Marktonderzoeker Blauw weet nog altijd niet welke data via Nebu is gelekt
Marktonderzoeksbureau Blauw weet nog altijd niet welke data van klanten via softwarebedrijf Nebu is gelekt, ook al oordeelde de rechter vorige week dat Nebu hier opheldering over moet geven. Blauw is klant van Nebu en maakt gebruik van de software van het bedrijf voor het uitvoeren van marktonderzoeken voor klanten. Blauw had een kortgeding tegen Nebu aangespannen, nadat criminelen toegang tot systemen wisten te krijgen. Daarbij zijn mogelijk ook gegevens van klanten van Blauw en andere marktonderzoeksbedrijven gestolen.
Volgens Blauw heeft Nebu onvoldoende informatie over het incident gedeeld, waardoor het niet weet of ook klanten zijn gedupeerd. De rechter oordeelde vorige week dat Nebu deze gegevens moet delen. Het gaat onder andere om alle beschikbare informatie met betrekking tot de aanval, met inbegrip van een volledige weergave van de manier waarop toegang is verkregen en de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen.
Daarnaast moet het een onafhankelijk forensisch onderzoek naar het datalek laten uitvoeren. Om ervoor te zorgen dat het softwarebedrijf dit ook doet legde de rechter een dwangsom op. Volgens Jos Vink, bestuursvoorzitter van Blauw, heeft Nebu inmiddels meer informatie over de aanval gegeven, maar geen antwoorden op de belangrijkste vragen. De marktonderzoeker weet daardoor nog altijd niet van welke klanten gegevens zijn gelekt, zo meldt BNR.
Inmiddels hebben al 156 organisaties bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt. Het gaat onder andere om NS, VodafoneZiggo, CZ, Vrienden van Amstel Live, pensioenfondsen PME en PFZW, ArboNed, Trevvel en gemeenten waaronder Den Haag, Leiden, Leiderdorp, Oegstgeest en Woerden.
Dus wat dat betreft zitten ze goed.
Misschien hebben ze zelf er ook geen toegang meer tot het systeem en alle informatie over wat ze nu eigenlijk verzamelen.
En hoezo doen ze zaken met een bedrijf dat data buiten de EU opslaat. Hier is regelgeving voor en dit mag niet.
Betekent dit dat Blauw hun verwerkingsovereenkomst niet op orde heeft, zelf geen benul heeft, of dat de gemeente schijft heeft gehad aan hun plichten?
probably both.
Misschien hebben ze zelf er ook geen toegang meer tot het systeem en alle informatie over wat ze nu eigenlijk verzamelen.
En hoezo doen ze zaken met een bedrijf dat data buiten de EU opslaat. Hier is regelgeving voor en dit mag niet.
Betekent dit dat Blauw hun verwerkingsovereenkomst niet op orde heeft, zelf geen benul heeft, of dat de gemeente schijft heeft gehad aan hun plichten?
probably both.
Nee, dat hebben ze wel op orde. Blauw is afhankelijk van aangeleverde gegevens van Nebu, daarom is de rechter er ook aan te pas gekomen om de informatievoorziening af te dwingen. Dat Nebu nog steeds niet over de brug komt geeft wel te denken. De kans is groot dat Nebu het ook net weet omdat de boel encrypted is en ze moeten betalen of backups terugzetten en misschien beide niet kunnen.
Het zou mij niet verbazen als we binnenkort lezen dat Nebu faillissement aanvraagt.
Het gaat niet alleen om klanten van Nebu maar ook om klanten van klanten van Nebu. NS, ArboNed, Oegstgeest enzovoorts zijn geen klanten van Nebu maar klanten van bureaus die verwerking hebben uitbesteed aan Nebu.
Misschien hebben ze zelf er ook geen toegang meer tot het systeem en alle informatie over wat ze nu eigenlijk verzamelen.
Als en zolang Nebu dat nalaat zitten die klanten zelf in de positie dat de situatie onbekend is, en ook zij moeten dan voorlopig ervan uitgaan dat het zwartste scenario mogelijk is. En zo kan je langs de hele keten doorredeneren. Ik denk dat iedereen die mogelijk geraakt is hierdoor, ook als dat niet zeker is, bericht zou moeten krijgen dat die mogelijkheid er helaas is.
NEBU moet de 156 organisaties informeren. Vanuit oogpunt confidentiality, is er geen reden waarom NEBU een lijst publiekelijk te maken, van alle getroffen organisaties (of al hun klanten). De getroffen organisaties moeten op hun beurt hun klanten informeren en voldoen aan verdere wettelijke eisen.
Het zou mij niet verbazen als we binnenkort lezen dat Nebu faillissement aanvraagt.
Grote kans van. Het management van NEBU staat ook niet langer op de website van NEBU. Laat wel zien hoe de situatie daar is.
Misschien was dat wel alles?
En anders weet Blaauw wel wat ze overeengekomen zijn met NEBU, en met welke data NEBU gevoed is...
Als dat niet bekend is... Ga uit van wat er kon. Dus alle data waar ze theoretisch bij konden komen.
NEBU moet de 156 organisaties informeren. Vanuit oogpunt confidentiality, is er geen reden waarom NEBU een lijst publiekelijk te maken, van alle getroffen organisaties (of al hun klanten). De getroffen organisaties moeten op hun beurt hun klanten informeren en voldoen aan verdere wettelijke eisen.
Ze informeren Blaauw al niet of nauwelijks, laat staan de rest. Gaat betekenen dat wij maar moeten afwachten of wij ook op het "lijstje" staan. Snap overigens best de vertrouwelijkheid. Vraag mij af of de AP dit nog tracht te overzien, lijkt mij toch een belangrijke check of betrokken partijen ook voldoende verder communiceren in de keten (al is met maar met enkele steekproeven).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
