Belgische stad Herselt raakte via vpn-wachtwoord leverancier besmet met malware
De Belgische stad Herselt raakte via vpn-inloggegevens van een externe softwareleverancier waar het zaken mee doet besmet met malware, waardoor criminelen honderdtachtig gigabyte aan data konden stelen. Het gemeentebestuur wil de schade van tienduizenden euro's op de leverancier verhalen. Bij de aanval werden onder andere persoonsgegevens van inwoners gestolen. Daarnaast had de aanval impact op de dienstverlening van de stad.
"Er is gebruikgemaakt van vpn-credentials van een externe softwareleverancier om te connecteren met een van onze servers. Zo is er een trojan geïnstalleerd, waarmee je vanop afstand toegang kan houden tot de server. Op vrijdag 31 maart werd onze ict-dienst verwittigd over het feit dat die inloggegevens op het dark web te vinden waren. De toegangen zijn toen gesloten voor alle gelijkaardige leveranciers", aldus wethouder Kristof Van Dingenen tegenover Het Nieuwsblad.
“Zelf vragen we om zeer attent te zijn met paswoorden en inloggegevens, maar nu blijkt dat een externe leverancier daar minder zorgvuldig mee omsprong”, stelt Van Dingenen. “We gaan de schade trachten te verhalen op die leverancier." Zo besloot de gemeente antivirusbedrijf Sophos in te schakelen, wat 28.000 euro kostte. Daarnaast wordt nog een factuur van een externe beveiligingsexpert verwacht.
De aanvallers eisten 10.000 dollar losgeld om de gestolen gegevens niet te publiceren, maar de gemeente weigerde het losgeld te betalen. Herselt is een gemeente in de Belgische provincie Antwerpen en telt ruim veertienduizend inwoners. De gemeente zal inwoners van wie de gegevens zijn gestolen hierover informeren.
Reacties (11)
Hm. Prima dat je de leverancier MEDE-aansprakelijk stelt voor het eerste stukje: het lekken van de credentials.
Maar wie staat die partij toe om geen MFA op die VPN te hebben? Wie staat het ze toe om via die VPN software op een machine te kunnen installeren? wie doet de firewalls, en wie ziet die 180 GB niet door de firewalls schuiven?
Wie verzorgt de toegang tot al die data, en dat niet zomaar elk service-account daar bij kan?
Je leert niet van je fouten als je blijft vertellen dat "het gebeurt" in plaats van "dat je het deed."
"Ja maar hij" is iets dat we onze kinderen op de basisschool al afleren.
wethouder Kristof Van Dingenen is met Reputatie bezig, maar niet met Security.
Maar wie staat die partij toe om geen MFA op die VPN te hebben? Wie staat het ze toe om via die VPN software op een machine te kunnen installeren? wie doet de firewalls, en wie ziet die 180 GB niet door de firewalls schuiven?
Wie verzorgt de toegang tot al die data, en dat niet zomaar elk service-account daar bij kan?
Je leert niet van je fouten als je blijft vertellen dat "het gebeurt" in plaats van "dat je het deed."
"Ja maar hij" is iets dat we onze kinderen op de basisschool al afleren.
wethouder Kristof Van Dingenen is met Reputatie bezig, maar niet met Security.
Had dat externe bedrijf dan ook z'n 2fa laten lekken? Of was er geen 2fa?
Was het nodig dat zo'n extern bedrijf bij gevoelige data van gemeente kan? Met alleen een VPN-account? Of ontbrak er intern ook nog wat aan beveiliging?
Natuurlijk moet zo'n extern bedrijf ook zorgvuldig zijn maar fouten worden nu eenmaal gemaakt. Wachtwoorden lekken regelamtig uit, daar zal je rekening mee moeten houden. Zo'n bedrijf moet ook maatregelen treffen zoals het gebruik van een password manager (en aandringen op mfa) en anti-virusmaatregelen. Dat gaat echter nog steeds niet voorkomen dat wachtwoorden uitlekken.
Ik weet niet wat er aan de hand is en hoeveel de gemeente goed/fout heeft gedaan en hoeveel dat bedrijf. Iedereen kan pech hebben en ook met de meest geavanceerde beveiliging glipt er af en toe iets door heen. Maar omdat het nieuwsbericht alleen een uitgelekt wachtwoord noemt suggereert dit dat er bij die gemeente ook nog wel een hoop te verbeteren is.
