Wat we leren van de school die bijna de deuren moest sluiten vanwege €2 miljoen aan dataverbruik

Een wachtwoord was buitgemaakt, waarna er een factuur volgde van maar liefst 2 miljoen euro voor verbruikte data. De gevolgen van dit digitale misbruik hadden verwoestend kunnen zijn, maar snel handelen, effectieve communicatie en coulance redde de dag. In dit verslag doen Charles Stork, Directeur SLBdiensten, en Ramon Zuidervaart, Licentiemanager SLBdiensten, hun verhaal over dit incident.

Uit respect voor de privacy en reputatie van de school blijft deze anoniem.

Het misbruik in een notendop

• Op 12 augustus 2023 hebben criminelen het Global Admin ID van de school buitgemaakt.
• In enkele dagen tijd is er vervolgens voor ruim 2 miljoen euro verbruikt door virtuele Windows Servers die daar door de criminelen zijn neergezet voor bitcoin mining. Dit is iets dat helaas steeds vaker plaatsvindt, niet alleen bij Microsoft, maar ook bij Amazon en Google. De “officiële” term hiervoor is “cryptojacking”.
• Microsoft heeft binnen een paar uur gesignaleerd dat er iets mis was en heeft na een paar dagen de omgeving afgesloten.
• Na het inschieten van de support case bij Microsoft was de allereerste vraag: “Stond de Multi Factor Authenticatie aan”. Dit bleek niet het geval.
• Het Global Admin ID is je allerhoogste Microsoft wachtwoord. Naast Azure hangt de gehele Microsoft 365-omgeving (dus ook Office 365) hieronder, waardoor een expert onderzoek moest doen naar de overige Microsoft omgevingen om uit te sluiten dat alles daar veilig was.
• Eind augustus kwam het verlossende nieuws dat de €2 miljoen gecrediteerd zou worden.

Lees verder voor het hele verhaal.

Wat was de situatie bij de school?

In 2015 heeft de school bij SLBdiensten een aanvraag gedaan voor een Azure-subscriptie welke toegevoegd wordt in de eigen Microsoft cloud-omgeving. Ramon, destijds al licentiemanager bij SLBdiensten, wijst hierbij op het misbruik: “De school heeft ooit een beheerderaccount aangemaakt, maar nooit de volgende stappen gezet om met Azure aan de slag te gaan. Acht jaar later is dat account met inlognaam en wachtwoord buitgemaakt door cryptominers. Deze criminelen gebruikten de Azure-omgeving om virtuele Windows-servers op te installeren en vervolgens vier dagen lang bitcoins te minen voor zo’n €27.000 per uur. Op kosten van de school.”

Hoe werd dit misbruik bij SLBdiensten bekend?

Ramon geeft tekst en uitleg: “Op 12 augustus 2023 is het misbruik van het account gestart. Microsoft heeft dit zelf in eerste instantie gesignaleerd. Niet omdat hun beveiliging gehackt was, maar omdat er een alarmerend hoge hoeveelheid data in een korte tijd werd verbruikt op naam van de betreffende school. Microsoft heeft hier meerdere keren melding van gedaan bij de school, maar de meldingen kwamen in een mailbox terecht die niet gemonitord werd, waardoor hier niet op geanticipeerd werd. Nadat Microsoft het account uit voorzorg had geblokkeerd is er op dinsdag 22 augustus 2023 contact opgenomen met Charles Stork, directeur SLBdiensten, met het verzoek hier dieper in te duiken.”

De wet van Murphy

Charles ziet het incident als een schoolvoorbeeld: “Dit is dus de wet van Murphy in full effect. Zo’n IT-omgeving staat altijd aan, dus er kan vroeg of laat altijd iets mis mee gaan. Nu ging er zelfs 8 jaar later pas iets mis, precies op het meest problematische moment, tijdens de schoolvakantie. Dit had als gevolg dat toen we met spoed rond belden, er in eerste instantie nergens een telefoon werd opgenomen, totdat we op een locatie in het zuiden van het land toch iemand aan de lijn kregen. Gelukkig was deze locatie alweer open, zodat we daar iemand konden bereiken.”

