Een datalek in het EPMM-systeem van softwareleverancier Ivanti trof onlangs diverse overheidsorganisaties waaronder toezichthouder AP. Wat betekent het lek voor de aansprakelijkheid van partijen in de keten?
Tekst: Ton Verheijen Beeld: Shutterstock
Aanvallers wisten begin dit jaar misbruik te maken van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), dat wordt gebruikt voor het beheer van mobiele apparaten, apps en content, inclusief de beveiliging hiervan. Bij de Autoriteit Persoonsgegevens kregen onbevoegden toegang tot werkgerelateerde gegevens van medewerkers zoals naam, zakelijk e-mailadres en telefoonnummer.
De Kamerbrief die Eric van der Burg, staatssecretaris van Justitie en Veiligheid, op 27 februari over de Ivanti-zaak naar de Tweede Kamer stuurde, legt de vinger op de zere plek. Van der Burg had laten inventariseren welke overheidsorganisaties getroffen zijn door kwetsbaarheden in het systeem van Ivanti. Hij noemde tien organisaties: zijn eigen Ministerie van Justitie en Veiligheid, de Autoriteit Persoonsgegevens (AP), Dienst Justitiële Inrichtingen (DJI), Dienst Terugkeer en Vertrek, Justitiële ICT Organisatie, Raad voor de Rechtspraak, Ministerie van Volksgezondheid, Welzijn en Sport, College ter Beoordeling van Geneesmiddelen en een gemeente waarvan de naam niet werd genoemd.
Van der Burg ging in zijn brief specifieker in op de situatie bij DJI: ‘Ten aanzien van DJI kan ik melden dat werkgerelateerde gegevens van medewerkers, zoals naam, zakelijk e-mailadres, telefoonnummer en locatiegegevens, zijn ingezien door onbevoegden. Nadat het incident is ontdekt, zijn direct maatregelen getroffen. Daarnaast zijn de medewerkers van DJI op de hoogte gebracht en voorzien van een handelingskader.’ Dat laatste kan nauwelijks een geruststelling zijn voor de betrokkenen want een ‘handelingskader’ betekent nog niet dat ze zijn toegerust met effectieve maatregelen. Hoe dan ook: het Nationaal Cyber Security Centrum (NCSC) riep ook andere organisaties die de bewuste software gebruiken op om contact op te nemen.Â
Controlfreakerig
Ivanti is een Amerikaans producent van software voor onder andere it-beveiliging, servicemanagement, assetmanagement en supply chain management. Het betreffende EPPM-systeem is een platform waarmee klanten alle apparaten die ze in beheer hebben kunnen managen. Denk aan telefoons, laptops, tablets, et cetera. Op afstand kunnen deze apparaten geüpdatet en gewist worden.Â
‘Worden we nu eigenlijk wel veiliger door dit soort controlfreakerige securityoplossingen die heel diep in je OS en devices geïntegreerd zijn?’
Een datalek in zo’n systeem is uitermate compromitterend. Het geeft hackers de tools in handen voor het uitvoeren van iets wat lijkt op een ‘openhartoperatie’. Medewerkers worden direct persoonlijk getroffen. De ethische vraag is of we die kant op moeten willen met cybersecurity. Op Tweakers ontstond daarover een felle discussie. Iemand schreef: ‘Worden we nu eigenlijk wel veiliger door dit soort controlfreakerige securityoplossingen die heel diep in je OS en devices geïntegreerd zijn en alle toegang centraliseren? Je probeert een probleem op te lossen, maar je krijgt er andere problemen voor terug.’
