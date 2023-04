Beeld ANP

Vertrouwelijke contracten van spelers en trainers, gevoelige documenten over lopende tuchtzaken en gedetailleerde informatie over bedrijfsvoering en commerciële zaken. De professionele ransomwarebende LockBit stelt dat de cyberaanval op de KNVB begin deze maand veel bedrijfsgevoelige informatie heeft opgeleverd. Op hun eigen site circuleren diverse screenshots van vermeende gestolen informatie.

Het gaat in totaal om 230.000 bestanden met een totale grootte van 300 gigabyte. Volgens deskundigen gaat het om authentieke informatie. “Dit is een organisatie die niet bluft. De KNVB moet dit heel serieus nemen,” waarschuwt Dave Maasland, ceo van het digitale beveiligingsbedrijf Eset Nederland.

LockBit, dat volgens opsporingsdiensten banden heeft met Rusland, heeft op verschillende websites een waarschuwing geplaatst met daarin de oproep aan de KNVB om aan hun eisen tegemoet te komen. Wat die eisen precies zijn is niet duidelijk, maar vermoedelijk gaat het om losgeld.

“Zij hebben de afgelopen jaren miljoenen euro’s verdiend met dit soort aanvallen,” weet Tijs Hofmans, securitydeskundige en nieuwscoördinator bij techsite Tweakers. “LockBit is de absolute top op het gebied van ransomware. Als je niet betaalt, dan weet je gewoon zeker dat je bedrijfsinformatie op het darkweb terechtkomt.”

Gigaprobleem

En als dat gebeurt, dan komt er in het geval van de KNVB een publiciteitsmachine op gang waarbij er ‘sowieso mensen gaan sneuvelen’, zegt sportmarketeer Chris Woerts. Je mag nooit toegeven aan chantage, maar in dit geval zou ik de KNVB adviseren om met die gasten te gaan praten. Anders hebben ze straks een gigaprobleem.”

Woerts spreekt van enkele ‘explosieve dossiers’. “Je hebt nu bijvoorbeeld AZ die de KNVB beticht van achterkamertjespolitiek. Als dat allemaal gedocumenteerd is en uitlekt, dan krijgt de bond echt een enorme bak ellende over zich heen. Dat kun je je niet voorstellen.”

De KNVB staat voor een ‘duivels dilemma’, zeggen deskundigen. Betaal je, dan beloon je in feite crimineel werk. Negeer je ze, dan loop je het risico dat je gevoelige informatie van je eigen personeel te grabbel gooit. “Je doet het eigenlijk nooit goed,” zegt Maasland. Honderd procent garantie dat de gestolen informatie later niet alsnog uitlekt is er bovendien niet, zegt hij. “Er kan bijvoorbeeld ruzie ontstaan in zo’n hackerscollectief. Wie zegt dat de info dan alsnog niet via derden wordt verspreid? Losgeld betalen zorgt misschien op de korte termijn voor een oplossing, maar je weet niet wat er later nog kan gebeuren.”

‘Gewoon betalen’

Techjurist Menno Weij weet het wel zeker: de KNVB moet optie betalen serieus overwegen en niet principieel zeggen ‘we betalen niet’. “Als je dat niet doet, dan komt die informatie sowieso het darkweb op. Dat heeft het verleden al laten zien. Hun verdienmodel is volledig gebaseerd op wederzijds vertrouwen. Als zij niet hun woord houden, stort hun hele business in elkaar. Dan zullen bedrijven in het vervolg denken: Lockbit, zak er lekker in. Dat willen ze niet, want er moet wel geld verdiend worden.”

De KNVB houdt de kaken stijf op elkaar. “Wij gaan hier helemaal niks meer over zeggen,” klinkt het resoluut. De bond kan alleen bevestigen dat cybercriminelen persoonlijke gegevens van KNVB-medewerkers illegaal in handen hebben gekregen. De aanval had zaterdag 1 april plaats op het ICT-netwerk op de KNVB Campus in Zeist, het hoofdkantoor. Bij de Nederlandse voetbalbond werken zo’n vijfhonderd mensen. Ruim een miljoen Nederlanders zijn lid van de bond. Het is niet duidelijk of de gegevens van die leden ook zijn ontvreemd.

Ransomware

Ransomware wordt doorgaans verspreid via phishing en spammails met besmette bijlagen. Als een ontvanger de bijlage opent, dringen de cybercriminelen binnen in de computersystemen. De schadelijke software maakt vervolgens vertrouwelijke gegevens buit en vergrendelt de systemen. Slachtoffers moeten vervolgens losgeld betalen om de controle over hun systemen terug te krijgen en om te voorkomen dat de gestolen gegevens op het darkweb terechtkomen.

Volgens DarkFeed, dat de ontwikkelingen op dit gebied bijhoudt, heeft LockBit in de afgelopen jaren al ruim 1500 slachtoffers gemaakt, waaronder een Canadees kinderziekenhuis. “De werkwijze van deze groepering is zó ongelooflijk professioneel en geraffineerd. Het zou zeer onverstandig zijn om LockBit te onderschatten,” stelt Hofmans.

Een datalek met enige kans op schade moet altijd bij de Autoriteit Persoonsgegevens worden gemeld, zodat die onderzoek kan doen. Dat is in dit geval gebeurd. Ook is er aangifte gedaan. Of de KNVB een boete moet betalen of een schadevergoeding verschuldigd is, is nog niet duidelijk.

Cruciale misstap

“De AVG (Algemene verordening gegevensbescherming, red.) eist weliswaar dat men persoonsgegevens goed beveiligt, maar snapt ook wel dat perfectie onhaalbaar is. Pas als de beveiliging te kort geschoten is, ontstaat aansprakelijkheid,” legt ICT-jurist Arnoud Engelfriet uit. “Dit datalek lijkt me ernstig, omdat zulke gegevens van werknemers gemakkelijk misbruikt kunnen worden voor phishing en oplichting.”

De aanval op de KNVB laat zien dat we een nieuwe fase zijn binnengetreden, zegt Weij. “Elk groot bedrijf komt aan de beurt. Dat is gewoon een feit. De vraag is of alle ondernemingen hierop zijn voorbereid. Laten we hopen dat het met de KNVB met een sisser afloopt. Belangrijk is nu om de rust te bewaren, en goed na te denken over vervolgstappen. Elke misstap kan nu cruciaal zijn.”