In april 2023 werd de Koninklijke Nederlandse Voetbalbond (KNVB) het slachtoffer van een ransomware-aanval. De hackers, vermoedelijk de organisatie LockBit die verdacht wordt van banden met Rusland en ransomware-as-a-service (RaaS) aanbiedt, stalen 305GB aan interne gegevens, waaronder persoonsinformatie. Om te voorkomen dat deze data openbaar zou worden gemaakt, betaalde de KNVB losgeld aan de hackers. Dit roept vragen op over de risico's en ethische dilemma's van het betalen van losgeld bij cyberaanvallen.
De Ransomware Aanval en de Eis
Op 4 april 2023 meldde de KNVB dat het was getroffen door een ransomware-aanval. De hackers eisten 1 miljoen euro om de gestolen data niet te publiceren. De KNVB ging overstag en betaalde het losgeld, hoewel het exacte bedrag geheim blijft. De KNVB gaf aan dat het voorkomen van verspreiding van de mogelijk buitgemaakte persoonsgegevens zwaarder woog dan het principe om zich niet te laten afpersen.
LockBit: Een Bekende Speler in de Cybercrime Wereld
LockBit staat bekend als een hackersorganisatie die zich richt op het verkrijgen van losgeld. Volgens onderzoek van Kaspersky selecteert LockBit slachtoffers die snel van hun problemen af willen zijn en over voldoende middelen beschikken om een groot bedrag aan losgeld te betalen. Aangezien LockBit handelt in RaaS-diensten, wordt de ransomware-aanval doorgaans uitgevoerd door een externe partij die winst wil maken uit de aanval. Het verkregen losgeld wordt vervolgens verdeeld, waarbij de externe partij tot driekwart van het betaalde bedrag kan ontvangen.
De Gevolgen van de Aanval voor de KNVB
Na de aanval schakelde de KNVB externe deskundigen in om onderzoek te doen en de systemen te herstellen. Het incident werd gemeld bij de Autoriteit Persoonsgegevens en er werd aangifte gedaan bij de politie. De reguliere bedrijfsvoering van de KNVB en de voetbalwedstrijden ondervonden geen hinder van de cyberinbraak.
Ondanks het onderzoek kon niet met zekerheid worden vastgesteld welke gegevens precies waren buitgemaakt of ingezien. Wel werd duidelijk dat de mogelijk buitgemaakte bestanden persoonsgegevens bevatten, waarvan de verspreiding gevolgen zou kunnen hebben voor de persoonlijke levenssfeer van betrokkenen.
Lees ook: Maatschappelijke betrokkenheid in het amateurvoetbal: een onderzoek.
Welke gegevens waren mogelijk betrokken?
De KNVB heeft in een advertentie in de krant AD beschreven welke gegevens mogelijk in handen zijn gekomen van de hackers. Het gaat om:
- Identiteitsbewijzen en handtekeningen van spelers die internationaal zijn overgeschreven tussen 2015 en 2021.
- Gegevens van spelers die speelden in Nederland tussen 2016 en 2018.
- Gegevens van ouders van minderjarige spelers die internationaal zijn overgeschreven tussen 2014 en 2019.
- NAW-gegevens, contactgegevens en bankrekeningnummer van personen die vanuit hun relatie met de KNVB declaraties hebben gestuurd naar de KNVB in de periode 2010-2022.
- NAW-gegevens, contactgegevens en medische gegevens van personen die in de breedste zin contact hebben gehad met het KNVB Sportmedisch Centrum.
- NAW-gegevens, contactgegevens en informatie in tuchtdossiers van personen die betrokken zijn geweest bij tuchtzaken in de periode 1999-2020.
De Beslissing om Losgeld te Betalen
De KNVB stond voor een moeilijke beslissing: wel of niet betalen. Uiteindelijk werd besloten om losgeld te betalen, omdat het voorkomen van de verspreiding van de persoonsgegevens zwaarder woog dan het principe om zich niet te laten afpersen. De KNVB benadrukte dat de afspraken over het niet-publiceren en verwijderen van de gegevens onder deskundige begeleiding zijn gemaakt.
De Risico's van het Betalen van Losgeld
Het betalen van losgeld aan hackers is een risicovolle strategie. Er is geen garantie dat de hackers zich aan hun woord houden en de persoonsgegevens daadwerkelijk privaat houden. Bovendien kan het betalen van losgeld andere hackers aanmoedigen om soortgelijke aanvallen uit te voeren.
Dave Maasland, CEO van beveiligingsbedrijf Eset Nederland, stelt dat de KNVB met het betalen van losgeld de deur openzet naar een grotere golf van ransomware-aanvallen op Nederlandse bedrijven. Andere cybersecurity-specialisten sluiten zich bij dit standpunt aan.
Erik Akerboom, directeur-generaal Algemene Inlichtingen- en Veiligheidsdienst, maakt zich zorgen over een mogelijke vergroting van de kloof tussen de cyberweerbaarheid van Nederland en de cyberdreiging in de wereld en Nederland.
Lees ook: KNVB-overschrijvingen: Een complete gids
De Reactie van de Cybersecurity Wereld
De betaling van losgeld aan de LockBit-ransomware-groep lokt hevige reacties uit in de cybersecurity-wereld. Cybersecurity-specialisten zien het hele gebeuren met lede ogen aan en vragen de Nederlandse overheid om in te grijpen. De overheid zou de cyberweerbaarheid van het land een prioriteit kunnen maken of het betalen van losgeld strafbaar kunnen stellen.
De KNVB Informeert Betrokkenen
De KNVB wil niet volledig terugvallen op beloften van criminelen en informeert daarom betrokkenen van wie mogelijk gegevens zijn buitgemaakt of ingezien. In een advertentie in de krant AD staat beschreven welke gegevens mogelijks in handen zijn gekomen van de hackers.
De KNVB Treft Maatregelen
De KNVB heeft maatregelen getroffen om de systemen beter te beveiligen. Het netwerk van de KNVB-campus is opnieuw opgebouwd en alle medewerkers hebben hun laptop moeten omruilen voor een nieuw exemplaar. Ook de VAR-verbinding en de systemen voor het tracken van Oranjespelers tijdens hun trainingen zijn opnieuw opgezet. De KNVB laat zich adviseren door externe specialisten om te beoordelen op welke punten de beveiliging verder kan worden aangescherpt.
Alternatieven voor het Betalen van Losgeld
Er zijn alternatieven voor het betalen van losgeld. Bedrijven kunnen investeren in goede back-ups, zodat ze hun gegevens kunnen herstellen na een aanval. Ook kunnen ze hun systemen beter beveiligen, zodat de kans op een aanval kleiner wordt. Het is belangrijk om een goed herstelplan te hebben, zodat bedrijven snel weer operationeel kunnen zijn na een aanval.
De Rol van de Overheid
De overheid kan een belangrijke rol spelen bij het bestrijden van ransomware. Ze kan bedrijven helpen om hun systemen beter te beveiligen en ze kan het betalen van losgeld ontmoedigen. Ook kan de overheid samenwerken met andere landen om cybercriminelen op te sporen en te vervolgen.