Waarom de recente gegevensinbreuk bij Volkswagen bewijst dat NIS2 nodig is 

Het datalek bij Volkswagen-dochter Cariad bezorgde zowel het bedrijf als haar klanten kopzorgen. Maar dat het kon gebeuren toont ook de noodzaak aan richtlijnen zoals NIS2, stelt Marcel Lücht, principal consultant bij Kazarma Consulting. 

Eind 2024 was niet het moment voor de mensen bij Volkswagen om achterover te leunen en te ontspannen. Ten eerste omdat Europa’s grootste speler in de auto-industrie worstelt om vooruitgang te boeken bij het ontwikkelen van een EV-strategie en tegelijkertijd winstgevend te blijven. De verkoopcijfers voor het derde kwartaal, die eind oktober werden gepubliceerd, lieten een daling zien in omzet, inkomsten en winst en, wat nog zorgwekkender is, de nettoliquiditeit stond op 160 miljard negatief. 

Maar dat was zeker niet het belangrijkste discussiepunt op topmanagementniveau bij Volkswagen AG. Ze waren waarschijnlijk meer bezorgd over een andere donkere wolk die zich de afgelopen dagen heeft opgestapeld: een groot beveiligingslek van hun klantgegevens bij hun softwaredochterbedrijf Cariad. 

Auto’s zijn de afgelopen jaren steeds meer met elkaar verbonden geraakt. En met de opkomst van batterij-elektrische voertuigen verzenden veel auto’s voortdurend gegevens om de bestuurder functionaliteit en gebruiksgemak te bieden. Denk bijvoorbeeld aan de beschikbaarheid van oplaadmogelijkheden, het klaarzetten van de accu voor snelladen, het voorverwarmen van je auto via een app etc. Op zich allemaal logische toepassingen.  

Het lukraak beschermen van beveiligingssleutels doet het hele proces van versleuteling teniet.

Hoewel er in het verleden veel rapporten zijn opgedoken over auto’s die veel meer informatie opslaan en delen dan strikt noodzakelijk is voor de functionaliteit. Een onderzoek uit 2023 door de Mozilla Foundation onthulde dat moderne auto’s een ‘privacy-nachtmerrie’ zijn, met 25 automerken die meer gegevens verzamelen dan nodig en 76% van hen gaf toe dat deze gegevens mogelijk worden doorverkocht. 

Dus wat is er gebeurd? Voor zover we nu weten, werden gedurende een lange periode (blijkbaar na een fout van een softwareontwikkelaar afgelopen zomer) alle gegevens die Cariad verzamelde over voertuigen van de Volkswagen Group, zoals Volkswagen, Seat, Audi en Skoda, opgeslagen in een onbeveiligde, voor het publiek toegankelijke AWS-database. 

Deze gegevens omvatten alle precieze GPS-locaties van de auto wanneer de motor was uitgeschakeld. Het Duitse tijdschrift Der Spiegel nam het voorbeeld van een Duitse politica Nadja Weippert, die ironisch genoeg niet alleen de eigenaar is van een Volkswagen ID.3 maar ook voor de Groene partij in haar Landestag de woordvoerder is met betrekking tot Dataprivacy. De gegevens onthulden haar huisadres, maar ook haar favoriete bakkerij en sportclubs waar ze naartoe ging, inclusief de exacte tijden. En natuurlijk niet alleen voor Nadia, maar voor eigenaren van zo’n 800.000 EV-voertuigen in veel Europese landen. 

NIS2 en hoe dit Volkswagen zou beïnvloeden 

Voor degenen die werkzaam zijn in de cyberbeveiliging is de NIS-richtlijn, die staat voor Netwerk- en Informatiebeveiliging, geen nieuws. De eerste implementatie dateert uit 2016 en was bedoeld om de cyberveiligheid in de Europese Economische Ruimte te verbeteren, waaraan cruciale entiteiten moesten voldoen. 

De implementatie werd als minder dan een succes beschouwd, voornamelijk omdat er een gebrek aan gemeenschappelijk begrip was over de bedreigingen en uitdagingen. Een ander probleem was het gebrek aan handhaving, waardoor sommige organisaties de richtlijn minder aandacht gaven dan nodig was. 

Om deze uitdagingen het hoofd te bieden, ging de EU aan de slag met een nieuwere implementatie van de richtlijn voor netwerk- en informatiebeveiliging. Deze richtlijn kreeg de naam NIS2 en bevatte belangrijke verschillen met zijn voorganger. De groep organisaties die zich aan de richtlijn moesten houden, werd aanzienlijk uitgebreid, niet alleen wat betreft hun activiteiten, maar ook wat betreft hun omvang, waarbij de drempel werd gelegd op 50 werknemers of meer of een omzet van 10 miljoen of meer. 

Deze drempels betekenen in feite dat de meeste grotere organisaties in de genoemde sectoren moeten voldoen aan NIS2. Er zijn ook strengere manieren om naleving af te dwingen. De laatste probeerde het gebrek aan implementatie aan te pakken door hoge boetes op te leggen en zelfs bestuursleden aansprakelijk te stellen in geval van (herhaalde) niet-naleving. 

De NIS2-richtlijn werd gepubliceerd in december 2022 en de nationale overheden moesten deze voor 18 oktober 2024 implementeren in hun eigen wetgeving. Slechts weinig landen slaagden hierin, België als een van de weinige landen. 

NIS1 was niet van toepassing op Volkswagen, maar onder NIS2 bestaat er geen twijfel over dat ze eraan moeten voldoen. Productie-organisaties vallen nu immers onder het toepassingsgebied en Volkswagen AG valt onder deze categorie. 

De vraag is echter of de simpele fout van een werknemer om de database publiek toegankelijk te maken de enige oorzaak is van deze inbreuk. NIS2 noemt versleuteling immers ook specifiek als een van de beveiligingen, en het is duidelijk dat de database in kwestie ofwel niet versleuteld was of dat de beveiliging hieromheen onvoldoende was. We hebben Volkswagen en Cariad gevraagd dit te bevestigen en zij gaven de volgende verklaring: ‘Die Daten waren verschlüsselt, aber die Schlüssel wurden erlangt’ (De gegevens waren versleuteld, maar de encryptiesleutels werden verkregen). 

Deze uitspraak opent een doos van Pandora met betrekking tot best practices op het gebied van beveiliging. Het lukraak beschermen van beveiligingssleutels doet het hele proces van versleuteling teniet. Het geeft een vals gevoel van veiligheid. Blijkbaar waren de beveiligingssleutels niet opgeslagen in een hardwarebeveiligingsmodule of een geharde virtuele appliance en was het beheer van cryptografische bronnen niet of onvoldoende geïmplementeerd. 

Cariad gaf een lange verklaring uit over het datalek en benadrukt dat de gegevens niet direct gerelateerd konden worden aan individuele klanten. Voor CCC Germany, die de gegevens bemachtigde, was het echter blijkbaar niet al te moeilijk om (na expliciete toestemming van individuen) elementen te recombineren om een gedetailleerd beeld te krijgen dat men niet in verkeerde handen wil laten vallen. En dit is precies de reden waarom de NIS2 richtlijn werd uitgevaardigd.