Slechte beveiligingshouding komt je (letterlijk) duur te staan

Atlanta heeft 1,2 miljoen euro gebudgetteerd voor de nasleep van een ransomware-aanval die de gemeente op z'n knieën bracht. Daar kunnen we enkele belangrijke praktijklessen van leren.

De aanval met malware SamSam in de stad Atlanta legde de gemeente een week plat en veroorzaakte chaos. De ransomware, genoemd naar de groep die verantwoordelijk is voor ontwikkeling en implementatie ervan, haalde kritische systemen offline en belemmerde overheidsdiensten, waaronder de betaling van nutsvoorzieningen en de afsprakenagenda van rechtbanken.

Twee maanden vóór de aanval met SamSam maakte een toezichtsorgaan van de gemeente zich al zorgen over de beveiligingshouding van de stad, met name op het gebied van risicobeheer.

"Terwijl belanghebbenden ervaren dat de stad beveiligingscontroles uitvoert om informatiemiddelen te beschermen, zijn veel processen ad hoc of ongedocumenteerd, ten minste gedeeltelijk door gebrek aan middelen. Door middelen te besteden aan het formaliseren en documenteren van informatiebeveiligingsprocessen zou de stad worden voorbereid op certificering en, wat nog belangrijker is, de zekerheid bieden dat de stad haar informatiemiddelen adequaat beheert en beschermt," legt het auditrapport uit.

Gebrekkige beveiligingsprocedures

De gepubliceerde audit werd uitgevoerd om te beoordelen of de stad klaar was om te voldoen aan de certificeringseisen van ISO 27001, en hoewel Atlanta zijn beveiligingsprogramma sinds het begin van dat certificeringsproject heeft versterkt, waren er op het moment dat het rapport werd gepubliceerd verschillende problemen nog niet aangepakt.

De toezichthouder die de audit uitvoerde zei dat de stad lacunes heeft waardoor het een certificeringsaudit niet haalt. Dat gaat onder meer om ontbrekende of verouderde beleidslijnen en procedures; inconsistente definities van het toepassingsgebied; een gebrek aan formele processen om risico's te identificeren, te beoordelen en te beperken; en een gebrek aan een formeel proces om risico's in verband met derde dienstverleners en leveranciers te beheren, om er maar een paar te noemen.

RDP, SMBv1 en DoublePulsar

Deze bevindingen komen overeen met ontdekkingen van beveiligingsonderzoekers, die verschillende openstaande RDP's tegenkwamen, waarvan geen enkele tweefactor-authenticatie, gebruikte en verscheidene servers waarbij SMBv1 werd gebruikt en die van buitenaf te benaderen waren.

Bovendien meldde beveiliger Jake Williams van Rendition Infosec dat de gemeente in 2017 stiekem was geïnfecteerd met DoublePulsar, een backdoor die is ontwikkeld door de NSA en na diefstal van deze tool uitlekte en nu gebruikt wordt door criminelen. De stad werd geïnfecteerd meer dan een maand nadat Microsoft patches had vrijgegeven die het SMBv1-gat dichtten. Uiteindelijk werden de geïnfecteerde servers gepatcht.

Budget

Gedurende de nasleep van het SamSam-debacle werd bekendgemaakt dat de stad Atlanta 1,2 miljoen euro uitgaf aan recovery en incidentrespons. Hoewel misschien niet al het geld ook daadwerkelijk wordt uitgegeven, stuurt dit bedrag een duidelijk signaal over scherven opruimen en het belang van paraatheid als het gaat om beveiliging.

Het leek aanvankelijk om definitieve bedragen te gaan, maar in gesprek met ZDNet, zei een stadswoordvoerder dat de cijfers die op het portal van de stad stonden geprojecteerde uitgaven waren die niet overschreden mochten worden.

Related:
1 2 Page 1
Page 1 of 2
  
Shop Tech Products at Amazon