GKG hack verijdeld
Inleiding
In de brief van 13 augustus 2020 van het coördinatieoverleg wordt melding gemaakt van het bezoek van een GKG-database door onbevoegden en wordt melding gemaakt van de getroffen maatregelen. Tevens wordt in de brief aangegeven dat er nader onderzoek wordt gedaan en dat de regiegroep over de bevindingen zal worden geïnformeerd.
De rapportage bestaat uit twee delen. Het eerste deel gaat in op de wijze waarop de GKG-organisatie heeft gereageerd en het tweede deel gaat in op de bevindingen en hetgeen kan worden verbeterd. Daartoe zal het coördinatieoverleg een aantal te treffen maatregelen aan de regiegroep voorleggen.
Reactie GKG-organisatie
Puntsgewijs wordt hieronder de reactie op de hack door de GKG-organisatie weergegeven:
- Op vrijdag 7 augustus 2020 wordt door de informatiearchitect en de ontwikkelaar van het GKG bij het opsporen van een storing in de technische omgeving bij toeval geconstateerd dat de metadata in een Postgres-database ontbreekt (en mogelijk al eerder). Zij vermoeden dat er is ingebroken. Zij voeren nader onderzoek uit en treffen vervolgens een bericht van de hacker aan.
- Aangezien de database bij RUG-CIT draait is dezelfde dag direct contact opgenomen en heeft de informatiearchitect van het GKG op 10 augustus met de systeembeheerder van RUG-CIT gesproken, maar daar werd geen activiteit van een hacker waargenomen. Tegelijkertijd is de database afgekoppeld zodat deze niet meer benaderbaar was via internet. Tevens is getracht een backup terug te zetten, maar deze was bevatte geen gegevens.
- Op dinsdag 11 augustus 2020 informeren zij de FG en de CISO van het GKG, over de inbraak.
- De informatiearchitect en de ontwikkelaar van het GKG hebben allerlei maatregelen getroffen om vervolgschade te beperken en konden op 12 augustus de GKG-omgeving nadat de configuraties werden getest weer live zetten.
Procesmatig:
- De procedure is in de kern goed verlopen en de genomen maatregelen zijn op een goede wijze uitgevoerd, maar kent wel beperkingen;
- De informatiearchitect en de ontwikkelaar van het GKG hadden wel sneller de FG en de CISO moeten informeren ook al bij het aantreffen van een lege database;
- De FG heeft intern bij zijn organisatie en bij CERT-WM (Computer Emergency Response Team Watermanagement, centraal meldpunt voor incidenten bij de waterschappen) de inbraak gemeld;
- De systeembeheerder van RUG-CIT die de melding heeft ontvangen, heeft de inbraak gemeld bij het hoofd van het security departement van de RUG, maar er was verder geen terugkoppeling over acties en bevindingen. Op 25 augustus heeft de FG contact met de CISO van de RUG gezocht en heeft RUG-CIT alles in gang gezet voor het doen van nader onderzoek en SURF (universiteitsnetwerk) nader in te lichten;
- Het nieuw in gebruik genomen backup-systeem is niet getest. De uitvoering van de backup-procedure is lastig.
Bevindingen
Er is zowel door de GKG-organisatie als door RUG-CIT nader onderzoek verricht. De bevindingen van de GKG-organisatie zijn:
- De database met meta-informatie was zeer beperkt van omvang. Het betreft open data en heeft niet direct schade aan de GKG-omgeving en het gebruik van de GKG-omgeving toegebracht.
- De FG heeft zijn rol actief opgepakt. De CISO werd geïnformeerd. Overigens hebben beide afgesproken elkaars rol over te nemen mocht dat nodig zijn.
- De taakverdeling tussen RUG-CIT (technisch beheer), Merkator (functioneel beheer) en Geon (technisch procesbegeleiding) is wel verdeeld, maar de verdeling van de verantwoordelijkheden moeten scherper worden afgebakend.
- Er is tussen de genoemde partijen te weinig communicatie/overleg. Afspraak is dat Merkator en RUG-CIT nauw contact hebben en dat Merkator RUG-CIT aanstuurt (80%) en in beperkte mate Merkator en Geon (20%). Maar de praktijk laat het tegenovergestelde zien. Gezamenlijk overleg, buiten het noodzakelijke contact, tussen genoemde partijen vindt niet of nauwelijks plaats.
- Het gebrek aan kennis van de samenhang van de GKG-architectuur, zowel technisch als functioneel, bij de ontwikkelaar en bij de systeembeheerder. Regelmatig overleg verbetert het kennisniveau.
- Een draaiboek voor calamiteiten ontbreekt. Een draaiboek versnelt het proces van melden en te nemen maatregelen en geeft structuur.
- Het gebruik van een Docker-omgeving (software containers) is op zich een goede keuze, maar er ontbreekt enige kennis bij zowel Merkator als bij RUG-CIT.
- Het 4-ogen principe ontbreekt. Gebleken is dat een ontwikkelaar van Merkator een Docker-container heeft opengezet voor het verrichten van wijzigingen. Deze wijzigingen hebben er toe geleid dat Docker zichzelf heeft open gezet. Iets wat vanwege de complexiteit van de technische omgeving kan gebeuren. Werken in duo’s is daarom een vereiste. De kwetsbaarheid neemt daarmee af.
De aanvullende bevindingen van RUG-CIT zijn:
- De hack betreft een combinatie van een Postgres database en een configuratiefout in de firewall (default wachtwoord werd gebruikt en een open firewall);
- Standaard poorten en accounts waren niet gewijzigd;
- De RUG-omgeving waarin Docker draait is niet geïnfecteerd, ook niet binnen de Docker-omgeving zijn sporen van de hacker aangetroffen;
- Het is aannemelijk dat het systeem langere tijd (mogelijk al vanaf maart 2019) heeft opengestaan door de eerdergenoemde configuratiefout.
Voorstel maatregelen
- Reeds in gang gezette maatregelen zijn: het aanpassen van het proces om data te laden (is nodig voor werkzaamheden van het Datalab) en het moderniseren van de backup-procedure.
- Een gesprek tussen GKG-organisatie, Merkator en Geon t.b.v. het delen van de bevindingen.
- Regelmatig overleg tussen GKG-organisatie en RUG-CIT, Merkator en Geon de onderlinge relatie en het kennisniveau. In eerste overleg de verdeling van taken en verantwoordelijkheden met elkaar bespreken en vaststellen.
- Jaarlijks uitvoeren van een PEN-test door een externe partij en een check van een expert van bijvoorbeeld RUG-CIT naar de technische werking van het GKG.
- Als uitbreiding van meer overleg en PEN-test kan de GKG-community meer intervisie organiseren en (delen van) de architectuur bespreken.
- Opstellen van een SLA (service level agreement) tussen de GKG-organisatie en het consortium van RUG-CIT, Merkator en Geon.
- Afgelopen periode is er zeer beperkt inhoud gegeven aan het projectmanagement. Dus een productowner met voldoende tijd en aandacht, goede afstemming met Alfred (Datalab) zou ook goed zijn. Hierdoor ontstaat ook weer meer tijd om de rol van informatiearchitect beter in te vullen.
- RUG-CIT geeft het advies de configuratie van de database van een apart (geen standaard) wachtwoord te voorzien.