De Verenigde Naties zijn vorige zomer gehackt geweest, maar hebben het personeel hierover niet op de hoogte gebracht. Zo blijkt uit een rapport dat The New Humanitarian (TNH) in handen kreeg van een werknemer.
Wat is er gebeurd?
Tientallen VN-servers zijn in juli 2019 ten prooi gevallen aan een grootschalige hack. Zo blijkt uit het rapport dat The New Humanitarian toegestuurd kreeg, en werd door de VN bevestigd. ‘De aanval resulteerde in aangetaste componenten van onze hoofdinfrastructuur’, zei VN-woordvoerder Stéphane Dujarric aan TNH.
Dujarric omschreef de aanval als ‘serieus’. Serieuzer nog dan de cyberaanval in 2016 toen hackers inzage kregen in de gegevens van 2.000 personeelsleden aan de Internationale Burgerluchtvaartorganisatie van de VN in Montreal. Waarschijnlijk zat Emissary Panda achter die aanval, een hackersgroep die aan de Chinese regering gelinkt wordt.
Wat is de schade?
Wat de hackers deze keer konden bemachtigen, is niet duidelijk. De VN geven toe dat ze aan de haal zouden kunnen zijn met lijsten van gebruikersaccounts, maar het rapport maakt ook melding van interne documenten en databanken, e-mails, commerciële informatie en persoonsgegevens.
Belangrijke IT-infrastructuur zoals het HR-systeem van de VN en hun antivirusprogramma zouden ook besmet kunnen zijn. De hackers verkregen alleszins toegang tot de servers van de VN-kantoren in Wenen en Genève, en die van het hoofdkwartier van het Hoog Commissariaat voor de Mensenrechten, eveneens in Genève.
De klokkenluider schat dat de hackers 400 GB aan data hebben buitgemaakt. De woordvoerder van de VN wil dat niet bevestigen.
Zijn de VN hun boekje te buiten gegaan door de aanval niet te rapporteren?
‘Omdat we de schaal en precieze aard van het incident niet konden bepalen, hebben we beslist om het veiligheidslek niet openbaar te maken’, klinkt het bij de VN. De internationale organisatie had haar werknemers na de hack gevraagd om hun wachtwoord te veranderen, maar niet geïnformeerd over het lek.
Een Europese of Amerikaanse organisatie is doorgaans verplicht om het personeel in te lichten als er een lek is geweest, maar door de diplomatieke status van de VN geldt die verplichting niet. Juridisch gezien zit het dus snor, maar qua schandaal kan het wel tellen. Daarenboven roept het incident vragen op over de beveiliging van de internationale organisatie die toch wel over gevoelige informatie moet waken.