Losgeld
Toch maakt vooral het hoger onderwijs volgens Sophos relatief weinig gebruik van backups, ook in vergelijking met andere sectoren. Het gevolg is dat relatief vaak losgeld wordt betaald. Ongeveer de helft van de organisaties blijkt te voldoen aan de eisen van de criminelen: 56 procent van de hogeronderwijsinstellingen en 47 procent van de lageronderwijsinstellingen betaalde een bedrag om weer bij hun data en systemen te kunnen komen.
Door te voldoen aan de eisen van de datagijzelnemers vallen de totale kosten voor herstel hoger uit dan bij het gebruik van een backup. Voor hoger onderwijs bedroegen de totale herstelkosten gemiddeld 1,2 miljoen euro bij losgeldbetaling (exclusief het betaalde losgeld) en 900.000 euro bij gebruik van backups. Lager onderwijs betaalde gemiddeld twee miljoen euro bij losgeldbetaling en 1,26 miljoen euro zonder. Betaling van losgeld houdt het businessmodel van de criminelen in stand en wordt over het algemeen afgeraden.
Hersteltijd
Betaling van losgeld vertraagt bovendien het herstel, aldus de onderzoekers. Onder de getroffen onderwijsinstellingen met een backup waren er meer binnen een maand hersteld van een ransomwareaanval, dan onder de instellingen die losgeld moesten voldoen. Het gaat om bijna tachtig procent van de hogeronderwijsinstellingen en ruim zestig procent van de lageronderwijsinstellingen met backup, tegenover ruim zestig procent van de hogeronderwijsinstellingen en bijna zestig procent van de lageronderwijsinstellingen die losgeld betaalden.
Voor het onderzoek ondervroegen Sophos wereldwijd drieduizend ict- en securityleiders in organisaties. Tweehonderd respondenten zijn werkzaam in openbare en particuliere instellingen voor onderwijs tot achttien jaar en nog eens tweehonderd respondenten werken in het onderwijs voor achttienplussers.
Reacties
En hoeveel van die 80% draait een verouderde Windows-versie?
Laat staan dat men elementaire ITIL-/ASL-processen op orde heeft?
De beheerders van dergelijke omgevingen zijn vaak onvoldoende geschoold en doen het er een beetje bij, naast de andere school taken.
Scholen met belangrijke data op eigen servers en stand-alone computers doen er verstandig aan om de gehele serveromgeving inclusief desktopbeheer (zowel desktop PC’s als laptops) uit te besteden aan een professionele partij, die ook back-up regelt.
In itil termen configuratiemanagement, capacitymanagement en continuitymanagement.
Waarschijnlijk zijn scholen dan goedkoper uit dan een ransomwareclaim betalen. Bovendien houden deze scholen ongewild het criminele verdienmodel in stand.
Definieer dupe want steeds meer (middelbare) scholen bannen digitale optie uit door terug te keren naar papier, een betaling van losgeld door onderzoeksinstellingen gaat niet om onderwijs maar om commerciële belangen in specifieke datasets. Misschien moeten we met de pet rond om het om te keren want ik heb nooit (actief) toestemming gegeven om mijn gegevens te gebruiken voor onderzoek. Wat betreft de back-up ken ik nogal wat anekdotes van rondslingerende gegevensdragers die niet versleuteld waren en volstonden met persoonsgegevens. Ik ben namelijk niet onbekend met de ITIL/ASL paradigma's die respectievelijk om de infrastructuur en de applicaties gaan want onderzoeksinstellingen staan vooral met stip op nummer één als het gaat om datalekken doordat informatiebeveiliging een geheel andere discipline is.
'De druk om de deuren open te houden en te reageren op oproepen van ouders om iets te doen leidt waarschijnlijk tot druk om het probleem zo snel mogelijk op te lossen zonder rekening te houden met de kosten.'
