Wat kan het Nederlandse onderwijs en onderzoek leren van de ransomware-aanval op de British Library?

Rhysida aanval op the British Library

De ransomware-aanval op de British Library in oktober 2023 wordt een van de ergste cyberincidenten in de Britse geschiedenis genoemd: cybercriminelen zetten een grote hoeveelheid aan gestolen data online. In dit artikel lees je meer over het verloop van de aanval, het herstel en wat de Nederlandse onderwijs- en onderzoeksinstellingen hiervan kunnen leren.

The British Library aanval

In oktober 2023 viel de cybercrime groep Rhysida de online informatiesystemen van de British Library aan. Deze groep criminelen richt zich onder meer op onderwijs- en zorginstellingen. Ze eisten 20 bitcoin (596.000 pond op dat moment) als losgeld om de diensten te herstellen en de gestolen gegevens terug te geven. Toen de bibliotheek niet overging tot het betalen van het losgeld, plaatste Rhysida ongeveer 600GB gelekte bestanden en materiaal online, waaronder paspoorten en contracten. Ciaran Martin, de voormalig CEO van het Britse National Cyber Security Centre, beschrijft de hack als "een van de ergste cyberincidenten in de Britse geschiedenis".

De hoofdcatalogus was op 15 januari 2024 weer online in een alleen-lezen formaat. Sommige diensten van de bibliotheek zijn naar verwachting nog maanden niet beschikbaar. De British Library zal ongeveer 40% van haar financiële reserves, ongeveer 6-7 miljoen pond, gebruiken om te herstellen van de aanval.

Analyse aan de hand van het NIST framework

Als je achteraf terugkijkt, is het vaak duidelijk welke maatregelen en stappen er ondernomen hadden moeten worden. In de dagelijkse realiteit moet je je als instelling wapenen tegen nog onbekende dreigingen. In de enorme lijst aan activiteiten en maatregelen is het moeilijk om te bepalen wat de hoogste prioriteit heeft. Een framework helpt om overzicht en orde aan te brengen. In dit artikel kijken we daarom vanuit het NIST cybersecurity framework naar deze casus. Het NIST framework is erop gericht om cybersecurity-risico’s te managen.

Het NIST framework 2.0 is gepubliceerd in februari 2024 en kent zes onderdelen:

  • Govern - Besturen
  • Identify - Identificeren
  • Protect -Beschermen
  • Detect - Detecteren
  • Respond - Reageren
  • Recover – Herstellen

Om goed voorbereid en weerbaar te zijn is het belangrijk dat alle zes de onderdelen in je instelling geborgd zijn.

Besturen
Dit onderdeel richt zich op het begrijpen van de organisatorische context. De vaststelling van een cybersecurity strategie en risicobeheer voor de cybersecurity keten

Risicobeheer valt daar ook onder, net als de rollen, verantwoordelijkheden en bevoegdheden, beleid, en het toezicht op de cybersecurity strategie.

In de rapportage staat dat de bibliotheek risk management toepast. Zo waren de risico’s van legacy systemen al eerder gesignaleerd, ingeschat en geaccordeerd. Ook was de rolverdeling duidelijk vastgelegd en lag er een crisisplan.

Identificeren
Identificeer welke risico’s je loopt. Zo creëer je overzicht welke bestanden en informatie waardevol zijn, breng je systemen en datastromen in kaart.

Het was bekend bij de British Library dat er veel legacy systemen en verouderde software werden gebruikt. Daarbij is het geaggregeerde risico dat legacy met zich meebrengt onderschat. Met name de kosten en uren die nodig zijn om legacy systemen te herstellen. Ook werd er beperkt gebruik gemaakt van cloud leveranciers: on premiss-systemen zijn geraakt terwijl cloudsystemen grotendeels niet werden geraakt. Deze combinatie heeft er voor gezorgd dat de impact van het incident vele malen groter was dan verwacht.

Beschermen
Voorkom incidenten door technische maatregelen in te zetten, medewerkers te trainen en procedures op te stellen.

Vanwege de schade aan de systemen is niet concreet aan te wijzen waar  de cybercriminelen exact binnengedrongen zijn. De British Library maakt gebruik van meerdere externe, vertrouwde partners voor het ontwikkelen van software, IT onderhoud en andere vormen van consultancy. Daarbij maken ze gebruik van verschillende soorten accounts.

Het meest waarschijnlijk is dat de criminelen toegang kregen tot een privileged account waar geen MFA voor was ingeschakeld. Het bijhouden van accounts voor externen was in 2022 als risico opgemerkt, en voor 2024 stonden werkzaamheden gepland om die te adresseren.

