Wolfsen: KNVB houdt met betalen losgeld verwerpelijk verdienmodel in stand
De KNVB houdt met het betalen van losgeld een verwerpelijk verdienmodel van criminelen in stand, daarnaast heeft de voetbalbond geen garanties dat de data alsnog wordt doorverkocht. Dat stelt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, tegenover het AD. Wolfens is dan ook tegen het betalen van losgeld, net als het ministerie van Justitie en Veiligheid.
De voetbalbond maakte vanochtend zelf bekend dat het criminelen losgeld had betaald om eerder dit jaar gestolen gegevens niet te publiceren. Een bedrag is niet bekendgemaakt, maar de aanvallers eisten ruim een miljoen euro om de gegevens niet te openbaren. Het gaat onder andere om het identiteitsbewijs en handtekening van spelers die internationaal zijn overgeschreven in de periode 2015-2021, alsmede naam, adresgegevens, salarisgegevens en handtekeningen van spelers die in de periode 2016-2018 in Nederland speelden.
Verder betreft het ook naam, contactgegevens en medische gegevens van personen die in de 'breedste zin' contact hebben gehad met het KNVB Sportmedisch Centrum. Tevens zijn mogelijk ook gegevens gestolen van personen die tussen 1999 en 2020 betrokken zijn geweest bij tuchtzaken. De KNVB stelde dat het voorkomen van de verspreiding van de gegevens zwaarder weegt dan het principe om zich niet te laten afpersen.
"Als je losgeld betaalt heb je geen enkele garantie dat cybercriminelen jouw gestolen gegevens alsnog niet doorverkopen. Bovendien houd je zo een verwerpelijk verdienmodel in stand, dat de privacy van mensen ondermijnt. De AP raadt ernstig af om losgeld te betalen", laat Wolfsen in een reactie weten. Ook het ministerie van Justitie en Veiligheid raadt het betalen van losgeld ten zeerste af. "Je financiert criminelen om zo een volgende aanval te kunnen plegen en het is geen garantie dat je je gegevens terug krijgt."
Zo een ding als een AP valt onder een ministerie en daar heb je interne post voor. Of een kerstborrel. Of een Nokia.
Wat niet wegeneemt dat ik het juichend en volmondig met zijn mening eens ben, van die Wolfsen!!!!!!
Van de andere kant bekeken, als je hele systeem plat gaat, je hebt het geld liggen en het is de snelste manier om weer on line te zijn. Daar hebben jouw of mijn meningen niks over te zeggen. En die van Wolfsen helemaal niet. Die moet gewoon de wet uitvoeren.
Je bent gewoon vrij om daar je keuzes in te maken, ook als je wordt afgeperst. In die zin is het gebruik van het woord verwerpelijk ook uitermate verwerpelijk uit de mond van een ambtenaar. Het suggereert vrijheidsbeperking van binnenuit. Maar je moet zulke dingen ook niet doen. In die functie. Op zo een mooi kantoor, met zo een mooie nieuwe wet. Waar nog zoveel onontgonnen terrein ligt, zeker in controle en jurisprudentie. Binnen het budget dat je hebt. De KNVB wordt mooi bedankt dat ze de afpersmarkt hebben gesponsord (vergeet dat niet op al die shirtjes te zetten dit jaar he? Stelletje hooligans). Maar waar ligt het fluitje van de minister en haar gele kaart? Want hoe gebedoeld ook, deze was over de lijn. Ok, gele kaart. Maar moet niet te vaak gebeuren. De bal hoort te liggen waar hij hoort. Niet in de kantine en dan uit het raam schreeuwen.
Maar miljoenen betalen aan losgeld bij een ransomware aanval aan een ransomware groep kan weer wel.
Dit zou strafbaar moeten worden.
Op het moment dat verzekeraars deze betalingen ook dekken in hun cybersecurity polissen (en dit volkomen legaal is) hoef je ook niet te roepen dat er verwerpelijke verdienmodellen in stand gehouden worden.
Stel betalingen aan criminelen strafbaar. Dán mag je pas afkeurend berichten als een bedrijf toch kiest om te betalen. Momenteel is het de norm geworden om de keuze te hebben: betalen of niet, afhankelijk van wat het voordeligst is. Die keuze zou er niet moeten zijn.
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
Maar deze deal is gemaakt met het idee "baat het niet dan schaadt het niet". Dat is toch niet zo moeilijk te begrijpen?
Men heeft zich in het KNVB bestuur gerealiseerd dat er enorme belangen zijn voor zowel financien als persoonlijke reputatie van betrokkenen, en heeft er wel een miljoentje voor over om te voorkomen dat een frauduleuze deal van 100 miljoen naar buiten komt.
Gebeurt dat alsnog, pech gehad. Gebeurt dat niet: spekkoper.
