Wolfsen: KNVB houdt met betalen losgeld verwerpelijk verdienmodel in stand
De KNVB houdt met het betalen van losgeld een verwerpelijk verdienmodel van criminelen in stand, daarnaast heeft de voetbalbond geen garanties dat de data alsnog wordt doorverkocht. Dat stelt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, tegenover het AD. Wolfens is dan ook tegen het betalen van losgeld, net als het ministerie van Justitie en Veiligheid.
De voetbalbond maakte vanochtend zelf bekend dat het criminelen losgeld had betaald om eerder dit jaar gestolen gegevens niet te publiceren. Een bedrag is niet bekendgemaakt, maar de aanvallers eisten ruim een miljoen euro om de gegevens niet te openbaren. Het gaat onder andere om het identiteitsbewijs en handtekening van spelers die internationaal zijn overgeschreven in de periode 2015-2021, alsmede naam, adresgegevens, salarisgegevens en handtekeningen van spelers die in de periode 2016-2018 in Nederland speelden.
Verder betreft het ook naam, contactgegevens en medische gegevens van personen die in de 'breedste zin' contact hebben gehad met het KNVB Sportmedisch Centrum. Tevens zijn mogelijk ook gegevens gestolen van personen die tussen 1999 en 2020 betrokken zijn geweest bij tuchtzaken. De KNVB stelde dat het voorkomen van de verspreiding van de gegevens zwaarder weegt dan het principe om zich niet te laten afpersen.
"Als je losgeld betaalt heb je geen enkele garantie dat cybercriminelen jouw gestolen gegevens alsnog niet doorverkopen. Bovendien houd je zo een verwerpelijk verdienmodel in stand, dat de privacy van mensen ondermijnt. De AP raadt ernstig af om losgeld te betalen", laat Wolfsen in een reactie weten. Ook het ministerie van Justitie en Veiligheid raadt het betalen van losgeld ten zeerste af. "Je financiert criminelen om zo een volgende aanval te kunnen plegen en het is geen garantie dat je je gegevens terug krijgt."
Reacties (22)
Makkelijk om te zeggen dat je niet moet betalen als je niet zelf voor de keus staat. Een theoretisch risico op alsnog lekken versus zeker zijn dat het lekt. Niet gek dat bedrijven de betaal-gok wagen.
Ik denk dat een ambtenaar zich moet beperken in meningen naar buiten brengen. Het is absoluut niet chique. Ik zou het zelfs al een irritante time waster kamervraag vinden. Als hij nog in de kamer zou zitten.
Zo een ding als een AP valt onder een ministerie en daar heb je interne post voor. Of een kerstborrel. Of een Nokia.
Wat niet wegeneemt dat ik het juichend en volmondig met zijn mening eens ben, van die Wolfsen!!!!!!
Van de andere kant bekeken, als je hele systeem plat gaat, je hebt het geld liggen en het is de snelste manier om weer on line te zijn. Daar hebben jouw of mijn meningen niks over te zeggen. En die van Wolfsen helemaal niet. Die moet gewoon de wet uitvoeren.
Je bent gewoon vrij om daar je keuzes in te maken, ook als je wordt afgeperst. In die zin is het gebruik van het woord verwerpelijk ook uitermate verwerpelijk uit de mond van een ambtenaar. Het suggereert vrijheidsbeperking van binnenuit. Maar je moet zulke dingen ook niet doen. In die functie. Op zo een mooi kantoor, met zo een mooie nieuwe wet. Waar nog zoveel onontgonnen terrein ligt, zeker in controle en jurisprudentie. Binnen het budget dat je hebt. De KNVB wordt mooi bedankt dat ze de afpersmarkt hebben gesponsord (vergeet dat niet op al die shirtjes te zetten dit jaar he? Stelletje hooligans). Maar waar ligt het fluitje van de minister en haar gele kaart? Want hoe gebedoeld ook, deze was over de lijn. Ok, gele kaart. Maar moet niet te vaak gebeuren. De bal hoort te liggen waar hij hoort. Niet in de kantine en dan uit het raam schreeuwen.
Zo een ding als een AP valt onder een ministerie en daar heb je interne post voor. Of een kerstborrel. Of een Nokia.
Wat niet wegeneemt dat ik het juichend en volmondig met zijn mening eens ben, van die Wolfsen!!!!!!
Van de andere kant bekeken, als je hele systeem plat gaat, je hebt het geld liggen en het is de snelste manier om weer on line te zijn. Daar hebben jouw of mijn meningen niks over te zeggen. En die van Wolfsen helemaal niet. Die moet gewoon de wet uitvoeren.
