Datalek door ransomware
Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd?
Direct een datalek melden
Op deze pagina
Besmetting met ransomware
Ransomware is een vorm van malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist. Besmetting met ransomware kan op verschillende manieren:
- via phishing met besmette bestanden in een e-mailbijlage;
- door kwetsbaarheden in software te misbruiken (dit risico is groter bij niet-geüpdatete software);
- via advertenties op internet die een lek bevatten;
- door in een computernetwerk in te breken, waarna de hacker ransomware installeert op het netwerk.
Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.
Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Eerst moeten de bestanden worden geopend, pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.
Als u de bestanden versleuteld aantreft, is het dus zeker dat een internetcrimineel toegang heeft gehad tot de bestanden en deze heeft geopend. En dat betekent ook dat deze crimineel de gegevens in die bestanden heeft kunnen inzien, kopiëren, stelen of manipuleren.
Vaststellen omvang van de inbreuk
Is uw organisatie getroffen door een ransomware-aanval? Dan moet u de omvang van de inbreuk vaststellen. Het is aan te bevelen om de omvang achteraf te (laten) onderzoeken. Een gangbare manier hiervoor is digitaal forensisch onderzoek.
Zonder onderzoek kunt u de omvang van de besmetting niet vaststellen. U kunt er namelijk niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Daardoor kan:
- Toegang zijn verkregen tot veel meer persoonsgegevens.
- Meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
- De ransomware (of andere malware) al in de back-ups zitten. Hierdoor is een back-up terugplaatsen niet genoeg om het datalek te beëindigen.
Door onderzoek te (laten) doen, kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest. En of de gegevens bijvoorbeeld zijn verkocht.
Doet u geen onderzoek? Dan moet u ervan uitgaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. U zult dan alle mogelijke slachtoffers (mensen van wie gegevens zijn gelekt) moeten informeren.
Let op: U kunt er niet van uitgaan dat de inbreuk is beëindigd als u alleen de versleutelde bestanden heeft teruggezet uit de back-ups en u de ransomware heeft verwijderd.
Is er geen informatie beschikbaar waarmee u kunt vaststellen wat er verder met de persoonsgegevens is gedaan? Dan kunt u er niet van uitgaan dat het risico voor de slachtoffers beperkt is. Oftewel: heeft u geen bewijs dat persoonsgegevens bijvoorbeeld zijn gekopieerd? Dan is dat niet hetzelfde als bewijs dat de persoonsgegevens niet zijn gekopieerd.
Logging
Logging en controle op de logging kunnen ook helpen bij het bepalen van de omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat alle manieren worden gelogd waarop gegevens benaderd kunnen worden.
Ook moet u een zeer uitgebreide logging hebben. Want hackers kunnen al lang voordat de versleuteling plaatsvond, uw systemen zijn binnengedrongen. Daarbij kunnen zij andere handelingen uitgevoerd hebben.
Deze handelingen kunnen ook toegepast zijn op logbestanden, als deze niet op een veilige plek zijn opgeslagen. Hackers kunnen logbestanden manipuleren of verwijderen met malware.
Tip: Maak gebruik van een aparte logserver. Hierop slaat u de logs gescheiden van het reguliere netwerk op. Het komt voor dat logs worden verwijderd door ransomware of andere malware. Hierdoor is het belangrijk loggegevens te beschermen tegen onbevoegde aanpassing.
Aangifte doen bij politie
Bent u slachtoffer geworden van ransomware? Dan is het belangrijk dat u daarvan aangifte doet bij de politie. In overleg met het Openbaar Ministerie kan de politie dan besluiten om een onderzoek te starten. Zo helpt u bij het in kaart brengen van criminaliteit. Hiermee kan de politie strafbare feiten opsporen en meer slachtoffers voorkomen.
Melden datalek door ransomware
Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek door ransomware mogelijk moet melden bij de AP en aan de slachtoffers.
Uitzondering op het informeren van slachtoffers
Heeft u door encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? Dan hoeft u de slachtoffers niet te informeren. Dit is een strenge norm, die u van geval tot geval moet toepassen op basis van de actuele stand van de techniek. Bovendien geldt deze uitzondering alleen maar als u aan alle 3 de volgende voorwaarden voldoet:
- De gegevens zijn nog volledig intact.
- U heeft nog steeds de volledige controle over de gegevens. Dat houdt in dat u over een recente back-up beschikt.
- De sleutel die u voor de encryptie of hashing is gebruikt, heeft geen gevaar gelopen door de inbreuk. Ook is die voor onbevoegden met de beschikbare technologische middelen niet te vinden.
Let op: in deze situaties moet u de slachtoffers wél informeren over het datalek:
- U twijfelt of de technische beschermingsmaatregelen die u heeft getroffen goed genoeg zijn.
- De gegevens zijn door de ransomware niet meer toegankelijk voor u en voor de slachtoffers. En u heeft geen back-up. Er is dan sprake van verlies van persoonsgegevens. Ook als u de gegevens had geëncrypt.
Verkleinen risico op datalek door ransomware
U kunt het risico op een datalek door ransomware verkleinen. Of in ieder geval de omvang van een eventuele inbreuk door ransomware beperken. Dit doet u door:
- Op tijd software-updates te installeren.
- Geen verouderde encryptie-algoritmen of (netwerk)protocollen te gebruiken.
- Computernetwerken en -systemen te segmenteren (scheiden). Daarmee kan een eventuele inbreuk beperkt worden gehouden tot het direct getroffen netwerk.
- Meerfactorauthenticatie toe te passen op admin-accounts en interne systemen en processen. Dit voorkomt of beperkt dat onbevoegden direct toegang hebben tot systemen en zich vrij kunnen bewegen binnen het netwerk tussen verschillende servers.
- Gegevens offline te bewaren, waaronder back-ups.
- Gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.
Meer informatie
Meer praktische informatie over technische maatregelen vindt u in deze documenten op de website van het Nationaal Cyber Security Centrum (NCSC):