Hostingbedrijf Leaseweb weigert na een cyberaanval openheid van zaken te geven aan de Autoriteit Persoonsgegevens, las ik bij NRC. Dit als vervolg op een datalekmelding augustus vorigjaar, Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, als gevolg van een cyberaanval. Dat moet, en je moet dan ook openheid geven van de wet. Dus wat is hier aan de hand?
De zaak kwam aan het licht door een vonnis waarin de rechtbank Midden-Nederland de toezichthouder terugfluit: die had een onderzoeksrapport niet bij de externe deskundige moeten vorderen maar bij Leaseweb zelf. Dat is een beetje een zijsprong, dus laten we even terug naar de basis.
Eind augustus meldde Leaseweb bij een aantal klanten geraakt te zijn door een cyberaanval. Zoals Techzine destijds meldde:
Een cyberaanval bij het Nederlandse Leaseweb veroorzaakte een storing in de infrastructuur van het bedrijf. Slechts enkele klanten die gebruikmaken van de cloudhosting-oplossingen van het bedrijf, konden daar last van ondervinden. Om de gevolgen van de aanval zo klein mogelijk te houden, haalde Leaseweb vervolgens kritieke infrastructuur offline.Voor het daarop volgende onderzoek werkte men “nauw samen met een gerespecteerd cyberbeveiligings- en forensisch bedrijf”. En hoewel er naar eigen zeggen “geen ongeoorloofde activiteiten” waren aangetroffen, deed men toch een melding van een datalek. Bij zo’n melding moet je ook opnemen wat je gaat doen om het probleem op te lossen en eventuele nadelige gevolgen te beperken. Dat was dus onder meer dat onderzoek door cybersecuritybedrijf Northwave.
De AP is als toezichthouder bevoegd om “alle voor de uitvoering van haar taken vereiste informatie” op te vorderen (art. 58 AVG en 5:16 Awb). Onder die bevoegdheid eiste men het volledige rapport, omdat Leaseweb dit niet vrijwillig wilde overleggen. In reactie stuurde Leaseweb nog een bijlage, maar meende toen alles te hebben gestuurd. De AP vermoedde van niet, en dan krijg je dit:
Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan.“U heeft niet alles gestuurd.” “Welles!” “Nietes, nu sturen of dwangsom en boete.” “Welles!” En wat moet je dan?
De gedachte van de AP was om dan naar Northwave te gaan. Als die dan meer overleggen dan Leaseweb, dan heb je allereerst dus het complete rapport en ten tweede het bewijs dat Leaseweb te weinig had overlegd.
In principe kan dat: art. 5:20 Awb stelt dat
Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.“Iedereen” en “alles”, dus niet “alleen wie mogelijk een wet schendt” en “datgene wat ze zelf relevant vinden”. Dus in theorie kan de AP inderdaad bij een ingeschakeld expertbureau alle stukken vorderen die bij zo’n rapport horen. Maar er zit wel een redelijkerwijstoets, en dat is waar het hier op strandde:
Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider.De AP had dus eerst de dwangsom moeten opleggen en dan kijken of Leaseweb toch met meer informatie kwam. Pas als daar niets was uitgekomen én de geur van informatie achterhouden was blijven bestaan, dan had men zich tot andere partijen mogen wenden.
Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Is dat het enkele feit dat er een brief van één kantje (met appendix) werd overlegd in plaats van wat traditioneel een “lijvig rapport” heet? De in NRC geciteerde woordvoerder vind ik niet sterk klinken:
„Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.”Arnoud
Hier speelt een bij voorbaat schuldig verklaard op de eerste eigen aanmelding. Zolang er geen ander signaal van de gebeurtenis is, is er slechts een vermoeden.
Deze opmerking Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Geeft het werkelijke probleem aan.
Uit het vonnis:
De hostingprovider deelt in een telefoongesprek met de AP mee niet het gehele onderzoeksrapport te willen overleggen.
