Net zo min als dat de auto-APK aantoont dat een auto veilig is, is dit net zo'n wassen neus.

Je beveiliging op orde hebben is 1. Maar een plan B als de boel toch onderuit gaat (om welke reden dan ook) is vele malen belangrijker!

Er overlijden mensen in het ziekenhuis en blijkbaar gaan er ook bedrijven failliet door het gebruik van een windowsecosysteem. Triest, terwijl Microsoft toch zo had beloofd dat het nu nog veiliger zou zijn.

het wachtwoord was "password1234"

Ik heb de indruk dat de vraag "Als we alles kwijt zijn, hoeveel tijd hebben we dan nodig om (in elk geval) weer in de lucht te zijn?" nog weleens achterwege blijkt gebleven.

Het effect van de klap is doorgaans dat juist de nasleep slecht of helemaal niet ingeschat was. Gecombineerd met allemaal gebruikers die steeds vervelender willen weten wanneer alles weer werkt. En nog geirriteerder raken als je daar geen realistische inschatting van kunt geven, of met beloftes komt waarvan later blijkt dat je die ook al niet kon waarmaken.

Het is de naschok die je nekt. Die is eigenlijk nòg belangrijker dan alle mogelijke security voorzorgen die je zou of had kunnen nemen. Een foutje gebeurt overal wel eens, de Belgen zeggen dan, het kan iedereen overkomen maar de stomsten het eerst, maar gebeurt het dan wil je niet met je broek naar beneden en een bek vol tanden staan. Heb dàt op orde, dan zijn er ook verrassend veel mensen die achteraf juist méér vertrouwen in je hebben dan voorheen. Verrassend genoeg. Want iedereen wil bij een winnaar horen.

Geen goede rechten/rollen structuur, geen redunancy/uitwijk, geen (veilige)backups, geen recovery procedures, geen detectie, geen verstand van IT en geen geld achter de hand om de boel te herstellen.

Hij kan wel denken dat hij aan "IT security standards" voldeed maar dat was duidelijk niet zo.

Tenzij je de IT security standaard van "we kloten maar wat aan en als je mazzel hebt is het op papier veilig" handhaaft zoals velen.

Daar gaat een APK echt helemaal niets aan verbeteren.

Hmmm denk: 123456 is nog steeds het meest gelekte wachtwoord.

U werkt in de auto-industrie of een onderhoudsgarage als gekwalificeerde automonteur?
Dan zou ik graag van u willen weten wat er mis is met de APK en waarom dit dan zo onveilig en een wassen neus is.

Nee het stond ergens in een bestand opgeschreven, en de sleutel hadden ze op slinkse wijze te pakken gekregen.

Meer context graag op dit artikel. Nu suggereerd het dat het bedrijf een onschuldig slachtoffer is. Maar een zwak wachtwoord met 2FA is zou onschuldig kunnen zijn, en anders is de schuldige de bedrijfsvoering zelf.

Tja, zolang bedrijven informatiebeveiliging alleen zien als iets wat geld kost en niet iets dat geld oplevert zullen ze er geen geld in willen stoppen. Als ze dan mensen willen aannemen voor informatiebeveiliging betalen ze peanuts. En zoals ze in het engels zouden zeggen "if you pay peanuts you get monkeys".
Informatiebeveiliging is belangrijk, totdat ze er geld in moeten stoppen. Er zijn lijsten beschikbaar waarmee je bekende zwakke wachtwoorden kan detecteren ( deze kun je dan ook niet kiezen) maar het implementeren kost geld.
Ook heb ik meegemaakt dat bedrijven denken dat als ze maar de beste beveiligingssoftware kopen die er is dat ze veilig zijn, maar deze moeten ook ingericht en onderhouden worden, maar daar hebben ze het personeel niet voor. Dus ze hebben software ( en soms zelfs speciale hardware) maar in de praktijk werken ze niet. Zoals bij een klant die heel mooi intrusion detectie systeem had gekocht... maar die stond te verstoffen in een hoekje waar deze elektriciteit verbruikte maar niet eens aan het netwerk bleek te hangen omdat niemand wist hoe dat ding werkte....

