KNVB betaalt losgeld aan hackers om gegevens te beschermen

De KNVB heeft afspraken gemaakt met cybercriminelen die gegevens hebben gestolen van de voetbalbond. Dat deelt de KNVB in een bericht, waarin ze mensen waarschuwen dat hun gegevens mogelijk in handen zijn van die criminelen. In april werd de bond slachtoffer van een cyberinbraak, waarbij gijzelsoftware is gebruikt.

In de advertentie stelt de bond dat het betalen van losgeld een moeilijke keuze was, maar dat er uiteindelijk “onder deskundige begeleiding afspraken” met de hackers zijn gemaakt. De bond is er nog niet helemaal gerust op dat de criminelen na het krijgen van het losgeld de gegevens ook echt niet zullen verspreiden en roept mogelijke gedupeerden op om extra alert te blijven op misbruik van hun gegevens.

“Mogelijk buitgemaakte bestanden bevatten persoonsgegevens waarvan de verspreiding gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen. Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen”, licht de bond in de advertentie toe. De KNVB wil niet op verdere vragen reageren.

“Dit had zeer ernstige gevolgen kunnen hebben”, zegt cyber-security-deskundige Dave Maasland in het Radio 1 Journaal. “Bijvoorbeeld als het salaris van Frenkie de Jong op straat ligt.”

Dat de KNVB dit deelt, snapt hij, omdat deskundigenonderzoek volgens hen niet kon uitwijzen welke gegevens daadwerkelijk waren buitgemaakt. Maar de oproep aan leden noemt hij een beetje onduidelijk. “In slachtoffercommunicatie zou je toch alles uit de kast moeten trekken om zo duidelijk mogelijk te zijn. Wat je moet willen communiceren is dat mensen erop letten dat er geen identiteitsdiefstal wordt gepleegd, dat je geen vreemde aanvragen binnenkrijgt.”

Wat betekent het dat de voetbalbond is gezwicht voor deze chantage? “Dat is een treurig moment. Ransomware is op dit moment misschien wel de grootste digitale dreiging die we kennen. Op moment dat de KNVB bij wijze van spreken een criminele organisatie sponsort, waarschijnlijk een substantieel bedrag, dan geeft dit weer een impuls aan dit soort misdaden. Uiteindelijk zijn er alleen maar verliezers.”

Maasland noemt het opvallend dat een grote voetbalorganisatie nu de standaard zet over hoe je omgaat met digitale incidenten, ook voor andere sportclubs.

De cyber-security-deskundige verwacht dat er zeker een rol is weggelegd voor de Autoriteit Persoonsgegevens. “In hoeverre is er voldaan aan de zorgplicht? En klopt de snelheid waarmee is gehandeld en de communicatie hierover? Ik verwacht dat vooral naar dat laatste zal worden gekeken. Het is al in april gebeurd. Had dit niet eerder gedeeld kunnen worden dan nu in september? Ik denk dat de KNVB hier nog niet klaar mee is.”