SAMENVATTING ONDERZOEKSRAPPORT DATALEK ZIGGO MAIL

Transcriptie

1 SAMENVATTING ONDERZOEKSRAPPORT DATALEK ZIGGO MAIL Incident, incidentmanagement en responseproces bij datalek als gevolg van ransomware in valse Ziggo mail d.d. 20 oktober Aanleiding Aanleiding voor dit onderzoeksrapport is het incident dat bekend is komen te staan als: Datalek Ziggo mail. Dit onderzoeksrapport richt zich zowel op de aard en omvang van het datalekincident zelf als op het incidentmanagement en het reponseproces voor de bestrijding van het incident. 2. Onderzoeksopdracht en onderzoeksvragen In het belang van de zorg voor informatieveiligheid en voor de bescherming van persoonsgegevens is er in opdracht van de directeur van WIL een intern onderzoek gedaan. De onderzoeksopdracht en de onderzoeksvragen luiden: Onderzoeksopdracht Onderzoek het incident met de Ziggo mail en de directe gevolgen van de ransomware- besmetting met (deskundige) rapportage en bevindingen, inclusief onderzoek naar en rapportage van welke bestanden en welke persoonsgegevens zijn geraakt. Onderzoeksvragen 1. Wat zijn de maatregelen die per direct (tijdelijk of structureel) genomen zijn om de beveiliging van netwerk, bestanden en persoonsgegevens goed te borgen? 2. O.b.v. punt 1) Wat is de evaluatie en wat zijn de bevindingen/aanbevelingen om op middellange en lange termijn de beveiliging van netwerk, bestanden en persoonsgegevens duurzaam goed te borgen? 3. Had dit incident voorkomen kunnen worden? 3. Beschrijving van het incident en maatregelen 3.1 Waar bestond het incident uit, wat is er gebeurd? Op donderdag 20 oktober 2016 heeft een netwerkgebruiker bij WIL een phising ontvangen in de vorm van een Ziggo mail met daarin linkjes naar factuurinformatie. De gebruiker ontvangt uit hoofde van de taak bij WIL regelmatig soortgelijke s.

2 De ontvangen phishing is door de ongebruikelijk hoge kwaliteit door de internetfilter heen gekomen. De netwerkgebruiker heeft de phishing geopend en een van de linkjes aangeklikt. In plaats van factuurinformatie werd er een malwarebestand gedownload en uitgevoerd op de virtuele computer van de gebruiker op het netwerk van WIL. Hierna is een bestand met daarin het contactenboek met adressen van de netwerkgebruiker naar een internetadres geüpload. Daarnaast zijn alle bestanden op de virtuele computer van de netwerkgebruiker en een deel van de bestanden in de afdelingsmap waar de gebruiker toegang tot had versleuteld. Dit met de intentie de netwerkgebruiker te laten betalen om de documenten weer te kunnen openen. 3.2 Wat zijn de oorzaken en gevolgen van het incident? Om vast te kunnen stellen wat de veroorzaker van het incident was, en met welke gevolgen rekening moest worden gehouden is na constatering van het incident opdracht gegeven aan een externe expert om het incident te onderzoeken. Het gaat hier om een variant van de TorrentLocker malware, waarschijnlijk (afgaande op de analyse van de s) verspreid vanuit Rusland. Tijdens de besmetting was nog niet duidelijk of het mogelijk was dat er bestanden naar een externe server werden gestuurd. Tijdens het analyseren van de geïnfecteerde bestanden is vastgesteld dat een Access-databasebestand met gevoelige persoonsgegevens is geïnfecteerd. Wanneer dit bestand daadwerkelijk naar een externe server wordt verstuurd, is er sprake van een datalek. 3.3 Hoe is er voor gezorgd dat de gevolgen beperkt bleven? De geïnfecteerde computer is door de uitvoer van een regulier en geautomatiseerd proces gewist en opnieuw geïnstalleerd gedurende de nacht van 20 op 21 oktober. De malware heeft vanwege de strenge beveiligingsmaatregelen op de netwerkomgeving maar een zeer beperkt tijdsframe ter beschikking gehad. Tijdsframe: 20 oktober :24:45 tot en met 20:58:55. Totale tijd: 34 minuten en 10 seconden. Vastgesteld is dat de malware in dit tijdsbestek niet de mogelijkheid heeft gehad om bestanden naar een externe server te uploaden. Dit (onder meer) vanwege de ingestelde beperking op de uploadsnelheid van de omgeving." Conclusie na deze constatering: Er zijn géén bestanden naar een externe server verstuurd. 3.4 Welke maatregelen zijn getroffen om de schade te beperken? Om een nieuwe infectie te voorkomen zijn gebruikers gewaarschuwd om extra aandachtig te zijn bij het zien van een van onbekende afzenders en met bepaalde verzoeken. Tevens is (mede in het kader van het project privacy/meldplicht datalekken) direct na het incident een bewustwordingscampagne gestart. Vanaf dit moment zal bewustwording een jaarlijks terugkerend item zijn dat verplicht is in het kader van de informatiebeveiliging. Om een nieuwe infectie te voorkomen zijn de /internetfilters op het netwerk aangescherpt. Een van de maatregelen die nu zijn genomen op de ICT infrastructuur is het inrichten van een extra beveiligingslaag voor het nog strenger scannen van inkomende . Daarnaast is er een extra beveiligingsmaatregel/controle toegepast naar "best practice" voorbeeld van de Informatiebeveiligingsdienst voor gemeenten (IBD). Deze maatregel zorgt ervoor dat onbekende bestandsformaten niet meer geïnstalleerd kunnen worden op het netwerk.

