Explosieve toename hacks en datadiefstal

Recensies8 maart 2021

De Autoriteit Persoonsgegevens (AP) meet een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van vorig jaar. Datadiefstal is vaak te voorkomen door een betere beveiliging. Dat blijkt uit de ‘Rapportage Datalekken 2020’ dat de AP recent naar de Tweede Kamer heeft gestuurd.

Is het toeval dat instanties als de GGD, UWV, de Belastingdienst, Nationale Politie, gemeentes etc. doelwit zijn van geraffineerde internetcriminelen? Vast niet. Steeds vaker krijgt de AP meldingen van hacking, phishing of malware. Dat persoonsgegevens steeds vaker het doelwit zijn van criminelen is zeer verontrustend. Want door diefstal van deze persoonlijke informatie kunnen mensen veel schade ondervinden. Bijvoorbeeld als criminelen de persoonsgegevens gebruiken voor identiteitsfraude of oplichting. Dergelijke oplichting kan mensen jarenlang achtervolgen en de schade kan behoorlijk in de papieren lopen.

Geraffineerd
Criminelen gaan zeer geraffineerd te werk. Ze hebben vooral organisaties die veel persoonsgegevens verwerken in het vizier. Steeds vaker is daar een datalek ontstaan doordat criminele hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan. De criminelen gebruiken deze tijd om het netwerk van de organisatie te verkennen en in kaart te brengen. Ze proberen om meer bevoegdheden te krijgen in het netwerk, bijvoorbeeld door ‘systeembeheerders-rechten’ te verwerven, waarna persoonsgegevens gestolen worden of er een ransomware-aanval wordt uitgevoerd.

In 2020 ontving de AP maar liefst 1.173 meldingen van dergelijke datalekken, waarbij hacking, malware of phishing werd ingezet om persoonsgegevens te stelen. Dit is een stijging van 30% ten opzichte van 2019. Opnieuw een stijging, want in 2019 waren dit soort meldingen ook al met 25% toegenomen. Zal de stijging deels ook niet te maken kunnen hebben met het feit dat we allemaal (grotendeels) vanuit huis moesten werken en daarvandaan dus contact met de thuisbasis (het bedrijf) moesten zoeken? Dat brengt tenslotte weer risico’s met zich mee.

Identiteitsfraude
Aleid Wolfsen, Voorzitter AP: ‘Veel mensen worden persoonlijk getroffen wanneer criminelen erin slagen hun persoonsgegevens te stelen. Criminelen gebruiken de gestolen gegevens namelijk voor identiteitsfraude en om spam- en phishing-aanvallen uit te voeren. De schade van dergelijke oplichting kan zodanig oplopen, dat mensen echt in problemen komen en al hun spaargeld kwijtraken.’

Naar schatting zijn er in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waar slechts één stap nodig was om in te loggen. Vaak zijn complete systemen beveiligd met slechts één wachtwoord. Vooral bij datalekken door hacking, malware of phishing had ‘meerfactorauthenticatie’ de schade vaak kunnen beperken of voorkomen. Bij meerfactorauthenticatie moet een persoon of systeem op minimaal twee verschillende soorten inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord én met een code die je per sms ontvangt.
 
Wolfsen: ‘Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging.’

‘Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.’

Behalve de explosieve groei van het aantal datadiefstallen bij datalekken, is het totaal aantal datalekmeldingen (24.000) gedaald ten opzichte van 2019 (27.000). Dit aantal bestaat vooral uit incidenten zonder kwade opzet. De daling (11%) komt doordat onder meer incassobureaus hun werkwijze hebben verbeterd, waardoor er minder betalingsherinneringen bij verkeerde ontvangers terechtkomen. Door tekort aan personeel en budget bij de AP krijgen datalekken te weinig opvolging: van de 27.000 datalekken in 2019 leidt maar 0,3% tot onderzoek.

Ook dat geeft wel weer te denken… Dé aangewezen instantie die eerst en vooral duidelijkheid moet scheppen in de ernst van de situatie, inzicht moet geven in waar de grootste problemen uit voortkomen en moet handhaven krijgt te weinig budget en heeft te weinig mensen beschikbaar.

 

Lees ook

Recensies18 februari 2021 Zou de GGD de enige zijn…? (Column) Heel Holland loopt te hoop. De GGD is een club criminelen die al jouw (medische en persoonlijke) gegevens aan de hoogst biedende verkoopt. Dat was zo ongeveer de teneur na het ‘missertje’ van de GGD afgelopen periode. Tja, hoge bomen… Door Zou de GGD de enige zijn…?