De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.
Cybercrime impact
Het Staring College dat getroffen is door een malware-aanval. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) die zijn werkzaamheden noodgedwongen moet stilleggen door een aanval van de hackers groep DoppelPaymer. De website van de Amsterdamse woningcorporatie Stadgenoot die is gehackt. De Dienst Uitvoering Onderwijs (DUO) die per ongeluk het BSN-nummer van 1.700 klanten lekt. Privégegevens van klanten van Blokker, Allekabels.nl en Viruswaarheid-aanhangers die op straat belanden. En het privacyschandaal bij de GGD, waarbij de persoonsgegevens van miljoenen Nederlanders werden verhandeld via kanalen als Telegram, Snapchat en Wickr. En dat zijn alleen nog maar enkele voorbeelden van beveiligingsincidenten en datalekken van de afgelopen twee maanden.
Autoriteit Persoonsgegevens
Afgelopen jaar ontving de Autoriteit Persoonsgegevens 1.173 meldingen van dit soort datalekken, een stijging van 30 procent in vergelijking met 2019. De toezichthouder vindt het verontrustend dat cybercriminelen steeds vaker hun zinnen zetten op het stelen van persoonsgegevens. Deze data kan worden gebruikt voor identiteitsfraude, spam- en spearphishing-aanvallen, WhatsApp-fraude of andere oplichtingspraktijken. Slachtoffers kunnen er jarenlang last van hebben, of al hun spaargeld kwijtraken. Door een tekort in personeel en budget komt de toezichthouder bij slechts een handjevol van dit soort meldingen in actie.
Cybercriminelen en hackers gaan steeds geraffineerder en professioneler te werk, waardoor het aantal slachtoffers alleen maar verder toeneemt. Ze richten hun pijlen al lang niet meer enkel op de grote, internationaal opererende multinationals. Ze kiezen er steeds vaker voor om bedrijven te hacken waarvan ze weten dat ze veel persoonsgegevens verwerken.
De cyberaanval fasen
- Verkenningsfase
De cyberaanval, ook wel 'Advanced Persistent Threat' (APT) genoemd, bestaat uit verschillende fases. Voordat hackers daadwerkelijk een bedrijfsnetwerk infiltreren, gaan ze op verkenning uit. Maandenlang bestuderen ze hun doelwit om zoveel mogelijk over hem te weten te komen, zowel over de digitale als fysieke omgeving. Deze fase noemen we de verkenningsfase en vindt maanden voordat ze daadwerkelijk tot de aanval overgaan plaats.
Als hackers eenmaal de organisatie die ze willen aanvallen goed hebben bestudeerd, dringen ze daadwerkelijk binnen. Dit doen ze door middel van phishing, social engineering en andere hack methoden. Het doel van de aanvallers is om zich zo definitief mogelijk op het netwerk van hun doelwit te vestigen, zonder dat ze daarbij betrapt worden.
- Laterale bewegingsfase
Na de indringingsfase volgt de laterale bewegingsfase. In dit stadium proberen hackers zoveel mogelijk controle te krijgen over de digitale omgeving van hun doelwit. Ze zoeken naar de ‘kroonjuwelen’ van de organisatie: persoonlijke of bedrijfsgevoelige gegevens. Via bestaande accounts proberen de daders toegang te krijgen tot data die normaliter ontoegankelijk voor hen is. Om dat voor elkaar te krijgen moeten ze zoveel mogelijk rechten zien te verkrijgen, het liefst zelfs admin-rechten. Deze fase noemen we de privilege-escalatiefase en vindt enkele dagen tot enkele weken voor de daadwerkelijke aanval plaats.
- Exfiltratiefase
Als hackers toegang hebben tot voor hen relevante informatie, dan vindt de daadwerkelijke cyberaanval plaats. In deze fase, ook wel de exfiltratiefase genoemd, proberen ze ongemerkt zoveel mogelijk data te stelen. Dit moment noemen beveiligingsexperts ‘dag nul’. Soms duurt het weken of maanden voordat de IT-medewerkers van de getroffen organisatie de digitale inbraak detecteren.