Ik snap dat argument "betaal niet want je weet niet zeker of dat helpt" niet. Je zit nu in de sh*t, betaal je dan kom je MOGELIJK uit de sh*t, mogelijk niet. Betaal je niet, dan blijf je ZEKER in de sh*t. Dan kun je toch een keuze maken?
(dit geldt niet alleen voor afpersing mbt publiceren van informatie, maar ook voor verkrijgen van een decryptiekey: betaal je dan krijg je die wellicht toch niet, betaal je niet dan krijg je die zeker niet)
De prijs voor het gebruik van consumenten software. De leden mogen er voor opdraaien.
Wat heb je in zo'n geval aan een backup? Een backup voorkomt echt niet dat er gepubliceerd wordt. De diefstal was al 5 maand geleden. Blijkbaar hebben de dieven nu pas goed door hoe waardevol het onder de pet houden van deze data is.
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
De criminelen weten ondertussen ook dat veel organisaties een goede back-up hebben. Daarom dreigen ze ook met het publiceren van gevoelige informatie. Daarom vallen ze ook graag organisaties aan met zeer gevoelige informatie, zoals ziekenhuizen e.d.
Peter
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
De criminelen weten ondertussen ook dat veel organisaties een goede back-up hebben. Daarom dreigen ze ook met het publiceren van gevoelige informatie. Daarom vallen ze ook graag organisaties aan met zeer gevoelige informatie, zoals ziekenhuizen e.d.
Peter
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Ja maar dat zijn bedrijven waar het gaat om de informatie van anderen die hen niet na aan het hart liggen. Als er persoonlijke informatie van klanten gelekt is kun je altijd roepen "wij hebben er voor gekozen om niet te betalen. en dat hun informatie gepubliceerd wordt dat vinden wij heel vervelend maar er is niets aan te doen. weet je, het zijn criminelen.".
Maar nu ligt het anders. Dit is een BOND. Een vereniging met leden, en en bestuur. Nu gaat het over informatie van leden, en wellicht over bobo's. Dan ga je niet meer alleen kijken naar de morele kant van wel en niet betalen, maar ook naar het risico wat er is als er informatie in omloop komt waarvan je weet dat die schadelijk is. Voor jezelf. En voor je goede vrienden. Die ook nog eens vermogend zijn en je op papier van hun advocaat laten weten dat ze er vanuit gaan dat hun belangen goed behartigd worden.
Dan beslis je wellicht wat anders.
slaat nergens op, een Backup gaat niet voorkomen dat ze de gegevens die ze hebben buitgemaakt publiceren.
De prijs voor het gebruik van consumenten software. De leden mogen er voor opdraaien.
Criminelen die cirminelen spekken.
Wat is daar verkeerd aan?
Maar ik hoop dat hun verzekering niets vergoed.
Laat ze dat zelf maar uit de (exorbitante) inkomsten van hun TV-rechten betalen.
hebben ze meteen een prijzig lesje, om hun data wel goed te beveiligen, niet meer te registreren dat hoogst noodzakelijk is, en om niet alles aan het internet te hangen.
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
Maar deze deal is gemaakt met het idee "baat het niet dan schaadt het niet". Dat is toch niet zo moeilijk te begrijpen?
Men heeft zich in het KNVB bestuur gerealiseerd dat er enorme belangen zijn voor zowel financien als persoonlijke reputatie van betrokkenen, en heeft er wel een miljoentje voor over om te voorkomen dat een frauduleuze deal van 100 miljoen naar buiten komt.
Gebeurt dat alsnog, pech gehad. Gebeurt dat niet: spekkoper.
Ik snap dat argument "betaal niet want je weet niet zeker of dat helpt" niet. Je zit nu in de sh*t, betaal je dan kom je MOGELIJK uit de sh*t, mogelijk niet. Betaal je niet, dan blijf je ZEKER in de sh*t. Dan kun je toch een keuze maken?
(dit geldt niet alleen voor afpersing mbt publiceren van informatie, maar ook voor verkrijgen van een decryptiekey: betaal je dan krijg je die wellicht toch niet, betaal je niet dan krijg je die zeker niet)
Je vergeet dat het schaad .< punt
Door te betalen houdt je deze markt in stand. Er is geen enkel argument denkbaar die dit gedrag goedkeurt, sterker nog dit gedrag moet bestraft worden.
Laat je nooit chanteren, wat er ook gebeurd.
Angst is een slechte raadgever.
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Ja, vooral als ze er zelf weinig last van zullen hebben. Dat anderen er last van hebben kan hun dan minder schelen.
Als je als ransomware groep elke keer goed publiceren na betaling dan gaat niemand meer betalen aangezien je het toch sowieso publiceert.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.