Noord-Koreaanse cyberterroristen richten zich met malware bewust op kleinere bedrijven

Het is een rampscenario voor ieder bedrijf. Cybercriminelen leggen met malware – een virus waarmee afpersers losgeld afdwingen – het hele computernetwerk plat. De hele productie valt stil. Niemand kan nog inloggen. Geen omzet meer. Wat nu? Betalen?

In dit artikel leggen we aan de hand van een actueel praktijkvoorbeeld uit dat het niet verstandig is te betalen.

Grotere bedrijven hebben meestal nog wel financiele middelen en gekwalificeerde mensen om de ransomware te verwijderen en het probleem zelf op te lossen. Vaak hebben zij een goed backupsysteem. Zij kunnen omzetverlies nog opvangen. Zij kunnen het zich veroorloven om aangifte te doen bij justitie.

Ransomaanval kan katostrofaal zijn voor kleinere bedrijven

Maar dat ligt anders bij veel kleine en middelgrote bedrijven. Daar kan een ransomaanval katastrofaal uitpakken. Het voortbestaan van het bedrijf staat op het spel.

Juist veel van deze kleinere bedrijven denken dat het risico dat zij worden aangevallen door cybercriminelen wel meevalt. Je leest immers ook vrijwel alleen over grote datalekken bij grote organisaties.

Verplichtingen Algemene Verordening Gegevensbescherming niet op orde

Het zijn dezelfde bedrijven die nog nauwelijks aandacht hebben besteed aan de verplichtingen die de Algemene Verordening Gegevensbescherming (AVG) hen oplegt. Ze denken dat de Autoriteit Persoonsgegevens (AP) wegens personeelsgebrek zich voorlopig alleen op grote bedrijven richt.

Noord-Koreaanse cybercriminelen opereren als hyena’s

Kortom: juist deze bedrijven zijn kwetsbaar. Ooit een natuurfilm gezien waarbij een horde hyena’s jacht maakt op een zwakke gnoe in een kudde? Die beesten jagen bewust op een kwetsbare prooi. Kost minder energie. De kans op succes is groot.

Dezelfde strategie passen Noord-Koreaanse cybercriminelen momenteel toe. De arme communistische staat zit krap bij kas en heeft cybercrime omarmd als lucratief en eenvoudig verdienmodel. De Noord-Koreaanse staatshackers richten zich met hun malware opvallend vaak bij voorkeur op kleine en middelgrote bedrijven.

‘Relatief’ lage losgeld eisen

En er is nog iets wat opvalt. De Noord-Koreanen eisen opvallend vaak relatief weinig losgeld dat betaald moet worden in Bitcoin. Bedrijven zijn dan geneigd om sneller te betalen om van de ellende af te zijn. Om wanhopig het bedrijf te redden.

De Duitse geheime dienst (Verfassungsschutz) en de Duitse landelijke recherche (Landes Kriminal Ambt – LKA) doen sinds woensdag 31 oktober 2018 onderzoek naar een Noord-Koreaanse aanval op een middelgroot bouwbedrijf in Kaiserslautern.

Woensdag ontdekten ICT-medewerkers van het bouwbedrijf IGR AG een lek in het beveiligingssysteem. Er verscheen een blauwe chantagebrief op de computerschermen.

De Noord-Koreaanse hackers hadden de volledige controle over de computers van IGR AG (ongeveer 100 werknemers) overgenomen.

Betrokken bij bouw militaire vliegvelden

In het bedrijf, dat onder andere betrokken is bij de planning en de bouw van de NATO vliegvelden Ramstein, Bitburg en Hahn, functioneerde niets meer.

20 Bitcoin losgeld

De cybercriminelen boden aan om voor ‘slechts’ 20 Bitcoin losgeld de blokkade van het computersysteem op te heffen. Omgerekend in Euro gaat het dan tegen de huidige Bitcoinkoers om ongeveer 111.250 Euro.

IGR AG was echter niet van plan om zich digitaal te laten chanteren. Het bedrijf besloot aangifte te doen.

Duitse geheime dienst

“De gegevens van het bedrijf werden geblokkeerd door een Trojaans computervirus”, vertelt openbaar aanklager Udo Gehring uit Kaiserslautern. De ICT-specialisten van IGR en onderzoekers van de Duitse geheime dienst gaan er van uit dat er Noord-Koreaanse hackers achter de aanval zitten.

De pakkans van de Noord-Koreaanse daders is vrijwel nihil. Het heeft mede om die reden voor ondernemers nauwelijks zin om aangifte te doen. En uit angst voor hoge boetes die de Autoriteit Persoonsgegevens (AP) vanwege de Algemene Verordening Gegevensbescherming (AVG) kan opleggen als blijkt dat een bedrijf niet voldoet aan de wet, besluiten veel bedrijven daarom maar het losgeld te betalen.

Ideaal scenario Noord-Korea

Dat weten de Noord-Koreanen maar al te goed. Een ideaal scenario voor de arme Noord-Koreaanse staat. Een rampscenario voor bedrijven.

IGR deed het enige juiste. Het bedrijf deed aangifte en besloot niet te betalen. De ICT afdeling heeft de grootste problemen die de ransomware heeft aangericht inmiddels opgelost. Er kan weer gewerkt worden.

Krijgt ICG nu nog een boete van de Duitse Autoriteit Persoonsgegevens?

De vraag is nu wat de Duitse Autoriteit Persoonsgegevens gaat doen. Moet IGC een boete betalen? Als het bedrijf volgens de regels van de Algemene Verordening Gegevensbescherming werkt is die kans klein. Geen systeem is waterdicht. Je wordt niet bestraft als je kunt aantonen dat je vooraf technische en organisatorische maatregelen hebt genomen.

Vrijwel ieder bedrijf denkt bij de AVG aan bureaucratische administratieve rompslomp. Vaak uit onwetendheid. De procedures vallen achteraf meestal wel mee. En ze zijn er niet voor niets. Een bedrijf belandt pas echt in een rampscenario als het gechanteerd wordt via ransomware en de AVG verplichtingen niet op orde heeft. Juist dan ben je vanwege de potentiele hoge boetes van de Autoriteit Persoonsgegevens echt chantabel.

Voorkom het malware risico

Voorkom het malware risico. PrivacyZone kan helpen. Bel: +06-31995740 of mail naar info@privacyzone.nl.

 

Hoe lang mag je volgens de AVG offertes bewaren? Dat hangt er vanaf…

De AVG bepaalt dat persoonsgegevens niet langer dan strikt noodzakelijk mogen worden opgeslagen. Hoe zit dat met offertes die helaas niet tot een opdracht hebben geleid?

Twee praktijkvoorbeelden die de afgelopen weken aan PrivacyZone werden voorgelegd.

Een bouwbedrijf brengt een offerte uit voor de nieuwbouw van een woning. Dat kost moeite, tijd en dus geld. De potentiele klant gaat niet op de offerte in.

Mag het bouwbedrijf de offerte volgens de AVG dan nog bewaren?

Een metaalbedrijf brengt op verzoek van een grote industriele producent een offerte uit voor een gecompliceerde alluminium constructie. De kosten vallen hoger uit dan de potentiele opdrachtgever had verwacht. Het project wordt eerst uitgesteld.

Mag het metaalbedrijf de offerte bewaren voor het geval dat de potentiele klant zich later bedenkt? Dat kan een paar jaar duren, leert de ervaring.

Ondernemers bewaren offertes doorgaans jarenlang.

Je weet nooit of ze nog van pas komen, kregen we te horen.

De ondernemers zijn geschokt dat ze volgens de AVG de offertes nu na het afketsen van de opdracht zouden moeten vernietigen.

Hoe zit het met het intellectuele eigendom van de offerte?

Eigenlijk is het heel eenvoudig.

De AVG gaat over de verwerking van persoonsgegevens.

Een offerte bevat altijd persoonsgegevens. Anders kan de offerte immers niet verzonden worden naar de potentiele klant.

Bij een bouwtekening worden waarschijnlijk ook adresgegevens van de bouwlocatie verwerkt.

Als alle persoonsgegevens uit de offerte worden gehaald, of geanonimiseerd, en de offerte ook indirect niet herleidbaar is naar de potentiele klant mag de offerte gewoon bewaard worden.

Daarnaast zou de ondernemers ook toestemming kunnen vragen om de offerte langer te mogen opslaan. Bij het metaalbedrijf heeft de potentiele klant te kennen gegeven dat de opdracht voorlopig wordt uitgesteld. Dan kan natuurlijk gevraagd worden of de offerte mag worden bewaard en er te zijner tijd opnieuw contact kan worden opgenomen. Als dat schriftelijk wordt bevestigd voldoet u aan de wet.

De aannemer kan leven met de oplossing om de offerte te anonimiseren. Hij heeft alleen een probleem. Het softwarepakket dat bij gebruikt om bouwtekeningen te maken biedt de mogelijkheid tot het verwijderen of anonimiseren van persoonsgegevens niet. Hij moet de producent van de software vragen om het pakket aan te passen. Het kostbare pakket is nog lang niet afgeschreven. Wat nu?

De AVG biedt een ontsnappingsclausule ingeval de continuiteit van een bedrijf in gevaar zou kunnen komen als niet direct aan de wet kan worden voldaan. Als de aannemer kan aantonen dat er voorlopig geen alternatieve oplossing voorhanden is kan hij voorlopig gebruik blijven maken van het pakket. Hij moet wel een plan maken om binnen afzienbare tijd een oplossing te realiseren. En hij moet dat opnemen in zijn verwerkingsregister.

Organisaties mogen persoonsgegevens alleen verwerken als ze daar een noodzaak voor hebben. Dat geldt tevens bij het bewaren van informatie.

In principe bent u vrij in de keuze van de bewaartermijn, zolang u er maar een sluitende argumentatie bij heeft.

Als de offerte leidt tot een opdracht ligt de zaak anders. Dan geldt de bewaartermijn die de belastingdienst voorschrijft. Zeven jaar bewaren (art. 52 Wet Rijksbelastingen).

Dat geldt dus ook als er in die administratie persoonsgegevens van klanten zitten.

Maar pas op. dit betekent niet dat klantprofielen zeven jaar actief gehouden mogen worden, of dat e-mailadressen zeven jaar lang nog gemaild mogen worden. Die vallen immers buiten de wettelijk vereiste gegevens.

De bewaartermijn moet inclusief motivatie worden opgenomen in het verwerkingsregister. En natuurlijk moeten gegevens ook daadwerkelijk weggegooid worden als de bewaartermijn verstreken is.