Datalek door ransomware
Is er een aanval met ransomware (gijzelsoftware) geweest in uw organisatie? Dan kan dit betekenen dat u een datalek heeft.
Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?
Direct een datalek melden of datalektip geven
U leest op deze pagina wat u moet doen als er een ransomware-aanval is geweest. Ook leest u hier wat u kunt doen om het risico op een datalek door ransomware te verkleinen.
Op deze pagina
Besmetting met ransomware
Ransomware is een vorm van malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist. Besmetting met ransomware kan op verschillende manieren:
- via phishing met besmette bestanden in een e-mailbijlage;
- door kwetsbaarheden in software te misbruiken (dit risico is groter bij niet-geüpdatete software);
- via advertenties op internet die een lek bevatten;
- door in een computernetwerk in te breken, waarna de hacker ransomware installeert op het netwerk.
Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.
Datalek door ransomware
Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Eerst moeten de bestanden worden geopend, pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.
Als u de bestanden versleuteld aantreft, is het dus zeker dat een internetcrimineel toegang heeft gehad tot de bestanden en deze heeft geopend. En dat betekent ook dat deze crimineel de gegevens in die bestanden heeft kunnen inzien, kopiëren, stelen of manipuleren.
Vaststellen omvang van de inbreuk
Is uw organisatie getroffen door een ransomware-aanval? Dan moet u de omvang van de inbreuk vaststellen. Daarvoor is (technisch) onderzoek nodig. Een gangbare manier hiervoor is digitaal forensisch onderzoek.
Zonder onderzoek kunt u de omvang van de besmetting niet vaststellen. U kunt er namelijk niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Daardoor kan:
- Toegang zijn verkregen tot veel meer persoonsgegevens.
- Meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
- De ransomware (of andere malware) al in de back-ups zitten. Hierdoor is een back-up terugplaatsen niet genoeg om het datalek te beëindigen.
Door onderzoek te (laten) doen, kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest. En of de gegevens bijvoorbeeld zijn gekopieerd. Houd er bij het onderzoek rekening mee dat:
- Het vaak moeilijk is om de logbestanden te herstellen en te achterhalen wat er daadwerkelijk is gebeurd, door het destructieve karakter van ransomware-aanvallen. Twijfelt u over de mogelijke gevolgen van de onrechtmatige toegang? Ga dan uit van het ongunstigste scenario.
- U de feitelijke bevindingen van het onderzoek naar de inbreuk moet overleggen aan de AP, als de AP dat vraagt. De AP kan u ook vragen om rapporten en andere stukken te overleggen die zijn opgesteld naar aanleiding van het onderzoek naar de ransomware-aanval.
Doet u geen onderzoek? Dan moet u ervan uitgaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. En dat deze gegevens zijn gekopieerd. U zult dan alle mogelijke slachtoffers (mensen van wie gegevens zijn gelekt) moeten informeren.
Let op: U kunt er niet van uitgaan dat de inbreuk is beëindigd als u alleen de versleutelde bestanden heeft teruggezet uit de back-ups en u de ransomware heeft verwijderd.
Is er geen informatie beschikbaar waarmee u kunt vaststellen wat er verder met de persoonsgegevens is gedaan? Dan kunt u er niet van uitgaan dat het risico voor de slachtoffers beperkt is. Oftewel: heeft u geen bewijs dat persoonsgegevens bijvoorbeeld zijn gekopieerd? Dan is dat niet hetzelfde als bewijs dat de persoonsgegevens niet zijn gekopieerd.
Logging
Logging en controle op de logging kunnen ook helpen bij het bepalen van de omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat alle manieren worden gelogd waarop gegevens benaderd kunnen worden.
Houd er bij de controle van de logbestanden rekening mee dat:
- Een grondig onderzoek van de firewall-logbestanden en de conclusies daaruit essentieel is om het risico voor de mogelijke slachtoffers vast te stellen. Er kunnen gegevens zijn gekopieerd zonder een spoor achter te laten in de logboeken van de systemen.
- Wanneer de aanval meer geavanceerd is, de malware de functionaliteit heeft om logbestanden te bewerken en het spoor te verwijderen. De aanvaller kan dan al geruime tijd voor de versleuteling zijn binnengedrongen.
Tip: Maak gebruik van een aparte logserver. Hierop slaat u de logs gescheiden van het reguliere netwerk op. Het komt voor dat logs worden verwijderd door ransomware of andere malware. Hierdoor is het belangrijk loggegevens te beschermen tegen onbevoegde aanpassing.
Aangifte doen bij politie
Bent u slachtoffer geworden van ransomware? Dan is het belangrijk dat u daarvan aangifte doet bij de politie. In overleg met het Openbaar Ministerie kan de politie dan besluiten om een onderzoek te starten. Zo helpt u bij het in kaart brengen van criminaliteit. Hiermee kan de politie strafbare feiten opsporen en meer slachtoffers voorkomen.
Melden datalek door ransomware
De gevolgen voor de slachtoffers bij ransomware-aanvallen kunnen groot zijn. Dat komt doordat er naast versleuteling sprake kan zijn van het onbevoegd inzien, kopiëren of verder verspreiden van de getroffen persoonsgegevens.