Je bent gewoon vrij om daar je keuzes in te maken, ook als je wordt afgeperst. In die zin is het gebruik van het woord verwerpelijk ook uitermate verwerpelijk uit de mond van een ambtenaar. Het suggereert vrijheidsbeperking van binnenuit. Maar je moet zulke dingen ook niet doen. In die functie. Op zo een mooi kantoor, met zo een mooie nieuwe wet. Waar nog zoveel onontgonnen terrein ligt, zeker in controle en jurisprudentie. Binnen het budget dat je hebt. De KNVB wordt mooi bedankt dat ze de afpersmarkt hebben gesponsord (vergeet dat niet op al die shirtjes te zetten dit jaar he? Stelletje hooligans). Maar waar ligt het fluitje van de minister en haar gele kaart? Want hoe gebedoeld ook, deze was over de lijn. Ok, gele kaart. Maar moet niet te vaak gebeuren. De bal hoort te liggen waar hij hoort. Niet in de kantine en dan uit het raam schreeuwen.
Ik hoop toch niet dat die Wolfsen denkt "als er nou niemand losgeld betaalt dan houden die criminelen vanzelf op"...
Naïve debielen bij de KNVB. Geen garantie dat de data niet wordt doorverkocht? Neem maar aan dat het wél gebeurt. Russisch schorem dat niet zal proberen zich verder te verrijken... Vast wel.
wel beetje raar hor, in nederland mag je geen Crypters kopen of Hack Programmas omdat je dan het ontwikelen van hack software ondersteund (Financieren van een criminele organizatie) , Artikel 139d Lid 2/3.
Maar miljoenen betalen aan losgeld bij een ransomware aanval aan een ransomware groep kan weer wel.
Dit zou strafbaar moeten worden.
Maar miljoenen betalen aan losgeld bij een ransomware aanval aan een ransomware groep kan weer wel.
Dit zou strafbaar moeten worden.
Vreemd dat de AP niet vaker afkeurend reageert op betaling aan criminelen dan, aangezien dit een praktijk is die helaas aan de orde van de dag is.
Op het moment dat verzekeraars deze betalingen ook dekken in hun cybersecurity polissen (en dit volkomen legaal is) hoef je ook niet te roepen dat er verwerpelijke verdienmodellen in stand gehouden worden.
Stel betalingen aan criminelen strafbaar. Dán mag je pas afkeurend berichten als een bedrijf toch kiest om te betalen. Momenteel is het de norm geworden om de keuze te hebben: betalen of niet, afhankelijk van wat het voordeligst is. Die keuze zou er niet moeten zijn.
Op het moment dat verzekeraars deze betalingen ook dekken in hun cybersecurity polissen (en dit volkomen legaal is) hoef je ook niet te roepen dat er verwerpelijke verdienmodellen in stand gehouden worden.
Stel betalingen aan criminelen strafbaar. Dán mag je pas afkeurend berichten als een bedrijf toch kiest om te betalen. Momenteel is het de norm geworden om de keuze te hebben: betalen of niet, afhankelijk van wat het voordeligst is. Die keuze zou er niet moeten zijn.
zeker zijn dat het lekt
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
13-09-2023, 09:54 door
_R0N_
Ik vind nog steeds dat als bedrijven het losgeld betalen ze een zelfde bedrag moeten storten in de pot ter bestrijden van cybercriminaliteit.
Door _R0N_:
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
zeker zijn dat het lekt
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
Maar deze deal is gemaakt met het idee "baat het niet dan schaadt het niet". Dat is toch niet zo moeilijk te begrijpen?
Men heeft zich in het KNVB bestuur gerealiseerd dat er enorme belangen zijn voor zowel financien als persoonlijke reputatie van betrokkenen, en heeft er wel een miljoentje voor over om te voorkomen dat een frauduleuze deal van 100 miljoen naar buiten komt.
Gebeurt dat alsnog, pech gehad. Gebeurt dat niet: spekkoper.
Ik snap dat argument "betaal niet want je weet niet zeker of dat helpt" niet. Je zit nu in de sh*t, betaal je dan kom je MOGELIJK uit de sh*t, mogelijk niet. Betaal je niet, dan blijf je ZEKER in de sh*t. Dan kun je toch een keuze maken?
(dit geldt niet alleen voor afpersing mbt publiceren van informatie, maar ook voor verkrijgen van een decryptiekey: betaal je dan krijg je die wellicht toch niet, betaal je niet dan krijg je die zeker niet)
Criminelen spekken klinkt erg koninklijk.