Laat het overigens een waarschuwing zijn dat een VPN eigenlijk geen beveiliginsmiddel is. Het is een hulpmiddel dat je kan gebruiken als beveiligingsmiddel maar dat moet je wel zelf inrichten. Je kan het ook "verkeerd" inrichten en de boel minder veilig te maken.
Een VPN (van dit soort) is als een deur.
Een deur is beter dan een open gat.
Een deur met een slot is beter dan een deur zonder slot.
Een blinde muur is beter dan een deur met een slot.
Een slecht ingerichte VPN geeft extra ingangen in je netwerk.
Als je een VPN gebruikt om langs je enige beveiligingslaag te gaan dan kun je misschien beter geen VPN gebruiken.
Als je nog zo'n netwerk hebt met alleen een dikke kasteelmuur aan de buitenkant dan heb je sowieso al 20 jaar zitten slapen en is er vast nog veel meer mis met je netwerk (let op: dit is ongeveer de standaard bij kleinere organisaties).
Was het nodig dat zo'n extern bedrijf bij gevoelige data van gemeente kan? Met alleen een VPN-account? Of ontbrak er intern ook nog wat aan beveiliging?
Natuurlijk moet zo'n extern bedrijf ook zorgvuldig zijn maar fouten worden nu eenmaal gemaakt. Wachtwoorden lekken regelamtig uit, daar zal je rekening mee moeten houden. Zo'n bedrijf moet ook maatregelen treffen zoals het gebruik van een password manager (en aandringen op mfa) en anti-virusmaatregelen. Dat gaat echter nog steeds niet voorkomen dat wachtwoorden uitlekken.
Ik weet niet wat er aan de hand is en hoeveel de gemeente goed/fout heeft gedaan en hoeveel dat bedrijf. Iedereen kan pech hebben en ook met de meest geavanceerde beveiliging glipt er af en toe iets door heen. Maar omdat het nieuwsbericht alleen een uitgelekt wachtwoord noemt suggereert dit dat er bij die gemeente ook nog wel een hoop te verbeteren is.
Laat het overigens een waarschuwing zijn dat een VPN eigenlijk geen beveiliginsmiddel is. Het is een hulpmiddel dat je kan gebruiken als beveiligingsmiddel maar dat moet je wel zelf inrichten. Je kan het ook "verkeerd" inrichten en de boel minder veilig te maken.
Een VPN (van dit soort) is als een deur.
Een deur is beter dan een open gat.
Een deur met een slot is beter dan een deur zonder slot.
Een blinde muur is beter dan een deur met een slot.
Een slecht ingerichte VPN geeft extra ingangen in je netwerk.
Als je een VPN gebruikt om langs je enige beveiligingslaag te gaan dan kun je misschien beter geen VPN gebruiken.
Als je nog zo'n netwerk hebt met alleen een dikke kasteelmuur aan de buitenkant dan heb je sowieso al 20 jaar zitten slapen en is er vast nog veel meer mis met je netwerk (let op: dit is ongeveer de standaard bij kleinere organisaties).
"Er is gebruikgemaakt van vpn-credentials van een externe softwareleverancier om te connecteren met een van onze servers. Zo is er een trojan geïnstalleerd, waarmee je vanop afstand toegang kan houden tot de server. Op vrijdag 31 maart werd onze ict-dienst verwittigd over het feit dat die inloggegevens op het dark web te vinden waren. De toegangen zijn toen gesloten voor alle gelijkaardige leveranciers", aldus wethouder Kristof Van Dingenen tegenover Het Nieuwsblad.
Veel vragen roept dit bericht op bij deze stuurpersoon aan wal:
1. Deze leverancier onderhield op afstand alle hard- en software waar de gemeente gebruik van maakt?
2. Het was niet mogelijk voor de gemeente om de leverancier alleen toegang te geven tot het stukje waar die leverancier voor "verantwoordelijk" was? Bv door dat deel in een aparte gedeelte van het netwerk te plaatsen.
3. "gelijkwaardige leveranciers". Er zijn dus meer leveranciers die via een VPN onderhoud verrichten voor deze gemeente met een soortgelijke beveiliging?
4. Wat doet de ICT afdeling van de gemeente zelf dan nog?
5. Waarom waren deze VPN verbindingen 24/7 beschikbaar? Misschien nadenken over een systeem waarbij inbellen op afroep gebeurt, met toezicht van de eigen ICT-ers? En meteen na afloop weer dichtzetten.
