Rotterdam: phishingaanval op CJG Rijnmond was geen gerichte actie
De phishingaanval op het Centrum voor Jeugd en Gezin (CJG) Rijnmond waarbij een aanvaller toegang kreeg tot e-mailaccounts met gegevens van duizenden cliënten was geen gerichte actie, zo heeft wethouder Judith Bokhove van de gemeente Rotterdam laten weten. Bokhove is verantwoordelijk voor de portefeuille Mobiliteit, jeugd en taal.
Vorige maand maakte het CJG bekend dat verschillende medewerkers in een phishingmail waren getrapt waardoor een aanvaller toegang tot hun e-mailboxes wist te krijgen. Deze e-mailboxes bleken gegevens van duizenden voormalige en huidige cliënten te bevatten, waaronder BSN, naam en adresgegevens. Er zou geen toegang tot cliëntdossiers zijn geweest. Volgens Bokhove bevatte de phishingmail een link die "bedrieglijk" veel leek op een link waarmee CJG-medewerkers bekend zijn. Dit maakte het voor hen lastig om onderscheid te maken, aldus de wethouder.
Van een gerichte actie was echter geen sprake. "Uit het externe onderzoek blijkt dat de betreffende phishing e-mail per toeval is (door)gestuurd naar CJG Rijnmond, waardoor er geen sprake was van een gerichte actie. De hacker was dus niet gericht op zoek naar gegevens van klanten van CJG Rijnmond", zo laat de wethouder weten op vragen van Denk-gemeenteraadslid Mohamed-Hoesein (pdf).
Bokhove stelt verder dat het feit dat erin een phishingmail werd getrapt losstaat van het adequaat omgaan met cliëntengegevens door medewerkers. Naar aanleiding van het incident heeft het CJG, dat onder andere jeugdzorg biedt, opnieuw extra aandacht besteed aan het gevaar van phishingmails, hoe die te herkennen zijn en wat medewerkers moeten doen wanneer ze een phishingmail ontdekken. Afsluitend meldt de wethouder dat het onderzoeksrapport naar het incident niet openbaar wordt gemaakt.
Ik kan me goed voorstellen dat de ambtenaar / ambtenaren intern zich heel kordaat opstelden.
Maar een aanvalspoging met phishing in een brief als een poging beschouwen die bij toeval tot stand kwam lijkt me gezien de aard van de poging een woord-kunstje van de opsteller van de brief.
Natuurlijk heeft een gemeenteraad minder boodschap eraan als het als een zeer ongewenste gebeurtenis in plaats van een toevals poging door de veroorzaker duidt.
Zonder phiser kan er sowieso ook geen sprake zijn van een phishing poging.
Dat er iemand bij kwam kijken die de phishing poging onbedoeld en ongewenst afrondde zal een goede verstaander best snappen.
Want wat is nou een toevallige phishing poging?
Is dat een niet bedoelde aanval om puur bij toeval toch vooral wel toegang te krijgen tot computer-domeinen van organisaties?
Is dat geen gekke voorstelling van zaken?
Dat is zoiets als in onachtzaam moment in het verkeer toch net verrast worden en door rood rijden en dan zeggen "ja de auto was toevallig op de weg".
Ik kan me ook echt wel voorstellen dat als je dat iemand dan enorm schrikt en alles in werk stelt om verdere ongelukken te verhinderen.
Hoe zit dat het dus werkelijk volgens de wethouder?
Bedoelt ze werkelijk te zeggen dat er volgens de wethouder geen specifiek gecoördineerde aanval op de CJG was opgetuigd?
Waarom zou dan toch de een link "bedriegelijk" veel op een link lijken waar CJG-medewerkers bekend mee zijn?
Is dat soms niet specifiek bedoeld om toegang te krijgen tot het CJG computer-domein maar was die gericht op een heel andere domein naam?
Bedoelt ze hier dat er achteraf is vastgesteld dat CJG-medewerkers als 1 van de vele organisaties zijn gescamd in een soort massa actie waar "vermoedelijk" allerlei medewerkers een phishing mail met link kregen die leek op die van waar ze bekend mee zouden kunnen zijn? Die dan onwillekeurig door phisers werden verzonden?
Emails worden als snel als concepten / tijdelijke bestanden opgeslagen.
Je hebt als CJG als het goed is de dossiers wel goed buiten het email gebeuren gehouden.
Maar er kan in de regel bij een eenmaal geforceerde manipulatie van of geforceerd runnen van een script op een IT apparaat altijd verassend veel toch nog via de kern van het apparaat / apparaten buiten beeld van de user interface en buiten netwerk-loggings om worden geforceerd.
Extra alertheid creëren door middel van werk-instructies lijkt in de basis nuttig en zo mogelijk zeker niet overbodig.
Maar was er in dit geval verder ook helemaal geen sprake haast - overhaastheid - werkdruk of iets dergelijks?
Dat zou dan een vraag voor de gemeente secretaris in plaats van de wethouder zijn.
En haast - overhaastheid - werkdruk kan op voorhand al een trigger zijn die het van persoonlijke alertheid van mensen wint.
Als zoiets speelt dan plaatst dat en houdt dat mensen in een auto-stand met een zichzelf versterkend proces.
Dan bereik je mogelijk wanner de afdeling-hoofden en workload planning werk spreiding toepassen.
Mensen minder vol stoppen met te behandelen dossiers waartussen ze minder pijl-snel heen en weer moeten schakelen.
Dat kan nog meer helpen dan (nog weer) een bewustzijn training.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