Hij vervolgt: “Pas de volgende ochtend kregen we iemand op directie niveau te pakken. Ik werd gebeld door een secretaresse die rond het einde van de middag ruimte in de agenda zag. Ik heb aangegeven dat dit geen seconde langer kon wachten. Een half uur later heb ik de directeur op het hart gedrukt dat de school een bedrag van 2 miljoen boven het hoofd hing als gevolg van misbruik.”

Maar waar alle alarmbellen bij Microsoft en SLBdiensten inmiddels afgingen, duurde het bij de school vrij lang voordat men doordrongen was van het feit dat ze slachtoffer waren van een zwaar misbruik.

Waarom is hier sprake van misbruik en geen hack?

Hierover zegt Charles: “Belangrijk detail is dat het hier helemaal niet ging om chantage met data, maar als je pech hebt een factuur die niet betaald is.” Ramon vult Charles aan: “Dit was dan ook geen hack, want er is ‘gewoon’ ingelogd, alhoewel door iemand die deze gegevens niet zou moeten hebben. Uiteindelijk wordt dit wel meegewogen in de vraag wie die 2 miljoen moest gaan betalen.”

Dat de primaire focus van een onderwijsinstelling niet bij IT, maar het voorbereiden van studenten op het toekomstige werkveld ligt, begrijpt Ramon ook. “Toch is elke school verantwoordelijk voor haar eigen omgeving”, aldus Ramon.

Hoe heeft de school gereageerd op dit misbruik?

Uiteindelijk begon het besef wel door te dringen. “Als we die 2 miljoen moeten betalen, zijn we failliet”, klonk het aan de andere kant van de lijn. De vraag was of er aangifte gedaan moest worden, maar naast dat dit een vraagstuk was voor IT-beveiliging experts, was snelheid van handelen geboden. Je moet razendsnel al je meldingen maken, in dit geval bij Microsoft, maar bijvoorbeeld ook bij je verzekeraar. Elke dag die je wacht laat zien dat je niet in controle bent. Dat zijn nou net de punten waar je weer op afgerekend wordt bij het rechtzetten dan wel uitkeren van geleden schade.

Hier had Charles nog over te zeggen: “We merkten dat een school, maar wellicht wel niemand, echt voorbereid is op een claim van 2 miljoen. Uiteindelijk bleek gewoon dat, als je dit overkomt als school, het heel moeilijk te behappen is wat de impact is, welke snelheid er geboden is, en dat je heel snel besluiten moet nemen en handelen. Wanneer je daadkracht toont, sta je gewoon sterker richting Microsoft en je verzekeraar. Scholen zijn niet gewend om dit af te handelen. Maar je moet hiervoor wel een actief plan hebben liggen.”

Welke impact maakte het misbruik bij SLBdiensten?

Gezien de impact en loop van omstandigheden zegt Ramon het misbruik nooit meer te vergeten: “Op het moment dat duidelijk wordt dat zo’n incident kan betekenen dat je een kostenpost van €2 miljoen hebt - wat kan betekenen dat je als school de deuren kan sluiten, dan wel wij als bedrijf - dan is dat zeer angstig. Verschillende mensen hebben hier slapeloze nachten van gehad. Je weet het natuurlijk nooit zeker, maar het kan mensen hun baan kosten én bedrijven of scholen doen omvallen.”

Charles stond destijds niet zo stil bij de emoties die hij op dat moment ervaarde: “Er moest gewoon echt wat gaan gebeuren. Het feit dat het Global Admin ID buitgemaakt was, maakte het probleem nog groter. Dit is je Microsoft wachtwoord op het allerhoogste niveau. Azure was niet actief, maar de hele Microsoft 365-omgeving (en dus ook Office 365) hing hier ook onder. Uiteindelijk heeft er door een externe partij dus een serieus onderzoek naar de overige Microsoft-omgevingen plaats moeten vinden om uit te sluiten dat alles daar ook veilig was.”

Hoe heeft SLBdiensten verder gehandeld?

