Getroffen door ransomware; heb je dan wel of geen datalek?

Moet je als organisatie melding maken van een datalek als je getroffen bent door een ransomware-infectie? Die vraag is actueel na de problemen die geldwisselbedrijf GWK Travelex heeft.

Travelex werd rond de jaarwisseling het slachtoffer van REvil (Sodinokibi) ransomware. Maar het bedrijf had eind vorige week nog geen melding gedaan van een datalek bij de Britse privacy-autoriteit. De vraag die zich aandient, is dan ook of je als organisatie bij een ransomware-uitbraak altijd aangifte van een datalek moet doen, zoals omschreven in de AVG.

Dat zou best logisch kunnen zijn want een buitenstaander heeft toegang gekregen tot interne computersystemen. Het betalen van het losgeld aan de cybercriminelen geeft ook geen garantie dat de buitenstaander geen toegang meer heeft tot de systemen. In het geval van Travelex zegt het bedrijf geen aanwijzingen te hebben dat er data is ontvreemd.

“Het is niet zo dat elke aanval gemeld dient te worden”, reageert Jeff Scipio van Guardian360 op vragen van Channelconnect. “Het gaat er om dat er aantoonbaar gemaakt moet worden dat er een datalek heeft plaatsgevonden. Een cyberaanval hoeft niet altijd te betekenen dat er daadwerkelijk data is gestolen die door de hacker misbruikt kan worden.”

Jornt van der Wiel, beveiligingsexpert bij Kaspersky, wijst op een verschil van tactiek van de aanvallers. “Toen ransomware in opkomst kwam (rond 2014) was het vooral gericht op het infecteren van individuele machines. Betalingen en decryptie gebeurde veelal automatisch. Sinds enkele jaren is er echter een toename in meer gerichte ransomware. Om zoveel computers binnen een organisatie te besmetten hebben de aanvallers vaak toegang nodig tot de belangrijkste servers binnen het netwerk (b.v. de Domain Controller), om vanaf hier de ransomware op alle computers te verspreiden.” Of dat ook betekent dat er data is gestolen, is nog maar de vraag.

Van der Wiel kan uiteraard niets zeggen over het incident bij Travelex want Kaspersky is er niet bij betrokken. “De enige die het weten is Travelex zelf, degenen die hen geïnfecteerd hebben en andere betrokken partijen.”