Ik ben zo'n foute ouder die terugkeer naar papier als een brevet van onvermogen ziet, ik keer daarmee terug naar herinnering van uitsluiting omdat ik meer wist van computers dan aangewezen docent. Voor mijn criticasters, het was de tijd van open source omdat programma's nog als een boek gedistribueerd werden. Latere Hollandse Copy Club (HCC) van Arda met een BBS en telefoontikken was een andere tijdsperiode want ik begon mijn eerste stappen in de ICT te zetten met het inkloppen van code vanuit het didactische principe van doe voor, doe mee en doe zelfstandig als het om een affiniteit van de mogelijkheden gaat. Hele probleem van losgeld gaat om een combinatie van de mogelijkheden want verdienmodel van de eerste versleutelende malware ging vooral om de eer. Een dubieuze eer die niet eens strafbaar was als we kijken de geschiedenis, vervelend maar niet strafbaar balanceerde ik al heel vroeg op de scheidslijn tussen morele en juridische waarden.
Het mag niet maar het kan wel, schreef ik honderd strafregels met 5 regels code. En bijna dezelfde code gebruikte ik voor het oppompen van de views want de schoonheid van 'onliners' in een populair blad als de Kijk had wel iets. Amateur filosoof hult zich in zwijgen omdat verdienmodel van Computable om de veer in de reet van een hoofdredacteur gaat, succes heeft vele vaders maar mislukking blijft een wijs als ik kijk naar de inclusiviteit van redactionele bijdragen. Als een inleidende beschieting gooi ik mijn gebruikelijke emotionele gedachtenkronkels weer op een gillplaat van de community want de filosofische kant van de rol als ouder gaat om de spiegel van reflectie. Discussie over het uitvliegen van een jong met een moederkloek ging niet om een theorie van compressie en kilo's aangaande het inpakken van een koffer. Moest wel glimlachen dat het boek (papier) Socrates op sneakers meer prioriteit had dan het pak stroopwafels, de liefde van de man gaat niet altijd door de maag;-)
Quid pro quo leerde ik aan de eettafel over een consumptie van alle digitale mogelijkheden door een generatie die de mogelijkheden ervan buigt naar hun eigen interesses. Verdienmodellen zijn hierin een leuke als we kijken naar een ondernemer en de afnemers, Socrates op sneakers gaat tenslotte vooral om de vraagstelling. en zelfbeklag van een amateurfilosoof die zich in zijn wiek geschoten voelt door wat tegenwind in de vorm van kritiek zegt iets over de hoger onderwijsinstellingen, doe mij maar weer de pijn aan mijn poten van gevoel en een verlichting van de geest in de afleiding middels een goede discussie.
Gemiddeld is een school door een ransome hack ongeveer een miljoen kwijt. Daar kan je aardig wat beheer voor inkopen. Door corona werd afstandsonderwijs belangrijker en zijn scholen ook vaker beheer gaan uitbesteden om het afstandsonderwijs te kunnen aanbieden.
Waarom zou je als school het beheer niet uitbesteden aan een professioneel bedrijf, tenzij een ICT-er (als ouder) de school langdurig vrijwillig kan helpen?
@JvB : het falen van schoolautomatisering en schoolbeheer in zijn algemeenheid - facilitymanagement, facilitiesmanagement, systeembeheer, privacy - hebben we hier al eerder gefileerd.
De meerderheid van de scholen heeft de automatisering uitbesteed. Waarbij het de verantwoordelijken ontbeert aan elementaire kennis en ervaring mbt. IT en regievoering. En met 'verantwoordelijken' worden hier schoolbesturen en gemeentelijk ambtenaren bedoeld. Over de betrokken service-leverancier wil ik maar niet eens beginnen.
In de praktijk komt het er op neer dat men veel geld betaald voor weinig. Dat het schoolbesturen ontbreekt aan sturing. Dat de gemeentebesturen in gebreke blijven mbt. toezicht. En dat de verantwoordelijken onverminderd eindverantwoordelijk zijn maar dit ontkennen.
Dan zijn beveiligingsinbreuken, privacy-inbreuken en ransomware een kwestie van tijd.
Kosten worden eenvoudigweg betaald uit publieke middelen.
@ P.J Westerhof, inderdaad de meerderheid van de scholen heeft de automatisering uitbesteed, maar niet altijd alles. Soms heeft men niet eens door dat niet alles is uitbesteed (uitbesteden is ook een vak). Aanbesteden aan een professioneel bedrijf dat een professioneel aanbod doet, is uiteindelijk goedkoper.
@JvB : Uitbesteden is zeker een vak. Inmiddels blijkt het gros van de leveranciers in de scholenmarkt onbetrouwbaar.
