Het Goudse incident. André Beerten CISO A12-ziekenhuizen

Transcriptie

1 1 Het Goudse incident André Beerten CISO A12-ziekenhuizen

2 Even uw perceptie managen : firewall extra kosten sensor monitoring wachtwoordenkluis audit tbv CBP spoedactie AD LM-hash forensisch onderzoek secunia

3 3 Het begon..

4 Hack: zondag 7 oktober :00 13:00 - Met Brenno de Winter van Nu.nl, ik ga over 3 uur een artikel publiceren waarin staat dat medische gegevens beschikbaar zijn op een GHZ server. Ik geef u deze tijd om passende maatregelen te treffen. 13:10 - FOX-IT & NCSC bellen ICT-coordinator met hetzelfde bericht. 13:58 - gehackte server gaat uit 14:44 - GHZ helemaal van het internet 16:59 - oproep 1e crisis beraad 18:30-1e crisis beraad + Q&A op ghz-website

5 Een stukje techniek probe via VPN dienst tussen 11:30-12: exploit gebruikt 12:00-12: inbraak met 1 e download van gegevens 14:00-14: tm 7-10 meerdere inlogs via ipredator ( VPN ) mét downloads 5

6 Wat was er technisch mis 1. Kwetsbare backup service op FTP-server, aan het internet.. 1. HP Data Protector EXEC_CMD Buffer Overflow Vulnerability 2. Mitre CWE CVE Voor sftp stond bovendien een poort 5555 naar het internet open 1. FTP eist dynamische poorttoewijzing 2. Firewall beetje dom 3. Passwordfile van Gen6 had geen SALT en had een MD5 hash 1. Salting verdedigt tegen rainbow-table ww-matching 4. GHZ-beheer account kon -uiteraard- alle mappen lezen 6

7 Wat was er organisatorisch mis Waarom is de call van FOX-IT niet opgepakt (verholpen) Waarom was de lekke HPDataProtector niet bekend Hoe zat dat met Groen2000? Een veenbrand, die nog flink bluswerk zou vergen 7

8 Wat was er rondom eigendom mis Waarom stonden er dossiers van 2-3 jaar oud op de server? Waarom stond er een oude database van een PZ-systeem te verstoffen? Vragen: Wie is er eigenlijk verantwoordelijk voor die informatie? 8

9 En ondertussen, de werkelijkheid Feiten op ground-zero Voor de betrokkenen (patiënt) Voor de bestuurder 9

10 De storm luwt Veel lof voor GHZ vanwege openheid en snelheid v informeren Er valt niets meer te speculeren / raden / verzinnen 10

11 Systemen Intern: - EPD s +/_ 50 - Overige systemen > 75 Extern: - Bewerkers > Overigen..? Beheerders - Intern > 25 - Extern >

12 Regeldruk ISO / ISMS Baseline, gap & doelen manager Strategisch Tactisch Remember... Wie regelt de vertaling van de naar??

13 Regeldruk ISO / ISMS Baseline, gap & doelen manager Strategisch Tactisch E e n d i s c o n n e c t v a n d o e l e n, p r i o r i t e i t e n e n m i d d e l e n. Operationeel Cisco, M$, VMWare..

14 Te leren lessen Eigendom en verantwoording zijn sleutelbegrippen Een papieren tijger beveiligt niet Geef het beleid handen en voeten Zorg voor de juiste vertaling (competenties, rollen, rapportages, audits) Informatiebeveiliging is een kern-kwaliteit van ICT-diensten Alleen een in de processen geïntegreerde, systematische, gedragen benadering, op basis van helder beleid en vooral....werkt. 1 4

15 En verder: gewoon blijven proberen INFORMATIEBEVEILIGING, PRIVACY & CONTINUÏTEIT

16 Ugly? INFORMATIEBEVEILIGING, PRIVACY & CONTINUÏTEIT