3 4. Wat is de conclusie van het onderzoek? Uiteindelijk moeten we concluderen dat dit incident niet voorkomen had kunnen worden. Dat wil niet zeggen dat er niets veranderd moet worden. In tegendeel, dit is het moment van bewustwording en aanscherping van de maatregelen die al zijn getroffen. Dit zal een continue proces blijven. 5. Wat was de reactie op het incident? STAP 1: Identificatie Op vrijdagochtend 21 oktober rond 10:00 uur doet de coördinator ICT-beheer van de gemeente Houten melding van een incident. Het gaat om een valse van Ziggo bij een van onze medewerkers, die heeft geleid tot het gijzelen van haar netwerkaccount. ICT Houten heeft WIL hierover ingelicht, alles lijkt op dat moment onder controle en er wordt onderzocht of dit inderdaad het geval is. ICT weet nog niet precies van welke versie virus sprake is geweest. O.b.v. de informatie die ICT- beheer de vrijdag van het incident had, heeft zij aangegeven dat de kans op een datalek nihil is. In theorie bestaat er een mogelijkheid dat er bestanden naar een onbekende server geüpload zijn. In overleg tussen WIL en ICT-beheer Houten wordt besloten om een digitaal expert informatiebeveiliging van Parell in te schakelen. 5.1 Resultaten onderzoek Parell De malware is verspreid via een phishing . De phishing is door ongebruikelijke hoge kwaliteit door de filter heen gekomen. Gebruiker 1 heeft de phishing geopend, de link aangeklikt en het gedownloade bestand uitgevoerd. De malware heeft gedurende 34 minuten en 10 seconden het werk kunnen uitvoeren. Alle bestanden binnen de scope van de malware zijn versleuteld. Tijdens het onderzoek is vastgesteld dat er mogelijk bestanden naar een externe server zijn verstuurd. Op woensdag 26 oktober is aangegeven dat Parell dit waarschijnlijk acht en verder onderzoek wenselijk is. In de lijst met geïnfecteerde bestanden is vastgesteld dat er een access bestand met gevoelige informatie is geïnfecteerd. Hierdoor is er mogelijk een datalek ontstaan. De malware is nu niet meer actief en de nodige acties zijn ondernomen om verdere verspreiding te stoppen en een herhaling te voorkomen. STAP 2: Schade indamming en beoordeling van de blootstelling Bij een datalek met persoonsgegevens worden altijd zowel de CISO als de privacyfunctionaris (welke WIL op het moment van het incident nog niet heeft) geïnformeerd. Het gaat hier naar inschatting om een groot incident waardoor direct is opgeschaald en de afdelingsmanager, manager Bedrijfsbureau/tevens CISO, de eigenaar van het incidentmanagement en responseproces is. Hij heeft een team samengesteld dat is belast met het beperken van verdere schade als gevolg van het incident. Dit team bestaat uit een informatieadviseur, een juriste, communicatieadviseurs, een interne controller en een senior medewerker documentaire informatievoorziening. Het team voert de volgende taken uit: Vaststellen wat de schade is; Bewijsmateriaal veiligstellen; Voorbereiden van het communicatieproces dat nodig is bij de vaststelling van een datalek.

