image

Hulpdienst St John Ambulance getroffen door ransomware

vrijdag 5 juli 2019, 16:11 door Redactie, 22 reacties
Laatst bijgewerkt: 06-07-2019, 13:24

De Britse hulpdienst St John Ambulance is afgelopen dinsdag getroffen door ransomware, waardoor de organisatie tijdelijk geen toegang tot een systeem had en klantgegevens werden versleuteld. St John Ambulance biedt eerste hulp en spoedeisende medische zorg. Het draait voornamelijk op vrijwilligers.

De ransomware infecteerde niet de operationele systemen, maar een ander systeem. Daarop stonden onder andere gegevens van personen die een cursus hadden geboekt of bijgewoond, alsmede namen, contactgegevens, factuurgegevens en waar nodig rijbewijsgegevens. Creditcardgegevens zouden niet zijn gecompromitteerd, aangezien de betalingen door een andere partij worden verwerkt.

St John Ambulance heeft de Britse privacytoezichthouder geïnformeerd en aangifte bij de politie gedaan. Hoe de infectie zich kon voordoen is niet bekendgemaakt. Het probleem zou binnen een half uur zijn verholpen en er is geen losgeld betaald. Verdere details zijn niet gegeven.

Reacties (22)
05-07-2019, 16:23 door karma4
Binnen een half uur verholpen. Nou dat lijkt me iets voor KPN met het 112 gebeuren iets om te verbeteren.
05-07-2019, 16:26 door Anoniem
Door karma4: Binnen een half uur verholpen. Nou dat lijkt me iets voor KPN met het 112 gebeuren iets om te verbeteren.
KPN was besmet met ransomware? Stop eens met trollen
05-07-2019, 16:38 door Anoniem
Door karma4: Binnen een half uur verholpen. Nou dat lijkt me iets voor KPN met het 112 gebeuren iets om te verbeteren.

Ja want een ransomware aanval is inderdaad hetzelfde waar KPN last van had...
05-07-2019, 18:55 door karma4
Door Anoniem:
Ja want een ransomware aanval is inderdaad hetzelfde waar KPN last van had...
Bij een DR gaat het er minder om wat de oorzaak is.
Het doel is hoe snel je alles weer beschikbaar hebt. Wou je zeggen dat kpn binnen 5 minuten alles naar een uitval weer terug had? De paniek Kamervragen etc was nu net wat in een draaiboek op te lossen is.
05-07-2019, 20:44 door [Account Verwijderd] - Bijgewerkt: 05-07-2019, 20:57
Door karma4: Binnen een half uur verholpen. Nou dat lijkt me iets voor KPN met het 112 gebeuren iets om te verbeteren.

Jij kunt vast uit honderden banen kiezen. Zo'n alwetende expert als jij ben ik echt nog nooit tegengekomen. Gewapend met de ISO 27k en het 9 vlaks model van Rik Maes.
05-07-2019, 22:23 door karma4
Door Kili Manjaro:
Jij kunt vast uit honderden banen kiezen. Zo'n alwetende expert als jij ben ik echt nog nooit tegengekomen. Gewapend met de ISO 27k en het 9 vlaks model van Rik Maes.
Ik hoef me in ieder geval niet in bochten te wringen om met een bepaald evangelie bezig te zijn. Je zou toch maar daarvan afhankelijk zijn of jezelf in de knoop helpen.

Prachtig om.onbevangen naar problemen te kijken en er mee bezig te zijn om ze te doorgronden en op soms opgelost te krijgen. Ook genoeg ervaren van zaken Hoe het niet zou moeten gaan. Zoiets heet met ervaring wijzer worden.

