Op de website van ransomwarebende Clop zijn gestolen data van Centric verschenen. Het bedrijf bevestigt in een verklaring dat het gaat om ‘een zeer beperkt aantal privacy gevoelige gegevens, gecompromitteerd van één klant.‘ Dat blijkt de gemeente Amersfoort te zijn.
Volgens techsite Tweakers is Clop een ransomwarebende die bekend staat om het niet meer versleutelen van systemen, maar enkel nog met datadiefstal afperst. Een woordvoerder van Centric wijst op de officiële verklaring waarin het schrijft: ‘Onlangs hebben we geconstateerd dat er sprake was van een kwetsbaarheid op een van onze testsystemen, in de file-transfersoftware van de externe leverancier Cleo. Hierbij is een zeer beperkt aantal privacy gevoelige gegevens gecompromitteerd van één klant. De kwetsbaarheid heeft geen impact op andere systemen of onze dienstverlening. Uiteraard hebben we maatregelen genomen om herhaling te voorkomen.’
Tweakers meldt dat de Clop-ransomwarebende eind vorige maand begon met het afpersen van bedrijven nadat het via de file-transfersoftware Cleo gegevens had gestolen. Het is niet zeker of Centric destijds al tot deze groep slachtoffers behoorde, maar dat lijkt wel aannemelijk, aldus de techsite. Het Amerikaanse Cleo, opgericht in 1976, is een oudgediende in de it-markt die zich specialiseerde in middleware, data communications en file-transfersoftware.
[Update]
Centric heeft zijn verklaring inmiddels wat uitgebreid met het volgende statement: ‘Het merendeel van de data betreft testdata en data die nodig is om de Cleo VLTrader software te draaien. Forensisch onderzoek door onafhankelijke externe specialisten heeft vastgesteld dat er geen andere systemen, zoals productiesystemen, zijn getroffen en dat er geen sprake is van ransomware. Ook is vastgesteld dat het alleen om deze set aan testdata gaat waaruit geen verdere persoonsgebonden gegevens te herleiden zijn. Uiteraard hebben we direct na indicatie van het potentiele gevaar extra maatregelen genomen om herhaling te voorkomen.’
Die klant, waar het bij het Centric-lek om gaat, is Amersfoort, al wordt in een brief van B&W alleen gesproken van een ‘voormalige leverancier van het belastingsysteem’. Verder staat er onder meer: ‘Het gaat om een cyberaanval, waarbij kwaadwillenden misbruik maakten van een zwakke plek in de software. In het systeem zaten persoonsgegevens van 24 (voormalige) inwoners. Inmiddels hebben wij de betrokken gegevens gecontroleerd op huidige woonplaats en of de betrokkenen nog in leven zijn. Uiteindelijk gaat het om dertien inwoners van Amersfoort en zeven voormalig inwoners, vier inwoners zijn inmiddels overleden. Wij stuurden hen een brief met informatie over dit beveiligingsincident. De leverancier nam direct maatregelen om herhaling te voorkomen. De ontvreemde gegevens betreffen naam, geslacht, burgerservicenummer, geboortedatum en de relatie tot het WOZ-object (bijvoorbeeld ‘eigenaar’ of ‘gebruiker’). Er zijn geen adresgegevens gelekt.’ Een zegsvrouw van de gemeente heeft inmiddels laten weten dat het inderdaad om Centric gaat.
De gemeente heeft een melding gedaan bij de Autoriteit Persoonsgegevens. Het is de tweede keer in korte tijd dat de Keistad te maken krijgt met een datalek via een leverancier. Afgelopen najaar zorgde een hack bij JCC Software, een aanbieder van digitale afsprakensystemen, ervoor dat persoonsgegevens van duizenden burgers op straat kwamen te liggen.
Dus bij Centric gebruiken ze ook (ongevraagd) klantgegevens binnen de testsystemen die over het algemeen minder goed beveiligd zijn dan de productiesystemen. Verklaring over een zeer beperkt aantal privacy gevoelige gegevens is de gebruikelijke ‘damage control’ welke vergeet dat als je met de neus op de feiten gedrukt wordt van een datalek je niet constateert dat er sprake is van een kwetsbaarheid. Eén gecomprimeerde klant kunnen er dus meer zijn als er meer informatie verschijnt op de website van Clop.
Het gebeuren van filetransfers is weerbarstig.
Je kunt niet de productiesystemen gebruiken voor testen van de techniek maar je moet de productieverbinding met alles er op en aan wel kunnen testen. Het is een tegenspraak waar overwogen mee omgegaan moet worden.
Hier past geen absoluut dogma van “testen in productie mag niet”.
Het zijn dat soort dogma’s dat meer kwaad doet voor cybersecurity dan dat er iets verbeterd wordt
In de basis betekende het Oudgriekse δόγμα, dógma “wat juist schijnt” en kon een mening, principe, decreet, verordening of wet aanduiden.
Dit is niet alleen relevant omdat ik hierdoor een beetje intellectueel lijk, maar ook vanwege de privacywetgeving.Basisprincipes als doelbinding enzo. In ieder geval deed Centric niet zo zijn best mbt anonimiseren.
Pleit je voor een variant van “om u nog beter van dienst te kunen zijn”..
Om uw gegevens nog beter te beveiligen hebben we de hele zooi naar onze testomgeving gepleurd.
En de 3-2-1-ransomware oplossing, waarbij een of andere hackersbende ook nog een remote copie heeft 🙂
Van Griekse mythologie naar een christelijk-filosofische evolutie is context nogal veranderd waardoor er een negatieve connotatie kleeft aan het woord dogma. Van vastgestelde overtuiging naar cognitieve dissonantie van een onwrikbaar geloof slaat woordvoerder van Centric de plank mis. Want anonimiseren van testdata is zoals Dino zegt een verplichting en het nalaten ervan is niet zonder consequenties.
Het gebeuren van filetransfers is niet weerbarstig maar het poetsen van data want het vingerwijzen van de gemeente Amersfoort is even geloofwaardig als de Veel Vergeten Data burgemeester van Hof van Twente. Ik ben niet intellectueel maar wel handig in een datasynthese waardoor ik een leugen graag aan het kruis spijker. Want eigenaar of gebruiker van een WOZ-object gaat om de huisjesmelker zoals een prins van oranje of de hypotheek van een bewoner. De context in ongestructureerde data vraagt een unieke sleutel zoals een BSN als spijkers voor het kruis.