De prijs voor het gebruik van consumenten software. De leden mogen er voor opdraaien.
De prijs voor het gebruik van consumenten software. De leden mogen er voor opdraaien.
13-09-2023, 11:16 door
Briolet
Door Anoniem: zullen wel geen backup gehad hebben ;-)
Wat heb je in zo'n geval aan een backup? Een backup voorkomt echt niet dat er gepubliceerd wordt. De diefstal was al 5 maand geleden. Blijkbaar hebben de dieven nu pas goed door hoe waardevol het onder de pet houden van deze data is.
13-09-2023, 11:18 door
-Peter-
Door Anoniem: Makkelijk om te zeggen dat je niet moet betalen als je niet zelf voor de keus staat. Een theoretisch risico op alsnog lekken versus zeker zijn dat het lekt. Niet gek dat bedrijven de betaal-gok wagen.
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Door Anoniem: zullen wel geen backup gehad hebben ;-)
De criminelen weten ondertussen ook dat veel organisaties een goede back-up hebben. Daarom dreigen ze ook met het publiceren van gevoelige informatie. Daarom vallen ze ook graag organisaties aan met zeer gevoelige informatie, zoals ziekenhuizen e.d.
Peter
Door -Peter-:
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
De criminelen weten ondertussen ook dat veel organisaties een goede back-up hebben. Daarom dreigen ze ook met het publiceren van gevoelige informatie. Daarom vallen ze ook graag organisaties aan met zeer gevoelige informatie, zoals ziekenhuizen e.d.
Peter
Onzin, men zoekt niet gericht (is handwerk). Alles is geautomatiseerd en dus is laaghangend fruit als eerste de klos. De meeste kroonjuwelen bevinden zich tegenwoordig op Linux (zie databases gemeentes) en dus van veel meer waarde maar dat blijkt nog een brug te ver te zijn (zolang ze verstandig zijn dat niet aan AD te koppelen)Door Anoniem: Makkelijk om te zeggen dat je niet moet betalen als je niet zelf voor de keus staat. Een theoretisch risico op alsnog lekken versus zeker zijn dat het lekt. Niet gek dat bedrijven de betaal-gok wagen.
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Door Anoniem: zullen wel geen backup gehad hebben ;-)
De criminelen weten ondertussen ook dat veel organisaties een goede back-up hebben. Daarom dreigen ze ook met het publiceren van gevoelige informatie. Daarom vallen ze ook graag organisaties aan met zeer gevoelige informatie, zoals ziekenhuizen e.d.
Peter
Door -Peter-:
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Door Anoniem: Makkelijk om te zeggen dat je niet moet betalen als je niet zelf voor de keus staat. Een theoretisch risico op alsnog lekken versus zeker zijn dat het lekt. Niet gek dat bedrijven de betaal-gok wagen.
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Ja maar dat zijn bedrijven waar het gaat om de informatie van anderen die hen niet na aan het hart liggen. Als er persoonlijke informatie van klanten gelekt is kun je altijd roepen "wij hebben er voor gekozen om niet te betalen. en dat hun informatie gepubliceerd wordt dat vinden wij heel vervelend maar er is niets aan te doen. weet je, het zijn criminelen.".
Maar nu ligt het anders. Dit is een BOND. Een vereniging met leden, en en bestuur. Nu gaat het over informatie van leden, en wellicht over bobo's. Dan ga je niet meer alleen kijken naar de morele kant van wel en niet betalen, maar ook naar het risico wat er is als er informatie in omloop komt waarvan je weet dat die schadelijk is. Voor jezelf. En voor je goede vrienden. Die ook nog eens vermogend zijn en je op papier van hun advocaat laten weten dat ze er vanuit gaan dat hun belangen goed behartigd worden.
Dan beslis je wellicht wat anders.
Door Anoniem: zullen wel geen backup gehad hebben ;-)
slaat nergens op, een Backup gaat niet voorkomen dat ze de gegevens die ze hebben buitgemaakt publiceren.
Door Anoniem: Criminelen spekken klinkt erg koninklijk.
De prijs voor het gebruik van consumenten software. De leden mogen er voor opdraaien.
De prijs voor het gebruik van consumenten software. De leden mogen er voor opdraaien.
Criminelen die cirminelen spekken.
Wat is daar verkeerd aan?
Maar ik hoop dat hun verzekering niets vergoed.