Maar zeg nu zelf 30 minuten hersteltijd voor een vrijwillgersorganisatie die niet eens die tijdsdruk hebben. Prima gedaan zou ik zeggen. Banken liggen er hier vaker langer uit.
05-07-2019, 23:34 door Anoniem
Door karma4:

Maar zeg nu zelf 30 minuten hersteltijd voor een vrijwillgersorganisatie die niet eens die tijdsdruk hebben. Prima gedaan zou ik zeggen. Banken liggen er hier vaker langer uit.
Vreemd om van jou te lezen, dat je banken wilt vergelijken met een vrijwilligersorganisatie. Had toch wel meer van je verwacht.
06-07-2019, 06:19 door Anoniem
Door karma4: Bij een DR gaat het er minder om wat de oorzaak is.
Bij alle storingen, van klein tot enorm, die ik in mijn loopbaan als softwareontwikkelaar heb meegemaakt was de oorzaak van de storing kennen altijd een noodzakelijke voorwaarde om hem te kunnen oplossen. Als je die niet kent loopt de verwerking in de meeste gevallen domweg op hetzelfde punt opnieuw stuk, en in ingewikkelde gevallen, waarin een paar omstandigheden die je niet in de hand hebt moeten samenvallen om het mis te doen gaan, weet je niet beter dan dat het op een willekeurig moment opnieuw onderuit kan gaan zolang je die omstandigheden niet hebt opgespoord en begrepen.

Bij KPN waren systemen én meerdere fallback-systemen op hetzelfde moment onderuitgegaan zonder dat de software van die systemen recent was gewijzigd. Als men daar volgens het draaiboek de systemen weer had opgestart had zonder iets te onderzoeken had men geen idee gehad of het systeem stabiel was of dat het elk moment opnieuw onderuit kon gaan. Natuurlijk moest men de oorzaak achterhalen.

Bij St. John Ambulance was de oorzaak ook duidelijk: een systeem was door ransomware getroffen. Dat inzicht is wel degelijk van belang voor de recovery. Men moet weten welke ransomware is gebruikt om te kunnen controleren of een backup die men terugzet die ransomware niet bevat. Men moet bijvoorbeeld ook weten of andere systemen vanuit dit systeem besmet kunnen zijn geraakt.

Je lijkt een vergaande proceduretijger te zijn, met al je referenties aan ISO-normen en dergelijke, en opmerkingen als waar ik nu op reageer suggereren dat je een van die mensen bent die niet begrijpen dat die procedures dienen om het inhoudelijke werk in goede banen te leiden en zonder die inhoud niets betekenen. Ik heb ze meegemaakt, mensen die eindeloze bureaucratische constructies optuigen waarin iedereen een hoop werk heeft maar er verdomd weinig voor elkaar komt omdat die proceduretijgers denken dat de procedures het eigenlijke werk zijn.

Nee, karma4, goede procedures ondersteunen het werk, ze helpen te voorkomen dat er belangrijke zaken worden overgeslagen, helpen de kwaliteit te waarborgen omdat het resultaat en het proces verifieerbaar zijn. Maar de inhoud van dat werk, in dit geval inclusief de vraag wat eigenlijk de storing heeft veroorzaakt, is niet van ondergeschikt belang, het is de essentie.
06-07-2019, 08:04 door [Account Verwijderd] - Bijgewerkt: 06-07-2019, 08:59
Het probleem zou binnen een half uur zijn verholpen en er is geen losgeld betaald.

In die tijd kan de database gecorrumpeerd zijn en zal dus volledig nagekeken moeten worden. En met de snelle internetverbindingen van tegenwoordig is je database in een paar seconden tot minuten gekopieerd. Het is derhalve geen garantie te geven dat de vastgelegde persoonlijke gegevens niet gewoon op straat liggen.
06-07-2019, 09:04 door karma4
Door En Rattshaverist:
Het probleem zou binnen een half uur zijn verholpen en er is geen losgeld betaald.

In die tijd kan de database gecorrumpeerd zijn en zal dus volledig nagekeken moeten worden.