Charles, die als hoofdverantwoordelijke SLBdiensten op scherp stond en direct in de actiemodus ging, vertelt over zijn beleving: “Dit soort incidenten zijn van een andere orde en vragen dus om andere maatregelen op verschillende niveaus. Meteen op de dinsdag is er vanuit SLBdiensten een melding gedaan bij onze verzekeraar. Niet van een security incident, maar aangezien er wellicht een factuur van ruim 2 miljoen niet betaald gaat worden. Verder heb ik de hele dinsdag met mensen van Microsoft gebeld. De volgende dag stond vooral in het teken van nog meer gesprekken met Microsoft en alle betrokken partners. Ik wilde zeker weten dat alle meldingen en alle benodigde stappen op de juiste manier uitgevoerd waren.

Hoe heeft Microsoft zich opgesteld bij dit incident?

“Microsoft liet direct merken bereid te zijn serieus mee te willen werken. Alles was uiteindelijk binnen 10 dagen opgelost, maar wel na heel veel telefoontjes, Teams-calls en het aanleveren van vreselijk veel informatie”, aldus Charles. Hij was hierbij vooral te spreken over de rol van Microsoft Nederland: “De directeur van Microsoft NL zat hier ook direct bovenop. Mede dankzij haar is het gelukt om het bedrag uiteindelijk te crediteren.”

Over wat Charles vervolgens deed, klonk hij vrij nuchter: “Het eerste wat ik toen gedaan heb was de directeur van de school een belletje geven: “Ik zou je nooit op een donderdagavond bellen, maar ik krijg net bericht dat het bedrag gecrediteerd is!” Aan de andere kant van de lijn klonk de directeur vol opluchting: “Voor dit soort dingen mag je me altijd bellen! Ik ga meteen onze voorzitter van het College van Bestuur op de hoogte brengen, die kan ik hier op een donderdagavond zeker ook voor contacten.”

Wat heeft SLBdiensten geleerd van dit incident?

Dat niemand dit aan had kunnen zien komen is duidelijk. “Het hele incident had waarschijnlijk voorkomen kunnen worden met een Multi-Factor Authenticatie (MFA)”, zegt Ramon. Iets dat in principe eenvoudig aan te zetten is. Het moet volgens Ramon ook inzichtelijk zijn welk account welke rechten heeft, en voorkomen worden dat er niet teveel accounts teveel rechten hebben. Hij vervolgt: “Het is daarnaast ook belangrijk dat je beleid of policies instelt zodat je bijvoorbeeld bepaalt vanaf welke locatie er ingelogd mag worden. Of dat er alleen virtual machines van een bepaald type aangemaakt mogen worden in een bepaalde Microsoft datacenter locatie. Daarnaast leerden we dat er een heleboel accounts zijn die niet goed beveiligd zijn.”

Al met al is hier volgens Ramon wel sprake van een gezamenlijke uitdaging. “Er is altijd een punt waar we als school, partner en Microsoft scherp op moeten blijven. We moeten er met z’n allen voor zorgen dat de beveiligingsaccounts altijd MFA beveiligd zijn. Wij communiceren hier vanuit SLBdiensten erg veel over. Maar uiteindelijk is de school altijd zelf de eindverantwoordelijke voor de eigen omgeving.” Ramon voegt hieraan toe “dat er twee dagen na de melding ook alles aan gedaan is om alle scholen die via SLBdiensten licenties afnemen nog maar eens het belang van MFA duidelijk te maken.”

Welke acties heeft SLBdiensten verder ondernomen?

Volgens Ramon is de integratie van een tweevoudige authenticatie slechts het begin geweest. Hij noemt een drietal wijzigingen die verder zijn doorgevoerd: “We hebben ten eerste scholen benaderd die accounts of subscripties hebben die niet meer worden gebruikt, met de boodschap dat deze beveiligd of verwijderd moeten worden. Ten tweede zijn we alle Azure klanten die er wel gebruik van maakten gaan informeren over de Azure Security Baseline. We vinden dat als je Azure gebruikt, je een basis aan beveiliging moet hebben. Dit begint al bij weten welke accounts je hebt en wie wat voor toegang hier toe heeft, en waar.”

