ChipSoft beweert dat gehackte persoonlijke gegevens verwijderd zijn, maar hoe zeker is dat? 'Niet blind op vertrouwen'
Begin deze maand werden persoonlijke patiëntgegevens gestolen bij een hack bij softwareleverancier ChipSoft. Het bedrijf meldt nu dat die data zijn vernietigd. Maar valt dat met zekerheid te zeggen? "Ingewikkeld om te bewijzen of het echt zo is."
ChipSoft publiceerde gisteren een verklaring op hun website waarin het bedrijf zegt dat het 'gelukt is om te voorkomen dat de gegevens gepubliceerd zijn', en dat 'gestolen gegevens zijn vernietigd'. Maar volgens techjournalist en expert op het gebied van cybersecurity Harm Teunis is dat niet zo simpel.
Moeilijk te bewijzen
Teunis schetst de situatie: "ChipSoft heeft een gesprek gehad met een cybercrimineel. En kennelijk zijn daar afspraken gemaakt, onder andere dus over het wissen van de gestolen gegevens. ChipSoft zegt dat daar bewijs van is geleverd. Maar over het algemeen is dat heel moeilijk en kun je er niet zomaar van uitgaan dat alles gewist is. Het is echt ingewikkelder dan dat."
Zij kunnen wel zeggen dat de data gewist zijn, maar tegelijkertijd weten we niet of ergens anders nog een verhuisdoos staat waar al die documenten in zitten.techjournalist en cybersecurity-expert Harm Teunis
Hij gaat verder: "Je hebt eigenlijk geen controle over de data die buit zijn gemaakt. Je weet ook niet zeker wat er nou daadwerkelijk met die gegevens is gebeurd. Zij kunnen wel zeggen dat ze gewist zijn, maar tegelijkertijd weten we niet of ergens anders nog een verhuisdoos staat waar al die documenten in zitten. Er is geen eenvoudige manier om dat te bewijzen, dat maakt het een ingewikkelde situatie."
'Met wie heb je die afspraak gemaakt?'
Hackersgroep Embargo, een relatief nieuwe groep, zou achter de hack zitten. Zij richtten zich al eerder op ziekenhuizen in de Verenigde Staten. Naar schatting heeft de groep met dit soort acties al meer dan 30 miljoen aan crypto-inkomsten opgehaald. Wie de Embargo-hackers precies zijn is niet bekend, maar het vermoeden is dat ze een opvolger zijn van groep BlackCat. Er zijn veel overeenkomsten, bijvoorbeeld dat BlackCat zich óók richtte op de zorgsector.
Expert Teunis legt uit dat er heel veel van dit soort 'ransomware'-hackersgroepen zijn, wat het nog moeilijker maakt om met zekerheid te zeggen of de gegevens daadwerkelijk zijn vernietigd. "Zo'n groep kan uit een aantal mensen bestaan. Maar wat als die groep uit elkaar valt? Wat als er leden weglopen of onder een ander naam weer verder gaan? Met wie heb je dan die afspraak gemaakt en welke garantie heb je dat zij niet alsnog die data gaan verkopen of op een andere manier met die data aan de haal gaan?"
Garantie niet te geven
"Het is heel moeilijk om daar echt blind op te vertrouwen", zegt Teunis over de overeenkomst met de hackers waar ChipSoft van spreekt. "We weten bijvoorbeeld ook dat hackersgroepen elkaar actief aanvallen, want het zijn uiteindelijk gewoon concurrenten."
"Ze hebben vaak ruzie met elkaar, ze breken in bij elkaar, lekken gegevens. Als je niet 100 procent zeker weet of de gegevens gewist zijn, is er geen zekerheid. De garantie dat het dus nooit meer ergens anders opduikt, die is bijna niet te geven."
Verdienmodel van hackersgroepen
Het advies wat de Autoriteit Persoonsgegevens en de politie geven bij hacks is om geen losgeld te betalen. Door te betalen houd je het verdienmodel van hackersgroepen juist in stand. Bij de hack van telecombedrijf Odido werd niet betaald, waarna de gestolen data wel werden gepubliceerd. Veel mensen waren daar ontevreden over.
Toch is het advies om niet te betalen niet zomaar uit de lucht gegrepen, legt Teunis uit. "De gegevens liggen al op straat; er is al ingebroken. De data zijn in principe al weg. En als je gaat betalen weet je één ding zeker: dan ben je echt bezig met in stand houden van een heel crimineel netwerk dat maar één verdienmodel heeft, en dat is mensen afpersen en geld verdienen met gegevens van consumenten."
'Kiezen tussen twee kwaden'
Tegelijkertijd wil je als organisatie natuurlijk de gegevens van jouw klanten en andere mensen beschermen. Om wel of niet te betalen is dus "kiezen tussen twee kwaden", zegt Teunis.
"Welke afweging je maakt, is voor iedere organisatie een eigen risicoafweging. Een ding wat je zeker weet, is dat de gegevens handen van criminelen zijn. Er zijn een heleboel factoren waar een bedrijf of organisatie die geraakt wordt rekening mee moet houden."
Waarschijnlijk betaald
Het is waarschijnlijk dat ChipSoft de hackers heeft betaald, maar het is niet bekend welk bedrag het bedrijf heeft neergelegd. Teunis legt uit waarom dit logisch is: "Er is voor de cybercrimineel geen enkele reden om die gestolen data niet te publiceren, of die data offline te halen en de sleutel te geven: dat is hun verdienmodel."
"Op het moment dat die cybercrimineel de gegevens offline heeft gehaald en zegt dat ze het gewist hebben, dan kan het eigenlijk maar één ding betekenen en dat is dat er waarschijnlijk betaald is." Teunis besluit: "Toch is het te makkelijk om te zeggen dat met het betalen van zo'n gijzelbedrag de kous af is. Dat is te simplistisch en niet hoe de werkelijkheid in elkaar zit."