Privacy bij cyberaanvallen door ransomware
Het regent cyberaanvallen door ransomware – zijn uw data veilig?
Het is vrijdagmiddag en je staat op het punt nog een laatste e-mail te versturen als op dat moment het beeldscherm op zwart gaat. Het is het doemscenario voor menig organisatie: een cyberaanval door ransomware waarbij alle data(bestanden) worden ‘gegijzeld’. De laatste tijd lijkt het cyberaanvallen te regenen. Van de Universiteit Maastricht tot aan de GWK Travelex kantoren. Als bedrijf moet je jezelf dan ook de vraag stellen: Is mijn data veilig bij een cyberaanval?
Wat is ransomware en wat zijn de gevolgen?
Bij ransomware, oftewel ‘ gijzelsoftware’, gaat het om software die gebruikt wordt om computersystemen of daarin aanwezige data te blokkeren. Vervolgens is er volgens de cyber-gijzelaars één oplossing om de data of systemen weer vrij te krijgen, namelijk door betaling van ‘losgeld’ met bitcoins. Gemiddeld gaat het dan om zo’n $2500 tot $5000 per computer, welk bedrag hoger kan worden naarmate de tijd vordert en betaling uitblijft. Door de cybercriminelen is daarbij veelal al onderzoek gedaan naar de jaarrekeningen bij de Kamer van Koophandel zodat ze weten wat de organisatie zo ongeveer te besteden heeft.
Nadat een computer is besmet met de gijzelsoftware – bijvoorbeeld door het klikken op een geïnfecteerde link – verspreidt deze zich geleidelijk als een olievlek over het hele netwerk. Vaak wordt gekozen voor een weekend of feestdag zodat er tijd is voor de versleuteling van het netwerk of de bestanden, zonder dat dit wordt opgemerkt. Niet zo verwonderlijk dus dat de Universiteit Maastricht en GWK Travelex juist op 24 respectievelijk 31 december werden getroffen door de aanvallen.
Een cyberaanval zet de bedrijfscontinuïteit direct op de tocht. Wanneer er binnen de organisatie bovendien veel persoonsgegevens aanwezig zijn, kan dat tevens de nodige privacy risico’s met zich meebrengen. Kortom, voorkomen is beter dan genezen. Maar waar moet je als organisatie nu op letten om je computersystemen en data te beschermen tegen dit soort cyber attacks?
Hoe de organisatie en (persoons)gegevens te beschermen tegen cybercriminelen?
Spoiler alert: het volledig uitsluiten van een cyberaanval is vrijwel onmogelijk. Cybercriminelen bedenken telkens weer nieuwe manieren om detectie te omzeilen. Bovendien vormt het eigen personeel zeer vaak de grootste bedreiging doordat lukraak op links of bijlagen wordt geklikt die achteraf geïnfecteerd blijken te zijn. Naast de technische maatregelen, zoals antivirusprogramma’s, firewalls en het tijdig updaten van software, zijn een gedegen informatiebeveiligingsbeleid en goede voorlichting aan het personeel essentieel.
Daarnaast kan een cyberverzekering worden overwogen. Een cyberverzekering biedt dekking tegen de kosten van onder meer het herstellen van de systemen, forensisch onderzoek naar dataverlies en vergoedt ook de eventuele betaling van losgeld aan de cybercriminelen.
Melding maken van een datalek bij de Autoriteit Persoonsgegevens?
Wanneer de gijzelsoftware bestanden heeft versleuteld die tevens persoonsgegevens bevatten, is er tevens sprake van een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Indien het waarschijnlijk is dat het datalek leidt tot een risico voor de privacy van de personen wiens gegevens het betreft, moet het datalek als gevolg van de cyberaanval bij de Autoriteit Persoonsgegevens worden gemeld. Een dergelijke melding dient te geschieden binnen 72 uur nadat men bekend is geraakt met het datalek. Deze termijn houdt geen rekening met zon- en feestdagen dus het is van belang dat binnen de organisatie ook is nagedacht wat de te doorlopen acties worden op het moment dat zich een cyberaanval voordoet waarbij ook bestanden met persoonsgegevens zijn versleuteld. Voor zover tevens de dreiging van bijvoorbeeld identiteitsdiefstal of –fraude bestaat, moeten die personen bovendien ook individueel worden geïnformeerd.
In de praktijk zal snel sprake zijn van een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden. Het is dus verstandig om bij een cyberaanval ook direct juridisch advies in te winnen bij een IT- / privacy jurist.
Dus, zijn de continuïteit en privacy binnen jouw organisatie gewaarborgd bij een cyberaanval?
Iedere organisatie, groot en klein, vormt een mogelijk doelwit voor cybercriminelen. Iedere organisatie zou dan ook moeten nadenken over de mogelijke impact en consequenties die een cyberaanval kan hebben voor de organisatie, zowel vanuit continuïteits- als privacy perspectief, om daar vervolgens op te kunnen anticiperen.
Het volledig uitsluiten van een cyberaanval is weliswaar onmogelijk, maar er zijn zeker maatregelen te nemen waarmee je het de criminelen een stuk lastiger maakt om binnen te komen. Denk daarbij aan een informatiebeveiligingsbeleid en training van werknemers om besmetting met gijzelsoftware zoveel mogelijk te voorkomen. Mocht zich onverhoopt toch een cyberaanval voordoen, is het te adviseren een draaiboek te hebben dat in werking treedt. Daar zullen dan ook enkele juridische punten in moeten worden meegenomen waaronder een meldingsprotocol rondom datalekken.
Wil je hier meer over weten of heb je een andere vraag over privacy of informatiebeveiliging, neem contact op met Chantal Bakermans van Penrose.