Data zestienduizend HHNK-klanten gestolen bij aanval op AddComm
Bij de ransomware-aanval op klantcommunicatiebedrijf AddComm in mei van dit jaar zijn de gegevens van ruim zestienduizend klanten van het Hoogheemraadschap Hollands Noorderkwartier (HHNK) gestolen. AddComm verstuurt de aanslagen van de waterschapsbelasting voor HHNK per post en digitaal. Het HHNK houdt zich bezig met het beheren, keren en zuiveren van water in Noord-Holland boven het Noordzeekanaal.
"Als onze gegevens van inwoners en bedrijven hierbij zijn betrokken, kan het gaan om persoonsgegevens als naam, adres, woonplaats, burgerservicenummer en bijvoorbeeld eigendomsgegevens van onroerend goed", zo liet waterschap HHNK afgelopen mei weten. "Wij hebben afspraken met AddComm gemaakt over een goede beveiliging zodat we erop vertrouwden dat de data veilig waren bij AddComm. Cybercriminelen worden echter steeds vaardiger in het omzeilen van zeer geavanceerde beveiliging, en het is ze gelukt in te breken bij AddComm."
Het Noordhollands Dagblad meldt nu dat het om gegevens van 16.625 inwoners en bedrijven gaat. AddComm liet eind mei weten afspraken te hebben gemaakt met de criminelen achter de aanval, om gestolen klantgegevens te verwijderen en niet te publiceren. Details over deze afspraak zijn niet gegeven. "Vermoedelijk gaat het om tonnen", aldus het Noordhollands Dagblad.
De getroffenen zijn of de sjaak als hun gegevens worden misbruikt, of ze zijn de sjaak als de betaalde "criminele premie" doorberekend wordt in de prijs voor de "verplichte deelname" aan een hoogheemraadschap.
En de crimineel... die vaart er wel bij. Niemand doet em wat.
En dat deze: "Cybercriminelen worden echter steeds vaardiger in het omzeilen van zeer geavanceerde beveiliging, en het is ze gelukt in te breken bij AddComm."
Gevalletje "wen dr maar an" ?
En daarnaast hebben ze afspraken, nu ja de verwerker dan (in strijd met artikel 28 lid 10 AVG) gemaakt met de criminelen om de gegevens te verwijderen. Na betaling natuurlijk.
En blijkbaar vertrouwd AddComm op de blauwe ogen van de cyber boefjes. Oh misschien hebben ze het ook wel verwijdert hoor, maar wel nadat ze het hebben doorverkocht want daar waren geen afspraken over, toch?
Wat betreft art. 28 lid 10: verwerkers mogen geen beslissingen nemen nog voor eigen doelen keuzes maken over verwerking van persoonsgegevens. het feit dat zij gekozen hebben te betalen en de data te hebben proberen te verwijderen bij de cyber boefjes is een duidelijke vorm van verwerking (art. 4 definitie 2 AVG) en daarmee dus in strijd met het begrip verwerker.
Misschien heeft de Autoriteit persoonsgegevens eens tijd hier naar te kijken en te handhaven?
net zoals ze bij Ticketcounter in 2021 hadden behoren te doen.
Deze deal berust niet op vertrouwen maar op wederzijds wantrouwen (vergelijk de nucleaire dreiging). Wanneer na de betaling voor de ransomware sleutel de data alsnog verkocht wordt, zullen steeds minder organisaties gaan betalen en is het einde “business model”.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