Met de snelle internetverbindingen van tegenwoordig is je database in een paar seconden tot minuten gekopieerd. Het is derhalve geen garantie te geven dat de vastgelegde persoonlijke gegevens niet gewoon op straat liggen.
De "het zou kunnen zijn dat" redenering, onzekerheid angst twijfel ofwel fud.
Je moet weten waar je mee bezig bent, wat je doet, wat de risico's zijn.

http://www.sja.org.uk/sja/pdf/SJA%20Annual%20Report%20and%20Accounts%202018%20web.pdf geeft wat meer houvast over het werkt en de organisatie. Het is een organisatie vergelijkbaar met het "rode kruis" https://www.ehbo-koffer.nl/ehbo-kennisbank/achtergrondinformatie/geschiedenis-van-ehbo/ . (let op de verwijzing naar SJA)


De aantallen mensen die er ergens mee bij betrokken zijn, zijn groot. 2.600 badgers 8.400 cadets 113.000 kinderen getraind (pag 17) enz. Het is geen klein iets. Het tinanciele gedeelte zegt dat ze een verlies gemaakt hebben van 7,5M waarbij de balans 123M noemt.
ICT pag 49 "No movement in preceived risk in 2018 although external IT security environment is increasngly challenging".
Van alles is uitbesteed aan derden inclusief de monitoring.

Lees met deze kennis nog eens het incident. Op de endpoints (niet de servers) is de boel plat gelegd. Kennelijk gaat het om de helpdesk servicedesk waar mensen met de vragen komen. Die heeft er 30 minuten uit gelegen. De service is verstoord en men heeft het bij de ico aangegeven, Omdat het van buiten kwam en opzettelijk ook bij de politie.
Binnen 30 minuten waren de endpoints weer functioneel beschikbaar (andere doosjes, herinstallatie?).

Als elk geval van niet beschikbaar raken van een sevicedesk gemeld moet worden bij het AP en de politie dan krijg je echt een politiestaat. Je moet eens opletten hoe vaak er ets in storing is, dan wel door een fysiek gebeuren uitgeschakeld is.
Het niet beschikbaar zijn valt allemaal onder de meldplicht als een datalek.
06-07-2019, 09:19 door [Account Verwijderd] - Bijgewerkt: 06-07-2019, 09:19
Door karma4:
Door En Rattshaverist:
Het probleem zou binnen een half uur zijn verholpen en er is geen losgeld betaald.

In die tijd kan de database gecorrumpeerd zijn en zal dus volledig nagekeken moeten worden.

Met de snelle internetverbindingen van tegenwoordig is je database in een paar seconden tot minuten gekopieerd. Het is derhalve geen garantie te geven dat de vastgelegde persoonlijke gegevens niet gewoon op straat liggen.

De "het zou kunnen zijn dat" redenering, onzekerheid angst twijfel ofwel fud.
Je moet weten waar je mee bezig bent, wat je doet, wat de risico's zijn.