DJI lijkt de partij met de meeste schade. Het VPRO-radioprogramma Argos meldde dat indringers ‘zeker vijf maanden’ toegang hadden tot de systemen en ongeautoriseerd gegevens van medewerkers konden inzien, zoals e-mailadressen, telefoonnummers en beveiligingscertificaten. Ze konden zelfs mobiele apparaten op afstand beheren. (Op 14 maart werd bekend dat de aanvallers via een kwetsbaarheid in Citrix-software bij de Justitiële ICT Organisatie waren binnengekomen. Door een fout in de interne firewall konden zij mogelijk verder doordringen in de systemen van DJI.)Â
Ketenaansprakelijkheid
Juridisch is deze zaak interessant in het kader van ketenaansprakelijkheid. Computable liet zich bijpraten door advocaat Martijn Poulus van The Data Lawyers. Poulus houdt zich bezig met privacyrecht, it-recht en alles wat verder met technologie te maken heeft, inclusief datalekken en cybersecurity. Hij procedeert regelmatig over kwesties rond ketenaansprakelijkheid bij de rechter. Poulus was niet betrokken bij de Ivanti-zaak maar is bekend met de problematiek en is bereid de verantwoordelijkheden in de keten toe te lichten.Â
In zijn algemeenheid moeten partijen, zo stelt Poulus, op basis van de Algemene verordening gegevensbescherming (AVG) een overeenkomst sluiten waarin afspraken worden gemaakt over beveiliging. Poulus licht toe: ‘De wetgeving schrijft voor dat je afspraken moet maken zodra je een partij inschakelt die persoonsgegevens voor je verwerkt, de zogenaamde verwerkersovereenkomst. Daarin maken partijen afspraken over verwerking, beveiliging, geheimhouding, auditrechten en bijstand bij incidenten. In praktijk bevat zo’n overeenkomst vrijwel altijd aanvullende afspraken, bijvoorbeeld over aansprakelijkheid en verdeling van financiële risico’s. Zoals: wie betaalt als de AP een boete oplegt?’
‘Wie is de schuldige? Dat is altijd weer de vraag. De gedupeerden zijn geneigd zich ‘met hooivorken’ te melden bij Ivanti’
Niet ieder datalek betekent automatisch: verwijtbare schending van de AVG. Doorslaggevend is onder meer of er technische en organisatorische maatregelen waren getroffen en hoe partijen hun verantwoordelijkheden contractueel en operationeel hebben ingericht. Poulus: ‘In deze zaak gelden de genoemde overheidspartijen in principe als verantwoordelijk voor de verwerking van de persoonsgegevens van hun werknemers. Het door hen inschakelen van Ivanti betekent dat Ivanti in opdracht persoonsgegevens verwerkt. Dat er een data-incident heeft plaatsgevonden, doet vermoeden dat er iets mis is gegaan met de beveiliging bij Ivanti. Bijvoorbeeld dat er een poort is opengezet of updates niet zijn uitgevoerd. Maar dat de beveiliging niet voldoende is geweest, betekent niet automatisch AVG-schending. Ook bij het Odido-datalek, waarvan miljoenen mensen slachtoffer zijn geworden, is het nog maar de vraag of Odido de AVG heeft geschonden en waar de geleden schade kan worden verhaald.’
Incidentenbeleid
Wie is de schuldige? Dat is altijd weer de vraag. De gedupeerden (lees: medewerkers van de betreffende overheidsorganisaties) zijn geneigd zich ‘met hooivorken’ te melden bij Ivanti, de partij die hen dit heeft aangedaan. Maar zo simpel aanwijsbaar is het niet. Poulus: ‘Volgens de AVG kunnen betrokkenen zich uitsluitend melden bij de verwerkingsverantwoordelijke, hun werkgever. Dat is de partij die helemaal boven in de keten staat.’
Dan nog een advies. Poulus: ‘Ik zie in de praktijk twee typen organisaties, namelijk die met een incidentenbeleid inclusief stappenplan en organisaties die zo’n beleid niet hebben. De eerste groep volgt bij een hack meteen het stappenplan en neemt contact op met hun jurist en technische dienstverlener. Bij de tweede groep breekt vaak blinde paniek uit, met e-mails midden in de nacht et cetera. Wij adviseren onze cliënten altijd hun incidentenbeleid klaar te hebben voor als ze getroffen worden. Door de ontwikkeling van technologie horen datalekken er anno 2026 helaas gewoon bij. Het is een kwestie van tijd voordat je aan de beurt bent.’
Op 20 en 21 mei komen Europese cybersecurity-leiders en specialisten samen op Cybersec Europe in Brussel. Kijk voor het programma en details op cyberseceurope.com