Laat ze dat zelf maar uit de (exorbitante) inkomsten van hun TV-rechten betalen.
hebben ze meteen een prijzig lesje, om hun data wel goed te beveiligen, niet meer te registreren dat hoogst noodzakelijk is, en om niet alles aan het internet te hangen.
13-09-2023, 15:58 door
_R0N_
Door Anoniem:
Maar deze deal is gemaakt met het idee "baat het niet dan schaadt het niet". Dat is toch niet zo moeilijk te begrijpen?
Men heeft zich in het KNVB bestuur gerealiseerd dat er enorme belangen zijn voor zowel financien als persoonlijke reputatie van betrokkenen, en heeft er wel een miljoentje voor over om te voorkomen dat een frauduleuze deal van 100 miljoen naar buiten komt.
Gebeurt dat alsnog, pech gehad. Gebeurt dat niet: spekkoper.
Ik snap dat argument "betaal niet want je weet niet zeker of dat helpt" niet. Je zit nu in de sh*t, betaal je dan kom je MOGELIJK uit de sh*t, mogelijk niet. Betaal je niet, dan blijf je ZEKER in de sh*t. Dan kun je toch een keuze maken?
(dit geldt niet alleen voor afpersing mbt publiceren van informatie, maar ook voor verkrijgen van een decryptiekey: betaal je dan krijg je die wellicht toch niet, betaal je niet dan krijg je die zeker niet)
Door _R0N_:
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
zeker zijn dat het lekt
Hoe dan? Je maakt een deal met criminelen, morgen komen ze met een nieuwe claim anders lekken ze de data alsnog. Waarom zou je een crimineel geloven op z'n woord? Je kunt alleen een eerlijke deal maken als je de andere partij bij naam kent en in de ogen kunt kijken.
Maar deze deal is gemaakt met het idee "baat het niet dan schaadt het niet". Dat is toch niet zo moeilijk te begrijpen?
Men heeft zich in het KNVB bestuur gerealiseerd dat er enorme belangen zijn voor zowel financien als persoonlijke reputatie van betrokkenen, en heeft er wel een miljoentje voor over om te voorkomen dat een frauduleuze deal van 100 miljoen naar buiten komt.
Gebeurt dat alsnog, pech gehad. Gebeurt dat niet: spekkoper.
Ik snap dat argument "betaal niet want je weet niet zeker of dat helpt" niet. Je zit nu in de sh*t, betaal je dan kom je MOGELIJK uit de sh*t, mogelijk niet. Betaal je niet, dan blijf je ZEKER in de sh*t. Dan kun je toch een keuze maken?
(dit geldt niet alleen voor afpersing mbt publiceren van informatie, maar ook voor verkrijgen van een decryptiekey: betaal je dan krijg je die wellicht toch niet, betaal je niet dan krijg je die zeker niet)
Je vergeet dat het schaad .< punt
Door te betalen houdt je deze markt in stand. Er is geen enkel argument denkbaar die dit gedrag goedkeurt, sterker nog dit gedrag moet bestraft worden.
Niet betalen en het geld investeren in opsporing en beveiliging is op den duur effectiever dan je te laten chanteren.
Laat je nooit chanteren, wat er ook gebeurd.
Angst is een slechte raadgever.
Laat je nooit chanteren, wat er ook gebeurd.
Angst is een slechte raadgever.
13-09-2023, 21:32 door
johanw
Door -Peter-:
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Door Anoniem: Makkelijk om te zeggen dat je niet moet betalen als je niet zelf voor de keus staat. Een theoretisch risico op alsnog lekken versus zeker zijn dat het lekt. Niet gek dat bedrijven de betaal-gok wagen.
Er zijn diverse bedrijven die voor de keuze hebben gestaan en bewust gekozen hebben om niet te betalen.
Ja, vooral als ze er zelf weinig last van zullen hebben. Dat anderen er last van hebben kan hun dan minder schelen.
Mensen moet beseffen dat ransomware groep ook een reputatie heeft hoog te houden.
Als je als ransomware groep elke keer goed publiceren na betaling dan gaat niemand meer betalen aangezien je het toch sowieso publiceert.
Als je als ransomware groep elke keer goed publiceren na betaling dan gaat niemand meer betalen aangezien je het toch sowieso publiceert.
Door _R0N_: Ik vind nog steeds dat als bedrijven het losgeld betalen ze een zelfde bedrag moeten storten in de pot ter bestrijden van cybercriminaliteit.
Uitstekend idee. Hopelijk gaat dat dat bijdragen aan minder cybercrime dat successvol is, omdat we de verdediging beter op orde zullen hebben.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
