De VN heeft opzettelijk een massale hackaanval verborgen die veel mensen in gevaar had kunnen brengen

United Nations Cyberattack

Nieuws over cyberaanvallen gericht op organisaties in alle soorten en maten komt dagelijks uit en dit gaat vaak gepaard met veel kritiek op het slachtoffer. Meestal ligt het probleem in de manier waarop het incident wordt afgehandeld, maar er zijn ook gevallen waarin slachtoffers van cyberaanvallen worden veroordeeld voor het niet nemen van voldoende voorzorgsmaatregelen om de inbreuk in de eerste plaats te voorkomen. Gisteren hebben de Verenigde Naties, de organisatie die verantwoordelijk is voor onder andere het behoud van de fragiele vrede op onze dierbare planeet, toegegeven dat deze het doelwit is geweest van hackers. Het is veilig om te zeggen dat mensen het niet alleen kunnen bekritiseren omdat het de inbreuk niet heeft voorkomen, maar ook vanwege de manier waarop het de melding heeft gedaan.

VN heeft in de zomer van 2019 te kampen gehad met een “goed voorziene” cyberaanval

Voordat we bij de fouten van de VN komen, moeten we eerst kijken wat er is gebeurd. We hebben het immers over een enorme organisatie die verantwoordelijk is voor een enorme hoeveelheid gegevens. Een deel ervan is zo gevoelig dat als het in verkeerde handen valt, dit kan leiden tot het verlies van mensenlevens. Gelukkig hebben de hackers, als de VN te geloven zijn, geen toegang tot de meest gevoelige stukjes informatie.

Volgens de officiële aankondiging trof de aanval "kerninfrastructuurcomponenten" in de VN-kantoren in Wenen en Genève. Een van de wapens van de VN in Genève is het Bureau van de Hoge Commissaris voor de Rechten van de Mens (OHCHR), en er werd bevestigd dat zijn servers het doelwit waren. Gelukkig bereikten de aanvallers alleen de ontwikkelingsomgeving, wat net zo goed is omdat OHCHR waarschijnlijk gevoelige gegevens verwerkt die kunnen leiden tot de vervolging van activisten door bepaalde regimes. Hoewel ze die informatie niet te zien kregen, slaagden de hackers erin enkele gebruikers-ID's van Active Directory in gevaar te brengen, hoewel de VN er snel op wees dat er geen wachtwoorden zijn gestolen.

VN-ambtenaren gaven er de voorkeur aan niet te veel in te gaan op wat er nog meer in het geding was. Ze wezen er echter op dat het incident 'ernstig' was en ze impliceerden dat de VN werd aangevallen door een geavanceerde groep hackers met voldoende middelen. Hoewel dit heel goed het geval kan zijn, kan het succes van de aanval niet volledig worden toegeschreven aan de vaardigheden van de hackers. Het slordige patchbeheer van de VN speelde ook een sleutelrol.

De aanval was succesvol vanwege een vertraagde update

Veel mensen maken zich zorgen omdat de aankondiging van gisteren opnieuw bewijst dat zelfs grote organisaties met een wereldwijd belang met succes kunnen worden gehackt. Het enge beetje is echter dat deze organisaties zich kwetsbaar laten voor cyberaanvallen.

Om te begrijpen wat er echt is gebeurd, moeten we de klok terugspoelen tot februari 2019 toen beveiligingsonderzoekers een fout in de uitvoering van externe code ontdekten in Microsoft SharePoint, een collaboratief document- en bestandsbeheersysteem dat door honderdduizenden organisaties over de hele wereld wordt gebruikt. Door de fout kunnen hackers SharePoint's authenticatie omzeilen en code uitvoeren op de server van het doelwit. De potentiële gevolgen van een dergelijke aanval waren enorm, daarom werd het beveiligingslek als kritiek geclassificeerd, kreeg het een CVE-nummer (CVE-2019-0604) en begon het werk aan een patch onmiddellijk. In maart heeft Microsoft een update uitgegeven om CVE-2019-0604 op de meeste getroffen SharePoint-versies aan te pakken en op 25 april 2019 heeft het een nieuwe patch uitgebracht voor de rest van de kwetsbare platforms.

Het IT-beleid van de VN schrijft blijkbaar voor dat beveiligingsupdates binnen een maand na de release moeten worden geïnstalleerd, maar helaas worden de regels niet strikt gevolgd. In juli 2019 misbruikten de hackers CVE-2019-0604 op het SharePoint-platform van de VN en kregen ze toegang tot de servers van de organisatie.

Cybersecurity-specialisten investeren behoorlijk wat tijd en moeite in het overtuigen van gebruikers en bedrijven dat het up-to-date houden van softwareapplicaties en besturingssystemen uiterst belangrijk is. We gaan er allemaal van uit dat de IT-experts die voor organisaties van wereldwijde betekenis werken hier niet aan moeten worden herinnerd, maar blijkbaar is dit niet het geval.

Het is de hoogste tijd dat we allemaal leren dat er absoluut geen excuus is om beveiligingsupdates te negeren. We moeten ook zien hoe de VN met het incident omgingen en van de fouten leren.

De VN heeft de aanval opzettelijk geheim gehouden

Het is moeilijk om te speculeren of de VN de intentie hadden om de schending gisteren bekend te maken, maar het feit is dat een paar uur voordat de ambtenaren van de organisatie voor de camera's stonden, een agentschap met de naam The New Humanitarian (TNH ) brak het nieuws. Het rapport was het resultaat van een vrij lang onderzoek, dat begon in november 2019 toen Ben Parker, een Senior Editor voor TNH, eind augustus vorig jaar op een intern VN-rapport stuitte.

Hieruit bleek dat het IT-team van de VN bezig was alle gaten te dichten en te onderzoeken wat er was gebeurd. Destijds communiceerden de experts onderling en probeerden ze de schade te beoordelen. Een anonieme IT-functionaris vertelde TNH dat het hele ding een "grote meltdown" was, en inderdaad, het onderzoek van Ben Parker onthult dat niet minder dan 40 servers tijdens de aanval werden aangetast. De servers waren waarschijnlijk gekoppeld aan human resources en ziekteverzekeringssystemen, wat betekent dat hoewel ze geen lijsten met mensenrechtenactivisten te zien kregen, de hackers wel toegang kregen tot de persoonlijke gegevens van VN-personeel in Genève en Wenen.

Uit het onderzoek van TNH blijkt ook dat de VN haar werknemers heeft aangespoord om hun wachtwoord te wijzigen, maar absoluut niet van plan was hen te vertellen dat hun gegevens het doelwit waren geweest van een cyberaanval. De enige mensen die van het incident wisten, waren de IT-specialisten die verantwoordelijk waren voor het opruimen van de puinhoop en de mensen verderop in de hiërarchie.

Als dit een normale organisatie was, zou het in allerlei problemen zijn geweest. De boete onder de GDPR van de EU zou enorm zijn geweest, en het feit dat de getroffen werknemers niet tijdig waren geïnformeerd, zou als een solide basis voor een rechtszaak hebben gediend. De VN is echter geen normale organisatie. Het heeft diplomatieke immuniteit, wat betekent dat regelgevers niet de wettelijke rechten hebben om het verantwoordelijk te houden, en de opties voor getroffen individuen zijn ook niet bepaald in overvloed.

Het enige dat we op dit moment kunnen doen, is hopen dat andere organisaties, zowel grote als kleine, enkele lessen leren.

January 30, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.