Wanneer is een ransomware-aanval eigenlijk een datalek?

| AE 9425 | Beveiliging | 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf:

Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ?

Ook het verloren gaan van gegevens telt als datalek onder de Wet bescherming persoonsgegevens inderdaad (en straks de AVG). Dat voelt gek, want misbruik is niet echt aan de orde als iets weg is, maar naast dat het formeel gewoon onder de term ‘verwerken’ valt is er gewoon een goede reden: het verloren gaan van gegevens kan je status als klant et cetera aantasten. Als de computer niet meer weet dat jij betaald hebt om te parkeren, dan heb je een probleem.

Natuurlijk is dit geen issue als er een goede recente backup is. En in die situatie noemen we zo’n verlorengaan dan ook geen datalek, althans niet eentje die het melden waard zou zijn. Dus in principe is het antwoord simpel: ja, tenzij men goede backups heeft.

En hier zou je zelfs nog een stapje verder kunnen gaan: welke persoonsgegevens zijn verloren gegaan door de ransomware in die Q-Park garages? Die staan toch op een server ergens, en deze terminals dienen alleen als interface om te betalen? Niet kunnen betalen is heel vervelend maar geen datalek.

Intrigerender -wie erop wil afstuderen moet maar even mailen- vind ik nog de vraag of ingijzelneming van persoonsgegevens wel telt als verloren gaan. De data is er immers nog, je moet alleen betalen om hem weer terug te krijgen. Ik weet het, de Autoriteit Persoonsgegevens vindt van wel, maar om een wat verdergaande reden:

Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. … De besmetting kan het hele systeem en alle gekoppelde bestanden raken.Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld.

Is dit nu zeg maar een heel ingewikkelde backup/restoreprocedure? Of moet je gijzelen zien als verloren gegaan?

De implicaties zijn interessant, want als je zegt dat dit een datalek is dan is het offline halen van een clouddienst met de enige kopie van de gegevens óók een datalek. En dat zit me niet helemaal lekker.

Arnoud