De Greater Manchester Police Force is de nieuwste entiteit geworden die het slachtoffer is geworden van een inmiddels gevestigde vorm van cyberaanval: ransomware-hacking.
GMP zei donderdag dat een externe leverancier die informatie over zijn werknemers had, was geschonden. Het is duidelijk dat de gegevens die mogelijk door de hack zijn vrijgegeven, details bevatten van officiële naambadges, zoals rangen, foto’s en serienummers.
De Metropolitan Police maakte in augustus bekend dat bij een inval bij dezelfde leverancier ook gegevens van agenten en personeel aan het licht waren gekomen.
Bedrijven en overheidsinstanties die dit jaar alleen al in Groot-Brittannië door ransomware-aanvallen zijn getroffen, zijn onder meer Royal Mail, outsourcingbedrijf Capita en Barts Health NHS Trust. The Guardian werd vorig jaar ook getroffen door een ransomware-aanval.
Wat is een ransomware-aanval?
Ransomware is schadelijke software die in het computernetwerk van een organisatie wordt geplaatst. Dit kan gebeuren via een ‘phishing-aanval’, waarbij een medewerker – vaak via e-mail – wordt misleid om malware te downloaden. De malware codeert vervolgens de computers waartoe toegang is verkregen, waardoor het onmogelijk wordt toegang te krijgen tot de inhoud ervan. De criminele bende achter de aanval biedt vervolgens aan om uw netwerk te decoderen in ruil voor een losgeld dat doorgaans in cryptocurrency wordt betaald: vandaar de term ransomware.
Er is een andere ransomware-tactiek die bekend staat als “dubbele afpersing”, waarbij de aanvaller ook de gegevens afpakt en deze gebruikt als hefboom bij onderhandelingen, waarbij hij dreigt deze te verkopen of vrij te geven in het publieke domein.
Volgens de Information Commissioner’s Office (ICO), de Britse datawaakhond, werden vorig jaar 706 ransomware-incidenten gemeld, een lichte stijging ten opzichte van de 694 gerapporteerd in 2021.
Waren de politiediensten opzettelijk het doelwit?
Volgens Secureworks, een cyberbeveiligingsbedrijf, komen ransomware-aanvallen veel voor in de publieke en private sector.
“Dit is geen probleem dat specifiek de publieke sector of de toeleveringsketen van de publieke sector treft”, zegt Rafe Pilling, directeur dreigingsonderzoek bij Secureworks. “Het gebeurt in bedrijven en organisaties in alle soorten en maten.” Hij zegt dat zijn bedrijf in verschillende sectoren slachtoffers ziet en dat vooral de productie wordt getroffen.
Toch benadrukt Pilling dat de aanval benadrukt dat entiteiten waar personeelsgegevens bijzonder gevoelig kunnen zijn – zoals wetshandhavingsinstanties – voorzichtig moeten zijn bij het doorlichten van externe leveranciers die met hun gegevens omgaan.
“Mensen moeten nadenken over het feit dat gevoelige gegevens openbaar kunnen worden gemaakt, zelfs als het een aanval op een leverancier betreft die er onschuldig uitziet. Het kan een grote impact hebben op de data die eruit gehaald wordt.”
Wie zit er achter deze aanvallen?
De meeste ransomwaregroepen worden geassocieerd met Oost-Europa, voormalige Sovjetrepublieken en Rusland in het bijzonder. Dit jaar waren British Airways, de BBC en Boots het doelwit van de Clop-groep, genoemd naar het type ransomware dat zij gebruiken.
“Op dit moment zijn er meerdere criminele groepen die deze activiteit uitvoeren”, zegt Pilling. “De overgrote meerderheid spreekt Russisch of heeft banden met het Russisch.”
Is het legaal om een ransomwaregroep te betalen?
De Britse autoriteiten veroordelen met klem betalingen aan ransomwarebendes. Vorig jaar maakten de Britse gegevensbeschermingsautoriteit en het National Cyber Security Centre duidelijk dat zij de betaling van losgeld “niet aanmoedigden” – hoewel de betalingen doorgaans niet illegaal waren. Het is echter illegaal om losgeld te betalen als u weet – of vermoedt – dat de opbrengsten in de zakken van terroristen terechtkomen.
Britse bedrijven doen echter wel betalingen. Sophos, een Brits cyberbeveiligingsbedrijf, schat dat de gemiddelde uitbetaling van ransomware door Britse organisaties hoger is dan het mondiale gemiddelde, namelijk 2,1 miljoen dollar.
Krijgen politiekorpsen te maken met boetes van gegevenstoezichthouders?
De ICO zal waarschijnlijk onderzoeken of GMP en de Met hun externe leverancier op de juiste manier hebben geselecteerd en een passend contractproces hebben uitgevoerd. De ICO zei vorig jaar echter dat het van plan was het gebruik van boetes voor organisaties uit de publieke sector wegens het overtreden van de Britse implementatie van de AVG te verminderen.
Maar ook de betrokken leverancier, het in Stockport gevestigde Digital ID, zal onder de loep worden genomen. Digital ID produceert identiteitskaarten en bandjes voor een aantal Britse organisaties, waaronder verschillende NHS-trusts en universiteiten.