Leaseweb, een van ’s werelds grootste hostingbedrijven, weigert na een cyberaanval van afgelopen augustus een belangrijk beveiligingsonderzoek te delen met de Autoriteit Persoonsgegevens (AP).
Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, de privacytoezichthouder van de overheid. Een paar dagen eerder berichtte Leaseweb haar klanten over een cyberaanval. Belangrijke systemen werden uitgeschakeld en de internetservers van „een klein aantal” klanten ging offline. In de maanden daarna vroeg de toezichthouder herhaaldelijk om meer informatie over het incident, maar kreeg belangrijke informatie niet.
Details over de weigering van Leaseweb om volledige openheid van zaken te geven, komen nu naar buiten omdat de AP zich daarna voor inlichtingen tot securitybedrijf Northwave wendde. Northwave stond Leaseweb bij na de cyberaanval en stelde een onderzoeksrapport op.
Ook bij Northwave ving de privacywaakhond bot. Een rechter zette vorige week een streep door een dwangsom die de toezichthouder het beveiligingsbedrijf had opgelegd, toen dat eveneens weigerde informatie over het incident te verstrekken. De rechtbank Midden-Nederland schrijft in het deze week gepubliceerde vonnis dat de Autoriteit Persoonsgegevens eerst de druk op Leaseweb moet opvoeren, voor ze onder dwang stukken bij derden opvraagt.
De starre houding van Leaseweb wekt verbazing bij de Autoriteit Persoonsgegevens. „Als zo’n organisatie structureel blijft weigeren informatie te delen, moeten we daar als toezichthouder iets mee”, zegt een woordvoerder. „De impact van een datalek bij een partij als Leaseweb is alleen al vanwege de omvang van het bedrijf mogelijk groot.”
Grote hostingproviders als Leaseweb zijn interessante doelwitten voor hacks. Het bedrijf, met in 2021 een omzet van 160 miljoen euro, beheert 25 datacentra op vier continenten en verhuurt internetruimte aan zo’n 20.000 klanten wereldwijd. Dat is voor hackers een goede positie om snel meer informatie over of toegang te krijgen tot andere systemen; het is zoals een woningcorporatie die met een loper toegang heeft tot talloze huizen en appartementen.
Korte verklaring
Leaseweb heeft ondanks herhaalde verzoeken om informatie niet gereageerd op vragen van NRC. Details over de impact van de hack in augustus blijven schaars. In een korte verklaring, op 25 augustus gepubliceerd door internationale techblogs, repte het bedrijf over „ongebruikelijke activiteit binnen bepaalde gebieden van onze cloudomgevingen”. Daarna werden volgens Leaseweb „snelle en vastberaden stappen” gezet om „mogelijke risico’s” te beperken. Het portaal waar klanten hun gekochte hostingpakketten beheren, was enkele uren offline.
Leaseweb liet ook meteen weten „een gerenommeerd cyberbeveiligingsbedrijf” ingehuurd te hebben om onderzoek te doen. „We hebben het incident met succes onder controle gekregen, onze veiligheidsmaatregelen verbeterd en geen ongeoorloofde activiteiten meer aangetroffen”, besloot de verklaring. „Het onderzoek loopt nog.”
Dat gerenommeerde beveiligingsbedrijf was Northwave, een Nederlands bedrijf dat onder andere incident response aanbiedt. Bij grote digitale crises komen gespecialiseerde hackers van cybersecuritybedrijven in actie. Na een cyberaanval beginnen zij, dikwijls ter plaatse, met het herstel en het opschonen van het netwerk – bij gijzelsoftwareaanvallen moet vaak de hele digitale infrastructuur van een organisatie opnieuw aangelegd worden. Ze verzamelen ook forensische gegevens en doen onderzoek naar de oorzaken van de hack.
