De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.
Cybercrime impact
Het Staring College dat getroffen is door een malware-aanval. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) die zijn werkzaamheden noodgedwongen moet stilleggen door een aanval van de hackers groep DoppelPaymer. De website van de Amsterdamse woningcorporatie Stadgenoot die is gehackt. De Dienst Uitvoering Onderwijs (DUO) die per ongeluk het BSN-nummer van 1.700 klanten lekt. Privégegevens van klanten van Blokker, Allekabels.nl en Viruswaarheid-aanhangers die op straat belanden. En het privacyschandaal bij de GGD, waarbij de persoonsgegevens van miljoenen Nederlanders werden verhandeld via kanalen als Telegram, Snapchat en Wickr. En dat zijn alleen nog maar enkele voorbeelden van beveiligingsincidenten en datalekken van de afgelopen twee maanden.
Autoriteit Persoonsgegevens
Afgelopen jaar ontving de Autoriteit Persoonsgegevens 1.173 meldingen van dit soort datalekken, een stijging van 30 procent in vergelijking met 2019. De toezichthouder vindt het verontrustend dat cybercriminelen steeds vaker hun zinnen zetten op het stelen van persoonsgegevens. Deze data kan worden gebruikt voor identiteitsfraude, spam- en spearphishing-aanvallen, WhatsApp-fraude of andere oplichtingspraktijken. Slachtoffers kunnen er jarenlang last van hebben, of al hun spaargeld kwijtraken. Door een tekort in personeel en budget komt de toezichthouder bij slechts een handjevol van dit soort meldingen in actie.
Cybercriminelen en hackers gaan steeds geraffineerder en professioneler te werk, waardoor het aantal slachtoffers alleen maar verder toeneemt. Ze richten hun pijlen al lang niet meer enkel op de grote, internationaal opererende multinationals. Ze kiezen er steeds vaker voor om bedrijven te hacken waarvan ze weten dat ze veel persoonsgegevens verwerken.
De cyberaanval fasen
- Verkenningsfase
De cyberaanval, ook wel 'Advanced Persistent Threat' (APT) genoemd, bestaat uit verschillende fases. Voordat hackers daadwerkelijk een bedrijfsnetwerk infiltreren, gaan ze op verkenning uit. Maandenlang bestuderen ze hun doelwit om zoveel mogelijk over hem te weten te komen, zowel over de digitale als fysieke omgeving. Deze fase noemen we de verkenningsfase en vindt maanden voordat ze daadwerkelijk tot de aanval overgaan plaats.
Als hackers eenmaal de organisatie die ze willen aanvallen goed hebben bestudeerd, dringen ze daadwerkelijk binnen. Dit doen ze door middel van phishing, social engineering en andere hack methoden. Het doel van de aanvallers is om zich zo definitief mogelijk op het netwerk van hun doelwit te vestigen, zonder dat ze daarbij betrapt worden.
- Laterale bewegingsfase
Na de indringingsfase volgt de laterale bewegingsfase. In dit stadium proberen hackers zoveel mogelijk controle te krijgen over de digitale omgeving van hun doelwit. Ze zoeken naar de ‘kroonjuwelen’ van de organisatie: persoonlijke of bedrijfsgevoelige gegevens. Via bestaande accounts proberen de daders toegang te krijgen tot data die normaliter ontoegankelijk voor hen is. Om dat voor elkaar te krijgen moeten ze zoveel mogelijk rechten zien te verkrijgen, het liefst zelfs admin-rechten. Deze fase noemen we de privilege-escalatiefase en vindt enkele dagen tot enkele weken voor de daadwerkelijke aanval plaats.
- Exfiltratiefase
Als hackers toegang hebben tot voor hen relevante informatie, dan vindt de daadwerkelijke cyberaanval plaats. In deze fase, ook wel de exfiltratiefase genoemd, proberen ze ongemerkt zoveel mogelijk data te stelen. Dit moment noemen beveiligingsexperts ‘dag nul’. Soms duurt het weken of maanden voordat de IT-medewerkers van de getroffen organisatie de digitale inbraak detecteren.
