Op 25 mei, de verjaardag van de Algemene Verordening Gegevensbescherming (AVG), stuurde de Autoriteit Persoonsgegevens (AP) de jaarlijkse ‘Rapportage Datalekken’ aan de Tweede Kamer. In de rapportage geeft de AP een overzicht van de ontwikkelingen en trends ten aanzien van datalekken in Nederland. Niet geheel verrassend, met een stijging van 88%, ligt de focus dit jaar op cyberaanvallen en specifiek ransomware aanvallen bij IT-leveranciers.
Een terechte focus van de AP, want de cyberaanvallen nemen inderdaad toe en de gevolgen van een aanval op een IT-leverancier verspreiden zich als een olievlek naar de klanten van de leverancier en zelfs verder naar diens klanten en relaties. De AP geeft aan dat zij in 2021 bij 28 IT-leverancier heeft vernomen van een ‘datalek’, die resulteerden in 1.800 datalekmeldingen aan de AP door klanten van die IT-leveranciers en een kennelijk doorgegeven aantal slachtoffers (de natuurlijke personen van wie persoonsgegevens zijn getroffen) van minimaal 7 miljoen.
In de rapportage gaat de AP in het bijzonder in op het betalen van losgeld bij ransomware aanvallen. De mogelijkheid van betalen van losgeld is een vraagstuk dat bij dergelijke aanvallen altijd speelt, immers is het daar de cybercriminelen om te doen. Om druk te zetten op het slachtoffer zodat deze tot betaling overgaat zien we in de praktijk dat de criminelen het slachtoffer op twee fronten afpersen: door het versleutelen van de data en het stelen van data.
Wanneer de criminelen voldoende toegang hebben tot het netwerk van hun slachtoffer stelen ze een gedeelte van de data (zoals mappen die zijn aangeduid met “finance”, “personnel” of “contracts”) en daarna versleutelen ze zo veel mogelijk van het netwerk met ransomware. Dat is vaak het moment dat het slachtoffer de aanval opmerkt: hij kan niet meer bij zijn bestanden en treft een ‘ransom-note’ met instructies over hoe contact op te nemen met de criminelen en tot betaling over te gaan. Tegen betaling van het losgeld krijgt het slachtoffer de sleutel om de bestanden weer te ontsleutelen en de toezegging dat de gekopieerde bestanden niet zullen worden gepubliceerd en dat de kopie in het bezit van de crimineel wordt vernietigd. In sommige gevallen ontvangt het slachtoffer ook nog informatie over de zwakke plekken die de criminelen hebben misbruikt voor de aanval.
Al enige tijd stelt de AP zich op het standpunt dat “de meldplicht aan de betrokkenen niet kan worden afgekocht”. Kortom: ook als het losgeld wordt betaald moet de betrokkenen worden geïnformeerd overeenkomstig artikel 34 AVG. In de Rapportage Datalekken 2021 zegt de AP hierover:
“De AP merkt op dat sommige organisaties de slachtoffers niet informeren als zij getroffen zijn door een ransomwareaanval. Als reden geven deze organisaties aan dat zij losgeld hebben betaald aan criminelen. Zij denken dat zij daarmee hebben voorkomen dat de criminelen de persoonsgegevens verder verspreiden. Die toezegging hebben zij ook gekregen van de criminelen.
Deze redenering klopt echter niet. Een ransomwareaanval vormt een inbreuk op zowel de vertrouwelijkheid als de beschikbaarheid van persoonsgegevens. De criminelen voeren ransomwareaanvallen vooral uit voor het geld. Daarom is er geen enkele garantie dat zij de gegevens ook daadwerkelijk verwijderen en nooit zullen doorverkopen, ook al hebben zij al losgeld gekregen.
De AP ziet het betalen van losgeld niet als een passende achteraf genomen maatregel in de zin van artikel 34 van de Algemene verordening gegevensbescherming (hierna: AVG) om slachtoffers niet te informeren over een ransomwareaanval.”
Deze passage is (wellicht door het vereiste van bondigheid in de rapportage) wat ons betreft op een aantal punten onduidelijk en (te) kort door de bocht.
De AP geeft aan dat wat haar betreft organisaties niet kunnen vertrouwen op de toezegging van de criminelen dat zij de gestolen data niet verder zullen verspreiden wanneer het losgeld is betaald. Doordat de criminelen uitsluitend financieel gewin nastreven bestaat er geen enkele garantie dat zij de gegevens ook daadwerkelijk zullen verwijderen en nooit zullen doorverkopen, aldus de AP.
In theorie is dit standpunt van de AP begrijpelijk: de criminelen zijn uit op geld en gelet op de eerdere criminele activiteiten die ze ontplooid hebben, beschikken ze kennelijk niet over het beste morele kompas. Het klinkt dan logisch dat ze nog aanvullende criminele activiteiten voor financieel gewin zullen verricht. We vragen ons echter af welke signalen de AP heeft ontvangen dat criminelen de gestolen data nog doorverkopen nadat losgeld is betaald, of dat het hier slechts gaat om een theoretisch risico. Deze aanvullende criminele activiteit is namelijk niet wat we terug horen in de praktijk en dat is ook goed te verklaren.
