N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
De KNVB heeft losgeld betaald na een ransomware aanval van april 2023. Dat maakte de bond dinsdag bekend. Of je wel of niet moet betalen is al lang de centrale vraag bij een ransomware-aanval. Maar deze vraag richt zich vaak op het verkeerde aspect van een dieperliggend probleem.
In het geval van de KNVB heeft de organisatie ervoor gekozen om te betalen, maar in tegenstelling tot eerdere gevallen was dit niet om het voortbestaan van het bedrijf te waarborgen of levens te redden, zoals in het geval van een ziekenhuis. Het belangrijkste doel was om verdere verspreiding van de persoonsgegevens van de betrokkenen te voorkomen.
Dat gelekte persoonsgegevens problemen kunnen veroorzaken, is al meer dan een decennium bekend. Toen ik in 2010 promoveerde op het toen relatief onbekende onderwerp van digitale identiteitsfraude was al duidelijk dat de mate van controle die burgers over hun gegevens hebben, afnam.
Back-ups
Criminelen wisten dit waarschijnlijk al veel eerder dan de organisaties die onze gegevens in hun systemen bewaren. In de Verenigde Staten waren er bijvoorbeeld in 2005 al gevallen bekend van criminelen die zich voordeden als bedrijven om gegevens op zogenaamd legitieme wijze te verwerven en ze vervolgens misbruikten.
Enkele jaren geleden vernieuwden ransomware-groepen hun aanpak door de aard van de dreiging te veranderen. Organisaties hadden namelijk geleerd dat zij hun bedrijfscontinuïteit door back-ups konden waarborgen: betalen was niet langer noodzakelijk.
Dit heeft ertoe geleid dat criminelen gegevens begonnen te publiceren, wetende dat deze gegevens, vooral persoonsgegevens, van grote waarde zijn op het dark web, met name voor identiteitsfraude of identiteitsmisbruik. Zodra deze gegevens beschikbaar zijn, is het vrijwel onmogelijk om misbruik of fraude volledig te voorkomen. Het enige wat een individu kan doen, is alert zijn om de schade te minimaliseren.
Criminelen zien wel nut en noodzaak van versleuteling, in tegenstelling tot de organisaties die ze hacken
Het probleem met de huidige focus op de vraag „betalen of niet betalen” na een ransomware-aanval gaat voorbij aan de diepere vraag: hoe heeft de aanval überhaupt succesvol kunnen plaatsvinden en welke maatregelen heeft de KNVB genomen om de gegevens te beschermen? Op deze cruciale vragen wil de KNVB geen antwoord geven. De voetbalbond geeft weliswaar aan dat zijn systemen beveiligd zijn, maar vermeldt ook dat „deze cyberinbraak blijkbaar niet kon worden voorkomen”.
Ik ben ervan overtuigd dat organisaties zich niet moeten afvragen óf ze ooit slachtoffer worden, maar beter de vraag kunnen stellen wannéér dat gebeurt. Absolute veiligheid bestaat namelijk niet. Daarom moeten we juist de nadruk leggen op weerbaarheid, zodat de schade na een aanval tot een minimum kan worden beperkt.
Nu is het zaak te onderzoeken wat we kunnen leren van het succes van deze aanval, zodat andere organisaties – en vooral de persoonsgegevens die ze bewaren – beter beschermd kunnen worden. Als deze gegevens versleuteld waren opgeslagen, zou toegang voor criminelen weinig zin hebben gehad.
Lees ook: Onderhandelen over gijzelsoftware: ‘We hadden toch 10 miljoen afgesproken?’
Ontsleutelen
Aangezien er vermoedens zijn dat criminelen de paspoortgegevens in handen hebben, ga ik ervan uit dat de KNVB deze gevoelige persoonsgegevens niet heeft versleuteld. Het ontsleutelen van versleutelde gegevens zonder de juiste sleutel is namelijk een zeer tijdrovende en kostbare taak, als het überhaupt mogelijk is. Daarom ga ik ervan uit dat de gegevens onversleuteld waren opgeslagen, waardoor toegang voldoende was om ze te bemachtigen.
In tegenstelling tot veel organisaties, zien criminelen wel nut en noodzaak in van versleuteling zodat hun operaties doorgaans buiten het bereik van de politie blijven. Waarom vormt versleuteling dan zo’n uitdaging voor andere organisaties? Hoe vaak moeten er ‘datalekken’ plaatsvinden voordat de focus verschuift naar daadwerkelijke gegevensbescherming in plaats van alleen het buitenhouden van criminelen? Stel je voor dat een inbreker een huis weet binnen te dringen, maar alle waardevolle spullen veilig zijn opgeborgen in een kluis. In dat geval kan hij weinig schade aanrichten, als hij de kluis niet in kan.
Dezelfde logica geldt voor persoonsgegevens bij organisaties. Door daar de discussie op te richten, kunnen we het daadwerkelijk hebben over bescherming van persoonsgegevens.