Losgeld voor data? Slecht idee!

Is het betalen van losgeld aan cybercriminelen een effectieve maatregel om inwoners te beschermen waarvan de data zijn buitgemaakt bij een hack? Volgens privacydeskundige Floor Terra zou de Autoriteit Persoonsgegevens zich hierover expliciet moeten uitspreken.

Verdienmodel

Het gijzelen van gegevens vormt een tweeledig verdienmodel voor cybercriminelen. Ze vragen om losgeld aan de gehackte partij, onder het dreigement om de data te publiceren op het dark web. Soms wordt de daad (deels) meteen bij het woord gevoegd, zoals de gemeente Buren onlangs overkwam. Op dit moment staat 130 gigabyte aan gegevens afkomstig van deze gemeente op het dark web. In totaal zou er 5 terabyte aan data zijn gestolen en te koop worden aangeboden. Hapt de gemeente niet toe, zoals in het geval van Buren, dan is er voor de criminelen (ook) te verdienen aan de verkoop van de gegevens.

De data kunnen evengoed worden doorverkocht, en is het dubbel kassa voor de criminelen'

Gevolgen minimaliseren

Slecht nieuws voor inwoners van de gemeente die dit overkomt, met name als er zeer privacygevoelige informatie zoals BSN-nummers is gelekt. In Buren moeten honderden inwoners een nieuw identiteitsbewijs aanvragen, meldt omroep Gelderland. En uiteraard slecht nieuws voor de gemeente zelf, die zich voor het blok gezet ziet. Volgens de AVG is een organisatie verplicht om betrokkenen van een datalek te informeren op het moment dat er hoog risico bestaat op misbruik van de gegevens. Bovendien moet de organisatie zich inzetten om de gevolgen voor betrokkenen te minimaliseren. Losgeld betalen dan maar? Een slecht idee, zegt privacy-deskundige Floor Terra.

Dubbel kassa

De AVG kan slachtoffers van een datagijzeling motiveren om toch maar losgeld te betalen, ziet Terra. Dat begrijpt hij wel. 'Betalen kán een effectieve maatregel zijn om de gevolgen van een datalek te minimaliseren. Het is echter geen betrouwbare waarborg, want je handelt met criminelen. Voor hetzelfde geld worden de data evengoed doorverkocht, en is het dubbel kassa voor de criminelen.' Hij pleit ervoor dat de Autoriteit Persoonsgegevens zich hier over uitspreekt, om zo de twijfel weg te nemen. 'De Autoriteit Persoonsgegevens kan uitleggen dat ze niet veel waarde hechten aan losgeld betalen als beschermingsmaatregel. Dat is nog niet expliciet gezegd.'

Niet afwachten

Volgens Terra komt de bestaande twijfel mede voort uit het feit dat er weinig wordt gepraat over wat een organisatie moet doen om de gevolgen van een inbraak te beperken. Angst voor publiciteit speelt daarbij een rol. Organisaties geven liever niet toe dat het fout is gegaan en dat een datalek niet is gemeld. 'Ga bij een hack in ieder geval niet afwachten, in de hoop dat de werkelijke hoeveelheid gevoelige informatie meevalt,' raadt hij aan.' Ga maar uit van het ergste en start direct met het informeren van de betrokkenen.'