Beveiligingsbedrijven schrijven daarna een lijvig technisch onderzoeksrapport, zodat duidelijk is welke kwetsbaarheden hackers misbruikten om toegang te krijgen tot de systemen en hoe zo’n aanval in de toekomst voorkomen kan worden. Zulke rapporten komen zelden in de openbaarheid en áls ze naar buiten komen, staan er vaak uiterst pijnlijke zaken in. Zo werd de hack op Maastricht University veroorzaakt doordat een phishingaanval niet goed afgehandeld werd en bleek in de gemeente Hof van Twente iemand een belangrijk wachtwoord veranderd te hebben in het zwakke ‘Welkom2020’.
Northwave zelf wil ontkennen noch bevestigen dat het Leaseweb bijstond. De rechtbank schrijft in de uitspraak in de zaak tussen AP en Northwave echter over „een grote hostingprovider” die op 25 augustus een datalek meldde. Een bron dicht bij Leaseweb bevestigt aan NRC dat de rechtszaak om het onderzoeksrapport naar het incident bij Leaseweb draait.
Geen dwangsom
Al snel na de melding van het datalek laat de Autoriteit Persoonsgegevens weten het rapport van Northwave te willen lezen zodra het af is. Leaseweb wil echter niet het volledige rapport overleggen en stuurt, volgens de rechtbank, enkel een brief van Northwave en „een appendix” naar de toezichthouder. Dreigementen van de AP met een bezoek aan het hoofdkantoor of een last onder dwangsom hebben vervolgens geen effect: Leaseweb stelt dat de brief het volledige onderzoeksrapport bevat en zo aan de „medewerkingsverplichting” is voldaan.
De AP wendt zich dit voorjaar tot Northwave om alsnog het rapport over het incident boven tafel te krijgen. Als het beveiligingsbedrijf om principiële redenen weigert, krijgt het een last onder dwangsom opgelegd. Northwave-directeur Steven Dondorp reageert woedend en vindt dat de AP een oneigenlijke afsnijroute bewandelt. Cybersecuritybedrijven moeten volgens hem in vertrouwen kunnen werken. Hij zegt: „We vinden de volgorde ook verkeerd: de AP moet eerst al haar machts- en dwangmiddelen op klanten uitoefenen. Zij zijn verantwoordelijk. In dit geval legde de AP ons gelijk een dwangsom op, terwijl ze dat bij de klant niet eens geprobeerd hebben.”
Branchevereniging Cyberveilig Nederland (CVNL), waar Dondorp voorzitter van is, deelt het standpunt van Northwave (Dondorp zegt zich van discussies onthouden te hebben). In een brief die aan de AP gestuurd werd, in handen van NRC, schrijft CVNL „verbaasd en geschrokken” te zijn over de last onder dwangsom voor haar branchegenoot.
CVNL-directeur Petra Oldengarm: „Als je als toezichthouder gezellig gaat shoppen in rapporten van incident responders zet je daarmee de relatie met hun klanten onder druk. Of het nu een groot of een klein incident is: onze leden moeten hun klanten goed helpen, zonder door de toezichthouder in hun nek te worden gehijgd.”
Dondorp en Oldengarm onderstrepen beiden het belang van transparantie en het recht van de toezichthouder op informatie. Oldengarm: „Wij vinden dat de Autoriteit Persoonsgegevens te allen tijde volledig geïnformeerd dient te worden. Alleen moet de AP dan wel bij het juiste loket zijn. De klanten van onze leden hebben die verantwoordelijkheid, de securitybedrijven zelf niet.”
Niet goed verklaarbaar
Om dezelfde reden beslist de rechtbank Midden-Nederland op 26 maart in het voordeel van Northwave. De Autoriteit Persoonsgegevens moet zich in eerste instantie tot Leaseweb wenden om het onderzoeksrapport te krijgen, stelt de rechter. Dat Leaseweb nog geen last onder dwangsom opgelegd heeft gekregen vindt de rechtbank „niet goed verklaarbaar”.
„We zijn Leaseweb niet uit het oog verloren”, reageert een woordvoerder van de AP. „Wat meespeelde in onze beslissing om Northwave een last onder dwangsom op te leggen is snelheid. Onze prioriteit is toegang tot informatie krijgen.”
„Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.”
