Waarom u ransomware moet melden

Waarom u ransomware moet melden

DearBytesBlogWaarom u ransomware moet melden

dinsdag 19 april 2016

Vorig jaar heb ik diverse malen verondersteld dat ransomware incidenten ook aanleiding kunnen geven om melding te maken bij de Autoriteit Persoonsgegevens. Ik baseerde mij op de wetstekst, waaruit vooral duidelijk wordt dat de definitie van “datalek” breder is dan je zou denken.

Ook verminking of vernietiging van data wordt als datalek gezien.

Dit past bij de typische werking van ransomware natuurlijk zeker in het straatje.

DB Drawing 006 - Ransomware

Ransomware onderdeel meldplicht?

Inmiddels is er meer duidelijkheid op dit vlak te geven door een tweetal commentaren vanuit de Autoriteit Persoonsgegevens. En inderdaad: er is een grote kans dat u een Ransomware incident moet melden.

Wilbert Tomesen NCSC 2016Ten eerste sprak Mr. Wilbert Tomesen van de autoriteit op de NCSC One conferentie in Den Haag op 5 april jongstleden. Hij stelde dat de autoriteit in de eerste 100 dagen sinds inwerkingtreding van de meldplicht datalekken, al in totaal 1000 meldingen ontvangen had. En tegelijkertijd sprak hij uit dat dit nog maar het tipje van de ijsberg is omdat nog niet iedereen zich netjes aan de wet houdt. Maar het belangrijkste was wel dat hij letterlijk bevestigde dat ransomware incidenten ook onder de meldplicht kunnen vallen.

In die stelling bij het NCSC was de uitleg van Mr. Tomesen echter net iets anders dan die van mij hierboven. En zijn uitleg kwam recentelijk nog eens naar voren via binnenlandsbestuur.nl:

Wanneer er sprake is van malware, dat via een banner kan binnenkomen, moet de afweging volgens de woordvoerder ‘niet beperkt worden tot de gegevens op het geïnfecteerde apparaat, maar moet het risico ten aanzien van alle soorten persoonsgegevens meegewogen worden, waarvan aangenomen kan worden dat deze vanaf het randapparaat benaderd kunnen worden.’ Voorbeelden daarvan zijn persoonsgegevens die via netwerkschijven of informatiesystemen op de infrastructuur aangesloten servers elders bekeken kunnen worden.

Ransomware is vorm van malware

Ransomware is een vorm van malware en dus gaat bovenstaande op. De boodschap van de autoriteit is vooral dat men zich niet moet laten leiden door de ogenschijnlijke bedoeling van ransomware (namelijk losgeld eisen). Maar dat elke malware installatie kan betekenen dat een computer onder volledige controle staat van een aanvaller, en u er dus vanuit moet gaan dat de aanvaller ook andere bronnen heeft doorzocht.

Conform de richtsnoeren van de autoriteit, heeft u 72 uur de tijd om uit te sluiten dat vanaf een getroffen PC persoonsgegevens benaderd zijn. Lukt dat niet in dat tijdsbestek, dan dient u te melden.

Kortom: wij merken dat er nog veel onbekendheid heerst met de werking van de meldplicht datalekken én de relatie tot ransomware.