Cloudsoftwarebedrijf Blackbaud heeft opnieuw een schikking getroffen wegens een datalek dat zich in 2020 voordeed bij een ransomware-aanval. Het bedrijf betaalt de Amerikaanse staat Californië een bedrag van 6,75 miljoen dollar. Eind vorig jaar sloot Blackbaud al met 49 andere Amerikaanse staten een schikking voor een totaalbedrag van 49,5 miljoen dollar.

Volgens onderzoek van het ministerie van Justitie van Californië had Blackbaud nagelaten om basale beveiligingsmaatregelen te nemen, zoals het implementeren van multifactorauthenticatie en verhelpen van bekende kwetsbaarheden, en werden systemen met persoonlijke gegevens niet op verdachte activiteit gemonitord. Daarnaast deed Blackbaud voordat het datalek plaatsvond misleidende uitspraken over de eigen beveiliging en werd publiek ook misleid over de volledige omvang van de datadiefstal. Daarmee heeft het bedrijf Californische wetgeving overtreden.

Blackbaud levert allerlei diensten aan non-profitorganisaties en onderwijsinstellingen, waaronder CRM-systemen (customer relationship management). Bij de ransomware-aanval kreeg de aanvaller de gegevens van dertienduizend klanten in handen, en vervolgens gegevens van miljoenen klanten en gebruikers van deze klanten. Het ging onder andere om de TU Delft en Universiteit Utrecht.

Blackbaud betaalde de aanvaller om de gegevens te vernietigen en stelde dat er geen bankgegevens of socialsecurity-nummers waren buitgemaakt. Personeel van Blackbaud ontdekte dat de aanvaller deze gevoelige informatie wel had gestolen. De medewerkers lieten dit door het ontbreken van meldprocedures niet aan het management weten dat voor de datalekmelding verantwoordelijk was. Toen het bedrijf in augustus 2020 de ransomware-aanval bij de Amerikaanse beurswaakhond SEC meldde ontbrak deze informatie dan ook.

Naast het bedrag van 6,75 miljoen dollar moet Blackbaud ook allerlei beveiligingsmaatregelen doorvoeren om toekomstige datalekken te voorkomen. Het gaat dan om het implementeren van een proces zodat databaseback-ups met persoonlijke informatie zo kort mogelijk worden bewaard en op veilige wijze worden verwijderd. Tevens moet het wachtwoordbeleid op de schop en beleid en procedures over netwerksegmentatie, monitoring en alertering over verdachte activiteiten worden aangescherpt.