Dat is dus een afweging.. laat je de aanvaller zijn gang gaan, zodat hij/zij niet in de gaten heeft dat JIJ HEM in de gaten hebt, zodat ie niet als een stinkdier alles onder meurt, en zodat je kunt gaan tracken waar en hoe die naar binnen komt en waar die vandaan komt, of trek je de stekker eruit in de hoop dat er geen (dead-)timer loopt die alsnog alles encrypt of erger, wist...

Gezien je toch een DR moet doen en alles moet saniteren zie ik niet de urgentie van 'oe, net op tijd voordat ie systeem 39 van 40 systemen heeft gepakt'...

Eerlijk gezegd nooit over nagedacht, maar dit is zeker een uitstekend idee. Dit wordt opgepakt.

Sorry, maar... dit is toch echt wel een open deur die hier ingetrapt wordt.
Hoe had je anders het plan willen volgen?
- Uit het hoofd
- Op het besmette offline gehaalde systeem
- Vanaf een dedicated smartphone of tablet (die je wel altijd opgeladen en up-to-date moet houden, maar weer gescheiden van het betreffende netwerk)

Papier is geduldig, en kan niet gehackt worden.
Bewaar meerdere kopieen, ook off-site. (Net als je backups)

Wij hadden altijd een versleutelde USB stick met het volledige plan (dus niet alleen cybersecurity) thuis liggen. Dan praat ik over 2010 en later, en een commerciele organisatie. Ik snap niet dat dat niet overal gebeurd.

Inderdaad. Geen internet meer beschikbaar is ook regelmatig het sein om te gaan encrypen. Dan zou dit juist een domme actie zijn geweest. Ze hebben dus risico genomen met de ICT

Een open deur die vaak, zeer begrijpelijk, vergeten wordt.

Het probleem daarmee is dat die usb-stick bij iemand thuis ligt. Die persoon kan het bedrijf verlaten (vrijwillig of niet) en niemand weet dan nog waar die usb-stick ligt of nog erger de data kan misbruikt/gelekt worden wanneer het dienstverband niet harmonieus wordt beëindigd.

Nee het is onbegrijpelijk. Dit betekent namelijk ook dat het plan nog nooit getest is dan wel dat de test niets met de werkelijkheid te maken had.

Sinds de jaren negentig heb ik ontelbare continuity trainingen gegeven en dit specifieke punt altijd benadrukt compleet met voorbeelden uit de praktijk. Ook zwaar gereguleerde sectoren zoals banken leden grote schade door dit soort dommigheid.

Al met al ligt hier een nalatigheid/onbehoorlijk bestuur claim te wachten en lijkt het mij verstandig dat het Uni bestuur alvast wat juridische bijstand gaat zoeken.

Zie ook https://www.security.nl/posting/846204/%27Bestuurders+moeten+verantwoordelijkheid+nemen+voor+cybersecurity%27

Ik ben het een keer met je eens, Er hoort niks thuis te liggen, ook niet in de kluis van de baas.

Jazeker wel, daar was een prima administratie van, de betreffende usb sticks waren te duur om dat niet te administreren. Dit plan was alleen beschikbaar vcor Crisis Management Team (CMT). O, en we hadden ook een uitgewerkt pandemie plan daarin zitten, compleet met hoe om te gaan met uitgevallen telefonie en niet meer naar kantoor kunnen. Kwestie van plannen op het onplanbare.

Zo dien je ook altijd 1 AD server fysiek te hebben voor het geval de virtuele server omgeving plat gaat. Dat hebben jullie toch allemaal he? <---evil grin--->

Nee joh, dat draait allemaal in de cloud in de VS
What could possibly go wrong? :-)

Vooral nu ze een "golden dome" gaan bouwen.

Virtuele omgeving mag niet afh zijn van AD!! Wat heb je trouwens aan AD als de rest er uit ligt :) Als datacenter er uit ligt moet je automatisch kunnen overschakelen naar andere site: https://www.ovirt.org/documentation/disaster_recovery_guide/index.html

Bij ons hebben medewerkers een zakelijke laptop, het crisis team en alle betrokkenen hebben de Crisismanagement sharepoint omgeving permanent gesynchroniseerd staan op hun laptop. In het geval Sharepoint niet beschikbaar is staat de documentatie dus gewoon op de laptops van de crisis medewerkers.

Deze laptop is persoonlijk en kan alleen door de medewerker zelf gebruikt worden, bij uit dienst moet de laptop ingeleverd worden. Deze is uiteraard gemanaged en voorzien van encryptie.

Daar heb je geen controle over. Het wordt gemanaged door Microsoft.

Als AD specialist, dit is absolute kolder. Verder is de locatie van je DR plan ook niet zwart-wit. Je plan hoort gewoon snel en onafhankelijk van je huidige omgeving beschikbaar te zijn. Hoe dat eruit ziet, boeit niet. Dat kan net zo goed een speciaal ingerichte laptop zijn in een kluis zijn. Uiteraard ook redundant want 1 = geen.

Daar kom je verder ook heel snel achter wanneer je het Disaster Recovery plan uittest. Iets dat een serieuze organisatie minimaal 1x per jaar doet. Een plan dat niet regelmatig getest wordt is immers geen plan.

Verder heeft niemand daadwerkelijk hier de link aangeklikt want in het 'advies' (lees: advertentie van hun eigen producten) staat niets over papier. Mogelijk staat het ergens bij het NSCS maar een snelle zoektocht laat geen resultaten zien..

Dit is simpele misinformatie naar mijn mening en iedereen die hier twee seconden over nadenkt zal een beter advies kunnen uitbrengen.

Dit is allemaal heel normaal voor een organisatie die dit soort zaken serieus neemt.

En wederom staan de beste stuurlui aan wal. Het zijn op zich meerendeel wel valide punten die aangebracht worden, echter staat er in geen enkel DR plan: "We kappen de productie af indien we niet zeker zijn". En dat is de enige goede beslissing die hier te nemen was. En dat heeft deze partij gedaan. Alles plat en dan overzicht herstellen.

De meeste DR plannen zijn verouderd of niet compleet. Vaak wordt ervan uitgegaan dat er een keuze te nemen is. Of dat alles toch al plat ligt. Dat was hier niet het geval. En dat maakt het meteen moeilijk. En ja, het was handig geweest indien er een papieren versie van een DR plan voorhanden was. En dus niet digitaal. Immers moet er een IT infrastructuur zijn om erbij te kunnen. Tevens weet je niet of deze digitale bron "veilig" is. Wellicht zit de aanvaller al maanden in je netwerk.

En met een DR plan is het net als met een backup: "je weet pas of het werkt wanneer je het gebruikt". De meeste "oefeningen" zijn papieren oefeningen. Ik ken geen bedrijf of organisatie die een DR oefening ook volledig uitvoert. Vaak is de DR locatie niet eens geschikt om een volledige DR te kunnen faciliteren. Ik herinder mij nog wel een DR oefening uit het verleden waar het scenario was dat er een vliegtuig op het primairy DC was neergestort. Het draaiboek vertelde: "Iedereen van de locatie DC1 naar locatie DC2. Zelfs met politie afzetting van de snelweg. Er werd wel voorbijgegaan aan het feit dat wellicht de mensen op locatie DC1 er niet meer waren..... En toch stug ieder jaar deze "uitwijk" oefenen. Ging best goed op papier.