Ransomware is inderdaad ook een datalek als je niet uitkijkt

| AE 12436 | Security | 1 reactie

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt. De ANWB informeerde meteen haar leden, wat heel netjes is maar wel vragen opriep: hoezo is dit nu een datalek onder de AVG?

Meestal denken mensen bij de term ‘datalek’ aan het beschikbaar komen van persoonsgegevens bij onbevoegde derden. Bijvoorbeeld wanneer iemand zonder wachtwoord bij een database weet te komen of als een Excel naar de verkeerde is gemaild. Maar de wettelijke definitie (artikel 4 AVG) is breder:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Ook “vernietiging” en “verlies” zijn vormen van datalekken. Heb je je administratie maar op één datadrager en gaat die verloren, dan heb je dus een datalek in de zin van de AVG: je kunt de status van je administratie dan niet meer reproduceren. Je kunt dan bijvoorbeeld niet meer zeggen wie nog moet betalen of wie geld van jou krijgt, dan zijn persoonsgegevens (informatie over mensen) dus verloren. Dit is dus waarom je een backup moet maken.

In het geval van de ANWB en haar incassobureau TKB lijkt het onwaarschijnlijk dat de ANWB haar ledenadministratie kwijtgeraakt is door de ransomware bij TKB. Hooguit zijn de gegevens bij TKB zelf (wie hebben we aangemaand, wie heeft al betaald, welke reactie kregen we op onze laatste sommatie) verloren gegaan, maar het lijkt me vrij sterk dat men geen backup heeft. Hoewel je dat nooit zeker weet.

Ik vermoed echter dat men dit als datalek behandelt vanwege een andere reden. Al geruime tijd wordt gewaarschuwd dat ransomware niet alleen data gijzelt maar het vaak ook steelt. Als je toch al bij alle data kunt, waarom zou je dan niet even een kopietje trekken om daar achteraf misdadige dingen mee te doen? “Dank je voor het betalen voor de sleutel, dat bewijst dat je je zorgen maakt over deze data, graag nog eens 1 bitcoin want anders zet ik je klantendatabase op internet”. Dus dan is ransomware een datalek zelfs als je nog goede backups hebt.

De ANWB waarschuwt in haar mail (via) dan ook vooral om op te letten voor misbruik van je contact- en facturatiegegevens. Want een nepfactuur voor lidmaatschap 2022 is natuurlijk een leuke bijverdienste voor dit soort criminelen.

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

| AE 12031 | Ondernemingsvrijheid | Er zijn nog geen reacties

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar zorgplicht. En ja, dan gaan bepaalde advocaten warmdraaien en ontstaat enige paniek in de branche, want iederéén kent klanten die alleen wachtwoorden van drie tekens accepteren en een perfecte backup eisen voor 2,50 per maand. En die zouden dan van de rechter gelijk krijgen? Eh, nee dus.

Die zaak (overigens uit 2018 en ik heb géén idee waarom hij nu pas wordt gepubliceerd) ging over een automatiseerder die de zaak niet zo goed had aangepakt. Geen duidelijk contract, geen schriftelijke afspraken en zo te zien ook weinig vastgelegd over de communicatie. Dan creëer je onduidelijkheid als dienstverlener en dan wordt het ingewikkeld als er dan iets misgaat, want de rechter zal jou als professionele partij aankijken op de rommel.

Oh wacht, misschien weet ik toch waarom de zaak recent is gepubliceerd (quote FD):

‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers. Het voormalig Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen.

Bedrijven met een niet-gepubliceerd vonnis bangmaken en aandringen op schikkingen, dat is natuurlijk geen fijne praktijk. Dan zal er een bedrijf zijn geweest dat even de Rechtspraak belde en vroeg om publicatie – dat kan namelijk gewoon. Want dan krijgt het aandacht zonder dat jij specifiek in de picture komt bij de bangmakers.

Het is natuurlijk zwaar overdreven dat dit vonnis een zodanig principiële rechtsregel formuleerde dat je dús altijd aansprakelijk bent als IT-er als er wat misgaat met de beveiliging. Zelfs al was dit een arrest van de Hoge Raad. Maar dat vereist enige nuance en lezen wat er precies gezegd is. Advocaat Menno Weij zegt het precies raak: één zwaluw maakt geen zomer. Dat is eigenlijk nooit zo in het recht.

Natuurlijk is het een wake-up call voor IT-ers dat je even wat beter je best moet doen om dingen te documenteren. En dat je af en toe tegen een klant moet zeggen “nee, dat gaan we niet doen anders ben ik weg”. Of je algemene voorwaarden even afstoffen of daar een goed aansprakelijkheidsbeding in staat met afkadering van je zorgplicht. Maar het is echt onzin dat je nu ineens veel grotere risico’s loopt als automatiseerder.

Arnoud

Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

| AE 11695 | Ondernemingsvrijheid, Security | 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant… Lees verder

Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde? Het… Lees verder

Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

| AE 9521 | Intellectuele rechten, Ondernemingsvrijheid | 25 reacties

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die… Lees verder

Wanneer is een ransomware-aanval eigenlijk een datalek?

| AE 9425 | Security | 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf: Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ? Ook het verloren gaan van gegevens telt als datalek… Lees verder

Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Security | 22 reacties

Californië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar? Het probleem… Lees verder