KNVB betaalde losgeld aan cyberaanvallers - inzichten van Rosalie Brand (Kennedy Van der Laan)

Eerder dit jaar werd de Koninklijke Nederlandse Voetbalbond slachtoffer van LockBit, een bekende ransomware-groep. Met een openbare mededeling laat de Voetbalbond nu weten dat ze losgeld aan de cyberaanvallers heeft betaald om publicatie van de gestolen gegevens te voorkomen (1). Het gaat om ruim een miljoen euro. De KNVB benadrukt dat de belangen van privacybescherming zwaarder wegen dan de implicaties van het zich laten afpersen door criminelen.

Ransomware-aanvallen zijn inmiddels een van de meest voorkomende cyberaanvallen waarmee organisaties wereldwijd te maken krijgen. Van overheidsinstellingen tot kleine bedrijven, en ook sportbonden, is het aantal van dergelijke incidenten in de laatste jaren toegenomen, aldus het Nationaal Cyber Security Centrum (2).

De redactie van Pont | Data & Privacy Web benaderde Rosalie Brand om haar inzichten te delen over ransomware-aanvallen vanuit haar praktische ervaring. Brand is advocaat bij Kennedy Van der Laan, waarbij ze zowel Nederlandse als internationale ondernemingen bijstaat in het geval van cyberincidenten.

Een toenemende trend

Brand legt uit dat ransomware-aanvallen in de loop der jaren een ontwikkeling hebben doorgemaakt. "Als je terugkijkt naar de ontwikkeling van dit type cyberaanvallen, zie je dat eerdere incidenten draaiden om 'eenvoudige afpersing': de aanvallers versleutelen je gegevens en je moet hen betalen om ze terug te krijgen. Nu, met steeds betere back-ups, werkt die strategie niet altijd meer en moet de prikkel om te betalen ergens anders vandaan komen. Daarom zien we tegenwoordig voornamelijk gevallen van 'dubbele afpersing', waarbij de aanvallers ook gegevens stelen en dreigen deze openbaar te maken. Dat is zo te zien ook het geval bij het recente incident van de KNVB."

Volgens Brand is dit ook de reden waarom in principe elke organisatie slachtoffer kan worden van een ransomware-aanval. Het gaat de criminelen niet om het stelen van een specifiek soort gegevens. Zolang het maar van gegevens van gevoelige aard zijn, zodat de getroffen organisatie voldoende prikkels heeft om te betalen.

Moeilijke beslissingen

De positie van de getroffen organisaties is erg lastig. Enerzijds kan potentieel gevoelige informatie van een groot aantal individuen op straat komen te liggen. Anderzijds is het aangaan van een transactie met een criminele organisatie nooit wenselijk, zowel vanuit een moreel als financieel perspectief. Brand geeft aan dat organisaties hier voor een duivelsdilemma staan. "Er spelen veel verschillende belangen, zowel maatschappelijk als individueel, die bij deze beslissing worden meegewogen, waaronder de gevoeligheid van de gestolen gegevens, het aantal potentiële betrokkenen, de gevolgen van een mogelijke publicatie voor zowel de betrokkenen als de organisatie zelf, maar ook het feit dat het losgeld het criminele bedrijfsmodel financiert. Dit besluit wordt door slachtoffers niet lichtzinnig genomen." Voor de vraag of losgeld moet worden betaald is dus geen pasklaar antwoord.

Het grotere plaatje

De Autoriteit Persoonsgegevens is niet blij met de keuze van de KNVB om te betalen. De toezichthouder betoogt dat dergelijke beslissingen een illegaal bedrijfsmodel voeden dat de privacy van burgers bedreigt (3). Bovendien werpt het twijfels op over de betrouwbaarheid van de belofte van een cybercrimineel om de gegevens niet verder te verkopen of openbaar te maken, zelfs na ontvangst van betaling (4). Terwijl Brand ook de bredere maatschappelijke zorgen deelt, heeft ze een meer pragmatische kijk. "Het is waar dat dit criminelen zijn en dat er geen garantie is dat ze zich aan hun woord houden. Maar uit de praktijk blijkt dat na betaling de gestolen gegevens inderdaad niet worden gepubliceerd. Dit past binnen het plaatje van de ‘bedrijfsvoering’ van deze groeperingen. Als ze de gegevens toch zouden openbaren, zou geen enkel slachtoffer meer betalen. Hoe onwenselijk ook, het betalen van losgeld is een maatregel om verder misbruik van gestolen gegevens te voorkomen.”

Het betalen van losgeld is in Nederland niet verboden. Toch keurt de AP het betalen van losgeld bij een ransomware-aanval af op grond van de vermeende ineffectiviteit en de steun die betaling levert aan het in stand houden van dit soort criminaliteit. Naar het oordeel van de AP is het betalen van losgeld ook geen maatregel die risico’s voor betrokkenen mitigeert en dus relevant is in de risico-afweging die gemaakt wordt bij de meldplicht aan betrokkenen (artikel 34 AVG). Brand acht dit standpunt van de AP te kort door de bocht. “Het voorkomen van publicatie van gestolen gegevens kan veel ellende, risico en schade voor de betrokkenen voorkomen. Immers kan dan in ieder geval niet iedereen met een internetverbinding die gegevens inzien en misbruiken. Het is opmerkelijk dat de AP hier geen enkel oog voor lijkt te hebben.”

Better safe than sorry

Wat in ieder geval zeker is, is dat deze incidenten grote hinder kunnen veroorzaken. “Het is echt situatieafhankelijk, maar een ruw gemiddelde voor het herstelproces is 23 dagen na de aanval. Ik heb het ook binnen enkele dagen gezien, maar soms is er ook sprake van maanden”. Het op orde hebben van de basishygiëne op het gebied van cyber security, zoals implementeren van MFA en inregelen van goede back-ups, kan de kans op een aanval verkleinen en de schade ervan beperken.

Meer informatie hier.

Bronnen

(1) https://www.knvb.nl/nieuws/organisatie/berichten/68097/informatie-cyberinbraak-knvb

(2) https://www.ncsc.nl/onderwerpen/ransomware/documenten/factsheets/2020/juni/30/factsheet-ransomware

(3) https://www.ad.nl/binnenland/voorzitter-waakhond-knvb-houdt-verwerpelijk-verdienmodel-cybercriminelen-in-stand~a7db7a45/

(4) https://www.autoriteitpersoonsgegevens.nl/actueel/datalekken-door-cyberaanvallen-bijna-verdubbeld