Zahlen Sie niemals, wenn Sie von Cyberkriminellen erpresst werden, lautet oft der Rat. Damit zahlt sich die Kriminalität aus und das Problem bleibt bestehen. Nach einem digitalen Einbruch hat der KNVB jedoch Vereinbarungen mit russischen Hackern getroffen. Ist das klug?
Een succesvolle cyberaanval heeft grote gevolgen voor het getroffen bedrijf of organisatie. Hackers kunnen systemen volledig platleggen of gevoelige data stelen. Vervolgens proberen de criminelen daarmee hun slachtoffers te chanteren.
In ruil voor geld krijgt de getroffen organisatie bijvoorbeeld weer toegang tot haar systemen. Of de criminelen doen de belofte dat er niets met de gestolen data wordt gedaan.
„De theorie zegt dat je nooit aan cybercriminelen moet betalen“, zegt cybersecurityexpert Dave Maasland van beveiligingsbedrijf ESET. „Criminelen verdienen daar miljoenen euro’s aan en na betaling heb jij geen enkele garantie dat afspraken worden nagekomen.“
Maar in de praktijk is er soms geen andere optie dan betalen. Bijvoorbeeld als hackers alle systemen op slot hebben gezet en met de sleutel zwaaien. „Het is dan kiezen tussen twee kwaden“, legt Maasland uit. „Laat je je bedrijf failliet gaan of ga je over tot betaling aan de cybercriminelen?“
Afpersing met gestolen data
De KNVB werd in april het slachtoffer van Russische cybercriminelen. Bij een digitale inbraak in de systemen van de bond hebben de criminelen waarschijnlijk veel gevoelige data gestolen. Vervolgens werd de organisatie door de hackers afgeperst.
De voetbalbond heeft afspraken gemaakt met de Russische cybercriminelen over het niet publiceren en het verwijderen van die gevoelige gegevens, meldde de KNVB dinsdag. Het ligt voor de hand dat de bond daarvoor een vergoeding heeft betaald, maar dat wil de organisatie niet bevestigen.
Maasland vindt het opvallend dat de KNVB waarschijnlijk heeft betaald. „De KNVB had een voorbeeld kunnen stellen voor hoe je een digitale crisis moet aanvliegen. Ik denk dat het op bepaalde onderdelen anders had kunnen gaan.“
Onderhandelen met cybercriminelen houdt een verwerpelijk verdienmodel in stand, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens. Daarom raadt de privacywaakhond ernstig af om losgeld te betalen.
Geen garanties dat de data van de KNVB nu veilig zijn
Een betaling zorgt er volgens Maasland niet voor dat de gestolen data nu veilig zijn. Daarom had de voetbalbond in zijn ogen beter meteen in april een grote informatiecampagne kunnen starten om slachtoffers te informeren. Die campagne komt nu pas op gang.
Het voorval bij de KNVB laat zien dat elk bedrijf of organisatie het slachtoffer kan worden van cybercriminaliteit. Maar lang niet alle ondernemingen denken daar over na. Daardoor zijn ze niet voorbereid.
Ieder bedrijf zou zich volgens Maasland moeten afvragen op welke manier het digitaal getroffen kan worden. Vervolgens ga je nadenken hoe je op zo’n incident reageert. „Zie het als een soort digitale brandoefening.“
Bel de digitale brandweer bij een cyberincident
„Het komt nog te vaak voor dat bestuurders van bedrijven niet weten hoe ze moeten reageren op een cyberincident“, licht Maasland toe. „Door er vooraf over na te denken kun je in het geval van een incident betere beslissingen nemen.“
Gelukkig bestaat er ook zoiets als een digitale brandweer. „Zoek bij een hackaanval zo snel mogelijk contact met een bedrijf gespecialiseerd in het onder controle krijgen van cyberincidenten“, adviseert Maasland. „Die hebben ervaring in de omgang met cybercriminelen en kunnen je helpen en adviseren.“