Een belangrijke maatregel
De Autoriteit Persoonsgegevens schat dat er in 2020 persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders. Een belangrijke oorzaak daarvan is slechte beveiliging. Complete systemen zijn vaak met slechts één wachtwoord beschermd. Door gebruik te maken van meer-factor-authenticatie had volgens de toezichthouder veel schade voorkomen kunnen worden. Daarbij heb je naast een gebruikersnaam en wachtwoord ook een inlogcode nodig. Deze code verandert continu en wordt vaak per sms of WhatsApp-bericht opgestuurd.
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, stelt dat meer-factor-authenticatie veel leed voorkomt. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meer-factor-authenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Goed nieuws
De toezichthouder meldt ook goed nieuws. Het totaal aantal datalek meldingen daalde afgelopen jaar met 11 procent tot 24.000. Ter vergelijking: in 2019 kwam het aantal meldingen uit op 27.000. Deze daling is te danken aan incassobureaus die hun werkwijze hebben verbeterd. Daardoor komen er minder betalingsherinneringen bij de verkeerde ontvangers terecht.
Bron: autoriteitpersoonsgegevens.nl, vpngids.nl
Meer info over ‘cybercriminaliteit’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
Desastreuze gevolgen door 'Welkom2020'
Door een samenloop van omstandigheden was de beveiliging van IT-systemen en servers bij de gemeente 'Hof van Twente' niet op orde. Audits die werden uitgevoerd door externe bedrijven leverden geen signalen op dat er iets mis was met de beveiliging. Een recente penetratietest (ethische hack test) zag een zwak wachtwoord over het hoofd, waardoor de daders het netwerk van de gemeenten konden binnendringen. Maar er waren meerdere beveiligingszaken die niet goed waren geregeld.
"We zien dat bij die aanvallen vaak vier-tot vijfduizend keer in een paar uur wordt aangevallen"
Meerdere zorginstelling in Nederland, België en Frankrijk zijn de afgelopen weken slachtoffer geworden cybercrime. Secutec Nederland ziet een toename van phishing en ransomware-aanvallen in de afgelopen tijd. "En het is heel specifiek op de zorgsector gericht."
"Het is vrijwel zeker minimaal 1200 servers geïnfecteerd"
De gevolgen van de kwetsbaarheden in Microsoft Exchange Server zijn groot voor Nederlandse organisaties en bedrijven. Het NCSC constateert dat er als gevolg van deze kwetsbaarheden data wordt gestolen, malware wordt geplaatst, achterdeurtjes worden ingebouwd en mailboxen worden aangeboden op de zwarte markt. Via de Microsoft Exchange server kunnen kwaadwillenden mogelijk ook in andere systemen komen.
In Nederland zijn nog 1600 Exchange servers kwetsbaar voor aanvallen!
Het is een pittige tijd in cybersecurity land. Misschien wel de zwaarste ooit. Alleen al in de afgelopen drie maanden zijn er meer dan twaalf zero-days ontdekt waarbij talloze organisaties over de hele wereld zijn getroffen.
"Het wordt steeds groter en is veelkoppig"
Het Openbaar Ministerie maakt zich zorgen over de explosieve toename van cybercriminaliteit in 2020. Internetoplichting, identiteitsfraude en het aantal verdachten van cyberdelicten stegen afgelopen jaar enorm. Om burgers en organisaties beter te beschermen tegen cybercriminelen, moeten ze weerbaarder worden gemaakt. Ook moet er ingezet worden op intensieve opsporing en vervolging van daders.
Microsoft Exchange cyberaanval: "Alleen Patchen van Exchange niet voldoende"
De afgelopen dagen zijn enorm veel cyberaanvallen gesignaleerd door een opening in 'Microsoft Exchange servers'. Deze lek was al enige tijd bekend, maar de laatste dagen is zichtbaar geworden dat cybercriminelen hier massaal gebruik van willen maken of al gemaakt hebben.