Toegang datalek RDC niet te traceren

In opdracht van het RDC heeft cybersecurityexpert Fox-IT forensisch onderzoek gedaan naar de toedracht van het cyberincident van 24 maart waarbij persoonsgegevens te koop werden aangeboden die mogelijk van het RDC afkomstig waren. Belangrijkste conclusie is dat niet kan worden vastgesteld op welke manier toegang is verkregen tot de data.

Op woensdag 24 maart vernam het RDC van de NOS dat er op internet voertuig- en persoonsgegevens te koop werden aangeboden die mogelijkerwijs afkomstig zouden zijn van RDC. Uit het onderzoek dat direct werd opgestart, bleek dat de gegevens inderdaad tot de tool CaRe-Mail van RDC te herleiden waren.

RDC heeft direct de cybersecurityexperts van Fox-IT in huis gehaald om samen een forensisch onderzoek te doen naar de toedracht van het cyberincident. Fox-IT heeft inmiddels hun onderzoek afgerond en de resultaten met het RDC gedeeld.

Belangrijkste conclusie is dat op basis van het forensisch onderzoek dat Fox-IT gedaan heeft niet kan worden vastgesteld op welke manier toegang is verkregen tot de data. Reden daarvoor is onder andere dat de retentie van de verschillende logs ontoereikend was.

Uit de penetratietest en het forensisch onderzoek van Fox-IT kwamen wel verschillende aanbevelingen naar voren om de RDC-omgeving nog beter te beveiligen. Samen met Fox-IT heeft het RDC direct ‘verhoogde dijkbewaking’ ingevoerd. Zo hebben zij de CaRe-Mail-omgeving nog veel verder beveiligd dan al het geval was om zo veel mogelijk veiligheidsrisico’s te mitigeren. Ook wordt de omgeving nauwlettend gemonitord.

De CaRe-Mail-omgeving had en heeft een veiligheidsniveau dat passend is. Dit conform de overeenkomst die met klanten is afgesloten. Er is echter nooit de garantie dat een omgeving 100% veilig is, zoals ook breed maatschappelijk bekend is.

Er is aangifte gedaan bij de politie en de klanten zijn zo goed mogelijk geïnformeerd en ondersteund. Er is hen geadviseerd melding te doen bij de Autoriteit Persoonsgegevens en het RDC daarbij ook geholpen. De autobedrijven zijn immers de eigenaar van de gegevens van hun klanten. RDC is de verwerker; zij handelen in opdracht van de autobedrijven.

Jan-Willem Gefken (directeur RDC): "De RDC-systemen en onze organisatie zijn de afgelopen periode echt beproefd. Nóg beter dan voorheen weten we nu hoe belangrijk het is dat data en onze omgevingen zo veilig mogelijk zijn. In sneltreinvaart is ons CaRe-Mail-systeem door de experts van Fox-IT binnenstebuiten gekeerd en zijn aanbevelingen gedaan die direct zijn opgepakt. Ook hebben we de rest van onze IT-omgeving nog steviger beveiligd. En daar zullen we mee door blijven gaan. Want als we één ding geleerd hebben in de afgelopen periode dan is het dat je wel kunt dénken dat je data en systemen veilig zijn, maar dat je dat nooit 100 procent zeker weet. Het is een maatschappelijke uitdaging om er samen voor te zorgen dat data veilig zijn en blijven bij bedrijven. We dragen ons steentje bij door de geleerde lessen met onze klanten te delen, zodat zij daar hun voordeel mee kunnen doen."