Kaag en Braassem meldde ransomware-besmetting niet
13 april 2016 11:55 | Rik Sanders | 0
De Zuid-Hollandse gemeente Kaag en Braassem heeft eerder dit jaar last gehad van ransomware. Toch besloot de gemeente geen aangifte te doen bij de Autoriteit Persoonsgegevens (AP) in het kader van de Meldplicht datalekken. Niet elk beveiligingsincident hoeft inderdaad gemeld te worden, stelt de Autoriteit Persoonsgegevens. Alleen ernstige datalekken, waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens.
Kaag en Braassem werd op 21 januari van dit jaar getroffen door een zogenaamde ransomwarebesmetting. Daardoor lag de dienstverlening die middag stil. Volgens teamleider informatievoorziening Tim de Groot liep een pc van een medewerker van de financiële afdeling de besmetting op na een bezoek aan een normale website.
Daar draaide waarschijnlijk een met ransomware besmette banner. Hoewel de virusscanner van de gemeente de ransomware gelijk detecteerde en in quarantaine had gezet, was het kwaad al geschied. Het virus had toch op plekken op het netwerk bestanden onbruikbaar gemaakt.
Daar draaide waarschijnlijk een met ransomware besmette banner. Hoewel de virusscanner van de gemeente de ransomware gelijk detecteerde en in quarantaine had gezet, was het kwaad al geschied. Het virus had toch op plekken op het netwerk bestanden onbruikbaar gemaakt.
Hersteld
Kaag en Braassem nam direct contact op met de IBD (de Informatiebeveiligingsdienst voor gemeenten). De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).'We hebben vervolgens conform hun aanpak gehandeld: er wordt aangifte bij de politie en de pc van de medewerker werd geïsoleerd en verwijderd. Alle werkplekken zijn hierna gecontroleerd op besmettingen voordat verschillende bestandsmappen weer zijn vrijgegeven. Vanuit de backup van de avond ervoor zijn de bestanden hersteld, maar is er wel werk van die desbetreffende donderdagochtend verloren gegaan. Gelukkig is door het snelle handelen de schade beperkt gebleven, aldus De Groot.
Losgeld
De gemeente heeft daarna met hulp van ict-partner Axians geprobeerd een analyse te maken van wat er precies was gebeurd en of het voorkomen had kunnen worden. Maar omdat de besmette pc inmiddels was geïsoleerd, bleek het lastig om nog duidelijke sporen te achterhalen. Het virus zat in een flash-bestand in het RAM van de machine; de bijbehorende url bestond al niet meer. Volgens de IDB is ransomware een bekend fenomeen. Het is lastig om je hiertegen te verweren. Wij waren als gemeente in principe ook bij met updates en patches.'Losgeld om van de ransomware af te komen, heeft de gemeente niet betaald. Naar aanleiding van de aanval is er nog wel gekeken of bepaalde elementen in de ict-beveiliging aangescherpt moesten worden. Daaruit is voortgekomen dat er over wordt gegaan van blacklisting - als een applicatie niet op een zwarte lijst staat, mag die worden gebruikt - naar whitelisting: alleen software die op een goedgekeurde lijst staat, mag worden gebruikt. Daarmee wil de gemeente het potentiële infectiegevaar nog verder bezweren.
Geen melding
Kaag en Braassem heeft geen melding gemaakt bij het Meldpunt Datalekken van de Autoriteit Persoonsgegevens. Volgens De Groot heeft de 'security officer' van de gemeente vastgesteld dat er geen sprake was van een datalek. Dan hoeft een cybercrime-actie niet gemeld te worden aan dit meldpunt.Een woordvoerster van de Autoriteit Persoonsgegevens zegt dat haar organisatie deze specifieke zaak niet heeft onderzocht en daarover dan ook geen uitspraken kan doen. Wel stelt zij dat ‘in zijn algemeenheid geldt dat organisaties zelf moeten bepalen in hoeverre er sprake is van een datalek dat bij ons moet worden gemeld. Melden aan de toezichthouder bij malware hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens.’
In het geval van malware, vervolgt zij, moet de afweging niet beperkt worden tot de gegevens op het geïnfecteerde (rand)apparaat maar moet het risico ten aanzien van alle soorten (persoons)gegevens meegewogen worden waarvan aangenomen kan worden dat deze vanaf het randapparaat benaderd kunnen worden. ‘Voorbeelden van deze bredere afweging zijn toegang tot gegevens via netwerkschijven of informatiesystemen op servers elders op de infrastructuur waar het randapparaat onderdeel van uitmaakt of daarbuiten’, aldus de woordvoerster.
Meldplicht
De meldplicht geldt in Nederland vanaf 1 januari 2016. De plicht houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Ernstig betekent in dit verband dat er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het wetsvoorstel is bedoeld als aanscherping van de Wet bescherming persoonsgegevens (Wbp), met oog op de toenemende cybercriminaliteit en privacy-inbreuken.In sommige gevallen moeten ook de betrokkenen worden geïnformeerd over het datalek, maar alleen als zo’n lek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. De dreiging van het ten onrechte niet melden van een datalek is groot. Komt de autoriteit erachter, dan volgt er een boete die kan oplopen tot ruim acht ton.
https://www.computable.nl/artikel/achtergrond/security/5739391/1444691/meldpunt-ap-niet-bedoeld-voor-elk-ict-indicent.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=dagelijks_13_04_2016&utm_content=topartikelen
No comments:
Post a Comment