De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.
Cybercrime impact
Het Staring College dat getroffen is door een malware-aanval. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) die zijn werkzaamheden noodgedwongen moet stilleggen door een aanval van de hackers groep DoppelPaymer. De website van de Amsterdamse woningcorporatie Stadgenoot die is gehackt. De Dienst Uitvoering Onderwijs (DUO) die per ongeluk het BSN-nummer van 1.700 klanten lekt. Privégegevens van klanten van Blokker, Allekabels.nl en Viruswaarheid-aanhangers die op straat belanden. En het privacyschandaal bij de GGD, waarbij de persoonsgegevens van miljoenen Nederlanders werden verhandeld via kanalen als Telegram, Snapchat en Wickr. En dat zijn alleen nog maar enkele voorbeelden van beveiligingsincidenten en datalekken van de afgelopen twee maanden.
Autoriteit Persoonsgegevens
Afgelopen jaar ontving de Autoriteit Persoonsgegevens 1.173 meldingen van dit soort datalekken, een stijging van 30 procent in vergelijking met 2019. De toezichthouder vindt het verontrustend dat cybercriminelen steeds vaker hun zinnen zetten op het stelen van persoonsgegevens. Deze data kan worden gebruikt voor identiteitsfraude, spam- en spearphishing-aanvallen, WhatsApp-fraude of andere oplichtingspraktijken. Slachtoffers kunnen er jarenlang last van hebben, of al hun spaargeld kwijtraken. Door een tekort in personeel en budget komt de toezichthouder bij slechts een handjevol van dit soort meldingen in actie.
Cybercriminelen en hackers gaan steeds geraffineerder en professioneler te werk, waardoor het aantal slachtoffers alleen maar verder toeneemt. Ze richten hun pijlen al lang niet meer enkel op de grote, internationaal opererende multinationals. Ze kiezen er steeds vaker voor om bedrijven te hacken waarvan ze weten dat ze veel persoonsgegevens verwerken.
De cyberaanval fasen
- Verkenningsfase
De cyberaanval, ook wel 'Advanced Persistent Threat' (APT) genoemd, bestaat uit verschillende fases. Voordat hackers daadwerkelijk een bedrijfsnetwerk infiltreren, gaan ze op verkenning uit. Maandenlang bestuderen ze hun doelwit om zoveel mogelijk over hem te weten te komen, zowel over de digitale als fysieke omgeving. Deze fase noemen we de verkenningsfase en vindt maanden voordat ze daadwerkelijk tot de aanval overgaan plaats.
Als hackers eenmaal de organisatie die ze willen aanvallen goed hebben bestudeerd, dringen ze daadwerkelijk binnen. Dit doen ze door middel van phishing, social engineering en andere hack methoden. Het doel van de aanvallers is om zich zo definitief mogelijk op het netwerk van hun doelwit te vestigen, zonder dat ze daarbij betrapt worden.
- Laterale bewegingsfase
Na de indringingsfase volgt de laterale bewegingsfase. In dit stadium proberen hackers zoveel mogelijk controle te krijgen over de digitale omgeving van hun doelwit. Ze zoeken naar de ‘kroonjuwelen’ van de organisatie: persoonlijke of bedrijfsgevoelige gegevens. Via bestaande accounts proberen de daders toegang te krijgen tot data die normaliter ontoegankelijk voor hen is. Om dat voor elkaar te krijgen moeten ze zoveel mogelijk rechten zien te verkrijgen, het liefst zelfs admin-rechten. Deze fase noemen we de privilege-escalatiefase en vindt enkele dagen tot enkele weken voor de daadwerkelijke aanval plaats.
- Exfiltratiefase
Als hackers toegang hebben tot voor hen relevante informatie, dan vindt de daadwerkelijke cyberaanval plaats. In deze fase, ook wel de exfiltratiefase genoemd, proberen ze ongemerkt zoveel mogelijk data te stelen. Dit moment noemen beveiligingsexperts ‘dag nul’. Soms duurt het weken of maanden voordat de IT-medewerkers van de getroffen organisatie de digitale inbraak detecteren.