4 Tevens wordt bepaald dat het datalek onder de meldplicht Wbp valt. De Autoriteit Persoonsgegevens wordt met een voorwaarschuwing geïnformeerd. 5.2 Resultaten beoordeling aard en omvang Ter vaststelling van de aard en omvang van de geraakte bestanden heeft ICT-beheer op maandag 24 oktober aangereikt; de gevraagde overzichten van de afdelingsschijf, de homeschijf van de gebruiker en de profielschijf van de gebruiker van het moment waarop de ransomware actief was en bestanden heeft encrypted door de toevoeging van.enc op 20 oktober om 8:44 PM. Uiteindelijk blijkt het datalek te gaan om de lijst met contactpersonen in Outlook 269 e- mailadressen en in de voorgestelde contactpersonen 563 adressen. Na opschoning van foutieve adressen blijkt het hier om 800 adressen te gaan met persoonsgegevens in de vorm van naam en het adres. 5.3 Resultaat verificatie onderzoek Parell De malware heeft in dit tijdsbestek niet de mogelijkheid gehad om bestanden naar een externe server te uploaden, dit (onder meer) vanwege de ingestelde beperking op de uploadsnelheid van de omgeving. Wel zijn er adressen buitgemaakt die gebruikt kunnen worden voor verdere verspreiding van de malware. STAP 3: Remediatie en herstel Er zijn maatregelen genomen om de oorzaak van het incident te blokkeren of te verwijderen. Tevens is de impact verminderd door verdere blootstelling van de gevoelige gegevens te voorkomen. Direct na het constateren van het incident is er een start gemaakt om de bedrijfsprocessen die als gevolg van het incident geblokkeerd waren te herstarten. Het ging hier om het proces van de barcodescanner. Daarnaast is ervoor gezorgd dat risico s die verband houden met dit incident gemitigeerd 1 worden. 5.4 Uitgevoerde maatregelen en acties direct na het incident De geïnfecteerde machine (thin client) wordt door middel van een automatisch proces gewist en opnieuw en schoon geïnstalleerd. Het gebruikersaccount is ontoegankelijk gemaakt. Versleutelde bestanden zijn vervangen door versies vanuit de meest recente (zuivere) back-up. Alle overige netwerkgebruikers zijn gewaarschuwd voor de Ziggo mail De internet-/ filters zijn aangescherpt. Verder zijn er n.a.v. het incident een aantal extra maatregelen genomen door ICT beheer. En er zijn maatregelen naar voren gehaald die voor 2017 stonden gepland NB: Vanuit beveiligingsoogpunt wordt verder niet ingegaan op de werking van deze maateregelen. STAP 4: Kennisgeving Tijdens stap 2 is vastgesteld welke gegevens (mogelijk) zijn blootgesteld door het incident, en de getroffenen zijn per ommegaande in kennis gesteld van het feit dat hun gegevens blootgesteld zijn/kunnen zijn. Daarnaast zijn de colleges en raden van de deelnemende gemeenten bij de 1 Maatregel die negatieve effecten vermindert of wegneemt.

5 gemeenschappelijke regeling geïnformeerd over dit voorval. Bij Stap 2 is ontdekt dat er een datalek is voor de adressen uit het contactboek van Outlook en is er een voormelding gedaan bij de Autoriteit Persoonsgegevens (AP). Op basis van het detailonderzoek kan nu de volledige melding voorbereid en gedaan worden. Verder zijn andere overheidsinstanties, zoals de IBD en de politie geïnformeerd. Een van de juristen van WIL is bij deze melding betrokken. Daarna is ook de pers geïnformeerd. Sommige stappen zijn nagenoeg parallel uitgevoerd vanwege het communicatiemoment vlak voor het weekend. Bij de woordvoering over een incident is vooraf een jurist betrokken, omdat de aard en inhoud van de communicatie gevolgen kan hebben voor de aansprakelijkheid. STAP 5: Rapportage en evaluatie Deze rapportage van het incident bestaat uit de genomen maatregelen, het algemeen verslag van het verloop van het incident en de onderzoek rapportages van Parell. De lessen uit het incident moeten nog geïdentificeerd en besproken worden met het team. 5.5 Verbeterpunten De infectie is pas de dag nadat het heeft plaatsgevonden geïdentificeerd door een andere gebruiker. Er is geen alert ontvangen door monitoring-applicaties. De aanwezige automatische processen hebben de infectie relatief snel tegen kunnen houden, maar tijdens de uitvoering van deze processen is ook het meeste bewijs- en analysemateriaal zoals de geïnfecteerde image en de logging hieromtrent verloren gegaan. Op het gebied van communicatieverloop zijn er de nodige lessen geleerd die in een herzien proces geïmplementeerd kunnen worden, om zo bij een volgend incident de betrokken partijen te helpen door beter en efficiënter te reageren. 6. Bevindingen onderzoeksopdracht Onderzoek het incident met de Ziggo mail en de directe gevolgen van de ransomware besmetting met (deskundigen) rapportage en bevindingen, inclusief onderzoek naar, en rapportage van welke bestanden en welke persoonsgegevens zijn geraakt. Vanuit onderzoek door deskundigen is bevestigd dat het adressenboek en alle voorgestelde e- mailadressen van het getroffen gebruikersaccount verzonden zijn. Tevens hebben de deskundigen vastgesteld dat de malware, in het tijdsbestek dat het actief was, niet de mogelijkheid heeft gehad om andere bestanden met persoonsgegevens naar een externe server te uploaden. De infectie is pas de dag nadat het heeft plaatsgevonden geïdentificeerd door een andere gebruiker. Er is geen alert ontvangen door monitoring-applicaties. De aanwezige automatische processen hebben de infectie relatief snel tegen kunnen houden, maar tijdens dit proces is ook het meeste bewijs- en analysemateriaal zoals de geïnfecteerde image en de logging hieromtrent verloren gegaan. Op het gebied van communicatieverloop tijdens het onderzoek zijn er de nodige lessen geleerd die in een herzien proces geïmplementeerd kunnen worden, zodat bij een volgend incident de betrokken partijen geholpen kunnen worden door beter en efficiënter te reageren.