Onbetrouwbaar in de zin dat men gebruik maakt van onkennis en onkunde bij de klant, zo min mogelijk levert en zoveel mogelijk rekent, risico's zoveel mogelijk bij de klant laat, en de klant zo min mogelijk informeert.
Het ontbreekt de klant en toezichthouders doorgaans aan basiskennis en -kunde om de juist basis-vragen te kunnen stellen.
Geeft niks zo lang het goed gaat. Als het fout gaat heeft niemand schuld en wordt er betaald uit algemene middelen.
Zijn er ook rapporten of onderzoeken die de claim van gemiddeld €1 miljoen schade ondersteunen? Ransomware richt zich namelijk op datasets van hoge waarde want het gaat niet om de back-up maar de wijze van opslag. Het eerste wat namelijk versleuteld wordt is de back-up omdat hacker de processen kennen. Hierin is inzet van ICT is binnen zowel het basis- als het voortgezet onderwijs vooral ondersteunend en niet kritisch zoals cyclische wijziging van middelen laat zien:
https://www.rijksoverheid.nl/onderwerpen/voortgezet-onderwijs/mobiele-apparaten-in-de-klas
De onderbouwing voor het besluit lijkt me drijfzand want het uitbannen van leermiddelen zoals krijt heeft niks veranderd aan de manier van lesgeven. Kijkje in de klas toen de deuren van de scholen gesloten moesten worden door een lockdown maakte duidelijk dat alles interessanter is dan de lesstof. En door de wijze waarop deze door een uitgebluste docent gebracht werd leek het meer op marteling dan lesgeven. Argument van afleiding gaat vooral om een gebrek aan interesse, beetje als met het beheer waar een wisseling van de wacht niks veranderd aan het proces.
@Oudlid : ja, naast Sophos en SURF veel vanuit bedrijven. Niet direct iets te vinden vanuit onderwijs-platforms.
Wel duidelijk is dat lang niet iedereen al zijn data terug krijgt na betaling.
Misschien ook goed om nog eens de gevolgschade in herinnering te roepen, zoals hier eerder besproken.
Nl. dat men na de aanval de complete systeemomgeving moet schonen en controleren. Niet zelden wordt immers een backdoor geinstalleerd. En niet zelden worden slachtoffers nogmaals aangevallen.
Angst verkoopt en deze kwantificeren in geld is gewoon marketing want juridische claims van gevolgschade missen nog weleens zoiets als een objectieve schuldvraag. Regiepolitiek van aanbesteden met inkoopvoorwaarden vol met boeteclausules mist proportionaliteit van malus t.o.v. van de bonus van een TCV. Lage marges en hoge risico's doordat opdrachtgeverschap om een aansturing van de prestatie op basis van financiële prikkels gaat vergeet de inflatie van een conjunctuurgevoelige kostencomponent zoals arbeid. Roepen dat je heel wat beheer in kunt kopen voor een vast bedrag mist niet alleen de financiële onderbouwing door verborgen kosten van een FTE maar ook een specificatie van de activiteiten en de duur hiervan. Consuminderen door minder te digitaliseren verkleint vooral het aantal aanvalspunten. En het voordeel van het verbannen van de mobiele telefoons in de klas is dat je gewoon weer kunt slaan want er is niemand die het filmt.
Een backdoor installeer je op een datadrager, vroeger ging de verspreiding van malware via diskettes. Want na het schonen van je systemen moet je ook nog de back-up poetsen. Niet lullen maar poetsen ben ik benieuwd hoeveel malware door het downloaden vanuit dubieuze bronnen actief is in een sector die niet bekend staat om een cybersecurity awareness. En aangaande een gevolgschade van gedupeerden heb ik nog geen terugstorting op mijn rekening gezien. Een generatie die met een digitale speen in de box stond legt opa en oma uit hoe ze gebruik kunnen maken van sociale media. De wereld is hierdoor groter dan de ommuurde polder als het om de C in de ICT gaat, de mogelijkheden bepalen de samenwerkingen.