Of het nou een kantje is of de dikte heeft van een telefoongids maakt toch niet uit; je moet toch door dat rapport te lezen kunnen zien of het min of meer compleet is? Als er in staat wat er gebeurt is, hoe dat is ontstaan, wat de gevolgen zijn, en hoe het probleem op te lossen en herhaling te voorkomen dan lijkt het rapport mij compleet. Als die zaken ontbreken, dan is het rapport ofwel broddelwerk ofwel incompleet. De motivatie van die woordvoerder vind ik in deze ook erg zwak inderdaad.
Best wel zorgwekkend.
1) Ofwel heeft de AP een illegale versie en weten ze dus dat er iets ontbreekt.
2) Ofwel is er een zeer kort rapport en wil de AP een zeer mooi uitgeschreven “duur” rapport.
Ik heb in het verleden wel meegemaakt -op andere domeinen- dat een top specialist voor een redelijke prijs het onderzoek (wat deze leuk vind) doet en een zeer kort verslag (1 “slordig” kantje) maakt. Voor een 3voud van prijs konden we dit laatste uitgeschreven krijgen in een “mooi” rapport (aan dat laatste had de specialist immers een hekel).
Zo’n mooie rapporten ben je meestal niets mee. Het duurt veel langer om ze te lezen en uit te zoeken of er nuttige inhoud instaat en vaak zijn de auteurs niet echt bekwaam om het vakgebied.
Bij 2) moet de AP zich de vraag stellen of ze a) liever mooie rapporten van schoolverlaters krijgt of b) puntje van de topspecialisten. Het kan natuurlijk zijn dat ze bij de AP niet de kennis hebben om b) te interpreteren.
Mooie theorie Alain, maar we hebben het hier niet over een random specialist. Iedereen weet dat als je een toko als Northwave inhuurt je gewoon een uitgebreid rapport krijgt, en geen slordig a4-tje. Het lijkt daarom onwaarschijnlijk dat ze van Northwave echt alleen maar een kort tekstje hebben gekregen.
Ik heb een tijdje lang professioneel audits gedaan en dus ook rapporten geschreven. Het was onze mening (die van het bedrijf) dat onze rapporten het meest bruikbaar waren als ze in een relatief compacte vorm alle belangrijke informatie bevatten. Een beknopt rapport leest sneller dan een langdradige.
Wanneer een inbraak snel gedetecteerd wordt en beperkt is gebleven tot een enkel systeem kan een volledig rapport relatief beknopt blijven.
Uit het onderzoek van de server bleek dat de infectie [n] dagen voor de detectie had plaatsgevonden en dat de aanvallers zich waarschijnlijk nog niet verder in het netwerk verspreid hadden. Inspectie van de andere computers in het netwerk vond geen indicaties van (eerdere) besmettingen.
Wij adviseren [opdrachtgever] om [server] te wissen en opnieuw te installeren en op al haar systemen patches voor security issues [p1], [p2] en [p3] te installeren. Je kunt nog bijlagen toevoegen met je inspectieprotocol, logregels, etc. maar dat voegt alleen maar bulk toe die nauwelijks wordt gelezen.
Waarom is de layout in de preview anders dan op de website?
Je mag verwachten dat een hostingpartij informatie de aanval onderzoekt vanuit hun zorgplicht. Daarbij moet minimaal onderzocht worden in hoeverre hun hosting infrastructuur+beheer geraakt is door de aanval en of de eventueel gevonden kwetsbaarheden / menselijk handelen zijn gedicht en welke klanten er getroffen (kunnen) zijn en of daarbij persoonsgegevens gecompromiteerd kunnen zijn. Als Leaseweb deze informatie niet oplevert dan weet je eigenlijk wel zeker dat ze iets achterhouden of hun zorgplicht niet vervullen.
And the story continues…
Was, gezien de inhoud van de blog, het niet beter geweest om
1) quotes om de kop te zetten
of
2) een andere kop te kiezen zoals “AP teruggefloten door rechter”, “Leaseweb in conflict met Autoriteit Persoonsgegevens na cyberaanval” of “Leaseweb claimt volledige transparantie in cyberaanvalrapport, Autoriteit Persoonsgegevens twijfelt”