Cloudsoftwarebedrijf Blackbaud heeft met 49 Amerikaanse staten een schikking van 49,5 miljoen dollar gesloten over een datalek dat zich door een ransomware-aanval voordeed. Blackbaud, dat allerlei diensten aan non-profitorganisaties en onderwijsinstellingen levert, waaronder CRM-systemen (customer relationship management), kreeg in 2020 met een ransomware-aanval te maken.

Daarbij kreeg de aanvaller de gegevens van dertienduizend klanten in handen, en vervolgens gegevens van miljoenen klanten en gebruikers van deze klanten. Het ging onder andere om de TU Delft en Universiteit Utrecht. Blackbaud betaalde de aanvaller om de gegevens te vernietigen en stelde dat er geen bankgegevens of socialsecurity-nummers waren buitgemaakt. Personeel van Blackbaud ontdekte dat de aanvaller deze gevoelige informatie wel had gestolen.

De medewerkers lieten dit door het ontbreken van meldprocedures niet aan het management weten dat voor de datalekmelding verantwoordelijk was. Toen het bedrijf in augustus 2020 de ransomware-aanval bij de SEC meldde ontbrak deze informatie dan ook. Volgens de procureurs-generaal van de 49 Amerikaanse staten heeft Blackbaud wetgeving met betrekking tot het beschermen van consumenten, melden van datalekken en zorgwetgeving overtreden.

Zo had het bedrijf geen passende beveiligingsmaatregelen genomen en bekende kwetsbaarheden niet verholpen. Daardoor kon de aanvaller toegang tot het netwerk krijgen. Daarnaast heeft Blackbaud klanten niet tijdig, volledig en nauwkeurig geïnformeerd, zoals het wettelijk verplicht is. In sommige gevallen werden slachtoffers helemaal niet ingelicht. Naast het betalen van het schikkingsbedrijf moet Blackbaud verschillende maatregelen doorvoeren, zoals het opstellen en implementeren van een datalekplan, het trainen van personeel en verschillende beveiligingsmaatregelen.