KNVB betaalt losgeld aan hackers om vertrouwelijke gegevens te beschermen
De KNVB heeft losgeld betaald aan cybercriminelen die in april persoonsgegevens hebben gestolen van de voetbalbond. De hackersgroep LockBit gebruikte hierbij gijzelsoftware. Volgens RTL Nieuws was de eis ruim 1 miljoen euro. De KNVB wil niet zeggen om hoeveel geld het gaat.
De KNVB deelt het nieuws in een advertentie in twee landelijke kranten en in een bericht, waarin ze mensen waarschuwen dat hun gegevens mogelijk in handen zijn van die criminelen. De bond zegt het betalen van losgeld een moeilijke keuze was, maar dat er uiteindelijk "onder deskundige begeleiding afspraken" met de hackers zijn gemaakt. De bond is er nog niet helemaal gerust op dat de criminelen na het krijgen van het losgeld de gegevens ook echt niet zullen verspreiden en roept mogelijke gedupeerden op om extra alert te blijven op misbruik van hun gegevens.
"Mogelijk buitgemaakte bestanden bevatten persoonsgegevens waarvan de verspreiding gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen. Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen", licht de bond toe.
De KNVB zegt verder dat maar "een beperkt aantal leden mogelijk bij dit incident is betrokken". Zij zijn voor een groot deel persoonlijk benaderd door de KNVB. Dat lukte niet bij iedereen, bijvoorbeeld bij spelers die hebben gespeeld voor een betaaldvoetbalorganisatie in de periode van 2016 tot en met 2018. Ook "personen die in de breedste zin contact hebben gehad met het KNVB Sportmedisch Centrum" moeten extra alert zijn. Alle mogelijk getroffen groepen staan op de website van de voetbalbond.
Hoeveel mensen zich al hebben gemeld, wil een woordvoerder van de bond niet zeggen. Ook wordt niet gedeeld hoeveel bezorgde mails ze al hebben gekregen.
Identiteitsdiefstal
"Dit had zeer ernstige gevolgen kunnen hebben", zegt cyber-security-deskundige Dave Maasland in het Radio 1 Journaal.
De oproep 'extra alert te zijn' vindt Maasland niet concreet genoeg. "In slachtoffercommunicatie moet je zo duidelijk mogelijk zijn. Wat je moet willen communiceren is dat mensen erop letten dat er geen identiteitsdiefstal wordt gepleegd, dat je geen vreemde aanvragen binnenkrijgt."
Wat betekent het dat de voetbalbond is gezwicht voor deze chantage? "Dat is een treurig moment. Ransomware is op dit moment misschien wel de grootste digitale dreiging die we kennen. Op moment dat de KNVB bij wijze van spreken een criminele organisatie sponsort, waarschijnlijk een substantieel bedrag, dan geeft dit weer een impuls aan dit soort misdaden. Uiteindelijk zijn er alleen maar verliezers."
Maasland noemt het opvallend dat een grote voetbalorganisatie nu de standaard zet over hoe je omgaat met digitale incidenten, ook voor andere sportclubs.
Een woordvoerder van de bond zegt dat ze konden kiezen uit twee slechte opties: onderhandelen of niet onderhandelen met alle risico's van dien.
'Nog niet klaar mee'
De cyber-security-deskundige verwacht dat er een rol is weggelegd voor de Autoriteit Persoonsgegevens. "In hoeverre is er voldaan aan de zorgplicht? En klopt de snelheid waarmee is gehandeld en de communicatie hierover? Ik verwacht dat vooral naar dat laatste zal worden gekeken. Het is al in april gebeurd. Had dit niet eerder gedeeld kunnen worden dan nu in september? Ik denk dat de KNVB hier nog niet klaar mee is."
Waarom het vier tot vijf maanden duurde, heeft volgens een bondswoordvoerder te maken met de aard van het onderzoek. "We wilden het zorgvuldig doen en eerst uitzoeken om welke gegevens het precies ging."