Dit laatste kon volgens Ramon wel een toelichting gebruiken: “We gaan niet alleen kijken hoe zo’n Cloud-omgeving beter beveiligd kan worden met een MFA, maar ook waar admins in kunnen loggen, bijvoorbeeld alleen binnen het schooldomein. Dit betekent dat als een crimineel buiten de schoollocatie is – op een andere WiFi óf niet in Nederland - dat ze niet in kunnen loggen.”

Om nog meer risico weg te nemen, legt Ramon als derde punt uit dat SLBdiensten oplossing ziet in een baseline voor budgetten: “Beheerders moeten meldingen instellen, zodat ze een signaal krijgen wanneer een maximaal limiet, dat zich berust op een prognose, is overschreden. We willen uiteindelijk zo snel mogelijk een bepaalde afwijking kunnen waarnemen om zo snel mogelijk te kunnen anticiperen, wanneer dan ook.”

Hoe maakt SLBdiensten verder werk van de veiligheid van haar klanten?

Veiligheid is al jarenlang een thema voor SLBdiensten. “Hier hebben we al verschillende handelingen voor gedaan”, legt Ramon uit: “We benadrukken al geruime tijd het belang van security via het organiseren van webinars en het delen van content via onze kanalen. Maar door dit incident zien we dat we nog veel meer kunnen doen.” Hiermee doelt Ramon op de uitrol van beveiligingsscans:

“Als SLBdiensten gaan we werk maken van assessments rondom security voor de omgeving van MS365, Azure en data in het algemeen. Dit zijn belangrijkere tools die wij gaan bieden aan onze klanten. We kijken uit naar de security scan die we gaan uitrollen in samenwerking met QS Solutions. Zo’n soort scan geeft op alle vlakken een score van de omgeving, waarna het rapporteert op welke punten je nog moet verbeteren.”

Welke verantwoordelijkheden hebben onderwijsinstellingen hier zelf in te nemen?

Met oog op de toekomstige dienstverlening van SLBdiensten vraagt Charles zich hardop af hoe ver het advies van SLBdiensten gaat en tot waar de organisatie zich ook verantwoordelijk moet voelen. “Er zijn eigenlijk maar weinig onderwijsinstellingen die echt een goed beeld hebben bij de staat van hun beveiliging”, zegt Charles. Waarna hij vervolgt: “Daarbij betekent ‘dat iets aanstaat’ niet direct ‘dat het ook goed is’. Nu gaan we naar een samenwerking toe waar we scholen stevig zullen adviseren om bepaalde zaken vooraf op orde te hebben, omdat we ze anders niet kunnen helpen.”

Deze beleidsmatige wijziging is er niet alleen op toegespitst om een volgend incident te voorkomen, maar wanneer het eventueel toch mis gaat ook overzichtelijk te maken waar nu het probleem zit. “Het is naar een verzekeraar of partij als Microsoft veel beter te verantwoorden waar de verantwoordelijkheid ligt wanneer je op alle vlakken groene vinkjes kunt tonen. Kun je dit niet, dan sta je als school bij een claim al met 5-0 achter”, aldus Charles.

Met een aanvulling op het laatste sluit Charles ook af: “De volgende school die dit overkomt heeft denk ik serieus een groot probleem. Na enorm veel inzet van alle partijen is het ons nu gelukt om het bedrag van tafel te krijgen. Maar ik betwijfel ten zeerste of Microsoft een volgende keer weer zo coulant zal zijn. Als onderwijsinstelling moet je er toch ook niet aan denken dat dit je overkomt, terwijl je dit met de kennis van nu had kunnen voorkomen?”

Videoboodschap van Charles Stork

Bij SLBdiensten vinden we het belangrijk dat er aandacht komt voor het gevaar dat scholen lopen voor cybercriminaliteit in z'n algemeen, maar ook zeker specifiek cryptojacking. Neem jij binnenkort deel aan bijvoorbeeld een bestuursvergadering? Overweeg op dit soort belangrijke momenten het cryptojacking incident bespreekbaar te maken. Om het beknopt te houden kun je deze video van Charles Stork tonen. Hierin vertelt hij binnen 2 minuten zijn visie met als doel om de serieuze dreiging op bestuursniveau bespreekbaar te maken.

Neem contact op

Wil je meer weten over hoe je je Azure-omgeving beter kunt beveiligen? Neem dan contact met ons op.