Succesvolle afpersing van KNVB schudt de beveiligingswereld op

Het besluit van de KNVB om losgeld te betalen aan Russische cybercriminelen wordt beschouwd als een verstandige zet, maar tevens als een verontrustend signaal voor de beveiligingswereld. Deskundigen vrezen dat meer grote bedrijven binnenkort doelwit zullen worden als de Nederlandse overheid niet snel maatregelen neemt. "Het lijkt erop dat afpersing werkt, en dit incident zal de trend alleen maar verergeren in de toekomst," waarschuwen zij.

De Koninklijke Nederlandse Voetbalbond (KNVB) heeft bevestigd dat ze losgeld heeft betaald aan cybercriminelen die in april persoonlijke gegevens hebben gestolen uit de organisatie. De hackers, geïdentificeerd als de LockBit-groep, maakten gebruik van ransomware voor hun aanval. Hoewel het exacte bedrag van het losgeld niet bekendgemaakt is, heeft de KNVB de ongebruikelijke stap genomen om het incident openbaar te erkennen.
 
In een advertentie in twee landelijke kranten en een officiële verklaring heeft de KNVB individuen gewaarschuwd voor het mogelijke compromitteren van hun gegevens door deze criminelen. De vereniging karakteriseerde de beslissing om het losgeld te betalen als een moeilijke, maar benadrukte dat deze werd genomen na overleg met cybersecurity-experts. Desondanks blijft de KNVB voorzichtig en uit bezorgdheid dat de hackers hun toezegging om verdere gegevensverspreiding te staken niet zullen nakomen. Daarom dringt de KNVB er bij mogelijke slachtoffers op aan waakzaam te blijven tegen eventueel misbruik van hun persoonlijke informatie.
 
De KNVB verklaarde: "De mogelijk gecompromitteerde bestanden bevatten persoonlijke gegevens waarvan de verspreiding aanzienlijke gevolgen kan hebben voor het persoonlijke leven van de betrokken personen. Het voorkomen van een dergelijke verspreiding heeft bij de KNVB uiteindelijk voorrang boven het principe om niet toe te geven aan chantage."
 
Verder heeft de KNVB aangegeven dat slechts "een beperkt aantal leden mogelijk betrokken was bij dit incident." De meeste van deze leden zijn individueel benaderd door de KNVB. Het was echter niet mogelijk om iedereen te bereiken, met name spelers die tussen 2016 en 2018 verbonden waren aan professionele voetbalorganisaties. Ook wordt aan personen die op enigerlei wijze contact hebben gehad met het KNVB Sportmedisch Centrum gevraagd extra voorzichtig te zijn. Gedetailleerde informatie over potentieel getroffen groepen is te vinden op de website van de vereniging.
 
De woordvoerder van de KNVB geeft geen informatie over het aantal personen dat zich heeft gemeld of de hoeveelheid bezorgde e-mails die zijn ontvangen.
 
Identiteitsdiefstal bezorgdheid
Dave Maasland, een cybersecurity-expert, uitte de mening dat de oproep om "waakzaam te blijven" aan duidelijkheid ontbreekt. Hij verklaarde: "In communicatie met slachtoffers is helderheid essentieel. De boodschap zou moeten benadrukken dat het nodig is om identiteitsdiefstal te voorkomen en verdachte verzoeken af te wijzen."
 
Het feit dat de voetbalvereniging heeft toegegeven aan deze chantage heeft zorgen opgeroepen over de gevolgen ervan. Maasland merkte op: "Dit is een betreurenswaardig moment. Ransomware is momenteel een van de grootste digitale bedreigingen waarmee we worden geconfronteerd. Wanneer een organisatie zoals de KNVB effectief een criminele groep sponsort, waarschijnlijk voor een aanzienlijk bedrag, dient dit alleen maar om verdere criminele activiteiten aan te moedigen. Uiteindelijk zijn er geen winnaars in deze situatie."
 
Maasland vindt het opmerkelijk dat een prominente voetbalorganisatie nu het precedent zet voor de manier waarop digitale incidenten worden aangepakt, wat mogelijk invloed kan hebben op andere sportclubs.
 
Een woordvoerder van de KNVB gaf aan dat ze werden geconfronteerd met twee onwenselijke opties: onderhandelen met de hackers of dit niet doen, waarbij elke optie zijn eigen risico's met zich meebracht.
 
Nog niet afgerond
De cybersecurity-expert verwacht dat de Autoriteit Persoonsgegevens een rol zal spelen bij het evalueren van de situatie. Maasland verklaarde: "In hoeverre is aan de zorgplicht voldaan? Is de snelheid van de reactie en communicatie adequaat? Dit incident vond plaats in april; had dit niet eerder kunnen worden gemeld dan in september? Ik geloof dat de KNVB hiermee nog niet klaar is."
 
Wat betreft de verlengde duur van het incident schreef een woordvoerder van de KNVB dit toe aan de complexiteit van het onderzoek en verklaarde: "We wilden hier zorgvuldig mee omgaan en eerst de aard van de gecompromitteerde gegevens vaststellen."