Het lijstje van persoonsgegeven bij inhuur is redelijk compleet. Het betreft die waar wettelijke verplichtingen voor bestaan.
Gezien het benoemen dat het om een intern uitzendbureau gaat feitelijk overbodig. Het is de achterliggende wrkbeschrijving.

Wat ontbreekt is om welk deelsysteem het gaat.
Een urenbriefje doet op zich geen salarisverwerking het levert invoer voor dat andere systeem aan.
Een andere bron is het uren schrijven bij de opdrachtgever, in di geval zo te zien de universiteit zelf.
Ik zie drie verwerkende instanties en minsten drie betrokken systemen.

Dit soort leveranciers mogen van mij wel aan de schandpaal.

Omdat ze helpen bij het onderzoek?
Vreemde insteek, gaat de richting op de forensisch onderzoekers bij de politie als de misdadigers neer te zetten.
Ik ga uit van een supplier chain met her en der iets met sso 2fa wat niet voldoende is.

"Dan zetten jullie toch gewoon even een backup terug!"

"uhhh, ja backup, dat gaat toch automatisch? Er ligt wel zo'n USB disk ergens maar dat deed Frank altijd en die werkt hier niet meer."


Dan verdien je het ook gewoon, stumpers.

BACK UP?? Is dat gewoon even de auto terugzetten op de parkeerplaats?

Omdat u denkt dat ransomware u niet kan overkomen?

Ik ben niet _RON_, maar ben het wel eens met diens stelling.

De reden daarvoor is dat JobMotion onvoldoende maatregelen heeft genomen om de betrokken vertrouwelijke gegevens (niet van henzelf maar van anderen) voldoende te beschermen. Wellicht als gevolg van een onjuiste of geen risicoanalyse. Dat is laakbaar.

Als jij door jouw fout een fietser het ziekenhuis inrijdt, kom je (hopelijk) ook niet weg met "dat kan iedereen overkomen".

Het is in ieder geval bekend dat het weer een windowsomgeving is die in de problemen is gekomen. Nu maar afwachten of ze transparant zijn over hoe de hack is begonnen, zodat wij er ook wat van kunnen leren.

Ik ben benieuwd op welke basis je deze conclusie trekt Erik. Je moet toch behoorlijk wat inside informatie hebben om te kunnen beoordelen of er al dan niet voldoende maatregelen zijn genomen. Met maatregelen kan je het risico op ransomware terugdringen, maar niet uitsluiten.

Data delen is kans op data verliezen. Kritieke data delen is kans op kritieke data verliezen.
Het grote probleem van heden heet data-breach en data-diefstal.
Vaak ten gevolge van (cyber)-criminaliteit, corruptie, (sociale en psychische) manipulatie en gebrek aan handhaving.
en tenslotte goedgelovigheid (alle menselijke zwakheden en dat in een opsomming van deze).

Deel dus niet, datgene dat je niet goed weet te beschermen.
Dat geldt dus feitelijk voor alle data informatie.

De meeste instituten zitten op schatten aan informatie, ergo..
De rest konden we zelf bedenken, maar dat doen we dus veel te weinig.

#obserwator

Als leverancier ben je verantwoordelijk voor de beveiliging van de omgeving, de leverancier (UBplus) levert een standaard dienst die je inkoopt om je salarisadministratie bij te houden. Die omgeving is besmet met ransomware. De kans dat deze omgeving door de universiteit besmet is geraakt is dus zeer klein.

Sterker nog, JobMotion heeft die dienst uitbesteed aan UBplus, daar heeft de besmetting plaatsgevonden.
Nu wordt JobMotion aangekeken voor iets waar ze in aller waarschijnlijkheid geen invloed op hadden.

De gebruikers nemen een dienst af van UBplus waarbij ze alleen toegang hebben via het web. De besmetting heeft dus plaatsgevonden bij UBplus op de servers.

Dit is meer vergelijkbaar met de situatie dat door een fout van de fietser die fietser in het ziekenhuis terecht komt. Ook dan kom jij als bestuurder van een motorvoertuig niet weg met "dat kan iedereen overkomen".

Peter

Is Manpower,tempoteam etc ook kwetsbaar via deze jobmotion infra-structuur of niet,
laten we hopen van niet ??

Uit nieuwsgierigheid, waar leidt jij dit uit af?

