met een visie

AI ransomware bestaat niet, je lekke firewall wel

Cybercolumn over cyber-innovatie(?)

Van Hollands hoop tot buitenlandse handen: lessen uit de Zivver-casus

Microsoft trekt de stekker uit het ICC, maar niemand weet wie op de knop drukte of waarom

Soevereine Cloud: de ‘vegan kipfilet’ van de digitale wereld

Over Lisa

Vergelijkbare berichten