Het is vanuit de overheid en dan is het hier blijkbaar per definitie slecht. Enige realiteit over hoe goed het gesteld is met het Nederlandse wagenpark doet er dan ook niet toe.

Niet de medewerker met het simpele wachtwoord was hier de schuldige, maar het bedrijf met een slecht wachtwoordbeleid was hier de schuldige. Soms is het leven zo simpel en soms zijn bedrijven anno 2024 zo dom...

Het is natuurlijk niet alleen het zwakke wachtwoord... Tuurlijk is een zwak wachtwoord echt een slecht idee zeker in deze tijd maar waar is de combinatie met MFA in dit geval? Dan kan je wachtwoord misschien wel zwak zijn maar dan heb je in ieder geval een extra laag beveiliging.

Maar de hamvraag is dan hoe konden ze windows admin rechten krijgen?

De schuldige is nog steeds degene die de ransomewear heeft geplaatst. Het is natuurlijk wel een feit dat de justities van deze wereld deze criminaliteit niet weten uit te bannen. En het betalen om van de gijzeling verlost te worden, helpt hier ook niet bij. Om nog maar te zwijgen van de bedrijven die deze organisaties hierbij helpen. Die maken zich gewoon schuldig aan het faciliteren van en meewerken aan criminaliteit. En dan nog vrolijk de publiciteit opzoeken hoe ze onderhandelen met criminelen en daar trots op zijn. Het is helaas de praktijk.

Dat valt maar te bezien. Uitlokken mag namelijk niet. Iemand wordt aangezet tot het plegen van een strafbaar feit omdat de boel is opengezet?

Er stond toch geen digitaal bordje: kom gezellig binnen in onze IT-omgeving? Dat is een vorm van uitlokking. Slordig omgaan met een wachtwoord is geen uitlokking. Ook het niet patchen van een bekende kwetsbaarheid is geen uitlokking. Hoe naïef dat ook is om te doen (of eigenlijk na te laten).

Iets is uitlokking als iemand wordt aangezet om iets te doen wat die anders niet zou hebben gedaan.

Kijk naar de discussies over de inzet van lokfietsen in Nederland. Het is uitlokking als de politie een voorbijganger aanspreekt en aanmoedigt om een fiets die niet op slot staat te stelen. Het is geen uitlokking als er een fiets die niet op slot staat onopvallend tussen allerlei andere fietsen staat. Het kan wel weer uitlokking zijn als een fiets zo staat dat prominent zichtbaar is dat de sleutel in het slot steekt, of als de fiets zelf zo'n opvallend exemplaar is dat mensen er vanzelf meer dan normaal naar gaan kijken (en dan kom je op een terrein waar de grenzen moeilijk precies zijn aan te geven).

Bij een zwak wachtwoord ziet iemand een inlogformulier waar je totaal niet aan kan zien dat er makkelijk binnen te komen is. Dat zwakke wachtwoord staat niet al kant en klaar ingevuld als je op dat inlogscherm komt, iemand moet doelbewust inlogpogingen gaan doen om binnen te komen. Als die iemand daar niet toe wordt aangezet maar zelf het initiatief neemt is die nergens toe uitgelokt, ook niet als die vervolgens wel erg makkelijk binnen blijkt te komen door een zwak wachtwoord. Het is nog steeds een doelbewust doorbroken beveiliging.

En dat vervolgens ransomware is ingezet maakt natuurlijk helemaal duidelijk dat dit geen uitlokking was.

Dat alles wil natuurlijk absoluut niet zeggen dat een slechte beveiliging goed genoeg is. De ondergang van dat transportbedrijf illustreert dat overduidelijk. Maar ik zie hier geen uitlokking, dat zwakke wachtwoord maakt degene die achter die ransomware zit geen haar minder crimineel, die heeft die misdaad gepleegd omdat die hem sowieso al wilde plegen.