De juiste omgang met defacements

Afgelopen week was er enige ophef want een aantal servers van hosters in het land was met succes aangevallen. Er zouden duizenden websites zijn aangepast. Defacement dus. Vanwege de boodschap en de timing sprong zowaar de gewone pers bovenop het verschijnsel.

Defacements zijn geen nieuw verschijnsel, uniek aan de succesvolle aanval was zo te zien ook helemaal niets. Wie al een tijdje meedraait in de sector weet dat je voor de eerste vergelijkbare cases (die overigens toen nog geen naam hadden) rustig meer dan 15 jaar terug in de tijd kunt gaan. Enig verschil is dat de boodschap die toen zichtbaar was anders luidde.

Inmiddels weten de meeste shared hosting aanbieders (daar komt dit eerder voor om voor de hand liggende redenen) wel dat de wachtwoorden op server niveau meer aandacht verdienen en patches vooral asap moeten worden toegepast. Dat de klant zelf op oude, lekke WordPress installaties en plug-ins vertrouwt is in de regel zijn verantwoordelijkheid en is nadrukkelijk niet het onderwerp van dit artikel.

In het geval van de defacement actie van vorige week leek het probleem te liggen bij de hosters, niet bij de klanten. Dit jaar zijn ook in de buurlanden de nodige vergelijkbare incidenten al aan de orde geweest. In de regel lijken de reacties van hosters in Europa trouwens wel erg op elkaar. Als eerste de gaten dichten, dan de boel terugzetten (waar mogelijk) en tenslotte een mail naar de betroffen klanten en een gelijke melding op de homepage. Drie stappen die de hoster neemt om de boel weer onder controle te krijgen.

Omdat dit vaker voorkomt kwam de vraag op of dit ook wel voldoende is. Moet je als hoster waar dit is voorgevallen niet meer stappen ondernemen? Moet je je niet zorgen maken om meldplicht datalekken bijvoorbeeld of is dat een ander verhaal en kun je volstaan met dit 3 stappen draaiboek?

Deze vragen zijn voorgelegd aan Arnoud Engelfriet en Wouter Dammers. Om te beginnen speelt hier de meldplicht? Arnoud gaf als antwoord: “Er is geen wettelijke meldplicht van defacements naar klanten toe. Dat geldt immers alleen bij datalekken met persoonsgegevens, en een defacement is dat gewoonlijk niet.” Wouter onderschreef dat, we hebben dat dus helder.

Dan het informeren van de klanten. Hier had Wouter een flink uitgebreid antwoord : “In het kader van de zorgplicht van de hostingprovider (en opdrachtovereenkomst) is het informeren van de klant over wat er is gebeurd, of dit een effect heeft gehad op zijn privacy en/of die van bezoekers, en welke maatregelen er worden getroffen om risico’s te beperken en in de toekomst te zoveel mogelijk te voorkomen wel aan te raden.” Arnoud merkte nog op over het informeren van de klanten: “Algemene voorwaarden vermelden ook gewoonlijk een dergelijke constructie (bij abuse maatregelen nemen en klant informeren).”

Het lijkt er dus inderdaad op dat de breed toegepaste 3 stappen voldoende zijn om als hosters correct te reageren op dit vervelende verschijnsel.