Bedrijven krijgen regelmatig te maken met hackers. Het overkwam ook BNNVARA eind september, toen een hacker waarschuwde voor een lek op de website waar op dat moment een ledenactie liep. De hacker wist toegang te krijgen tot de persoonsgegevens van maximaal vijf personen, waaronder ook bankrekeningnummers. Hij meldde het lek anoniem, waarna BNNVARA hem in bitcoins betaalde om de hack te reconstrueren. Maar is dat wel de juiste keuze? Hoe reageer je als bedrijf als je te maken krijgt met een hacker?
Alle mogelijke getroffenen gewaarschuwd
Marc Adriani, directeur van BNNVARA vertelt: “We hebben meteen een melding gemaakt bij de Autoriteit Persoonsgegevens, daar zijn we wettelijk toe verplicht. Ook hebben we zodra het kon alle mensen die mogelijk getroffen waren geïnformeerd. De gelekte gegevens zaten in een map met zevenduizend andere persoonsgegevens. Omdat we niet konden achterhalen van wie de vrijgekomen gegevens precies waren, hebben we alle zevenduizend mensen uit die map gewaarschuwd. Het kwetsbare deel van de site hebben we offline gehaald. Samen met de hacker hebben we de hack gereconstrueerd zodat we het probleem konden oplossen.”
Hacker werd anoniem betaald
BNNVARA koos ervoor de hacker te betalen voor zijn hulp. Omdat de hacker anoniem wilde blijven besloot de omroep hem ook anoniem uit te betalen, in bitcoins. Adriani: “We hadden deze hacker nodig, omdat wij zelf geen logfiles hadden met gegevens over wat er was gebeurd tijdens de hack. Die logfiles hadden we wel moeten hebben, dat was een fout van ons. De hacker was de enige die ons kon helpen bij het reconstrueren van het probleem. In eerste instantie was hij behulpzaam, maar toen wij hem vragen bleven stellen, gaf hij aan dat hij niet zomaar kon blijven meehelpen aan het oplossen van ons probleem. Toen hebben we hem een marktconforme vergoeding geboden. We hebben zelf besloten hem in bitcoins uit te betalen. We vonden het oplossen van het probleem op dat moment het belangrijkst voor de leden.”
Gezocht naar meer zwakke plekken
Na de hack liet BNNVARA een zogeheten ‘penetratietest’ uitvoeren. Daarbij wordt gekeken of er nog meer zwakke plekken zijn. Uit die test kwam niets alarmerends naar voren, vertelt Adriani, maar er is nog wel werk aan de winkel. De zwakkere plekken die zijn gevonden worden aangepakt. De BNNVARA-directeur: “We hebben al onze stappen nauwkeurig doorgenomen met een aantal externe deskundigen en onze medewerker die de privacy van onze leden en werknemers bewaakt. De conclusie is dat we goed hebben gehandeld. We hebben de privacy van onze leden vooropgesteld. Dat we de hacker hebben betaald vind ik niet gek, we hadden hem nodig om het probleem op te lossen.”
Niet te kwader trouw
Maar is dat een verstandige keuze? Als een bedrijf hackers gaat betalen voor hulp bij het oplossen van hun hack, schep je daarmee dan geen precedent voor andere hackers die ook om geld gaan vragen? Adriani denkt van niet: “Bij deze hacker hadden we niet het idee dat hij te kwader trouw was. Hij wees ons uit zichzelf op onze zwakte en heeft uiteindelijk de medewerking gegeven die we nodig hadden om het probleem op te lossen. Maar het kan zijn dat het bij een andere hack anders was gelopen. Als de hacker een datahandelaar blijkt te zijn, ligt het natuurlijk anders dan iemand die ons alleen maar op een zwakke plek wil wijzen. Iedere keer zullen we die overweging opnieuw moeten maken.”
Afpersing
Volgens Jaap-Henk Hoepman, hoofddocent privacy enhancing technologies en identity management aan de Radboud Universiteit, schuurt dit voorval aan tegen afpersing. Hoepman: “Door op deze manier van de kennis van de hacker gebruik te maken heeft BNNVARA zich in een afhankelijke positie geplaatst. Dat is niet verstandig. Het is niet vreemd om hackers te belonen als ze een lek melden, maar het kan niet zo zijn dat je als bedrijf moet gaan betalen voor essentiële informatie. Je hebt het weliswaar over zeer gevoelige gegevens, maar dan heb je in de snelheid toch een verkeerde keuze gemaakt. In dit geval had je misschien beter kunnen zeggen: bedankt voor het melden van het probleem, maar nu lossen we het verder zelf op.”
Responsible disclosure
Hoepman wijst erop dat bedrijven bij dit soort kwesties het beste gebruik kunnen maken van bestaande richtlijnen van instanties als het NCSC (Nationaal Cyber Security Centrum): “Dan had BNNVARA kunnen zeggen tegen de hacker: je werkt vrijwillig mee en anders maken we er een zaak van. Dan was je niet in zo’n afhankelijke positie terechtgekomen. Veel problemen kun je ook voorkomen met een ‘respsonsible disclosure’ op de website. Daarin staat duidelijk omschreven wat hackers met goede bedoelingen moeten doen als ze een lek willen melden en welke beloning ze daarvoor terug kunnen verwachten. Dan weet iedereen waar hij aan toe is.”
Geleerd van de hack
De NPO heeft zo’n responsible disclosure op haar site. Maar hoewel BNNVARA een speciaal responseteam heeft dat de privacy van leden en medewerkers bewaakt, had de omroep geen responsible disclosure. Waarom niet? "Om eerlijk te zijn: daar hadden we nooit aan gedacht”, zegt Adriani. "Dat kun je kwalijk vinden, maar er zijn heel veel bedrijven die zo’n disclosure niet hebben. We hebben zo zorgvuldig mogelijk gehandeld toen dit probleem zich voordeed. Dat vind ik het belangrijkst. We hebben inmiddels wel besloten dat wij nu ook met een responsible disclosure gaan werken. In die zin hebben wij ook weer geleerd van de hack."