Oja, ik leerde aan de eettafel niet alleen over de vele sociale mediakanalen maar ook dat de uitleg van de stelling van Pythogoras op Youtube beter is dan de uitleg van vastgeroeste docent wiskunde. Verdienmodellen gaan om de financiële prikkels in de prestatie want uurtje-factuurtje voor de klas staan leidt niet tot innovaties. De jeugdige miljonairs van influencers hebben hun kennis niet op school geleerd.
Volgens Chester Wisniewski, Field CTO en Sophos is het gebruik van ransomware (vooral as-a-service?) lucratief. "Ondanks dat de meeste scholen weinig contant geld hebben, zijn het zeer zichtbare doelen met een onmiddellijke grootschalige impact op hun gemeenschappen. De druk om de deuren open te houden en te reageren op oproepen van ouders om 'iets te doen' leidt waarschijnlijk tot druk om het probleem zo snel mogelijk op te lossen zonder rekening te houden met de kosten. Helaas bevestigen de resultaten niet dat aanvallen sneller worden opgelost als er losgeld wordt betaald, maar het is waarschijnlijk wel een factor in de selectie van slachtoffers voor de criminelen." Daarbij “…. kampt de sector met een aanzienlijk groter aantal ransomware-aanvallen waarbij vertrouwde (vertrouwelijke) gegevens in gevaar kwamen. Voor zowel organisaties in het hoger onderwijs ligt dit percentage op 37% en voor het lager onderwijs op 36%. Het sectorgemiddelde bedraagt 29%.”
Scholen zijn nu blijkbaar erg gevoelig voor de druk van ouders, maar pas als het mis is gegaan. “Slechts een kwart van de aanvallen kan tijdig vermeden, in het lager onderwijs is dit zelfs minder dan een op vijf.” “Organisaties uit het hogere onderwijs rapporteren dat in 35 procent van de gevallen de data ook nog eens gestolen wordt, hoger dan het sectorgemiddelde van om en bij dertig procent. ”
Zie ook https://www.dutchitleaders.nl/news/400047/onderwijssector-is-het-vaakst-doelwit-van-ransomware en https://schoolit.be/nieuws/infrastructuur/onderwijs-ransomware.
Ook als de respondenten voor het onderzoek niet geheel representatief zijn voor de scholen in Nederland, dan nog wordt je er niet vrolijk van dat het zo ver is ontspoort door slecht beheer.
Rapport op basis van een enquête onder 400 IT/Cybersecurity specialisten in 14 landen mist statistische breedte, representatie voor conclusies in Nederland lijken me daarom gebouwd op drijfzand. Ik vul als antwoord op mijn eerder vraag daarom een NEE in, betrouwbaarheid van cijfers is onvoldoende om er beleid op te bouwen. Rapportages op financiën moet je dan ook niet de IT/Cybersecurity specialist vragen maar gewoon aan de boekhouder. Mits er niet gefraudeerd wordt want schooldirecteur in het primaire onderwijs is net zo creatief in boekhouden als Hugo de Jong.
Uit onderzoek blijkt verder geen relevantie te zijn met ransomware-as-a-service. Volgens het rapport zijn de meest dominante oorzaken voor ransomware slecht beveiligde accounts, niet patchen van systemen en gebruikelijke phising e-mails. Hoewel procentuele verhoudingen verschillen tussen niveau van onderwijs vindt ruim 95% van de ransomware een oorzaak in de 3 genoemde aanvalsvlakken. Er valt dus wat te zeggen over het beheer, een simpele schiding op netwerk niveau lijkt me effectieve betutteling. Ongecontroleerde toegang tot het internet lijkt me onnodig voor het basisonderwijs want ik was zo'n ouder die bezwaar maakte tegen het openzetten van de deuren.
Met ransomware-as-a-service bedoel ik dat betalende affiliates de ransomware inzetten en niet de ransomware groep zelf. De laatste groep zorgt voor (door)ontwikkeling van ransomware, de verkoop van ransomware-as-a-service en aanpalende cybercrime diensten. Zo zijn er minder broodkruimels die naar de eigen organisatie leiden. Meestal richt de ransomware groep zich met eigen afdelingen alleen op de grootste vissen, net als grote hardware en XaaS leveranciers dat doen. Een ransomware groep gedraagt zich grotendeels als een FinTech bedrijf, alleen op criminele en illegale basis. Zie https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/.
Uw reactie
LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren