Beheer

Security
Ransomware

Advies AP: Maak altijd melding bij ransomware-aanval

Niet bekend of GWK Travelex melding bij toezichthouder heeft gedaan.

ransomware © CC0: Pixabay,  Tumisu
10 januari 2020

Niet bekend of GWK Travelex melding bij toezichthouder heeft gedaan.

De Autoriteit Persoonsgegevens (AP) raadt organisaties aan om altijd een melding te maken van een datalek als zij getroffen zijn door ransomware. In december werden zowel GWK Travelex als Maastricht University het slachtoffer van een dergelijke aanval. Maastricht University heeft naar eigen zeggen een melding gemaakt bij de AP. Van GWK Travelex is dit niet bekend.

GWK Travelex werd op oudjaarsdag getroffen door een ransomware-aanval. De systemen in de filialen van het bedrijf werden daardoor platgelegd. Ook haalde de organisatie uit voorzorg vrijwel alle websites offline, waaronder de Nederlandse. De Nederlandse website is op het moment van schrijven nog altijd niet bereikbaar. Bezoekers krijgen alleen een pagina met informatie over de aanval te zien en informatie over de geopende filialen.

Eerder deze week liet het bedrijf weten in contact te staan met toezichthouders wereldwijd. Of ook de AP, de Nederlandse toezichthouder, een melding heeft gekregen van een datalek, is niet bekend. "De AP doet geen uitspraken over of een datalek gemeld is of niet, vanwege de vertrouwelijkheid van de melding", aldus woordvoerder Quinten Snijders. Ook worden er geen uitspraken gedaan over eventueel onderzoek naar de aanval en de gevolgen van GWK Travelex. 

GWK Travelex heeft niet gereageerd op vragen van AG Connect over het maken van een melding bij de AP.

Altijd melding maken

De AP raadt echter wel aan om in dergelijke situaties een melding te maken van een datalek. "Wanneer ransomware bestanden heeft versleuteld die persoonsgegevens bevatten dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Organisaties kunnen er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem, er kan toegang zijn verkregen tot veel meer persoonsgegevens."

Toch is er wel een uitzondering op deze regel. Blijkt uit digitaal forensisch onderzoek dat de enige functionaliteit van de ransomware was om gegevens te versleutelen en dat er geen andere malware in het systeem aanwezig was, én is er een recente back-up beschikbaar van de versleutelde gegevens, dan hoeft het incident niet als datalek gemeld te worden. Dan vallen de gevolgen voor de betrokkenen namelijk wel mee. Voorwaarde is dus wel dat er digitaal forensisch onderzoek moet worden gedaan. "Wanneer persoonsgegevens van jouw organisatie getroffen worden door ransomware en je doet geen onderzoek, kan je hier niet van uit gaan en zal je een melding moeten doen bij de AP", aldus Snijders. 

Vanwege die uitzondering kan het zo zijn dat GWK Travelex geen melding hoeft te maken bij de AP. Hoewel BleepingComputer eerder meldde dat de aanvallers bestanden met persoonlijke gegevens hadden gestolen, zegt Travelex dat hier geen aanwijzingen voor zijn gevonden. "Hoewel Travelex nog geen compleet beeld heeft van alle data die versleuteld zijn, is er geen bewijs dat data gestolen is."

Maastricht University

Maastricht University werd de dag voor kerst het slachtoffer van een ransomware-aanval, waardoor diverse systemen plat kwamen te liggen. Zo was het niet langer mogelijk om te e-mailen, waren Windows-systemen onbruikbaar en waren diverse websites onbereikbaar. Inmiddels zijn diverse systemen weer opgestart.

De universiteit heeft naar eigen zeggen wel een melding gemaakt bij de AP. 

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.