6. Of bedoelt de wethouder misschien een leverancier van SaaS oplossingen ???? Maar ook dan is het vreemd dat het hele interne netwerk, of een cruciaal deel daarvan, open ligt voor de dieven.
Door Anoniem:
Veel vragen roept dit bericht op bij deze stuurpersoon aan wal:
1. Deze leverancier onderhield op afstand alle hard- en software waar de gemeente gebruik van maakt?
2. Het was niet mogelijk voor de gemeente om de leverancier alleen toegang te geven tot het stukje waar die leverancier voor "verantwoordelijk" was? Bv door dat deel in een aparte gedeelte van het netwerk te plaatsen.
"Er is gebruikgemaakt van vpn-credentials van een externe softwareleverancier om te connecteren met een van onze servers. Zo is er een trojan geïnstalleerd, waarmee je vanop afstand toegang kan houden tot de server. Op vrijdag 31 maart werd onze ict-dienst verwittigd over het feit dat die inloggegevens op het dark web te vinden waren. De toegangen zijn toen gesloten voor alle gelijkaardige leveranciers", aldus wethouder Kristof Van Dingenen tegenover Het Nieuwsblad.
Veel vragen roept dit bericht op bij deze stuurpersoon aan wal:
1. Deze leverancier onderhield op afstand alle hard- en software waar de gemeente gebruik van maakt?
2. Het was niet mogelijk voor de gemeente om de leverancier alleen toegang te geven tot het stukje waar die leverancier voor "verantwoordelijk" was? Bv door dat deel in een aparte gedeelte van het netwerk te plaatsen.
3. "gelijkwaardige leveranciers". Er zijn dus meer leveranciers die via een VPN onderhoud verrichten voor deze gemeente met een soortgelijke beveiliging?
4. Wat doet de ICT afdeling van de gemeente zelf dan nog?
14.000 inwoners is echt geen grote gemeente.
Dus geen grote ambtelijke organisatie . Dus geen groot / full time ICT team.
5. Waarom waren deze VPN verbindingen 24/7 beschikbaar? Misschien nadenken over een systeem waarbij inbellen op afroep gebeurt, met toezicht van de eigen ICT-ers? En meteen na afloop weer dichtzetten.
Remote monitoring is ook een dienst ...
6. Of bedoelt de wethouder misschien een leverancier van SaaS oplossingen ???? Maar ook dan is het vreemd dat het hele interne netwerk, of een cruciaal deel daarvan, open ligt voor de dieven.
Ga 's sturen op een wat kleiner schip, dan kun je veel plausibeler speculeren waarom dingen gaan zoals ze gaan.
Door Anoniem:Ga 's sturen op een wat kleiner schip, dan kun je veel plausibeler speculeren waarom dingen gaan zoals ze gaan.
Dus...
Vragen stellen mag bljkbaar niet meer.
Jij weet wat daar aan de hand is?
Licht eens een tipje van de sluier op dan.
Laat ons ook eens lachen of onder de indruk zijn.
Door Anoniem:
Dus...
Vragen stellen mag bljkbaar niet meer.
Door Anoniem:Ga 's sturen op een wat kleiner schip, dan kun je veel plausibeler speculeren waarom dingen gaan zoals ze gaan.
Dus...
Vragen stellen mag bljkbaar niet meer.
Natuurlijk, maar vragen met de implicatie dat het zo simpel te voorkomen was als je (al) kunt afleiden waarom het niet zo simpel is maakt je inderdaad een stuurscholier aan de wal.
Jij weet wat daar aan de hand is?
Licht eens een tipje van de sluier op dan.
Specifiek daar niet .
Maar met de basale gegevens uit het artikel - en wel wat algemene kennis van organisaties - is er - precies zoals ik schreef - heel plausibel te speculeren waarom een hoop van jouw "simpele suggestieve vragen" heel makkelijk af te serveren zijn.
Een gemeente van 14.000 inwoners heeft geen IT afdeling van formaat ING bank .
En zal dus een hoop uitbesteed (moeten) hebben en niet de capaciteit en de mogelijkheden om die leveranciers permanent op de vingers te kijken.
Laat ons ook eens lachen of onder de indruk zijn.
Als je niet kunt verzinnen dat "gemeente met 14.000 inwoners" een vrij bescheiden ambtelijk ondersteuningsapparaat zal hebben waarmee een hoop van je suggestieve vragen beantwoord zijn zit je niet op de plek om te lachen , maar om het lachtertje te zijn.
Door Anoniem:
3. "gelijkwaardige leveranciers". Er zijn dus meer leveranciers die via een VPN onderhoud verrichten voor deze gemeente met een soortgelijke beveiliging?
4. Wat doet de ICT afdeling van de gemeente zelf dan nog?
14.000 inwoners is echt geen grote gemeente.
Dus geen grote ambtelijke organisatie . Dus geen groot / full time ICT team.
5. Waarom waren deze VPN verbindingen 24/7 beschikbaar? Misschien nadenken over een systeem waarbij inbellen op afroep gebeurt, met toezicht van de eigen ICT-ers? En meteen na afloop weer dichtzetten.
Remote monitoring is ook een dienst ...
6. Of bedoelt de wethouder misschien een leverancier van SaaS oplossingen ???? Maar ook dan is het vreemd dat het hele interne netwerk, of een cruciaal deel daarvan, open ligt voor de dieven.
Ga 's sturen op een wat kleiner schip, dan kun je veel plausibeler speculeren waarom dingen gaan zoals ze gaan.
Door Anoniem:
Veel vragen roept dit bericht op bij deze stuurpersoon aan wal:
1. Deze leverancier onderhield op afstand alle hard- en software waar de gemeente gebruik van maakt?
2. Het was niet mogelijk voor de gemeente om de leverancier alleen toegang te geven tot het stukje waar die leverancier voor "verantwoordelijk" was? Bv door dat deel in een aparte gedeelte van het netwerk te plaatsen.
"Er is gebruikgemaakt van vpn-credentials van een externe softwareleverancier om te connecteren met een van onze servers. Zo is er een trojan geïnstalleerd, waarmee je vanop afstand toegang kan houden tot de server. Op vrijdag 31 maart werd onze ict-dienst verwittigd over het feit dat die inloggegevens op het dark web te vinden waren. De toegangen zijn toen gesloten voor alle gelijkaardige leveranciers", aldus wethouder Kristof Van Dingenen tegenover Het Nieuwsblad.
Veel vragen roept dit bericht op bij deze stuurpersoon aan wal:
1. Deze leverancier onderhield op afstand alle hard- en software waar de gemeente gebruik van maakt?
2. Het was niet mogelijk voor de gemeente om de leverancier alleen toegang te geven tot het stukje waar die leverancier voor "verantwoordelijk" was? Bv door dat deel in een aparte gedeelte van het netwerk te plaatsen.
3. "gelijkwaardige leveranciers". Er zijn dus meer leveranciers die via een VPN onderhoud verrichten voor deze gemeente met een soortgelijke beveiliging?
4. Wat doet de ICT afdeling van de gemeente zelf dan nog?
14.000 inwoners is echt geen grote gemeente.
Dus geen grote ambtelijke organisatie . Dus geen groot / full time ICT team.
5. Waarom waren deze VPN verbindingen 24/7 beschikbaar? Misschien nadenken over een systeem waarbij inbellen op afroep gebeurt, met toezicht van de eigen ICT-ers? En meteen na afloop weer dichtzetten.
Remote monitoring is ook een dienst ...
6. Of bedoelt de wethouder misschien een leverancier van SaaS oplossingen ???? Maar ook dan is het vreemd dat het hele interne netwerk, of een cruciaal deel daarvan, open ligt voor de dieven.
Ga 's sturen op een wat kleiner schip, dan kun je veel plausibeler speculeren waarom dingen gaan zoals ze gaan.
Uit een artikel van de computabel (be) van 2018:
https://www.computable.be/artikel/achtergrond/vertical-it/6430664/5679939/eilandjes-met-te-weinig-geld.html
Bart Bosmans werkt al vijf jaar als it-verantwoordelijke van de kleine Kempense gemeente Herselt (net geen vijftienduizend inwoners en een it-budget van ongeveer honderdduizend euro per jaar). ‘Anderhalf jaar geleden zijn we in een regiowerking gestapt waarin ook buurtgemeenten als onder meer Hulshout, Westerlo en Laakdal zitten’, vertelt hij. ‘We wisselen kennis en ervaring uit en als we grote projecten opzetten, kunnen we bij elkaar te rade gaan. Er is dus wel een vorm van samenwerking, maar nog beperkt. Sommige grotere steden en gemeenten gaan daar al veel verder in. Lokeren, Beveren en Sint-Niklaas bijvoorbeeld hebben samen een datacenter opgezet en wisselen zelfs personeel uit. Het is ook niet altijd een kwestie van niet willen of niet kunnen. Vaak spelen er ook politieke motieven en dan wordt het al snel ingewikkeld, natuurlijk.’
