Cyberincidenten gebeuren. Dat het de KNVB overkomt is een feit, geen schande. Het gaat u ook een keer overkomen. Mijn (Arwi van der Sluijs) punt bij dit artikel is de volgende vraag. Is uw organisatie voorbereid op een cyberincident?
Puur op basis van de strakke processen bij Cyber Incident bestrijding stel ik als ervaren incident handler dat er bij de KNVB iets is misgegaan. Het is namelijk te lang in het nieuws. Maakt niet uit wat er dan exact is misgegaan. Iets heeft ervoor gezorgd dat het na 6 maanden nog in het nieuws is en dat maakt dit incident bijzonder en besprekenswaardig. Ook het feit of je wel of niet betaalt. Ieder incident is uniek en daar hoort een keuze bij of je een cybercrimineel wilt betalen of niet. Daarover heb ik geen mening. Het allerbelangrijkste is dat je je klantgegevens beschermt. En als dat geld kost dan is dat maar zo. Een cyberincident kan je voorbereiden. Denk daarbij aan technisch, procedureel, financieel en communicatie-technische elementen. Oh.. ja… vergeet ook de emoties niet. Wij bouwen ook rust in voor onze incident response teamleden.
De geruchtmakende cyberaanval op de KNVB krijgt mogelijk nog een staartje. Autoriteit Persoonsgegevens (AP), de toezichthouder op het gebied van persoonsgegevens, voert momenteel gesprekken met de voetbalbond over de gevoelige kwestie, laat een woordvoerder weten. Of het tot sancties leidt is onduidelijk. Een autoriteit uit de securitywereld (red. Arwi van der Sluijs) vindt een boete in elk geval op zijn plaats.
AP-voorzitter Aleid Wolfsen beschuldigt de KNVB een ‘verwerpelijk verdienmodel’ in stand te houden door zaken te doen met criminelen. De voetbalbond betaalde Russische cybercriminelen vermoedelijk ruim een miljoen euro om zo buitgemaakte data met persoonsgegevens weer terug te krijgen. De privacywaakhond is momenteel in gesprek met de KNVB over de gang van zaken.
Het gaat hierbij niet specifiek om het betalen van losgeld, benadrukt de AP. ,,Dat is hun keuze. Het gaat hier over de bescherming van persoonsgegevens.” De KNVB had de aanval binnen 72 uur moeten melden aan de AP. De bond beweert dat direct gedaan te hebben. Een boete wordt, zoals het verleden vaker heeft uitgewezen, niet uitgesloten.
Bent u het slachtoffer van een bedrijfshack? Neem direct actie met onze 24/7 Cybersecurity Diensten!
Wat gebeurde er?
Op zaterdag 1 april vond er een cyberaanval plaats op het ict-netwerk op de KNVB Campus in Zeist, het hoofdkantoor. De daders waren het beruchte Russische hackerscollectief genaamd LockBit. De voetbalbond bracht dit nieuws drie dagen later naar buiten. In dat persbericht meldde de bond dat ze nog aan het uitzoeken was welke gegevens precies gestolen waren.
De KNVB deed erna maandenlang geen mededelingen. Op online gedeelde beelden was wel te zien dat er ruim 300 gigabyte aan data was gestolen, een immense hoeveelheid. Deze gegevens, van paspoorten tot salarisstrookjes van Oranje-spelers, zouden op 26 april worden vrijgegeven als de bond geen losgeld zou betalen. De KNVB wilde hier lange tijd niets over zeggen. Vijf maanden later maakte de KNVB via een advertentie bekend dat er losgeld betaald was en dat er nog een kans is dat gestolen informatie alsnog ergens op het internet verschijnt.
De KNVB had een hoop leed kunnen voorkomen als ze van begin af aan alerter had opgetreden, transparanter had opgesteld én beter had geluisterd naar deskundigen in het werkveld, zegt Arwi van der Sluijs, een autoriteit op het gebied van cybersecurity. Zijn bedrijf, het Haagse NFIR, was onder meer verantwoordelijk was voor de veiligheidscontrole van de corona-tracingapp. Van der Sluijs zegt er meteen bij: ,,Ik verwijt niet dat de KNVB gehackt is. Dat overkomt ons allemaal. Maar ik weet zeker dat ze van begin tot eind fout op fout hebben gestapeld. Ik was niet betrokken bij dit incident, maar wie de tijdlijn goed bestudeert ziet dat hier sprake is van onwetendheid en traag handelen.”
Zo stelt Van der Sluijs dat de KNVB veel eerder had moeten weten welke data is gestolen. ,,Wie zijn netwerk een beetje goed heeft ingericht komt daar al na een paar uur achter.” Als iets in lichterlaaie staat, moet je de brand zo snel mogelijk blussen, vindt Van der Sluijs. ,,Binnen onze branche zijn we gewend zoiets binnen een paar weken af te handelen. Geen vijf hele maanden zoals hier.”
,,Ik weet vrijwel zeker dat de traagheid van de KNVB tegen het advies van onze collega’s in is gegaan”, stelt Van der Sluijs verder. ,,Het lijkt erop dat er een interne strijd is geweest over de te volgen koers en dat er daarom halve maatregelen zijn genomen. Het is bestuurlijke knulligheid ten top. Van begin tot eind prutswerk. De KNVB is groot en rijk genoeg om hier meteen op te acteren. Maar je merkt hier gewoon dat ze van tech weinig kaas hebben gegeten. Ze snappen het niet, nemen het niet serieus, en dan etteren dit soort dingen véél te lang door.”
KNVB kritisch
De KNVB ontkent dit met klem. ,,Integendeel: er is door alle betrokkenen zeer professioneel en intensief samengewerkt”, benadrukt een woordvoerder. Het steekt de KNVB dat Van der Sluijs, toch een autoriteit op het gebied van security, ‘kennelijk slecht geïnformeerd is’. ,,Sterker nog: hij erkent zelf überhaupt niet met de details bekend te zijn. We volgden juist wél vanaf het eerste moment de aanbevelingen op van externe deskundigen.We hebben juist wél, namelijk met hulp van twee andere deskundige partijen, zeer uitgebreid onderzocht welke gegevens mogelijk door de aanval waren geraakt.”
Dat proces heet ‘eDiscovery’ en is een intensief proces waarbij grote zorgvuldigheid komt kijken, stelt de KNVB. ,,Ook hier hebben we gehandeld in lijn met deskundig advies. Kortom: beweringen van Van der Sluijs over ons zijn pertinent onjuist.”
Kom Nu in Actie: Beveilig Uw Organisatie
Als dit artikel uw ogen heeft geopend voor de kwetsbaarheden en risico’s waarmee zelfs grote organisaties zoals de KNVB te maken hebben, is het tijd om te handelen. Wacht niet tot een cyberincident u dwingt om actie te ondernemen. Neem vandaag nog contact op met NFIR om de digitale activa van uw organisatie te beoordelen, voor te bereiden en te beveiligen.