Bijzondere persoonsgegevens
Zijn er bijzondere persoonsgegevens geraakt? Dan moet u ervan uitgaan dat het risico voor de slachtoffers hoog is. En dat u het datalek moet melden aan de AP en aan de slachtoffers.
Gevoelige persoonsgegevens
Zijn gevoelige persoonsgegevens geraakt, zoals kopieën van identiteitsbewijzen of creditcardgegevens? Ook dan moet u rekening houden met een hoog risico voor de slachtoffers, omdat deze gegevens misbruikt kunnen worden voor fraude of identiteitsfraude. U moet het datalek melden aan de AP en aan de slachtoffers.
'Gewone' persoonsgegevens
Zijn persoonsgegevens geraakt die op het eerste gezicht onschuldig lijken, zoals e-mailadressen en telefoonnummers? Dan kan er toch een hoog risico zijn voor de slachtoffers. Bijvoorbeeld wanneer door een ransomware-aanval een grote set e-mailadressen en aanvullende persoonsgegevens is getroffen. En u op basis van (technisch) onderzoek niet kunt uitsluiten dat deze gegevens zijn gekopieerd.
Criminelen kunnen deze gegevens misbruiken om spam te versturen, gerichte phishing-aanvallen uit te voeren en/of malware of ransomware te verspreiden. Daarnaast kunnen zij deze persoonsgegevens toevoegen aan bestaande datasets die bijvoorbeeld verkocht worden op internet of het darkweb.
In zo'n geval moet u het datalek daarom altijd melden aan de AP én aan de slachtoffers.
Uitzondering op het informeren van slachtoffers
Heeft u door encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? Dan hoeft u de slachtoffers niet te informeren. Dit is een strenge norm, die u van geval tot geval moet toepassen op basis van de actuele stand van de techniek. Bovendien geldt deze uitzondering alleen maar als u aan alle 3 de volgende voorwaarden voldoet:
- De gegevens zijn nog volledig intact.
- U heeft nog steeds de volledige controle over de gegevens. Dat houdt in dat u over een recente back-up beschikt.
- De sleutel die u voor de encryptie of hashing is gebruikt, heeft geen gevaar gelopen door de inbreuk. Ook is die voor onbevoegden met de beschikbare technologische middelen niet te vinden.
Let op: in deze situaties moet u de slachtoffers wél informeren over het datalek:
- U twijfelt of de technische beschermingsmaatregelen die u heeft getroffen goed genoeg zijn.
- De gegevens zijn door de ransomware niet meer toegankelijk voor u en voor de slachtoffers. En u heeft geen back-up. Er is dan sprake van verlies van persoonsgegevens. Ook als u de gegevens had geëncrypt.
Let op: De AP ziet het betalen van losgeld aan de aanvaller niet als een achteraf genomen maatregel waardoor het niet meer nodig is om de slachtoffers van een ransomware-aanval te informeren. Het betalen van losgeld aan criminelen biedt namelijk geen garantie dat zij de persoonsgegevens verwijderen. Of de gegevens niet op een later moment alsnog publiceren en/of aanbieden op internet of het darkweb.
Zo informeert u de slachtoffers
Bent u getroffen door ransomware, dan moet u mogelijk een groot aantal slachtoffers daarover informeren. Heeft u contactgegevens, zoals e-mailadressen? Dan verwacht de AP dat u die gebruikt om informatie te versturen over het datalek. Een openbare mededeling op uw website of op social media is dan niet genoeg.
Vermeld in de mededeling aan de slachtoffers altijd duidelijk wat er is gebeurd. Geef in ieder geval altijd aan:
- Wat voor soort persoonsgegevens (mogelijk) zijn geraakt door het datalek.
- Of u wel of niet kunt uitsluiten dat deze persoonsgegevens zijn gekopieerd en/of ingezien door de aanvaller.
- Wat de mogelijke gevolgen zijn van het datalek. Lopen de slachtoffers bijvoorbeeld het risico om het doelwit te worden van (identiteits)fraude, spam en/of phishing-aanvallen?
- Welke maatregelen u neemt of heeft genomen om de gevolgen van het datalek te beperken.
- De contactgegevens van degene in uw organisatie bij wie slachtoffers terecht kunnen als zij meer informatie willen over het incident.
Lees meer: Zo informeert u slachtoffers over een datalek.
Verkleinen risico op datalek door ransomware
U kunt het risico op een datalek door ransomware verkleinen. Of in ieder geval de omvang van een eventuele inbreuk door ransomware beperken. Dit doet u door:
- Op tijd software-updates te installeren.
- Geen verouderde encryptie-algoritmen of (netwerk)protocollen te gebruiken.
- Computernetwerken en -systemen te segmenteren (scheiden). Daarmee kan een eventuele inbreuk beperkt worden gehouden tot het direct getroffen netwerk.
- Meerfactorauthenticatie toe te passen op admin-accounts en interne systemen en processen. Dit voorkomt of beperkt dat onbevoegden direct toegang hebben tot systemen en zich vrij kunnen bewegen binnen het netwerk tussen verschillende servers.
- Gegevens offline te bewaren, waaronder back-ups.
- Gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.
Bekijk ook
Meer informatie
Meer praktische informatie over technische maatregelen vindt u in deze documenten op de website van het Nationaal Cyber Security Centrum (NCSC):