Waarom Odido wél losgeld had moeten betalen

In dit artikel:

Afgelopen week publiceerde hackersgroep ShinyHunters gegevens van meer dan 6 miljoen Nederlanders. Telecombedrijf Odido kreeg naar eigen zeggen een losgeldvraag van ongeveer een half miljoen euro, maar besloot na overleg met overheden en cybersecurity-experts het bedrag niet te voldoen. Als gevolg daarvan zijn klanten — waaronder de columnist — nu de dupe van de datalek.

De oorzaak lag niet alleen bij de aanvallers: volgens het stuk maakte een medewerker via een succesvolle phishingaanval inloggegevens toegankelijk, waarna ShinyHunters kon inloggen en klantbestanden downloaden. De auteur, die iets meer dan een jaar bij een groot cybersecuritybedrijf werkte, stelt dat dat zowel de echte daders (de hackers) als Odido zelf een verwijt treft vanwege zwakke plekken in de bedrijfsbeveiliging en menselijke fouten.

De columnist betoogt dat Odido wél had moeten overwegen te betalen, ondanks dat betalen geen garanties biedt dat gegevens worden gewist of dat identiteiten niet worden misbruikt. Het dilemma staat centraal: weigeren kan criminelen niet belonen en past bij advies van autoriteiten, maar legt de directe schade bij klanten. De zaak roept ook vragen op over verantwoordelijkheid, transparantie naar getroffen klanten en de rol van organisaties om medewerkers beter te trainen en systemen robuuster te beveiligen. Daarnaast speelt de juridische en reputatiekant mee: bedrijven hebben onder regelgeving zoals de AVG plichten tegenover klanten én risico’s bij openbaarmaking van grootschalige datalekken.