Managed hosting door True

Meldpunt AP niet bedoeld voor elk ICT-incident

Kaag en Braassem meldde ransomware-besmetting niet

 

Hacker

De Zuid-Hollandse gemeente Kaag en Braassem heeft eerder dit jaar last gehad van ransomware. Toch besloot de gemeente geen aangifte te doen bij de Autoriteit Persoonsgegevens (AP) in het kader van de Meldplicht datalekken. Niet elk beveiligingsincident hoeft inderdaad gemeld te worden, stelt de Autoriteit Persoonsgegevens. Alleen ernstige datalekken, waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens.

Kaag en Braassem werd op 21 januari van dit jaar getroffen door een zogenaamde ransomwarebesmetting. Daardoor lag de dienstverlening die middag stil. Volgens teamleider informatievoorziening Tim de Groot liep een pc van een medewerker van de financiële afdeling de besmetting op na een bezoek aan een normale website.

Daar draaide waarschijnlijk een met ransomware besmette banner. Hoewel de virusscanner van de gemeente de ransomware gelijk detecteerde en in quarantaine had gezet, was het kwaad al geschied. Het virus had toch op plekken op het netwerk bestanden onbruikbaar gemaakt. 

Hersteld

Kaag en Braassem nam direct contact op met de IBD (de Informatiebeveiligingsdienst voor gemeenten). De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

'We hebben vervolgens conform hun aanpak gehandeld: er wordt aangifte bij de politie en de pc van de medewerker werd geïsoleerd en verwijderd. Alle werkplekken zijn hierna gecontroleerd op besmettingen voordat verschillende bestandsmappen weer zijn vrijgegeven. Vanuit de backup van de avond ervoor zijn de bestanden hersteld, maar is er wel werk van die desbetreffende donderdagochtend verloren gegaan. Gelukkig is door het snelle handelen de schade beperkt gebleven, aldus De Groot. 

Losgeld

De gemeente heeft daarna met hulp van ict-partner Axians geprobeerd een analyse te maken van wat er precies was gebeurd en of het voorkomen had kunnen worden. Maar omdat de besmette pc inmiddels was geïsoleerd, bleek het lastig om nog duidelijke sporen te achterhalen. Het virus zat in een flash-bestand in het RAM van de machine; de bijbehorende url bestond al niet meer. Volgens de IDB is ransomware een bekend fenomeen. Het is lastig om je hiertegen te verweren. Wij waren als gemeente in principe ook bij met updates en patches.'

Losgeld om van de ransomware af te komen, heeft de gemeente niet betaald. Naar aanleiding van de aanval is er nog wel gekeken of bepaalde elementen in de ict-beveiliging aangescherpt moesten worden. Daaruit is voortgekomen dat er over wordt gegaan van blacklisting - als een applicatie niet op een zwarte lijst staat, mag die worden gebruikt - naar whitelisting: alleen software die op een goedgekeurde lijst staat, mag worden gebruikt. Daarmee wil de gemeente het potentiële infectiegevaar nog verder bezweren.

Geen melding

Kaag en Braassem heeft geen melding gemaakt bij het Meldpunt Datalekken van de Autoriteit Persoonsgegevens. Volgens De Groot heeft de 'security officer' van de gemeente vastgesteld dat er geen sprake was van een datalek. Dan hoeft een cybercrime-actie niet gemeld te worden aan dit meldpunt. 

Een woordvoerster van de Autoriteit Persoonsgegevens zegt dat haar organisatie deze specifieke zaak niet heeft onderzocht en daarover dan ook geen uitspraken kan doen. Wel stelt zij dat ‘in zijn algemeenheid geldt dat organisaties zelf moeten bepalen in hoeverre er sprake is van een datalek dat bij ons moet worden gemeld. Melden aan de toezichthouder bij malware hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens.’

In het geval van malware, vervolgt zij, moet de afweging niet beperkt worden tot de gegevens op het geïnfecteerde (rand)apparaat maar moet het risico ten aanzien van alle soorten (persoons)gegevens meegewogen worden waarvan aangenomen kan worden dat deze vanaf het randapparaat benaderd kunnen worden. ‘Voorbeelden van deze bredere afweging zijn toegang tot gegevens via netwerkschijven of informatiesystemen op servers elders op de infrastructuur waar het randapparaat onderdeel van uitmaakt of daarbuiten’, aldus de woordvoerster.

Meldplicht

De meldplicht geldt in Nederland vanaf 1 januari 2016. De plicht houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Ernstig betekent in dit verband dat er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het wetsvoorstel is bedoeld als aanscherping van de Wet bescherming persoonsgegevens (Wbp), met oog op de toenemende cybercriminaliteit en privacy-inbreuken.

In sommige gevallen moeten ook de betrokkenen worden geïnformeerd over het datalek, maar alleen als zo’n lek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. De dreiging van het ten onrechte niet melden van een datalek is groot. Komt de autoriteit erachter, dan volgt er een boete die kan oplopen tot ruim acht ton.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5739391). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


Partnerinformatie
 

Reacties

Als ransomware geen data transporeert naar buiten toe en als er back-ups zijn van de data, dan is er geen sprake van een data lek.

Dus terecht dat het niet gemeld is.

Sinds 2012 (xDocCrypt/Dorifel) worden gemeenten nu met regelmaat getroffen door ransomware welke niet alleen eenvoudig toegang tot netwerkschijven lijkt te verkrijgen maar ook de dienstverlening stil legt en tot productieverlies (het terug zetten van een back-up betekent tijdreizen) leidt. Daarmee is de vraag of er nu wel of geen sprake is van een datalek irrelevant omdat dit alleen maar een kwestie van tijd is:

https://www.skipr.nl/actueel/id26165-amersfoort-laat-zorggegevens-1900-mensen-slingeren.html

Is het niet evenzeer een handige stap dit toch te melden bij AP zodat AP, voor zover mogelijk, aan trendvolging doet. Immers, het kan zomaar zijn dat AP ism bijvoorbeeld govcert een informatiepunt heeft?

Me dunkt dat elke informatie betreffende dit soort zaken voor elke IT professional relevantie heeft.

Rene, Autoriteit Persoonsgegevens is daar helemaal niet op ingericht, dus lijkt me geen goed plan.

René Civile,
NCSC lijkt me eerder de aangewezen instantie om dit soort incidenten te melden, deze houdt ook de statistieken (trend) bij om een dreigingsbeeld te krijgen. En hierin zitten procentueel nog opmerkelijke verschillen tussen publieke en private sector. Sectoraal beeld laat zien dat de primaire kwetsbaarheden van overheid de brede verspreiding van (persoons)gegevens betreft welke niet altijd gepaard gaat met een bijbehorende overdracht van de verantwoordelijkheden voor de beveiliging ervan, secundair wordt trouwens ook BYO genoemd hoewel dit op zijn retour is ten faveure van door de organisatie beheerde (lees uitbesteedde) ICT.

https://www.computable.nl/artikel/nieuws/overheid/5719534/250449/alphen-gaat-ict-kaag-en-braassem-regelen.html

Vacatures bij AP
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×