De Autoriteit Persoonsgegevens is op zijn zachtst gezegd ‘not amused’ over het feit dat de KNVB losgeld heeft betaald aan hackers. Je hebt immers niet de garantie dat de aanvallers de buitgemaakte data alsnog verkopen. Ook houdt de voetbalbond hiermee een ‘verwerpelijk verdienmodel’ in stand.
Dat zegt Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, desgevraagd tegenover het Algemeen Dagblad.
KNVB betaalt losgeld aan hackers
Begin april wisten leden van de Russische hackersgroep LockBit de systemen van de KNVB te infiltreren. Daarvoor verstuurden ze een e-mail met een bijlage die was geïnfecteerd met ransomware. Eenmaal binnen wisten de aanvallers naar verluidt 305 GB aan vertrouwelijke gegevens te stelen.
Volgens de voetbalbond ging het om onder meer NAW-gegevens, contactgegevens, bankrekeningnummers, medische gegevens, kopieën van paspoorten en contracten, documenten van het secretariaat en vertrouwelijke documenten over tuchtzaken van spelers van het Nederlands elftal en andere professionele voetbalspelers.
Dinsdag maakte de KNVB bekend dat ze losgeld had betaald aan de Russische hackersgroep. “Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen. Daarom werden er onder deskundige begeleiding afspraken gemaakt over het niet-publiceren en verwijderen van gegevens”, zo verklaarde de bond.
‘Geen enkele garantie dat gestolen gegevens alsnog worden doorverkocht’
Hoeveel de KNVB precies heeft betaald aan de hackers is onbekend, maar naar verluidt ging het om één miljoen euro. AP-bestuursvoorzitter Aleid Wolfsen is niet blij dat de Nederlandse voetbalbond zich heeft laten overhalen om te betalen.
“Als je losgeld betaalt heb je geen enkele garantie dat cybercriminelen jouw gestolen gegevens alsnog niet doorverkopen. Bovendien houd je zo een verwerpelijk verdienmodel in stand, dat de privacy van mensen ondermijnt”, aldus Wolfsen tegenover het Algemeen Dagblad. Om die reden raadt hij dan ook ernstig af om losgeld te betalen aan hackers.
Nationaal verbod voor betalen losgeld is niet de oplossing
Het demissionaire kabinet denkt er hetzelfde over. “Wij raden het betalen van losgeld ten zeerste af. Je financiert criminelen om zo een volgende aanval te kunnen plegen en het is geen garantie dat je je gegevens terug krijgt”, zegt een woordvoerder van het ministerie van Veiligheid en Justitie.
De regering verzoekt het bedrijfsleven al jaren om geen losgeld te betalen als hackers of cybercriminelen dreigen buitgemaakte gegevens openbaar te maken. Als iedereen weigert te betalen, wordt het niet langer aantrekkelijk om ransomware-aanvallen uit te voeren, zo luidt de gedachte. Het kabinet heeft in het verleden dan ook meer dan eens overwogen om het betalen van losgeld wettelijk te verbieden.
Het huidige kabinet hanteert momenteel een ander standpunt. “We kijken internationaal naar oplossingen die kunnen bijdragen aan verminderen van losgeldbetalingen. Een nationaal verbod lost dit probleem niet op omdat dit een internationale kwestie is”, zo zegt het ministerie van Veiligheid en Justitie.
