Op een dag wordt je gehackt – en dan?

Het is een spreuk die iedereen kent: het is niet de vraag of je wordt gehackt, het is de vraag wanneer. Het jaar is nog maar net begonnen of er is een goede reden stil te staan bij gehackt worden, dat schijnbaar onvermijdelijk is. De vraag is: wat moet je dan doen?

Aanleiding

De directe aanleiding voor dit artikel op ISP Today is een voorval dat rond de kerst heeft gespeeld, maar pas daarna naar buiten is gekomen. DataResolution, een Amerikaanse cloud provider, met naar eigen zeggen +30.000 klanten in binnen- en buitenland is gehackt en zo slachtoffer van ransomware geworden. Daarbij zou geen data zijn gelekt, maar het bedrijf legde uit voorzorg wel alles plat.

Als je dat zo leest lijkt het verhaal te kunnen kloppen. Als je nergens meer bij kunt en de besmettingen in netwerk nog actief zijn is de stekker er uit trekken een manier om verdere besmettingen te voorkomen. Maar als je ziet wat het bedrijf verder heeft gecommuniceerd moet dat verbazing opleveren.

Opvallend

Het eerste dat opvalt is dat op moment van schrijven de website zelf 0,0 melding van het voorval maakt. Het is dat Brian Krebs en anderen afdrukken van de mails die aan klanten zijn gestuurd weergeven, anders was het hele verhaal nooit opgevallen. Wat wel opvalt is dat de website van deze – schijnbaar grotere cloud provider met internationale footprint – een paar rare fouten kent. Zo is het bijvoorbeeld niet mogelijk de cookies en GDPR  policy te lezen. Dat levert een 404 op. Zou dat het indirecte bewijs zijn dat ze echt goed te grazen zijn genomen?

Maar dan komt het: de meldingen die je bij Brain Krebs kunt nalezen kunnen niet kloppen. Het bedrijf is stellig in de communicatie – het zijn de NORKS geweest! Het is een ransomware, maar de alle databases zijn in orde. Het is sophisticated, er is externe hulp ingeroepen en het is pas te detecteren als de besmetting zich verspreid.

Alarmbellen

Bij iedereen met een beetje cybersecurity kennis moeten bij het lezen van die verklaring alle alarmbellen afgaan. Wat het bedrijf stelt wordt niet onderbouwd en externe bronnen die inmiddels over de case bericht hebben zetten er de nodige vraagtekens bij.

De wijze les die uit deze zaak getrokken kan worden is tweeledig. Als  eerste is een compliment aan het adres van de cloud hoster in kwestie op zijn plaats. Er is zo te zien direct met de klanten gecommuniceerd. Die hoefden het niet uit de pers te vernemen. Dat is goed. Het tweede is minder positief. DataResolution is in de communicatie duidelijk te kort geschoten. De mails zijn niet vrij van taal- en stijlfouten, zoiets kan tot argwaan leiden. Belangrijker is echter dat de inhoud (oorzaak en vergelijking die gemaakt zijn) totaal nergens op slaat. Binnen de Nederlandse/EU context zou dit ook niet zo maar kunnen. De verplichte melding moet de feiten weergeven en niet een samenraapsel van veronderstellingen.

Zorg er voor dat je deze fouten niet maakt. Dat doe je door je voor te bereiden op een dergelijk incident. Zorg ervoor dat je op een veilige plek (!) een draaiboek het voorbeeld communicatie naar klanten en leveranciers hebt liggen. Als je daar pas aan denkt als je servers rokend omvallen dan ben je te laat en komt er prutswerk uit zoals DataResolution dat heeft geleverd.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.