Een belangrijke maatregel
De Autoriteit Persoonsgegevens schat dat er in 2020 persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders. Een belangrijke oorzaak daarvan is slechte beveiliging. Complete systemen zijn vaak met slechts één wachtwoord beschermd. Door gebruik te maken van meer-factor-authenticatie had volgens de toezichthouder veel schade voorkomen kunnen worden. Daarbij heb je naast een gebruikersnaam en wachtwoord ook een inlogcode nodig. Deze code verandert continu en wordt vaak per sms of WhatsApp-bericht opgestuurd.
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, stelt dat meer-factor-authenticatie veel leed voorkomt. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meer-factor-authenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Goed nieuws
De toezichthouder meldt ook goed nieuws. Het totaal aantal datalek meldingen daalde afgelopen jaar met 11 procent tot 24.000. Ter vergelijking: in 2019 kwam het aantal meldingen uit op 27.000. Deze daling is te danken aan incassobureaus die hun werkwijze hebben verbeterd. Daardoor komen er minder betalingsherinneringen bij de verkeerde ontvangers terecht.
Bron: autoriteitpersoonsgegevens.nl, vpngids.nl
Meer info over ‘cybercriminaliteit’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
"Het stijgt met tientallen procenten per maand. Dat is echt schrikbarend"
Nu we massaal thuiswerken, slaan cybercriminelen hun slag. Ze proberen op grote schaal bedrijven lam te leggen of gevoelige bedrijfsdata te ontfutselen om deze vervolgens door te verkopen op zwarte marktplaatsen op internet. Dat zeggen verschillende grote cyberbeveiligers tegen BNR.
Niet alle 'tweestapsverificatie' methodes zijn veilig
'Tweestapsverificatie' of multifactorauthenticatie (MFA) is iets wat me moeten omarmen om onze data en privacy te waarborgen. Met gebruik ervan is niet zonder gevaren. Sommige varianten van MFA zijn veiliger dan andere. Zo is het onverstandig om sms- en gesproken berichten als authenticatie middel te gebruiken, omdat deze via social engineering onderschept kunnen worden door anderen.
"Aanvallen op werken op afstand nemen toe"
Cybersecurity onderzoekers hebben deze week het 'Threat Report over Q3 2020' uitgebracht. In dit rapport worden de belangrijkste statistieken van detectiesystemen samengevat en worden opmerkelijke voorbeelden van cyber security onderzoek uitgelicht. Het rapport en de bevindingen werden gepresenteerd tijdens het virtuele evenement 'ESET European Cyber Security Day - Towards a Secure Post-COVID Future'.
"Ambtenaren gebruiken meer dan veertig applicaties voor videoconferencing"
De Algemene Rekenkamer onderzocht tussen juli en oktober 2020 welke communicatiemiddelen ambtenaren, ministers, staatssecretarissen en andere hooggeplaatste overheidsmedewerkers gebruiken nu ze noodgedwongen thuis zitten. Uit deze inventarisatie blijkt dat er geen uniforme afspraken zijn over de wijze waarop ze op een veilige en verantwoorde manier met elkaar kunnen communiceren. Dat brengt risico’s met zich op het gebied van informatiebeveiliging, privacy en adequate archivering van informatie.
Burgers en bedrijven digiweerbaar met de City Deal
Van digitale wijkambassadeurs tot een lokale helpdesk die wordt bemand door IT-studenten. In de 'City Deal Lokale Weerbaarheid Cybercrime' gaan 8 steden, 3 ministeries, veiligheidsorganisaties en kennisinstellingen samen aan de slag om de cyberweerbaarheid te verhogen onder burgers en bedrijven. Met de ondertekening van de City Deal op 28 oktober 2020 gaat de 'City Deal Lokale Weerbaarheid Cybercrime' van start.
Beveilig je smartphone tegen hackers met deze 10 praktische tips
Onze smartphones bevatten veel persoonlijke informatie, zoals foto’s, video's, wachtwoorden, bankgegevens en nog veel meer. Tevens gebruikt de meerderheid van de smartphone gebruikers hun smartphone ook voor hun werk. Met deze tips beveilig jij je smartphone en je data nog beter tegen hackers en cybercriminelen.