Het afgelopen weekend stond grotendeels in het tegen van een ongekende, massale cyberaanval met ransomeware ‘WannaCry’. Getroffen worden door malware als ransomeware is uitermate vervelend. In de meeste gevallen zit er niets anders op dan het getroffen opslagmedium formatteren en een backup terugplaatsen. Dataverlies is dus bijna een gegeven bij dit soort infecties. Wat kunt u doen om besmetting te voorkomen? Moet u een besmetting met ransomware melden bij de Autoriteit Persoonsgegevens? En wie kunt u aansprakelijk stellen voor eventueel geleden schade? Een korte verkenning.

Wat kan ik doen om ransomware infecties te voorkomen?

Er verschijnen op internet al heel veel lijstjes met vuistregels. De meest overzichtelijke (en betrouwbare) vind ik toch wel die van het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid. Op 12 december 2013 heeft het NCSC een factsheet gepubliceerd met 10 vuistregels (pdf) voor veilig internetten. De hoofdregels zijn als volgt.

1. Installeer een antivirusprogramma, maak geregeld scans en activeer firewall


2. Installeer steeds de software-updates van besturingssystemen en applicaties (MS Windows, MacOS, iOS, MS Office, Adobe etc.)


3. Gebruik sterke wachtwoorden (niet opslaan in internetbrowsers, is handig maar gevaarlijk) en two-factor-authentication (na invoeren gebruikersnaam/wachtwoord ook nog een SMS of e-mail krijgen voordat je kunt inloggen)


4. Maak alleen verbinding met vertrouwde en beveiligde wifi-netwerken voor het versturen van gevoelige gegevens; versleutel thuis uw draadloze netwerk met WPA2 of AES-encryptie


5. Open geen berichten en onbekende bestanden die u niet verwacht of niet vertrouwt


6. Installeer alleen apps via de officiële applicatiewinkels


7. Controleer het adres van websites op veiligheid (is het hangslotje aanwezig?); geen hangslotje = geen gevoelige gegevens invullen


8. Popups: Sluit pop-ups in uw browser af met Alt+F4, nooit op ‘akkoord’, ‘ok’, de ‘x’ of ‘nee’ klikken omdat daardoor malware kan worden geïnstalleerd op uw computer; maak gebruik van pop-upkiller software


9. Bedenk goed wat u met wie deelt op internet


10. Gebruik uw gezond verstand: als het te goed is om waar te zijn, dan is dat meestal ook zo.

Die vuistregels zijn wellicht hoog over maar nog steeds actueel. In aanvulling hierop zou ik graag nog opmerken:

1. Bedenk dat het niet normaal is dat u op uw kantooradres e-mails krijgt van uw bank, verzekeraar, energiemaatschappij, of andere instellingen waar u privé zaken mee doet. Hoe authentiek die berichten soms zijn, je kunt er bijna van op aan dat dit phishing mails zijn die bedoeld zijn om (inlog)gegevens af te troggelen of om malware te installeren. Bij twijfel: email deleten. Dat houdt in direct permanent verwijderen (= shift + delete) en de interne systeembeheerder op de hoogte stellen. Anders blijven die berichten in uw verwijderde items staan en bestaat de kans dat eventueel iemand anders er per ongeluk alsnog op klikt.


2. Train uw werknemers periodiek over internetdreigingen en wat je moet doen om infecties te voorkomen. Neem dit mee in interne cursussen, stel een goed handboek op hoe om te gaan met bestanden, data en gegevens, zowel in als buitenshuis. Bedenk dat een infectie iedereen kan raken.


3. Bij een infectie van een werkstation: ontkoppel het station (trek de netwerkkabel eruit, zet de tablet/smartphone volledig uit) en voorkom anderszins dat de computer toegang heeft tot het bedrijfsnetwerk en het internet.


4. Tref de noodzakelijke technische maatregelen om infectiehaarden uit te sluiten: Sluit of beveilig bijvoorbeeld USB poorten; voer pop-up killers in; etc. Ik ben de eerste om toe te geven dat een hermetisch afgesloten IT-omgeving onmogelijk is en vaak ook niet praktisch is.


5. Wat je kunt doen, moet je doen. De wet vereist een passend beschermingsniveau, geen perfect beschermingsniveau. Dit wil echter ook niet zeggen dat je rustig achterover kunt leunen. Wat er redelijkerwijs van u wordt verwacht is dat u doet wat u kunt doen rekening houdend met de aard van de gegevens (hoe gevoeliger hoe hoger de eis aan de maatregel) en stand van de techniek.

Ransomeware besmetting per definitie meldingsplichtig datalek?

Volgens de Autoriteit Persoonsgegevens wel. In haar beleidsregels (pdf) is hierover opgenomen:

“Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller. Een dergelijke malware-besmetting stelt de getroffen persoonsgegevens dus bloot aan onbevoegde kennisname en andere vormen van onrechtmatige verwerking. Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren ('ransomware') of te versleutelen ('cryptoware'). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging.”

Overigens kun je bij dit standpunt best wel vraagtekens zetten. Het is bijvoorbeeld maar de vraag of er echt sprake is van “aantasting of wijziging” of dat andere onbevoegd kennis hebben kunnen nemen van de inhoud van de bestanden en derhalve bij de persoonsgegevens hebben gekund. In veel gevallen zijn ‘ransomeware’ hackers uit op het betaald krijgen voor het ontsleutelen van het opslagmedium of de bestanden en doen ze daar inhoudelijk niets mee. Als je kunt uitsluiten dat bestanden of persoonsgegevens daaruit door onbevoegden zijn geraadpleegd of verkregen of aangetast/gewijzigd, zou je niet hoeven melden. Niettemin zal het denk ik moeilijk zijn om aan de meldingsplicht te ontkomen.