Zoals hiervoor uitgelegd is het businessmodel bij ransomware aanvallen het afpersen van het slachtoffer o.a. door dreiging van publiceren van gestolen data op een voor iedereen toegankelijke website. De dreiging is niet “betaal, anders verkopen we de gestolen data”. Zouden de aanvallers alsnog de data verkopen, en dat wordt bekend in de markt, dan betaalt niemand meer aan die ransomware groepering en verliezen ze hun inkomstenbron. De kans dat dit bekend wordt is reëel, omdat online aangeboden data ook in de gaten gehouden wordt door cybersecurity bedrijven, journalisten en andere geïnteresseerden. Gelet op de relatieve verhouding tussen de som die betaald wordt aan losgeld en de gemiddelde waarde van gestolen data op het darkweb, is het niet waarschijnlijk dat de aanvallers dit risico willen lopen voor een paar extra centen.
Daarbij komt dat het theoretische risico van verkopen van persoonsgegevens niet voorbehouden is aan cybercriminelen, maar zich ook kan voordoen bij rechtmatige verwerking van persoonsgegevens, zoals bijvoorbeeld het datalek bij de GGD ons laat zien. Bij de GGD waren het de eigen werknemers die persoonsgegevens uit de database te koop aanboden. Anders dan bij de zaak van de GGD zijn er bij de gemiddelde ransomware aanval waarbij losgeld betaald is geen aanwijzing dat dit risico zich daadwerkelijk verwezenlijkt.
Vertaald naar het wettelijke kader van de meldplicht aan betrokkenen, was enige nuancering door de AP van het standpunt dat ‘ransomware aanvallen altijd aan de betrokkenen moet worden gemeld’ op zijn plaats geweest. De drempel voor de meldplicht aan betrokkenen is dat er sprake is van een waarschijnlijk hoog risico voor diens rechten en vrijheden. Het is zeer de vraag of het (door de AP gestelde) restrisico op doorverkoop van de persoonsgegevens, dat resteert na betaling van losgeld bij een ransomware aanval, nog dermate substantieel en concreet is, dat die lat in alle gevallen van een ransomware aanval gehaald wordt.
De stijgende trend in ransomware aanvallen die de AP signaleert, ziet met name op aanvallen op IT-leveranciers. Deze leveranciers verwerken (persoons)gegevens voor hun klanten en zijn daarmee vaak verwerker. Bij ransomware aanvallen met datadiefstal is de gestolen data veelal van de klanten en niet van de IT-leverancier zelf. De verplichting om de datadiefstal te melden aan de betrokkenen rust dus ook bij de klanten en niet de IT-leverancier.
De afpersing vindt echter wel plaats bij de IT-leverancier. Die is degene die het directe slachtoffer is van de aanval en ook degene die al dan niet overgaat tot betaling van het losgeld (soms overigens in overleg met de klanten van wie data gestolen is). Tegenwoordig hebben veel IT-leveranciers hun back-ups aardig goed op orde. Hierdoor is het in die gevallen niet meer nodig om de sleutel te kopen van de criminelen; de IT-leverancier kan alle data zonder hulp van de aanvaller herstellen. De enige reden die de leverancier nog heeft om wél te betalen is om te voorkomen dat de gestolen data wordt gepubliceerd.
Belangrijke overwegingen om te betalen zijn het beschermen van de klanten en diens betrokkenen tegen misbruik van de gestolen data en de beperking van reputatieschade voor de IT-leverancier. Hier betaalt de IT-leverancier dan een flinke prijs voor: het geëiste losgeld bedraagt vaak tonnen, zo niet miljoenen, in bitcoins.
De AP verzoekt veelal de getroffen verwerker om haar klanten te instrueren dat zij hun betrokkenen informeren. De klant zal die instructie in de regel opvolgen, immers is zij daartoe verplicht volgens de uitleg van de AP. Hierdoor wordt een grote groep personen met de datadiefstal bekend en leidt dit veelal ook tot media aandacht hierover. Kortom: voor de beperking van de eigen (reputatie)schade heeft betaling van losgeld door de IT-leverancier dan nog weinig zin.
Tegen de hierboven genoemde belangen om wél te betalen hangt daarbij een belangrijk ethisch aspect voor de IT-leverancier om niet te betalen: het betalen van losgeld financiert deze vorm van criminaliteit en draagt bij aan het in stand houden daarvan. Als je er dan toch vanuit moet gaan dat het risico op misbruik van de gestolen persoonsgegevens in stand blijft, en de betrokkenen daarover altijd moet informeren met de nodige reputatieschade van dien, waarom zou een IT-leverancier dan daarbovenop ook nog een aantal procenten van zijn omzet aftikken? Dit geldt overigens niet alleen voor IT-leveranciers, maar voor elke onderneming die slachtoffer is van een ransomware aanval.
Dit wil zeker niet zeggen dat er altijd losgeld zou moeten worden betaald bij een ransomware aanval of dat een datadiefstal nooit aan de betrokkenen zou hoeven te worden verteld wanneer losgeld is betaald. Echter, bij gebrek aan een betere oplossing op dit moment blijkt betaling van losgeld in de praktijk wel een effectief middel om publicatie van gestolen data te voorkomen. Hier heeft niet alleen de onderneming profijt van, maar met name ook de betrokkene.
Als het altijd moeten informeren van betrokkenen over een datadiefstal er in de praktijk toe leidt dat bedrijven niet meer betalen, heeft dit ernstige nadelige gevolgen voor de betrokkene. De betrokkene is dan weliswaar volledig geïnformeerd, maar betaalt daarvoor de prijs dat zijn gegevens dus gratis en voor niets beschikbaar zijn op internet, waar iedereen daar misbruik van kan maken.
