De KNVB betaalde hackers om persoonlijke gegevens die werden gestolen bij een ransomware-aanval niet openbaar te publiceren. Cybersecurity-specialisten zien het hele gebeuren met lede ogen aan en vragen de Nederlandse overheid om in te grijpen.
De KNVB werd eerder dit jaar het slachtoffer van een ransomware-aanval. Achter de aanval zou de hackersorganisatie LockBit zitten, deze groep wordt ervan verdacht Russische instromen te hebben en verkoopt ransomware-as-a-service (RaaS).
De voetbalbond hoopt zich van het probleem te ontdoen door losgeld te betalen. Cybersecurity-specialisten vinden dat een risicovolle strategie en vrezen dat de betaling risio’s meebrengt voor andere grote Nederlandse bedrijven.
Losgeld verkrijgen als doel
Uit onderzoek van Kaspersky naar de hackersorganisatie blijkt LockBit één duidelijk doel voor ogen te hebben: het verkrijgen van losgeld. Een aantrekkelijk slachtoffer zou zichzelf zo snel mogelijk van de hinder willen verlossen en over voldoende middelen beschikken om een groot bedrag losgeld te betalen.
Aangezien het handelt in RaaS-diensten, is de ransowmare-aanval doorgaans het gevolg van een extern verzoek. Een externe partij kan van de dienst gebruik willen maken om winst te maken uit de aanval. Dat motiveert opnieuw waarom slachtoffers met grote zorgen worden uitgezocht. Volgens Kaspersky wordt het verkregen losgeld verdeeld en kan de externe partij tot driekwart van het betaalde geld ontvangen.
Lees ook: LockBit 3.0, de marktleider in ransomware
KNVB betaalt
Op 4 april 2023 meldde de KNVB het slachtoffer te zijn geworden van een ransomware-aanval. De voetbalbond werd beroofd van 305GB aan interne gegevens, waaronder persoonsinformatie. De hackers stelden de eis om 1 miljoen euro aan losgeld te betalen om de data privaat te houden. Later in april werd het dreigement reeds van de LockBit-website verwijderd. Een teken dat de KNVB overstag was gegaan of de onderhandelingsfase inging.
Vandaag werd bekend dat de voetbalbond inderdaad in is gegaan op de eis van de hackers. Het betaalde bedrag blijft officieel geheim. Onderzoek blijkt bovendien nog niet te hebben opgeleverd welke gegevens exact verkregen werden. Het KNVB stelt dat er mogelijks persoonsgegevens werden gestolen ‘waarvan de verspreiding gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen.’
“Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen. Daarom werden er onder deskundige begeleiding afspraken gemaakt over het niet-publiceren en verwijderen van gegevens”, aldus de KNVB.
Beloftes maken met een hackersorganisatie is enorm risicovol. Er is geen garantie dat LockBit zich aan zijn woord houdt en de persoonsgegevens inderdaad privaat houdt. Deskundigen kunnen deze optie eveneens nooit volledig uitsluiten en dat weet ook de KNVB: “De KNVB wil niet volledig terugvallen op beloften van criminelen. We informeren daarom betrokkenen van wie mogelijk gegevens zijn buitgemaakt of ingezien. Dit stelt hen in staat om ook zelf extra alert te blijven op eventuele signalen van misbruik van hun gegevens.”
In een advertentie in de krant AD staat beschreven welke gegevens mogelijks in handen zijn gekomen van de hackers. Het gaat om identiteitsbewijzen en handtekeningen van spelers die internationaal zijn overgeschreven tussen 2015 en 2021, gegevens van spelers die speelden in Nederland tussen 2016 en 2018 en gegevens van ouders van minderjarige spelers die internationaal zijn overgeschreven tussen 2014 en 2019. Buiten het veld kan er een lek zijn van gegevens van personen die betrokken zijn geweest bij de KNVB door declaraties tussen 2010 en 2022, of die betrokken zijn geweest met het KNVB Sportmedisch Centrum, of in tuchtzaken tussen 1999 en 2020.
Begin van meer afpersingen
Dave Maasland, CEO van beveiligingsbedrijf Eset Nederland, reageert in het AD op de feiten. Volgens hem zet de KNVB de deur open naar een grotere golf van ransomware-aanvallen op Nederlandse bedrijven. De voetbalbond geeft immers het signaal dat afpersingen werken en dat Nederlandse bedrijven niet vanuit de overheid worden weerhouden om losgeld te betalen: “En dit zal de trend alleen nog maar erger maken in de toekomst.”
Andere cybersecurity-specialisten sluiten zich bij dit standpunt aan. Er rijzen vragen over de informatie die gestolen werd en wat de KNVB exact geheim probeert te houden. Maar ook het feit dat de KNVB betrokken personen bijna een half jaar later pas informeert over de mogelijke betrokkenheid bij de feiten, stelt experten teleur.
Europees Parlementslid Bart Groothuis, die betrokken is in de Commissie Technologie, richt zich in een bericht op X op de rol die de Nederlandse overheid moet opnemen bij deze gebeurtenissen: “De hack op de KNVB, waar fors losgeld is betaald, laat nog eens de noodzaak zien dat de overheid een actieve rol moet nemen om cybercrime te voorkomen.”
Erik Akerboom, directeur-generaal Algemene Inlichtingen- en Veiligheidsdienst, schets in een reactie op het AD de omvang van het probleem: “Nederland ligt permanent onder druk van aanvallen vanuit het buitenland.” Hij geeft verder aan zich zorgen te maken over een mogelijke vergroting van de kloof tussen de cyberweerbaarheid van Nederland en de cyberdreiging in de wereld en Nederland. “Ieder bedrijf moet zich realiseren dat veiligheid tegen cyberaanvallen onderdeel is van de normale bedrijfsvoering.”
De betaling van losgeld aan de LockBit-ransomware-groep lokt dus hevige reacties uit in de cybersecurity-wereld. De overheid zou kunnen ingrijpen door de cyberweerbaarheid van het land een prioriteit te maken of het betalen van losgeld strafbaar te maken. Momenteel zijn bedrijven op zichzelf aangewezen om extra alert te zijn nu een verhoogd niveau van cyberdreiging actief is.
2 dagen geleden