Verder geldt natuurlijk dat je als organisatie zorg moet dragen voor een adequate bescherming van persoonsgegevens tegen verlies en onrechtmatige verwerking. Dit is ook gesanctioneerd met een boete. U zult er dus voortdurend voor moeten zorgen dat de beveiliging up-to-date is. Daarbij moet niet alleen gedacht worden aan technische beveiliging (updaten software, antivirus e.d.) waar nu veel aandacht voor is, maar ook aan organisatorische beveiliging. Hieronder valt ook het (verder) bewust maken van werknemers in het ordentelijk verwerken van persoonsgegevens en omgaan met data. Zie hiervoor meer uitgebreid het eerdere blog van mijn kantoorgenoot Mark Jansen: http://www.dzw.gr/03eb5.

Kan ik iemand aansprakelijk stellen voor mijn schade?

Ik zal u direct uit te droom helpen. Dat hangt er maar zeer van af en zal door de bank genomen echt niet eenvoudig zijn. Allereerst hangt het af van de soort schade die geleden is en wat de oorzaak van die schade is. Bij evidente fouten of contractuele tekortkomingen is een en ander zeker mogelijk, maar heel eenvoudig zal dit niet zijn. We lopen de meest in het oog springende actoren even af:

• Degene die de aanval heeft geïnitieerd zal onrechtmatig handelen en gehouden kunnen worden de geleden schade te vergoeden. Ik denk dat hij ook strafrechtelijk laakbaar handelt (computervredebreuk) Maar praktisch punt: wie is het en waar hij is woonachtig? Je komt dus midden in allerlei internationaal privaatrechtelijke vraagstukken als wie is over bevoegde rechter, welk recht is van toepassing. Daarnaast roept het allerlei causaliteitsvraagstukken op.


• Microsoft of een andere leverancier van essentiële software voor gaten in de software? Dat zal niet gemakkelijk zijn. Doorgaans zal in hun gebruiksvoorwaarden een algehele uitsluiting van aansprakelijkheid staan. Daarbij komt dat software nooit “full proof” zal/kan zijn tegen elke dreigingsvorm. Daarnaast hangt het er ook sterk van af wat er precies aan de hand is. Niettemin geldt er doorgaans ook wel een zorgplicht om te zorgen dat gaten worden gedicht. Loopt u echter enorm achter met het updaten van het systeem dan zal er al snel sprake kunnen zijn van eigen schuld? Of is de besmetting het gevolg van iemand die op een linkje klikte in een email die niet te vertrouwen blijkt? Daarnaast geldt dat je het dan moet opnemen tegen (vaak) Amerikaanse mologgen op grond van toepasselijk Amerikaans recht voor een Amerikaanse rechtbank.


• Uw IT-leverancier die verantwoordelijk is voor ‘beheer’? Dit kan maar dat zal sterk afhangen wat de afspraken precies inhouden. Als de beheerder tevens al uw bedrijfsdata en applicaties host dan zal hij als bewerker verantwoordelijk zijn voor een adequate dienstverlening. De beveiligingseisen die de wet (met name de Wet bescherming persoonsgegevens) aan u opleggen, gelden (als het goed is) ook voor uw bewerker doordat u die eisen heeft doorgezet aan hem. Niet ondenkbaar is dat de desbetreffende IT-leverancier een rechtmatig beroep toekomt op overmacht als het gaat om het 'exploit' in softwarepakket van een derde. Waar je hem hooguit op zou kunnen aanspreken is op het nakomen van zijn verplichtingen om tijdig te patchen, mits overeengekomen. Daarbij speelt ook nog mee de complexiteit dat het te snel uitvoeren van een securitypatch mogelijk tot gevolg heeft dat andere delen van uw systeem buiten werking raken omdat de desbetreffende patch haastwerk was en onvoldoende doorgetest is. Het zal dan vaak kiezen zijn tussen twee kwaden.


• Uw IT-leverancier voor het maken van geen of foutieve back-ups? Indien u dit met uw IT-leverancier ook verantwoordelijk is voor het maken van back-ups (wat je concreet zult moeten afspreken!) en die back-up blijkt niet in orde te zijn, zal er snel sprake zijn van In veel gevallen worden door IT-leveranciers hun aansprakelijkheid voor verlies van data volledig uitgesloten. Het kan zijn dat een beroep op een dergelijke uitsluiting van aansprakelijkheid naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is en door de rechter opzij wordt gezet, maar dit gebeurt in Nederland bij hoge uitzondering.


• De werknemer die op de infectie-link klikt uit het phishing mailtje: Waar gehakt wordt, vallen spaanders. Het is niet eenvoudig om als werkgever werknemers aan te spreken op fouten of onhandig handelen. De lat hiervoor ligt heel erg hoog. Pas bij opzettelijk of bewust roekeloos handelen zal dit aan de orde kunnen komen. Maar in de praktijk zal dit niet snel spelen bij dergelijke phishing-perikelen. Hier zal ook meespelen de achtergrond van de desbetreffende medewerker. Van een beveiligings-expert bij een cybersecurity beveiliger zal bijvoorbeeld meer mogen worden verwacht dan van een leek op dat terrein. Dit wil overigens niet zeggen dat het geen zin heeft om werknemers niet te informeren. Je wilt dit soort ellende natuurlijk altijd voorkomen.

Conclusie

Duidelijk is dat juridisch de nodige voetangels en klemmen zitten aan malware infecties in het algemeen en ransomware in het bijzonder. De enige ‘oplossing’ is: formateren en back-up terugplaatsen met dataverlies tot gevolg. De ongekende massale aanval legt nog weer eens bloot hoe afhankelijk we zijn van IT en van IT-leveranciers. Blijf waakzaam en maak goede back-ups.