Bij zijn aantreden als it-manager bestond de taak van Bosmans vooral uit het updaten en moderniseren van de systemen, vertelt hij. ‘De infrastructuur was verouderd en niet optimaal onderhouden. Van virtualisatie was bijvoorbeeld geen sprake, we hadden geen eigen Exchange-server, onze internetlijn verliep ook langs een externe leverancier. Dat was een zeer trage verbinding waarvoor we 1300 euro per kwartaal betaalden. Ondertussen is alles stap voor stap gevirtualiseerd en ontdubbeld en hebben we een eigen glasvezelverbinding, met vdsl-back-up. Ook onze firewall is nu helemaal gemoderniseerd en beheren we zelf.’
Cloud en big data komen er aan
Maar dé grote revolutie van de laatste jaren noemt Bosmans toch de cloud. ‘Wij hebben nu verschillende toepassingen van de milieudienst, de bouwdienst en de groendienst in de cloud draaien en de rest zal volgen’, zegt hij stellig. ‘In vergelijking met de steden lopen veel gemeenten nog wat achter omdat we kleinere budgetten hebben, maar de trend is overduidelijk. Binnen tien jaar is alles cloud en virtueel geworden. Dan heeft geen enkele gemeente nog eigen servers staan en is alles SaaS, IaaS en PaaS en andere aaS.’
Einde citaat.
Voor de duidelijkheid: ik reageerde op het vage persbericht van de gemeente. Misschien had ik expliciet het woordje sarcame moeten gebruiken,. maar ik dacht dat dat er al vanaf droop.
Natuurlijk is het niet allemaal zo simpel.
Maar door samenwerkingen, waar dit soort kleine gemeenten vaak toe gedwongen worden om te overleven, is de slagkracht vaak groter dan je denkt. Als ze kunnen meeliften op een grote buur, dan groeit de capaciteit snel.
In hun uppie zullen ze ergens rond (of onder) de 10 ICT-ers zitten. Dat is niet veel, maar doenlijk. Daar deden wij het in het verleden ook mee. (gemeente < 25.000 inwoners, een 10-tal jaren geleden)
Je hebt dan geen specialisten, maar all-rounders met detail kennis van veel onderwerpen. Multi-inzetbaar.
En blijkbaar maken ze een verschuiving naar SaaS. Mogelijk zijn ze daar na 5 jaar al ver gevorderd mee.
:-)
Euh, Herselt een stad noemen is ook een overstatement. Ik ben van daar en we hebben een kerk, gemeentehuis, cafee n een supermarkt en dat is het. Het centrum is hooguit 4 straten groot. Dus een stad... Nee, niet echt.
05-05-2023, 17:27 door
FoxFish Cyberdefense
Een korte toelichting:
Fox&Fish werd enkel ingeschakeld voor bewustmakingstraining van het personeel van de gemeente Herselt. Bij dit incident waren geen medewerkers betrokken, dus dit staat geheel los van Fox&Fish.
09-05-2023, 15:15 door
Peter Volckaert
Dit is een klassiek cybersecurity incident waar men het de cybercriminal niet al te moeilijk heeft gemaakt.
Ik vind dat de gemeente Herselt hier toch schuld treft. In dit specifiek geval van VPN-toegang is sterke authenticatie écht een must, enkel en alleen een wachtwoord is onvoldoende. Een excuus zoals 'dat maakt het voor de partners te moeilijk' is wat flauw. Terwijl de oplossing echt niet veel moeite kost, en dat dankzij SaaS oplossingen.
Onlangs heb ik samen met een collega een webinar gegeven over hoe je een VPN instrumenteert voor multi-factor authentication. Zonder veel blabla, met een focus op 'how to'. De replay vind je hier: https://youtu.be/zx2BixveWxk
- Peter Volckaert
Ik vind dat de gemeente Herselt hier toch schuld treft. In dit specifiek geval van VPN-toegang is sterke authenticatie écht een must, enkel en alleen een wachtwoord is onvoldoende. Een excuus zoals 'dat maakt het voor de partners te moeilijk' is wat flauw. Terwijl de oplossing echt niet veel moeite kost, en dat dankzij SaaS oplossingen.
Onlangs heb ik samen met een collega een webinar gegeven over hoe je een VPN instrumenteert voor multi-factor authentication. Zonder veel blabla, met een focus op 'how to'. De replay vind je hier: https://youtu.be/zx2BixveWxk
- Peter Volckaert
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.