Totdat ik 2 jaar geleden zelf betrokken ben geweest bij een onderzoek naar een ransomware besmetting had ik die zelfde insteek. Het is lastig om je te wapenen tegen een groep van 100.000 beroepshackers, de kosten voor beveiliging rijzen de pan uit. Je moet niet alleen aan de buitenkant je beveiliging op orde hebben maar ook zeker aan de binnenkant, oudere OS'en die ingezet zijn in productieprocessen en gekwalificeerd zijn op het betreffende systeem waarvan de leverancier allang 5 keer overgenomen is of niet meer bestaat. Natuurlijk kan je dergelijke systemen afschermen maar daar gaat veel tijd en geld inzitten. Daarnaast moet iedereen in het bedrijf zich bewust zijn of gemaakt worden van de gevaren, ook dat gaat meestal niet zoals "de IT afdeling" het zou willen hebben. Gebruikers zijn geen IT'ers en om werkplekken 100% veilig te maken en te houden is een uitdaging.

De maatregelen waren onvoldoende want de aanval is geslaagd. Als je door het natuurijs zakt heb je de risico's onjuist ingeschat.

Je zou je af kunnen vragen of alle door (of in opdracht van) JobMotion genomen beveiligingsmaatregelen redelijkerwijs in verhouding stonden tot de risico's die JobMotion liep. Maar dat is kul, want dan neem je niet de risico's mee die de mensen lopen van wie nu mogelijk persoonsgegevens zijn gekopiejat. En als je zou weten dat die persoonsgegevens op het dark web worden verhandeld, is het onmogelijk om de schade voor de betrokkenen te voorspellen. En als die betrokkenen schade leiden, is het zelden mogelijk om de "lek-verantwoordelijke" (in dit geval JobMotion) hiervoor aansprakelijk te stellen "want jouw gegevens kunnen ook door een ander zijn gelekt".

Onze risicogebaseerde aanpak is JUNK als je geen boete krijgt als je niet kunt bewijzen dat persoonsgegevens niet in handen van ongeautoriseerden zijn gevallen, nadat aanvallers dusdanig hoge privileges verkregen dat ze persoonsgegevens op jouw servers konden versleutelen. Want dan ontbreekt elke prikkel om redelijkerwijs voldoende te beveiligen. En dat is precies wat we nu (als je de relevante media volgt) overal om je heen ziet gebeuren. We bouwen veel te complexe systemen verspreid over tig leveranciers die vanalles beloven. Niemand heeft nog het overzicht, de beveiligers ook niet meer (m.i. interesante blog: https://www.hexacorn.com/blog/2022/12/08/the-future-of-soc/).

Steeds vaker lees ik, en zo ook hierboven: "het kan iedereen overkomen". En dat is precies het probleem. Als er zeer veel incidenten zijn, noem ik dat geen incidenten meer. Informatie wordt structureel zo slecht beveiligd (het mag bijna niks kosten) en iedereen verzamelt en koppelt maar raak "want dat is handig". Duh, niet alleen voor jouw medewerkers.

Als we niet heel snel ophouden met zachte heelmeester spelen, gaan er nog veel meer wonden stinken. Maar gezien de reacties, notabene op security.nl, lijkt het kwartje nog niet te willen vallen. Vind jij het wel best zo?

Dat is precies wat ik bedoel in mijn reactie hierboven. We vinden het acceptabel om informatie onvoldoende te beveiligen.

Goed gereedschap is het halve werk zeggen ze altijd.

Het salarisverwerkingssysteem wordt extern beheerd. JobMotion beheert het niet zelf volgens info op de site.
Het is weer de supplychain waar het dus weer fout gaat.

Dat hangt er van af of je ook die windows .exe tools van ze download. Daarnaast blijft een http driveby infectie tot de megelijkheden als je zelf (jobmotion) niet hebt gepatcht.
Deze software is in gebruik bij de uitzendbranche. Het kan niet anders dan dat ook andere bureaus zijn gehackt maar nog geen aangifte hebben gedaan?

Ik heb even gekeken. Er staan wel erg veel poorten open bij de login omgeving van die leverancier, waaronder EtherNetIP-1 SMTP submission port, port 587 en standaard smtp en ftp! Onbegrijpelijk!

Een schone taak voor de overheid om ook het MKB te ondersteunen in weerbaarder maken tegen cyber aanvallen.

Zoiets als in Eindhoven:
https://cwbrainport.nl/