Onzin. Als gebruiker wil ik gewoon garanties dat (a) mijn gegevens niet op straat liggen en (b) dat de integriteit van mijn gegevens in orde is. Ze zien maar hoe ze dat regelen.
06-07-2019, 09:52 door Anoniem
Door karma4: Ik hoef me in ieder geval niet in bochten te wringen om met een bepaald evangelie bezig te zijn. Je zou toch maar daarvan afhankelijk zijn of jezelf in de knoop helpen.
Gek genoeg is het toch iedere keer vooraleerst zelfverklaard anti-evangelist karma4 die achter elke strohalm een evangelist meent te zien, of in ieder geval begint met afgeven voor het geval dat er mogelijk wel mischien een vermeend evangelist in de buurt mocht zijn. Dat gedrag noemen we ook wel "trollen".
06-07-2019, 13:33 door karma4
Door Anoniem:
Gek genoeg is het toch iedere keer vooraleerst zelfverklaard anti-evangelist karma4 die achter elke strohalm een evangelist meent te zien, of in ieder geval begint met afgeven voor het geval dat er mogelijk wel mischien een vermeend evangelist in de buurt mocht zijn. Dat gedrag noemen we ook wel "trollen".
https://nl.wikipedia.org/wiki/Trol_(internet) "Een trol (mv.: trollen) in een internetomgeving is een persoon die berichten plaatst om voorspelbare emotionele reacties uit te lokken (woede, irritatie, verdriet of scheldpartijen - ook wel flames genoemd in internetjargon)[1], opzettelijk verkeerde informatie (desinformatie) geeft of zich doelbewust anders voordoet."
Verklaar aub; 1/ :
Door Kili Manjaro: [
Jij kunt vast uit honderden banen kiezen. Zo'n alwetende expert als jij ben ik echt nog nooit tegengekomen. Gewapend met de ISO 27k en het 9 vlaks model van Rik Maes.
Een persoonlijke aanval, gericht op voorspelbare emotionele reacties.
2/ Wat het probleem is om NEN 7510 iso27k te kennen aangezien het bij de overheid en de zorg en de financials verplicht is. Je bent als ICT-er ongeschikt als je dat ontkend en in een os flaming blijft hangen.
3/ Dat 9 vlaks model wordt vaak te onpas gebruikt bij reorganisaties om de ICT buiten de deur te zetten SSC (shared service center). Je kunt het in vele advies aanvragen terugvinden. Je bent geen echte ICT er als je dat niet ziet.
4/ Waarom jij meedoet met dat uitlokken van emotionele reacties. Je laat merken dat iets je dwars zit, dat is niet informatie veiligheid.
06-07-2019, 14:16 door karma4
Door Anoniem:
Door karma4:
Maar zeg nu zelf 30 minuten hersteltijd voor een vrijwillgersorganisatie die niet eens die tijdsdruk hebben. Prima gedaan zou ik zeggen. Banken liggen er hier vaker langer uit.
Vreemd om van jou te lezen, dat je banken wilt vergelijken met een vrijwilligersorganisatie. Had toch wel meer van je verwacht.
Het "rode kruis" of sint johns ambulance afdoen als maar een vrijwilligers organisatie is niet zo'n beste insteek. Ze hebben de ICT uitbesteed. Hun kernactiviteit is hulpverlening niet ICT. Let even op hun website. Het boeken en mee gaat via zoiets.

Banken hier houden wel zelf veel in huis maar ook daar is het uitbesteden aan de orde.
Neem alleen https://allestoringen.nl/storing/ing, hoeveel gaat er mis ofwel niet vlekkeloos? Ik heb nog wel wat meer, dat is echter niet voor een post hier geschikt.


Door En Rattshaverist:
Onzin. Als gebruiker wil ik gewoon garanties dat (a) mijn gegevens niet op straat liggen en (b) dat de integriteit van mijn gegevens in orde is. Ze zien maar hoe ze dat regelen.
Ik wist niet dat je in de Uk leefde, hier zul je het met het rode kruis moeten doen. Ik zie ze liever goede hulp verlenen dat is hun kernactiviteit. Doe je een cursus bij ze dan is dat geslaagd bent en bereikbaar bent voor hulp geen privacy probleem.
Wil jij 112 ook als geheim nummer onbereikbaar maken omdat er persoonlijke gegevens verwerkt worden?

Wat je eist is leuk, bewijs maar eens dat iets perfect is. Doe het maar eens met jouw eigen code. Met E.Dijkstra zul je zien hoe ongelooflijk lastig dat is. Ze hebben daar loggings, weten wat er gebeurt is, welke systemen geraakt zijn, ze hebben snel geacteerd, dat is heel netjes. Zolang dat overtuigend genoeg is zijn ze ingedekt. Dan wordt de bewijslast dat jij moet aantonen dat ze wat gemist hebben en hoe. Anders bezig je enkel fud.
06-07-2019, 15:23 door [Account Verwijderd] - Bijgewerkt: 06-07-2019, 15:34
@karma4 wat een gespindoctor in irrelevantie wederom. Zij bieden een dienst aan en verwerken daarbij gevoelige persoonsgegevens. Zij kiezen bepaalde software om dat te realiseren. Zij worden afgerekend op problemen. Aan gedraai als "ze hebben snel geacteerd, dat is heel netjes" en het zal wel goed zitten met de gevoelige gegevens heb ik als gebruiker van hun dienst niets! De vervuiler betaalt en zij zullen toch echt moeten aantonen dat het goed zit met de integriteit van alle gevoelige persoonsgegevens in hun database en dat deze gegevens niet zijn ontvreemd en op straat liggen of in de toekomst komen te liggen.
06-07-2019, 19:06 door karma4
Door En Rattshaverist: @karma4 wat een gespindoctor in irrelevantie wederom. Zij bieden een dienst aan en verwerken daarbij gevoelige persoonsgegevens.
...
Je zit er zoals gewoonlijk weer naast. Had nu eerst die jaarverslagen gelezen. Ze zijn geen verwerker, de verwerkingen zijn uitbesteed. Derde partijen als verwerkers.
Zelf nemen ze de ambulance diensten vaak over tegen een lagere prijs. Dat is uitbesteding in een andere markt.

Ze blijven wel verwekingsverantwoordelijk, het verschil is wezenlijk. Keuzes in details van de uitvoering hoort er niet bij.

Je blijft maar met je is flaming bezig met de oogkleppen op.
Ze hebben de draaiboeken hoe te acteren op orde gezien het resultaat en daarvoor is al jaren aandacht als je wat jaren doorloopt.

Overigens wil je echt beweren dat je in het uk woont en dan tevens hun werk en organisatie niet kent? Dat is nog zo iets waar je jezelf gewoon tegenspreekt.
06-07-2019, 19:42 door [Account Verwijderd] - Bijgewerkt: 06-07-2019, 19:56
Door karma4:
Door En Rattshaverist: @karma4 wat een gespindoctor in irrelevantie wederom. Zij bieden een dienst aan en verwerken daarbij gevoelige persoonsgegevens.
...
Je zit er zoals gewoonlijk weer naast. Had nu eerst die jaarverslagen gelezen. Ze zijn geen verwerker, de verwerkingen zijn uitbesteed. Derde partijen als verwerkers.
Zelf nemen ze de ambulance diensten vaak over tegen een lagere prijs. Dat is uitbesteding in een andere markt.

Ze blijven wel verwekingsverantwoordelijk, het verschil is wezenlijk. Keuzes in details van de uitvoering hoort er niet bij.

Je blijft maar met je is flaming bezig met de oogkleppen op.
Ze hebben de draaiboeken hoe te acteren op orde gezien het resultaat en daarvoor is al jaren aandacht als je wat jaren doorloopt.

Overigens wil je echt beweren dat je in het uk woont en dan tevens hun werk en organisatie niet kent? Dat is nog zo iets waar je jezelf gewoon tegenspreekt.

Ik weet niet wat jij je allemaal in je hoofd haalt maar het is toch echt heel eenvoudig: a) als gebruiker wil je de garanties over de integriteit van jouw opgeslagen gegevens; b) als gebruiker wil je de garantie dat jouw gegevens niet op straat liggen.

De site die jouw gegevens heeft verwerkt en opgeslagen is vanzelfsprekend degene die deze garanties dient te geven. Onderbouwd met feiten. Dat zij mogelijk de verwerking hebben uitbesteed interesseert mij als gebruiker niet. Zij zijn mijn aanspreekpunt en regelen het maar met degenen waaraan ze het hebben uitbesteed. Dat hoef en wil ik als gebruiker helemaal niet (te) weten!
06-07-2019, 21:49 door karma4
Door En Rattshaverist:..[
Ik weet niet wat jij je allemaal in je hoofd haalt maar het is toch echt heel eenvoudig: a) als gebruiker wil je de garanties over de integriteit van jouw opgeslagen gegevens; b) als gebruiker wil je de garantie dat jouw gegevens niet op straat liggen.
..
Wat ik constateer is dat je enkel bezig bent met het flaming bashing en niet op inhoud kan reageren..
Dat hoeft ik niet in mijn hoofd te halen. Je toont het zelf overduidelijk met je posts.
07-07-2019, 01:57 door [Account Verwijderd] - Bijgewerkt: 07-07-2019, 02:33
@karma4 wat begrijp je niet in mijn a) als gebruiker wil je de garanties over de integriteit van jouw opgeslagen gegevens; b) als gebruiker wil je de garantie dat jouw gegevens niet op straat liggen.

De site die jouw gegevens heeft verwerkt en opgeslagen is vanzelfsprekend degene die deze garanties dient te geven. Onderbouwd met feiten. Dat zij mogelijk de verwerking hebben uitbesteed interesseert mij als gebruiker niet. Zij zijn mijn aanspreekpunt en regelen het maar met degenen waaraan ze het hebben uitbesteed. Dat hoef en wil ik als gebruiker helemaal niet (te) weten!

N.B.: Met de keus voor malwaregevoelige software - je kan wel bedenken om welke sofware het gaat - kan je het jezelf erg moeilijk maken, met hoge kosten tot gevolg. Je loopt risico op hoge proceskosten omdat er rechtzaken tegen je worden aangespannen. Je loopt het risico dat verzekeraars niet (meer) betalen, na het zoveelste incident. Etc.
07-07-2019, 11:55 door Tha Cleaner
Door karma4:
Door Anoniem:
Ja want een ransomware aanval is inderdaad hetzelfde waar KPN last van had...
Bij een DR gaat het er minder om wat de oorzaak is.
Het doel is hoe snel je alles weer beschikbaar hebt. Wou je zeggen dat kpn binnen 5 minuten alles naar een uitval weer terug had? De paniek Kamervragen etc was nu net wat in een draaiboek op te lossen is.
Kan is aanwezig dat dit gewoon een geïsoleerd systeem was, en dat men het systeem gewoon uitgezet heeft en daarna vervangen voor een ander systeem.
Dat kan je dan niet echt een DR plan noemen.
07-07-2019, 13:49 door Anoniem
@Tha Cleaner

Soms kunnen errors weken (of maanden zelfs) dooretteren, als je niet weet waar het in zit.
Nieuwe SSL versie installeren en java geeft a la default nog de oudere onveilige versie ingebakken.
Degene die het in de lucht moet hangen krijgt een persisterende handshake fout.
Is gebeurd bij een grote Amerikaanse systeembank en error zit er nog steeds in.

Als je weet waar het zit, kan het er na een half uurtje uit zijn.
Niemand gaat even zoeken op Stack Overdflow en leest over de oorzaak,
je kunt nu eenmaal alles in deze zeer complexe digitale wereld als individu niet weten en overzien.
Je kunt het meestal wel checken en dan opzoeken.

Betaal je mensen peanuts om getraind aapje te spelen, dan duurt het dus ietjes langer.

J.O.
07-07-2019, 14:54 door karma4
Door Tha Cleaner: Kan is aanwezig dat dit gewoon een geïsoleerd systeem was, en dat men het systeem gewoon uitgezet heeft en daarna vervangen voor een ander systeem.
Dat kan je dan niet echt een DR plan noemen.
Daar heb je gelijk in. Een DR Disaster Recovery geeft de indruk van een complete aantasting van alles.
Wat je beschrijft als geisoleerd systeem zou goed kunnen. Dan hebben ze de scheiding van systemen in dit geval voldoende.
Met meerdere service providers en enkel wat endpoints kan dat goed vanzelf opgelegd zijn.
Dat vervangen is dan wel goed snel gegaan of zouden een herinstallatie met restore gedaan hebben.
Dat kan ik nog nergens uit halen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.