Organisaties onvoldoende weerbaar tegen ransomware

Organisaties zijn onvoldoende weerbaar tegen ransomware door gebrekkige beveiliging, blijkt uit de eerste ransomware-rapportage van de Autoriteit Persoonsgegevens (AP). In 2023 zijn er 178 unieke geslaagde aanvallen gemeld. Omdat één aanval vaak meerdere organisaties tegelijk treft, loopt het totale aantal getroffen organisaties tot in de vele honderden. Persoonlijke gegevens van miljoenen mensen in Nederland werden geraakt. Uit het onderzoek blijkt dat bij twee op de drie getroffen organisaties de basisbeveiliging niet op orde was.

Miljoenen gegevens

Bij een ransomware-aanval breken hackers digitaal in bij een organisatie. Met speciale software ‘gijzelen’ ze bestanden vol privacygevoelige gegevens. De hackers eisen losgeld (ransom) om de bestanden weer toegankelijk te maken. Ook kunnen ze dreigen om de versleutelde data aan andere criminelen te verkopen of zelfs openbaar te maken. De AP ziet dat cybercriminelen hun pijlen soms richten op één specifiek bedrijf in een bepaalde sector. Maar ook dat ze regelmatig IT-leveranciers aanvallen die gegevens beheren namens een hele reeks bedrijven uit allerlei sectoren. Slaagt zo’n aanval, dan raken de hackers dus in een klap tal van organisaties. Bij één specifieke ransomware-hack werden vorig jaar in een keer zelfs meer dan 200 organisaties tegelijkertijd getroffen, met gegevens van in totaal maar liefst 2,5 miljoen mensen in Nederland.

"Gebrekkige beveiliging maakte twee op de drie getroffen organisaties kwetsbaar"

Verdere inzichten

Voor de ransomware-rapportage heeft de AP getroffen organisaties gevraagd om mee te werken aan verder onderzoek. In totaal zijn er 90 organisaties onderzocht. Bij de betreffende ransomware-aanvallen ging het bij elkaar opgeteld om datasets met vele miljoenen stukjes persoonlijke informatie, variërend van e-mails en telefoonnummers tot paspoortkopieën, bankrekeningnummers en wachtwoorden.

Andere conclusies  

De meeste organisaties hadden de basisbeveiliging van hun systemen niet op orde, waardoor de hackers hun slag konden slaan. Het gaat vooral om het ontbreken van multifactorauthenticatie, slecht wachtwoordbeleid en het niet tijdig updaten van software.

Ook worden gevoelige gegevens nog regelmatig op 1 server bewaard in plaats van op verschillende van elkaar gescheiden netwerken. Dit maakt organisaties kwetsbaar voor cyberaanvallen.

Er is een trend van ‘dubbele afpersing’ bij ransomware. Hackers maken niet alleen gegevens onbereikbaar door die te vergrendelen, ze dreigen ook steeds vaker om de gegevens te verkopen of te publiceren als er niet snel wordt betaald. Bijna de helft van de organisaties gaf aan deze dubbele afpersing te hebben meegemaakt.

Verreweg de meeste organisaties (82 van de 90) verklaren geen losgeld te hebben betaald aan hackers. 

Betaal geen losgeld

Als je besmet bent met ransomware, adviseert het Digital Trust Center (DTC) om geen losgeld te betalen. Het biedt geen garantie dat je je gegevens (in onveranderde staat) terugkrijgt. Daarnaast bestaat het risico dat je na betaling een tweede keer wordt afgeperst. En dit kan oplopen tot 4-voudige afpersing. Een andere belangrijke reden om geen losgeld te betalen, is dat je door te betalen deze criminele activiteiten in stand houdt. 

Direct aan de slag: nu met subsidie!

Wil je direct aan de slag met de basisbeveiliging van jouw organisatie? Mogelijk kom je in aanmerking voor subsidie! De subsidieregeling ‘Mijn Cyberweerbare Zaak’ is er speciaal om organisaties te helpen met het zetten van de eerste stappen richting digitale weerbaarheid. Denk bijvoorbeeld aan: een wachtwoordmanager, multifactorauthenticatie of het instellen van back-ups. Kijk op de website hoe jij in 3 stappen subsidie kunt aanvragen voor jouw organisatie!

Mijn Cyberweerbare Zaak-subsidie