Cyberafpersing: Datalek als businessmodel?
Dient er zich een nieuwe trend aan in hackersland: datalekken als businessmodel? Nu de ergste AVG-storm is gaan liggen en hopelijk de ergste kramp van: ‘mag niet, want AVG’, over is, zien hackers een nieuw verdienmodel: angst voor boetes.
Cyberafpersing is een van de dreigingen die gesignaleerd wordt in het Europol Internet Organised Crime Threat Assessment 2018 (IOCTA). De IOCTA is een op wetshandhaving gerichte beoordeling van de opkomende bedreigingen en belangrijke ontwikkelingen op het gebied van cybercriminaliteit in het afgelopen jaar. In dit rapport vond ik (lees het vooral, er staan nog veel meer interessante ontwikkelingen in) iets opmerkelijks over cyberafpersing door middel van datalekken.
De AVG heeft bij veel bestuurders gezorgd voor een angst voor boetes. De Autoriteit Persoonsgegevens is op dit moment nog druk met het opleggen van dwangsommen voor overtredingen die nog onder de oude privacywet (Wbp) zijn geconstateerd. Wellicht is dit een voorbode voor mogelijk aankomende AVG-boetes.
Het is niet alleen de boeteangst uit de AVG die zorgt voor de druk op het melden van inbreuken op persoonsgegevens. Maar ook andere meldplichten zoals de Europese NIB-richtlijn, resp. Wet beveiliging netwerk en informatiesystemen (Wbni) verhogen de druk om meldingen te doen aan toezichthouders.
De AVG schrijft voor dat inbreuken op persoonsgegevens binnen 72 uur moeten worden gemeld. Een inbreuk kan leiden tot aanzienlijke boetes. Maximaal 20 miljoen euro of 4% van de totale mondiale jaaromzet van een onderneming. Dit zijn de plafondbedragen uit de AVG die angst inboezemen bij bestuurders. En op die angst weten hackers goed in te spelen.
Volgens IOCTA 2018 kan de angst voor boetes leiden tot scenario’s waarin hackers bedrijven proberen af te persen vanwege security-incidenten. Op zich is afpersing niet nieuw, voorbeelden rondom ransomware en cryptoware zijn er genoeg. Wat wel nieuw is, is dat hackers de boetes uit bijvoorbeeld de AVG als drijfveer gaan gebruiken tot het betalen van losgeld. Bedrijven die gehackt zijn worden gepusht tot het maken van een afweging en betalen mogelijk liever een kleiner bedrag aan losgeld om zo openbaarmaking van het incident te voorkomen, dan te moeten vrezen voor een flinke boete opgelegd door een toezichthouder.
Ik ben persoonlijk niet zo’n fan van het angstzaaien. Het goed zorgen voor persoonsgegevens verdient een positievere drijfveer dan alleen de initiële angst voor een bestuurlijke boete. Daarnaast moet er echt grondig wat mis zijn (en vooral worden nagelaten) voordat een boete ter hoogte van het plafondbedrag wordt opgelegd, zo blijkt uit de boete-richtsnoer van het EDPB.
Geef je toe aan de dreiging van de hacker om het incident of zwakte niet openbaar te maken, dan geef je juist ruimte voor verdere aanvallen en afpersing en draag je bij aan de financiering van criminele activiteiten. Bovenal is het nooit een garantie dat de aanvaller de informatie niet openbaar zal maken of anderszins zal uitbuiten. En, gratis tip: ook al betaal je de hacker: het is nog steeds een incident. Neem vooral geen voorbeeld aan Uber. Juist de nalatigheid of zelfs het bewust verzwijgen van een incident (of het negeren van het advies van de FG daarin) komt in aanmerking voor een verzwaring van het boetebedrag. Trap dus niet in de nieuwste marketingtruc van hackers, je maakt een incident daardoor alleen maar erger.