KNVB betaalt losgeld aan cybercriminelen na diefstal persoonsgegevens
Gepubliceerd op 12/09/2023 12:00 in Tech
In april heeft de Koninklijke Nederlandse Voetbalbond (KNVB) losgeld betaald aan de hackersgroep LockBit, nadat zij persoonsgegevens hadden gestolen met behulp van gijzelsoftware. Volgens RTL Nieuws was de eis van de cybercriminelen ruim 1 miljoen euro. Hoewel de KNVB niet wil bevestigen om welk bedrag het precies gaat, heeft de bond het nieuws wel gedeeld in advertenties in landelijke kranten en via een bericht waarin ze mensen waarschuwen dat hun gegevens mogelijk in handen zijn van de criminelen.
De KNVB geeft aan dat het betalen van losgeld een moeilijke keuze was, maar dat er uiteindelijk "onder deskundige begeleiding afspraken" met de hackers zijn gemaakt. De bond is echter nog niet volledig gerustgesteld dat de criminelen na ontvangst van het losgeld de gestolen gegevens niet zullen verspreiden. Daarom roept de KNVB mogelijke gedupeerden op om extra alert te blijven op misbruik van hun gegevens.
Volgens de bond kunnen de mogelijke buitgemaakte bestanden persoonsgegevens bevatten die gevolgen kunnen hebben voor de persoonlijke levenssfeer van betrokkenen. Het voorkomen van verspreiding van deze gegevens was voor de KNVB uiteindelijk belangrijker dan het principe van het niet toegeven aan afpersing.
De KNVB meldt verder dat slechts een beperkt aantal leden mogelijk betrokken is geweest bij dit incident. Deze leden zijn grotendeels persoonlijk benaderd door de bond. Echter, niet alle betrokkenen konden worden bereikt, zoals spelers die tussen 2016 en 2018 hebben gespeeld voor een betaaldvoetbalorganisatie en personen die contact hebben gehad met het KNVB Sportmedisch Centrum. Deze groepen worden nu extra gewaarschuwd en alle mogelijk getroffen groepen zijn vermeld op de website van de KNVB.
Een woordvoerder van de KNVB wil geen informatie delen over hoeveel mensen zich al hebben gemeld of hoeveel bezorgde e-mails ze hebben ontvangen.
Cybersecurity-deskundige Dave Maasland noemt deze situatie zeer ernstig. Hij is van mening dat de oproep van de KNVB om extra alert te zijn niet concreet genoeg is. In slachtoffercommunicatie is het belangrijk om duidelijk te zijn, bijvoorbeeld door mensen te waarschuwen voor identiteitsdiefstal en verdachte aanvragen.
Maasland benadrukt dat het betalen van losgeld door de KNVB een treurig moment is. Ransomware is momenteel een van de grootste digitale dreigingen, en wanneer een organisatie als de KNVB een criminele organisatie sponsort, geeft dat een impuls aan dit soort misdaden. Hij merkt ook op dat het opvallend is dat een grote voetbalorganisatie nu de standaard zet voor hoe er wordt omgegaan met digitale incidenten, ook voor andere sportclubs.
De deskundige verwacht dat de Autoriteit Persoonsgegevens een rol zal spelen in deze kwestie. Hij vraagt zich af of er voldaan is aan de zorgplicht en of de snelheid waarmee gehandeld is en gecommuniceerd is juist is. Maasland denkt dat de KNVB nog niet klaar is met deze situatie.
Volgens een woordvoerder van de KNVB duurde het vier tot vijf maanden voordat het nieuws naar buiten werd gebracht vanwege de aard van het onderzoek. De bond wilde zorgvuldig uitzoeken om welke gegevens het precies ging voordat ze met de informatie naar buiten traden.