Abiom lijkt niet op die eis te zijn ingegaan. Het bedrijf was niet bereikbaar voor een reactie. De hack van zo’n kritieke toeleverancier – en de publicatie van vertrouwelijke documenten – past in een recente ontwikkeling waarbij ransomwaregroepen niet alleen een systeem versleutelen, maar ook data stelen en die openbaar maken. Die data kunnen weer door anderen worden gebruikt voor criminele activiteiten, bedrijfsspionage bijvoorbeeld, of voor een volgende hack. De vraag is wie zicht houdt op al die rondslingerende data.

Matthijs Koot, beveiligingsexpert van it-beveiligingsbedrijf Secura: ‘Als dit soort gegevens op ransomware-websites zijn gepubliceerd, ben je per definitie de greep op vertrouwelijkheid kwijt. Je kunt ervan uitgaan dat gevoelige data blijven rondzwerven.’

Abiom levert onder andere de technologie voor het C2000-netwerk waar hulpdiensten als politie, ambulance en brandweer gebruik van maken, maar ook de veiligheidsdiensten. Het C2000-netwerk behoort tot de kritieke infrastructuur. In de gepubliceerde documenten staan facturen van meer dan een miljoen euro aan de politie, persoonsgegevens van leidinggevenden, kopieën van paspoorten, verschillende overeenkomsten met buitenlandse overheden en bedrijven, en details van apparatuur die bij politie- en defensieonderdelen is geplaatst. Abiom levert verder ook aan het ministerie van Justitie en Veiligheid, veiligheidsregio’s, ziekenhuizen, de Belastingdienst en de marine.

Kwetsbaarheid

Het publiceren van interne data op sites die voor iedereen toegankelijk zijn – de totale dataset bestaat uit 39 duizend interne documenten waarvan een deel zichtbaar is – laat een nieuwe kwetsbaarheid zien van een samenleving die verregaand gedigitaliseerd is. Want als bedrijven niet ingaan op de eisen van criminele hackers betekent dat niet alleen dat de eigen gegevens op straat liggen, maar ook die van klanten. Die datasets worden soms duizenden keren gedownload.

Dit jaar werden van meerdere slachtoffers van gijzelfsoftware gevoelige data online gezet, waaronder de patiëntgegevens van twee Amerikaanse ziekenhuizen en interne communicatie van wetenschapsfinancier NWO. Ook worden op hackersfora grote gestolen databestanden aangeboden, bijvoorbeeld van miljoenen klanten van AlleKabels.nl en 39 duizend klanten van een Porsche-dealer, waaronder bekende Nederlanders.

Koot: ‘Het potentiële risico verschilt per geval. Zitten er persoonsgegevens bij, dan kunnen die worden gebruikt voor phishing en fraude. Gevoelige data kunnen in handen komen van concurrenten. Informatie over partijen waarmee je samenwerkt kan worden misbruikt.’

Wat voor gevolgen dit kan hebben, laat een hack uit 2020 zien. Duizenden interne documenten van het Zweedse Gunnebo, een bedrijf dat onder meer beveiligingsapparatuur levert aan banken, werden na een aanval met gijzelsoftware online geplaatst. In die documenten stonden technische details over de werking van de apparatuur, en informatie over klanten. Gunnebo verkoopt kluisjes en de beveiliging daarvan aan banken wereldwijd.

Kluisjes leeggeroofd

Ruim een halfjaar nadat de 38 duizend documenten op internet verschenen, werden in korte tijd tientallen bankkluisjes van drie banken in Oostenrijk leeggeroofd door onbekenden. De buit bestond uit miljoenen euro’s. Hoe de daders te werk gingen, was voor de politie een raadsel.

De kluisjes zijn niet fysiek te bereiken. Klanten krijgen een smartcard die ze invoeren in een bedieningsapparaat, waarna ze het nummer van hun kluis zien en een persoonlijke pincode invoeren. Vervolgens gaat de inhoud van de kluis geautomatiseerd naar het bedieningsapparaat waarna het mogelijk is om met een fysieke sleutel de inhoud eruit te halen. De criminelen lieten geen fysieke sporen achter en zouden volgens lokale media ‘technische barrières’ hebben overwonnen om bij de buit te komen. Kon er een relatie zijn met de eerder publicatie van de documenten van Gunnebo?

Specialisten van een Nederlands cybersecuritybedrijf onderzochten de casus en keken of het technisch mogelijk was om met de gepubliceerde data de kluisjes open te krijgen. De drie banken – één in Wenen, twee elders in Oostenrijk – bleken gebruik te maken van apparatuur van Gunnebo. Ook bleek dat alle componenten van het veiligheidssysteem op één server draaiden. Een hacker zou bij toegang tot dat systeem ook toegang krijgen tot de bediening en eigen toegangsrechten kunnen aanmaken.

Bovendien bleek het systeem te werken op verouderde Windows-software, wat de hackers een extra mogelijkheid gaf om binnen te komen. Ook was het in sommige gevallen, zoals bij deze banken, mogelijk om de fysieke sleutel te vervangen door een controle met een vingerafdruk.

Toezicht

Het Nederlandse rapport, dat vertrouwelijk is maar werd ingezien door de Volkskrant, concludeert dat ‘wij geloven dat het mogelijk is dat een aanvaller toegang kreeg tot de bediening van de kluisjes van de drie Oostenrijkse banken en dat deze aanvaller erin slaagde het systeem zo te manipuleren dat de inhoud van de kluisjes bij hem kwam.’

Dat roept de vraag op wie toezicht houdt op al die gevoelige data die online komen en een gevaar voor andere organisaties kunnen betekenen. Een woordvoerder van De Nederlandsche Bank liet na het datalek bij Gunnebo weten ‘in contact te staan met financiële instellingen’.

Wie doet dat bij het datalek van Abiom? Is dat een taak voor het Nationaal Cyber Security Center (NCSC)? En moeten NCSC-medewerkers dan in voorkomende gevallen alle documenten doorspitten op zoek naar compromitterende informatie?

Koot: ‘Het NCSC of de politie zou dit soort ransomware-sites kunnen monitoren. Je wilt immers zo snel mogelijk op de hoogte zijn als je eigen toeleveranciers slachtoffer zijn van een hack.’ Het NCSC reageerde zondag niet op het verzoek om een reactie.