Een belangrijke maatregel
De Autoriteit Persoonsgegevens schat dat er in 2020 persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders. Een belangrijke oorzaak daarvan is slechte beveiliging. Complete systemen zijn vaak met slechts één wachtwoord beschermd. Door gebruik te maken van meer-factor-authenticatie had volgens de toezichthouder veel schade voorkomen kunnen worden. Daarbij heb je naast een gebruikersnaam en wachtwoord ook een inlogcode nodig. Deze code verandert continu en wordt vaak per sms of WhatsApp-bericht opgestuurd.
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, stelt dat meer-factor-authenticatie veel leed voorkomt. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meer-factor-authenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Goed nieuws
De toezichthouder meldt ook goed nieuws. Het totaal aantal datalek meldingen daalde afgelopen jaar met 11 procent tot 24.000. Ter vergelijking: in 2019 kwam het aantal meldingen uit op 27.000. Deze daling is te danken aan incassobureaus die hun werkwijze hebben verbeterd. Daardoor komen er minder betalingsherinneringen bij de verkeerde ontvangers terecht.
Bron: autoriteitpersoonsgegevens.nl, vpngids.nl
Meer info over ‘cybercriminaliteit’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
"De aandacht voor cybersecurity is de afgelopen jaren toegenomen, maar nog niet op het gewenste niveau"
De samenleving digitaliseert in hoog tempo. Dat biedt mogelijkheden voor burgers en bedrijven, maar brengt ook risico’s met zich mee. Daarom is het belangrijk dat het midden- en kleinbedrijf (MKB), en in het bijzonder bedrijven die met gevaarlijke stoffen werken, hun cybersecurity goed op orde heeft. Dat is nog niet overal het geval. Dat schrijft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus in een brief aan de Tweede Kamer.
Waarom wijzen de vingers al snel naar Rusland bij cyberaanvallen, hoe zit dat eigenlijk?
Russische hackers zijn berucht. Met regelmaat worden ze in verband gebracht met grootschalige cyberaanvallen op bedrijven en overheden. Hoe kan dat en in hoeverre heeft het Kremlin daar iets mee te maken?
Cybercriminelen worden steeds slimmer in hun aanvallen en profiteren van malware-as-a-service-tools die beschikbaar zijn op het darkweb
Zscaler, presenteerde gisteren zijn jaarlijkse 'State of Encrypted Attacks-rapport'. Dit rapport volgde en analyseerde meer dan 20 miljard geblokkeerde dreigingen via HTTPS, een protocol dat ontworpen is voor veilige communicatie over netwerken.
Europees cyberagentschap: RDP en phishing de voornaamste aanvalsvector
Ransomware was het afgelopen jaar de grootste cyberdreiging, zo stelt het Europees Agentschap voor cyberbeveiliging (ENISA) in een vandaag verschenen rapport. Phishingmails en bruteforce-aanvallen op RDP (remote desktop protocol)-accounts zijn de voornaamste manieren waarop organisaties met ransomware besmet raken.
'Hidden persistence' de meest gevreesde cyberaanval
Deep Instinct, aanbieder van een op deep learning gebaseerde security-framework, publiceerde vorige week zijn halfjaarlijkse Voice of SecOps Report. Uit dit rapport blijkt dat organisaties gemiddeld 17,2 uur nodig hebben om op een cyberaanval te reageren, oftewel twee werkdagen. Wereldwijd ligt dit gemiddeld nog hoger, namelijk 20.9 uur. Gezien de vertraging die security-teams vaak oplopen wanneer ze met een beveiligingsincident te maken krijgen, hebben de respondenten weinig vertrouwen in hun vermogen om de constante golf van cyberaanvallen de baas te blijven.
Fors meer ransomware aanvallen op Europese zorginstellingen
Europese zorginstellingen zijn vaker het slachtoffer van ransomware-aanvallen. Sinds begin dit jaar hebben er 25 aanvallen met gijzelsoftware plaatsgevonden, waarbij 66 locaties zijn geraakt. Dat zijn er fors meer vorig jaar. In ons land zijn tot nu toe vier zorgorganisaties getroffen door ransomware.