Het Goudse incident. André Beerten CISO A12-ziekenhuizen

FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU

1

Het Goudse incident

André Beerten CISO A12-ziekenhuizen [email protected] +31 6 1272 7238


Even uw ‘perceptie managen’:

2

firewall extra kosten

300000

sensor monitoring

300000

wachtwoordenkluis

200000

audit tbv CBP

40000

spoedactie AD LM-hash

60000

forensisch onderzoek

75000

secunia

36000


3

Het begon ..


Hack: zondag 7 oktober 2012 13:00 13:00 - “Met Brenno de Winter van Nu.nl, ik ga over 3 uur een artikel publiceren waarin staat dat medische gegevens beschikbaar zijn op een GHZ server. Ik geef u deze tijd om passende maatregelen te treffen.” 13:10 - FOX-IT & NCSC bellen ICT-coordinator met hetzelfde bericht. 13:58 - gehackte server gaat uit 14:44 - GHZ helemaal van het internet 16:59 - oproep 1e crisis beraad 18:30 - 1e crisis beraad + Q&A op ghz-website


Een stukje techniek

1. 2. 3. 4.

5

26-9 probe via VPN dienst tussen 11:30-12:00 26-9 exploit gebruikt 12:00-12:15 26-09 inbraak met 1e download van gegevens 14:00-14:30 26-09 tm 7-10 meerdere inlogs via iPredator (‘VPN’) mét downloads


Wat was er technisch mis 1. Kwetsbare backup service op FTP-server, ‘aan het internet’.. 1. HP Data Protector EXEC_CMD Buffer Overflow Vulnerability 2. Mitre CWE 120 3. CVE-2011-1866

2. Voor sFTP stond bovendien een poort 5555 naar het internet open 1. FTP eist dynamische poorttoewijzing 2. Firewall ‘beetje dom’

3. Passwordfile van Gen6 had geen SALT en had een MD5 hash 1. Salting verdedigt tegen rainbow-table ww-matching

4. ‘GHZ-beheer’ account kon -uiteraard- alle mappen lezen

6


Wat was er organisatorisch mis Waarom is de call van FOX-IT niet opgepakt (verholpen) Waarom was de lekke HPDataProtector niet bekend Hoe zat dat met ‘Groen2000’? Een veenbrand, die nog flink bluswerk zou vergen

7


Wat was er rondom eigendom mis Waarom stonden er dossiers van 2-3 jaar oud op de server? Waarom stond er een oude database van een PZ-systeem te verstoffen? Vragen: Wie is er eigenlijk verantwoordelijk voor die informatie?

8


En ondertussen, de werkelijkheid Feiten op ‘ground-zero’ Voor de ‘betrokkenen’ (patiënt) Voor de bestuurder

9


De storm luwt Veel lof voor GHZ vanwege openheid en snelheid v informeren

Er valt niets meer te speculeren / raden / verzinnen

10


Systemen Intern: - EPD’s +/_ 50 - Overige systemen > 75 Extern: - Bewerkers > 120 - Overigen .. ? Beheerders - Intern > 25 - Extern > 150

11


Strategisch ISO

/

ISMS

Regeldruk Baseline, gap & doelen

Tactisch manager

Remember .. . Wie regelt de vertaling van de

naar

??


Strategisch ISO

/

ISMS

Regeldruk Baseline, gap & doelen

Tactisch manager

Een disconnect van doelen, prioriteiten en middelen. Operationeel Cisco, M$, VMWare..


Te leren lessen Eigendom en verantwoording zijn sleutelbegrippen Een papieren tijger beveiligt niet Geef het beleid handen en voeten Zorg voor de juiste vertaling (competenties, rollen, rapportages, audits)

Informatiebeveiliging is een kern-kwaliteit van ICT-diensten Alleen een in de processen geïntegreerde, systematische, gedragen benadering, op basis van helder beleid en vooral.. ..werkt.

1 4


En verder: gewoon blijven proberen

INFORMATIEBEVEILIGING, PRIVACY & CONTINUÏTEIT


Ugly?

INFORMATIEBEVEILIGING, PRIVACY & CONTINUÏTEIT

Het Goudse incident. André Beerten CISO A12-ziekenhuizen

Recommend Documents