Wat kan het Nederlandse onderwijs en onderzoek leren van de ransomware-aanval op de British Library?

De ransomware-aanval op de British Library in oktober 2023 wordt gezien als een van de ernstigste cyberincidenten in de Britse geschiedenis. Cybercriminelen publiceerden een grote hoeveelheid gestolen data online. In dit artikel lees je meer over het verloop van de aanval, het herstel en wat Nederlandse onderwijs- en onderzoeksinstellingen hiervan kunnen leren.

De aanval op de British Library

In oktober 2023 viel de cybercrimegroep Rhysida de online informatiesystemen van de British Library aan. Deze groep richt zich onder andere op onderwijs- en zorginstellingen. Ze eisten 20 bitcoin (destijds ongeveer 596.000 pond) als losgeld om de diensten te herstellen en de gestolen gegevens terug te geven. Toen de bibliotheek niet betaalde, plaatste Rhysida ongeveer 600 GB gelekte bestanden en documenten online, waaronder paspoorten en contracten. Ciaran Martin, voormalig CEO van het Britse National Cyber Security Centre, noemt de hack “een van de ergste cyberincidenten in de Britse geschiedenis”.

Op 15 januari 2024 was de hoofdcatalogus weer beschikbaar in een alleen-lezen formaat. Sommige diensten waren daarna nog maanden niet beschikbaar. De British Library heeft ongeveer 40% van haar financiële reserves, zo’n 6 à 7 miljoen pond, gebruikt voor het herstel.

Analyse met het NIST Cybersecurity Framework

Achteraf is vaak duidelijk welke maatregelen beter genomen hadden kunnen worden. In de praktijk moet je als instelling echter ook voorbereid zijn op onbekende dreigingen. Het NIST cybersecurity framework helpt hierbij door structuur aan te brengen. In dit artikel kijken we daarom vanuit het NIST cybersecurity framework naar deze casus. Het NIST framework is erop gericht om cybersecurity-risico’s te managen.

Het NIST framework 2.0 is gepubliceerd in februari 2024 en kent zes onderdelen:

Om goed voorbereid en weerbaar te zijn is het belangrijk dat alle zes de onderdelen in je instelling geborgd zijn.

Besturen

Dit onderdeel draait om het begrijpen van de organisatorische context, het vaststellen van een cybersecuritystrategie en risicobeheer. Dit omvat rollen, verantwoordelijkheden, beleid en toezicht.

De British Library paste riskmanagement toe. Risico’s van legacy systemen waren gesignaleerd, ingeschat en geaccordeerd. De rolverdeling was duidelijk vastgelegd en er was een crisisplan aanwezig.

Identificeren

Hierbij breng je risico’s, waardevolle data, systemen en datastromen in kaart.

Bij de British Library was bekend dat er veel legacy systemen en verouderde software werden gebruikt. Het geaggregeerde risico hiervan werd onderschat, vooral de kosten en uren om deze systemen te herstellen. Ook werden cloudleveranciers beperkt ingezet: de on-premises systemen werden geraakt, terwijl cloudsystemen grotendeels gespaard bleven. Dit maakte de impact groter dan verwacht.

Beschermen

Technische maatregelen, training van medewerkers en duidelijke procedures helpen incidenten voorkomen.

De exacte inbraakmethode is niet bekend. De British Library werkt met externe partners die verschillende soorten accounts gebruiken. Waarschijnlijk kregen criminelen toegang tot een privileged account zonder multi-factorauthenticatie (MFA). Het beheer van accounts voor externen was in 2022 als risico geïdentificeerd en er stonden werkzaamheden gepland om dit te verbeteren.

Detecteren

Monitor verdachte activiteiten actief met techniek, procedures en getraind personeel.

De British Library gebruikte een monitoringsysteem dat verdachte activiteiten op 26 oktober 2023 om 0:21 uur blokkeerde. De IT-securitymanager onderzocht de mogelijke inbraak en nam maatregelen om aanvallen te blokkeren. Ook werd Jisc ingeschakeld, de organisatie die in het Verenigd Koninkrijk het National Research and Education Network (Janet) beheert. Zij zagen een ongebruikelijk grote hoeveelheid data (440 GB) die via het netwerk werd verzonden. In Nederland vervult SURF een vergelijkbare rol.

Reageren

Bereid je voor met incidentprocedures, noodplannen, duidelijke rolverdeling en training.

De British Library besloot vroeg geen contact te zoeken met de criminelen, ook niet om te onderhandelen. Dit is conform het advies van NCSC-UK. De crisismanagementplannen en organisatiestructuur waren actueel. De evaluatie toont aan dat de bibliotheek snel handelde en dat training en bewustzijn structureel worden ingezet.

Herstellen

Na een incident volgt herstel van systemen en communicatie om vertrouwen te herstellen.

Rhysida verwijderde logbestanden, versleutelde systemen en vernietigde servers om opsporing te bemoeilijken. Dit zorgde voor grote impact. De bibliotheek moet miljoenen investeren in het heropbouwen van de infrastructuur. Daarbij is gekozen voor een nieuwe, veiligere infrastructuur zonder verouderde software.

Geleerde lessen

De British Library publiceerde een rapport met zestien geleerde lessen die voor de hele sector interessant zijn. We lichten hier zes belangrijke punten uit:

• Besturen
  Bespreek cybersecurityrisico’s en -maatregelen regelmatig op bestuursniveau (advies 11).
• Identificeren
  Vervang verouderde systemen tijdig met lifecycle management (advies 8).
• Beschermen
  Implementeer MFA voor alle accounts, inclusief die van externe leveranciers (advies 3).
• Detecteren
  Werk samen met peers om bedreigingen en best practices te delen (advies 15).
• Reageren
  Train medewerkers regelmatig en verhoog bewustzijn over cyberrisico’s (advies 12).
• Herstellen
  Investeer net zoveel in back-up en recovery als in preventie (advies 10).

Meer weten?

Wil je meer weten over deze Ransomware-casus, lees dan het volledige rapport van de British Library.

SURF biedt diverse diensten om de beveiliging van onderwijs- en onderzoeksinstellingen te verbeteren. Deze zijn beschikbaar voor alle leden en vaak zonder extra kosten inzetbaar.

Meer informatie over de security-diensten van SURF vind je op onze SURF.nl.

Lees ook onze handreiking 'Weerstand bieden tegen ransomware'

Dit artikel is geschreven door Rosanne Pouw, productmanager Awareness en training bij SURF.