6 7. Antwoord onderzoeksvragen Vraag 1: Wat zijn de maatregelen die per direct (tijdelijk of structureel) genomen zijn om de beveiliging van netwerk, bestanden en persoonsgegevens goed te borgen? Uitgevoerde maatregelen en acties direct na het incident: De virtuele computer die de infectie te pakken heeft, wordt door middel van een automatisch proces gewist en opnieuw voorzien van een schone installatie. Het gebruikersaccount is ontoegankelijk gemaakt. Versleutelde bestanden zijn vervangen door versies uit de meest recente (zuivere) back-up. Alle overige netwerkgebruikers zijn gewaarschuwd voor de Ziggo mail De internet-/ filters zijn aangescherpt. Genomen extra maatregelen naar aanleiding van het incident: Alle inkomende mail wordt bij Office 365 afgeleverd en doorgestuurd naar de eigen mailserver. Hiermee wordt er een extra scan gedaan door Microsoft voordat het bij ons terecht komt. Filescreening is geactiveerd op het netwerk. Hierdoor is het niet langer mogelijk dat onbekende/ongewenste bestandstypes zoals een encryptie-bestand worden geïnstalleerd. Vraag 2: Wat is de evaluatie en wat zijn de aanbevelingen om op middellange en lange termijn de beveiliging van netwerk, bestanden en persoonsgegevens duurzaam goed te borgen? Voer een evaluatie uit op aanwezigheid van kwetsbare bestanden (zoals Access databases) met gevoelige informatie / persoonsgegevens. Voer een vulnerability assessment uit om het veiligheidsniveau van het netwerk verder in kaart te brengen en eventuele andere kwetsbaarheden te identificeren (dit nádat ICT Beheer de geplande verbetermaatregelen ten uitvoer heeft gebracht.) Evalueer het crisisproces: tijdens dit incident zijn er de nodige lessen geleerd, waarmee de volgende keer beter op een gelijkaardig incident gereageerd kan worden. Organiseer awareness-sessies voor de medewerkers met verhoogde prioriteit; Dit incident is het meest duidelijke voorbeeld van het feit dat awareness absoluut noodzakelijk is. Verbeter het loggingsproces en het bewaren van logs voor een langere periode bij het vaststellen van incidenten. Vraag 3: Had dit incident voorkomen kunnen worden? De Ziggo mail waar het hier om gaat was van dusdanige aard dat de /internetfilter binnen het netwerk hem niet heeft tegenhouden. Ook voor het strenger instellen van de /internetfilters en andere beveiligingsmaatregelen geldt dat er een continue wedijver is tussen beveiligingsmaatregelen enerzijds en hackers die steeds slimmere ingangen vinden anderzijds. Zij gebruiken letterlijk de netwerkgebruiker om toegang te krijgen zonder dat deze dat door heeft. Vanuit bewustwording had dit incident mogelijk voorkomen kunnen worden als alle medewerkers goed getraind waren geweest in het herkennen van valse s. Omdat het hier gaat om een zeer nauwkeurig nagemaakte van de originele Ziggo mails met factuurinformatie, blijft het nog maar de vraag of een getraind medewerker die veel van deze s krijgt hem had onderschept.