De afgelopen weken kwam de voetbalbond KNVB in het nieuws, doordat het slachtoffer is geworden van een geslaagde cyberaanval. Het gaat om een ransomware aanval door de groep Lockbit, een professionele ransomwarebende die volgens opsporingsdiensten banden zou hebben met Rusland. Deze groep heeft verantwoordelijkheid voor de aanval opgeëist. Er zijn niet alleen gegevens ontoegankelijk gemaakt door een zogeheten ‘cryptolocker’, maar zijn er ook gegevens gestolen, zo’n 305 gigabyte volgens de criminelen. De aanvallers dreigden deze gegevens te publiceren op het darkweb, wanneer betaling uit zou blijven. Volgens sportmarketeer Chris Woerts zouden daarmee een groot aantal explosieve dossiers op straat komen te liggen. De losgeldeis zou volgens techjournalist Daniel Verlaan van RTL Nieuws meer dan een miljoen euro bedragen.
De ‘aftelklok’ van Lockbit, die aangeeft wanneer de bestanden zouden worden gepubliceerd, is inmiddels gestopt, waar deze voorheen de deadline op 26 april had staan. Doorgaans een teken dat er betaald is, al is dat (nog) niet bevestigd.
Er zijn wat aanwijzingen over de totstandkoming van de aanval en de aard van de gegevens die het betreft. Een medewerker zou in een phishingmail zijn getrapt, waarna de aanvallers diens account konden bemachtigen om zodoende toegang te verkrijgen tot de ‘G-schijf’ van de KNVB, met daarop allerlei vertrouwelijke (interne) documenten, maar ook kopieën van paspoorten en contracten van KNVB prominenten. Er is dan ook melding gemaakt van het datalek bij de Autoriteit Persoonsgegevens. Wat ‘betrokkenen’ wel stellig benadrukken, is dat er geen gegevens van leden van de bond, waar er meer dan een miljoen van zijn, gelekt zijn.
De KNVB ontkent dat er sprake is geweest van een geslaagde phishingaanval, althans, ze geven aan zich niet te ‘herkennen in de berichtgeving. Maar meer duidelijkheid verschaffen wat er dan wel gebeurd is, is ook niet aan de orde. Er wordt nog verscholen achter een lopend onderzoek door Fox-IT.
Hoewel het wellicht logisch is dat de KNVB niet al te spraakzaam is wanneer men nog overweegt om het losgeld te betalen, gegeven het dilemma dat Woerts al schetste, is het te hopen dat er achteraf meer informatie vrij wordt gegeven. We gaan hier verder niet in op de ethiek of er betaald moet of mag worden in een dergelijke situatie.
De grootste sportbond van Nederland is het op zijn minst aan de leden verplicht tekst en uitleg te geven. Zonder de nodige transparantie is ook een claim dat ‘ledengegevens’ niet betrokken zijn bij de aanval, nauwelijks te controleren. Het is te hopen dat de KNVB, uit angst voor gezichtsverlies, niet meer dan een miljoen mensen in het ongewisse laten over een reëel risico om slachtoffer te worden van social engineering doordat hun gegevens buit zijn gemaakt.
Daarnaast moet uit een dergelijk incident ook lering worden getrokken. Op wat voor manier komen dergelijke groeperingen binnen in het netwerk? Wat is de handelswijze van de groep en de gebruikte malware? Zijn er wellicht vroegtijdige signalen geweest of over het hoofd gezien? En tot slot, welke maatregelen zouden ertoe hebben geleid dat de organisatie niet in deze penibele situatie terecht zou zijn gekomen.
We zullen het af moeten wachten. De eerste berichtgeving en reacties zijn niet bemoedigend, maar wie weet worden we positief verrast.
Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement