Donderdag sijpelden de eerste berichten door over problemen bij Ingram Micro. Pas zaterdagavond durfde het beursgenoteerde bedrijf toe te geven wat iedereen toen al wist: ransomware. Nu al is duidelijk dat deze zaak kan worden opgenomen in de handboeken, waaronder die van toezichthouders.
Het persbericht van zaterdagavond 10 uur EST begint met
Ingram Micro recently identified ransomware on certain of its internal systems. Promptly after learning of the issue, the Company took steps to secure the relevant environment, including proactively taking certain systems offline and implementing other mitigation measures. The Company also launched an investigation with the assistance of leading cybersecurity experts and notified law enforcement.
Veel meer info is er niet. Meer dan twee derde (!) van het persbericht gaat over “about ingram micro†en “forward-looking Ssatementsâ€. Een evenwichtig verhaal voor klanten ziet er anders uit. Aan de andere kant is dit wel tekenend voor de manier waarop bedrijven met een Amerikaanse beursnotering omgaan met malware. Ongeveer 48 uur is er niets zinnigs gecommuniceerd en pas dan volgt er een bericht dat sterk de indruk wekt dat het een “moetje†is, omdat het bedrijf beursgenoteerd is.
Social media
In de periode van radiostilte hebben tientallen, zo niet honderden, experts al lang boven tafel gekregen wat er aan de hand is. Zij communiceerden daar vrijelijk over op de social media. Daardoor weten we dat voor het plotsklaps onbereikbaar zijn van de websites, het bouncen van de mails en het niet werken van de telefoons al twee dagen iets goed fout zat. Communicatie tussen een “onbekende†server en het IM netwerk was traceerbaar. De experts hebben zelfs al het aantal aanvalspunten weten te reduceren tot ongeveer een, een brakke VPN verbinding.
Nationale feestdag
Elke twijfel over de aard van het incident was al eerder geëlimineerd door het bericht dat medewerkers naar huis waren gestuurd en de laptops uit moesten laten. De timing van het “incident†was ook al uitgebreid online besproken. Zoals wel vaker het geval is wordt de aanval duidelijk een dag voor een nationale feestdag.
Terwijl al die informatie gewoon beschikbaar was, was de enige communicatie …. een onderhoudsmelding.
Als een bedrijf wereldwijd actief is dan heeft het ook rekening te houden met de verschillende meldplichten en tijd waarbinnen zoiets gedaan moet worden. Deze zaak roept daarom direct de vraag op of de melding in het weekend voor de Amerikaanse markt de eerste melding is en of dat voldoet aan bijvoorbeeld de EU en NL regels (ransomware is voor de AVG een datalek).
Een andere vraag is of het volstaat de Engelstalige melding alleen op de .com website te laten zien, terwijl de regionale websites (https://nl.ingrammicro.eu/) een foutmelding tonen.
Over de omvang van de directe en indirecte schade zal de komende dagen en weken wel meer bekend worden. Het bedrijf zal dat wel moeten communiceren, want het is beursgenoteerd.
Waar Ingram Micro over zal zwijgen is dat de problemen alle afnemers confronteren met een onderschatte afhankelijkheid. Of de twee andere Tier1 distributeurs hier direct van profiteren is koffiedik kijken. Wat wel voor de hand ligt is dat die als een haas werk maken van het beveiligen van hun processen. Iets dat alle andere distributeurs ook moeten doen.
Sowieso moet het ondertussen iedereen duidelijk zijn dat de gevaarlijkste moment voor een IT beheerder ondertussen niet meer de vrijdagmiddag is (link voor wie de meme niet kent). Het is de dag voor een lang weekend dat iedereen nog meer moet opletten.