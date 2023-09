miljoen euroHet is een verstandige zet, maar tegelijkertijd een ‘heel verontrustend signaal’ dat de KNVB heeft besloten om losgeld te betalen aan Russische cybercriminelen. Specialisten vrezen dat meer grote bedrijven binnenkort aan de beurt zijn als de Nederlandse overheid niet snel maatregelen neemt. ,,Afpersen werkt kennelijk, en dit verhaal zal de trend alleen nog maar erger maken in de toekomst.”

De KNVB heeft losgeld betaald - vermoedelijk ruim een miljoen euro - om te voorkomen dat gehackte persoonsgegevens van onder meer leden op straat zouden komen te liggen. Bij de aanval zijn ook identiteitsbewijzen, woonadressen en salarisgegevens van Oranjespelers en andere professionele voetballers gestolen.

In een advertentie in deze krant stelt de bond dat betalen een moeilijke keuze was, maar dat er uiteindelijk ‘onder deskundige begeleiding afspraken’ met de hackers zijn gemaakt. De cyberinbraak was in april en daarvan is aangifte gedaan bij de politie. Die inbraak werd opgeëist door een criminele groepering die zichzelf Lockbit noemt. Dit beruchte Russische hackerscollectief maakt gebruik van ransomware, ook wel gijzelsoftware genoemd.

‘Je kunt wel stoer doen’

De KNVB heeft er goed aan gedaan om in te gaan op de eisen van de hackers, zegt Lisette Meij, tech-juriste en eigenaar van Lime Legal. ,,Je kunt wel heel ‘stoer’ doen en zeggen dat je niet betaalt, maar uiteindelijk zijn de personen waarvan de gegevens zijn gelekt daar het echte slachtoffer van”, vertelt Meij. ,,Je hoort vaak dat door het betalen je het verdienmodel in stand houdt. Maar als jij als enige partij niet betaalt, verander je het verdienmodel niet. Daarmee zorg je dus alleen dat het risico dat de gegevens van betrokken personen straks op straat liggen gigantisch is.”

Hackers van Lockbit werken volgens een bepaald stramien. Als de getroffen partij niet betaalt voor het ontsleutelen van de data, bijvoorbeeld omdat er goede back-ups zijn, dan beginnen ze met openbaarmaking te dreigen. ,,Vaak wordt er dan een klein deel van de data op het darkweb gezet, met de dreiging alles te openbaren als er niet betaald wordt”, zegt tech-advocaat Jan Gerrit Kroon. Dat is vermoedelijk in het geval van de KNVB gebeurd.

‘Dit zal erger worden‘

De KNVB is er nog niet helemaal gerust op dat de criminelen de gegevens ook echt niet zullen verspreiden. Daarom roept de bond in deze krant mogelijke gedupeerden op om extra alert te blijven op misbruik van hun gegevens. ,,Mogelijk buitgemaakte bestanden bevatten persoonsgegevens waarvan de verspreiding gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen. Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen”, licht de bond toe.

Tegelijkertijd laat de KNVB wel zien dat afpersen zin heeft. ,,En dit zal de trend alleen nog maar erger maken in de toekomst”, vreest Dave Maasland, ceo van beveiligingsbedrijf Eset Nederland. ,,Natuurlijk is de KNVB niet in zijn eentje verantwoordelijk hiervoor, en zullen we hier allemaal mee om moeten leren gaan. Maar dat ransomware-bendes nog altijd miljoenen verdienen gaat de maatschappij op lange termijn pijn blijven doen. Die pijn zal alleen maar groter worden als we niet sneller in actie komen.”

Losgeld voorkomen

Het kabinet wil losgeld-betalingen zoveel mogelijk voorkomen. Deskundigen zeggen dat het hier aan visie ontbreekt. In het Verenigd Koninkrijk zijn ze volgens specialisten veel verder. Het Nationaal Cyber Security Centrum van dat land waarschuwde onlangs nog 4800 bedrijven ‘met de snelheid van het licht’ dat ransomware hackers hun systemen geïnfecteerd hadden. Door snel te handelen werd grootschalige afpersing voorkomen, zegt VVD-Europarlementariër en rapporteur cybersecurity Bart Groothuis. ,,In Nederland bestaat zo’n systeem nog niet, maar het is wel wat Europa’s nieuwe cybersecurity-richtlijn NIS2 vraagt van lidstaten: dat we een actieve rol innemen in plaats van een passieve.”

De KNVB zegt in een toelichting op de website dat maar ‘een beperkt aantal leden mogelijk bij dit incident is betrokken’. Zij zijn voor een groot deel persoonlijk benaderd. Dat lukte niet bij iedereen, bijvoorbeeld bij spelers die hebben gespeeld voor een betaaldvoetbalorganisatie in de periode van 2016 tot en met 2018. Ook ‘personen die in de breedste zin contact hebben gehad met het KNVB Sportmedisch Centrum’ moeten extra alert zijn. Alle mogelijk getroffen groepen staan op de website van de voetbalbond.

‘Dan had je net zo goed niet kunnen betalen’

Tech-advocaat Jan Gerrit Kroon slaakt een diepe zucht. ,,Er is dus betaald, maar de leden moeten tóch beducht zijn op misbruik. Dan had je net zo goed niet kunnen betalen. Het roept dus de vraag op welke informatie zo verschrikkelijk belangrijk is, dat deze stap noodzakelijk werd geacht, ook door de adviseurs.” Kroon vindt het niet slim dat de KNVB dit doet. ,,De bad guy wordt op deze manier toch beloond.Normaal gesproken zou je niet verwachten dat de KNVB zulke bijzondere gegevens in haar ledenadministratie heeft, dat het zo schadelijk is dat die op straat zouden komen te liggen.”

De bond werkt nu met specialisten om de beveiliging van systemen te verbeteren. Europarlementariër Groothuis richt zich ook op de overheid. ,,Wat zij kunnen doen is domeinen blokkeren die hackers gebruiken. Internet service-providers kunnen bijvoorbeeld een rood scherm geven als ze per ongeluk klikken op een valse e-mail. In België doet het NCSC dat, maar in Nederland heeft het NCSC vooral een passieve rol. Dat is niet wat Europa in de nieuwe wet vraagt.”

Is er een kans dat de criminelen alsnog de data op het darkweb publiceren? Deskundigen denken van niet. ,,Dan brengen ze hun eigen verdienmodel in gevaar. Uiteraard zijn er geen garanties, bijvoorbeeld als blijkt dat ze meer geld willen hebben”, zegt tech-juriste Meij. Volgens tech-advocaat Kroon had het alleen nóóit zo ver moeten komen, ,,Ik vind dat losgeld betalen alleen in hele, hele bijzondere situaties zou mogen, bijvoorbeeld bij levensgevaar of echte onmogelijkheid het bedrijf voort te zetten, maar niet voor zoiets.”