Detecteren
Monitor verdacht gedrag en afwijkingen, dus houd actief in de gaten of er iets mis is. Wederom techniek, procedures en mensen. Richt technische maatregelen in om je netwerk te monitoren, procedures om incidenten en afwijkingen te melden, en train je medewerkers zodat zij weten wat ze moeten doen als ze iets vreemds zien of merken.

De British Library maakte gebruik van een monitoringsysteem, waarbij verdachte activiteit geblokt werd op 26 oktober om 0.21uur. De IT securitymanager ondernam meerdere stappen om te onderzoeken of er sprake was van een inbreuk, en er werden stappen ondernomen om aanvallen te blokkeren. Ze schakelden ook Jisc in, de organisatie die in de UK het National Research and Education Network Janet aanbiedt. Zij zagen dat een ongebruikelijk grote hoeveelheid data (440 GB) die over het netwerk uit de bibliotheek werd verzonden. In Nederland heeft SURF een vergelijkbare rol als Ji.

Reageren
Zorg dat je voorbereid bent op incidenten door een incident-procedure op te stellen. Denk ook aan een noodplan, het beleggen van rollen voor deelnemers aan je crisisteam en het trainen van je medewerkers op incidenten en crisissituaties.

De British Library heeft al in een vroeg stadium gekozen geen contact met de criminelen op te nemen. Ook niet om te onderhandelen. Dit is in lijn met wat het NCSC-UK adviseert. Ook de plannen voor crisismanagement en de bijbehorende organisatiestructuur waren actueel en aanwezig. In de evaluatie is aangegeven dat de British Library snel gehandeld heeft bij het incident, en dat training en bewustzijn daar een vast onderdeel van uitmaken.

Herstellen
Nadat de crisis bedwongen is en het incident afgehandeld, volgt het herstel. Procedures en maatregelen zijn bijvoorbeeld het repareren van getroffen apparatuur en onderdelen van je netwerk. Maar ook communiceren over het incident en het vertrouwen herstellen bij studenten, onderzoekers en medewerkers hoort hierbij.

De methode van Rhysida bevat een aantal activiteiten om het moeilijker te maken dat ze opgespoord worden. Bijvoorbeeld het verwijderen van log files encryptie en het vernietigen van servers om te voorkomen dat het systeem hersteld kan worden. Dat laatste heeft een hele grote impact. Hoewel het doel van de cybercriminelen was om bewijs te vernietigen zodat ze niet gevonden kunnen worden, is het uiteindelijke effect dat de bibliotheek miljoenen moet investeren om de infrastructuur opnieuw op te bouwen. Bij de opbouw is gekozen om een nieuwe, veiligere infrastructuur neer te zetten waarop verouderde en niet meer ondersteunde software niet geplaatst wordt.

Geleerde lessen

The British Library heeft een rapportage uitgebracht met zestien geleerde lessen die voor de hele sector interessant zijn. In dit artikel lichten we er zes uit.

  1. Besturen – De  huidige cybersecurity risico's en risicobeperkende maatregelen vaak en regelmatig worden besproken op het niveau van hogere functionarissen. (Advies 11 in de rapportage)
  2. Identificeren – Gebruik lifecycle management om verouderde systemen tijdig te vervangen (advies 8 in de rapportage)
  3. Beschermen – Implementeer multi-factorauthenticatie (MFA) voor alle accounts, ook voor accounts bij externe leveranciers (advies 3 in de rapportage)
  4. Detecteren – Werk samen met peers in je sector om op de hoogte te blijven van dreigingen en best practices (advies 15 in de rapportage)
  5. Reageren – Train alle medewerkers regelmatig en maak ze bewust van cyberrisico’s (advies 12 in de rapportage)
  6. Herstellen – Security zorgt nooit voor 100% bescherming. Investeer daarom net zoveel in back-up en recovery als je investeert in security (advies 10 in de rapportage)

Meer weten?

De British Library is hun infrastructuur aan het opbouwen. Een deel van hun dienstverlening is daardoor nog steeds niet volledig beschikbaar. Zo is het inzien van de collectie momenteel nog een handmatig proces.  Wil je meer weten over deze ransomware-casus, lees dan het volledige rapport van de British Library.

Vanuit SURF zijn er meerdere diensten waarmee je de beveiliging van je instelling kunt verbeteren. Deze diensten zijn beschikbaar voor alle leden van SURF en zijn in veel gevallen zonder extra kosten in te zetten.

Meer informatie over de security-diensten van SURF vind je op onze SURF.nl.

Lees ook onze handreiking 'Weerstand bieden tegen ransomware'

Dit artikel is geschreven door Rosanne Pouw, productmanager Awareness en training bij SURF.

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...

Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In...

Thema's