De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.
Cybercrime impact
Het Staring College dat getroffen is door een malware-aanval. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) die zijn werkzaamheden noodgedwongen moet stilleggen door een aanval van de hackers groep DoppelPaymer. De website van de Amsterdamse woningcorporatie Stadgenoot die is gehackt. De Dienst Uitvoering Onderwijs (DUO) die per ongeluk het BSN-nummer van 1.700 klanten lekt. Privégegevens van klanten van Blokker, Allekabels.nl en Viruswaarheid-aanhangers die op straat belanden. En het privacyschandaal bij de GGD, waarbij de persoonsgegevens van miljoenen Nederlanders werden verhandeld via kanalen als Telegram, Snapchat en Wickr. En dat zijn alleen nog maar enkele voorbeelden van beveiligingsincidenten en datalekken van de afgelopen twee maanden.
Autoriteit Persoonsgegevens
Afgelopen jaar ontving de Autoriteit Persoonsgegevens 1.173 meldingen van dit soort datalekken, een stijging van 30 procent in vergelijking met 2019. De toezichthouder vindt het verontrustend dat cybercriminelen steeds vaker hun zinnen zetten op het stelen van persoonsgegevens. Deze data kan worden gebruikt voor identiteitsfraude, spam- en spearphishing-aanvallen, WhatsApp-fraude of andere oplichtingspraktijken. Slachtoffers kunnen er jarenlang last van hebben, of al hun spaargeld kwijtraken. Door een tekort in personeel en budget komt de toezichthouder bij slechts een handjevol van dit soort meldingen in actie.
Cybercriminelen en hackers gaan steeds geraffineerder en professioneler te werk, waardoor het aantal slachtoffers alleen maar verder toeneemt. Ze richten hun pijlen al lang niet meer enkel op de grote, internationaal opererende multinationals. Ze kiezen er steeds vaker voor om bedrijven te hacken waarvan ze weten dat ze veel persoonsgegevens verwerken.
De cyberaanval fasen
- Verkenningsfase
De cyberaanval, ook wel 'Advanced Persistent Threat' (APT) genoemd, bestaat uit verschillende fases. Voordat hackers daadwerkelijk een bedrijfsnetwerk infiltreren, gaan ze op verkenning uit. Maandenlang bestuderen ze hun doelwit om zoveel mogelijk over hem te weten te komen, zowel over de digitale als fysieke omgeving. Deze fase noemen we de verkenningsfase en vindt maanden voordat ze daadwerkelijk tot de aanval overgaan plaats.
Als hackers eenmaal de organisatie die ze willen aanvallen goed hebben bestudeerd, dringen ze daadwerkelijk binnen. Dit doen ze door middel van phishing, social engineering en andere hack methoden. Het doel van de aanvallers is om zich zo definitief mogelijk op het netwerk van hun doelwit te vestigen, zonder dat ze daarbij betrapt worden.
- Laterale bewegingsfase
Na de indringingsfase volgt de laterale bewegingsfase. In dit stadium proberen hackers zoveel mogelijk controle te krijgen over de digitale omgeving van hun doelwit. Ze zoeken naar de ‘kroonjuwelen’ van de organisatie: persoonlijke of bedrijfsgevoelige gegevens. Via bestaande accounts proberen de daders toegang te krijgen tot data die normaliter ontoegankelijk voor hen is. Om dat voor elkaar te krijgen moeten ze zoveel mogelijk rechten zien te verkrijgen, het liefst zelfs admin-rechten. Deze fase noemen we de privilege-escalatiefase en vindt enkele dagen tot enkele weken voor de daadwerkelijke aanval plaats.
- Exfiltratiefase
Als hackers toegang hebben tot voor hen relevante informatie, dan vindt de daadwerkelijke cyberaanval plaats. In deze fase, ook wel de exfiltratiefase genoemd, proberen ze ongemerkt zoveel mogelijk data te stelen. Dit moment noemen beveiligingsexperts ‘dag nul’. Soms duurt het weken of maanden voordat de IT-medewerkers van de getroffen organisatie de digitale inbraak detecteren.
Een belangrijke maatregel
De Autoriteit Persoonsgegevens schat dat er in 2020 persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders. Een belangrijke oorzaak daarvan is slechte beveiliging. Complete systemen zijn vaak met slechts één wachtwoord beschermd. Door gebruik te maken van meer-factor-authenticatie had volgens de toezichthouder veel schade voorkomen kunnen worden. Daarbij heb je naast een gebruikersnaam en wachtwoord ook een inlogcode nodig. Deze code verandert continu en wordt vaak per sms of WhatsApp-bericht opgestuurd.
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, stelt dat meer-factor-authenticatie veel leed voorkomt. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meer-factor-authenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Goed nieuws
De toezichthouder meldt ook goed nieuws. Het totaal aantal datalek meldingen daalde afgelopen jaar met 11 procent tot 24.000. Ter vergelijking: in 2019 kwam het aantal meldingen uit op 27.000. Deze daling is te danken aan incassobureaus die hun werkwijze hebben verbeterd. Daardoor komen er minder betalingsherinneringen bij de verkeerde ontvangers terecht.
Bron: autoriteitpersoonsgegevens.nl, vpngids.nl
Meer info over ‘cybercriminaliteit’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
Politie "Cybercrime wordt steeds geraffineerder"
De toename van het aantal digitale delicten heeft ertoe geleid dat de politie hier de laatste jaren meer aandacht aan is gaan besteden. Speciale teams zijn ingericht en er is inmiddels veel ervaring opgedaan. Wat zijn de meest voorkomende zaken en waar lopen de cybercrime-bestrijders nog tegen grenzen aan?
Land- en tuinbouwwinkels AVEVE slachtoffer van cyberaanval
In Belgie is AVEVE het slachtoffer geworden van een grote cyberaanval. Met kwaadaardige software werd het netwerk van de land- en tuinbouwwinkels onder vuur genomen. Een klein aantal van de 250 winkels in ons land moet daarom tijdelijk de deuren sluiten omdat betalen met VISA of bancontact er niet mogelijk is. “De overgrote meerderheid van de winkels is wel gewoon open”, benadrukt woordvoerder Stéphanie Deleul.
"Iedereen was betrokken, maar niemand verantwoordelijk"
In zelden aangedurfde openheid deelt Lochem haar ervaringen met een indringer die vorig jaar maandenlang het computernetwerk onveilig maakte, en vooral de daaruit getrokken lering. Want, vindt Sebastiaan van ‘t Erve, de burgemeester van de Achterhoekse gemeente, aan beveiligingsbewustzijn bestaat bij bestuurders een gevaarlijk tekort. “Iedereen was betrokken, maar niemand verantwoordelijk.”
Cyberaanval op grafische processor
De chip op je grafische kaart verwerkt extreem snel heel veel informatie. Speel een moderne game, kijk een actiefilm en de reden voor die snelheid zal duidelijk zijn. De GPU of grafische processor maakt hierbij gebruik van honderden zo niet duizenden kernen (cores). Een kern is dan weer een locatie op een chip die zelfstandig code verwerkt.
Grootste daler zakkenrollerij, grootste stijger cybercrime
Door de corona pandemie lijken de misdaad cijfers te zijn gedaald. In de maand april registreerde de politie 56.000 misdrijven. Dit is het laagste geregistreerde aantal misdrijven van afgelopen acht jaar. In 2019 waren er gemiddeld zo'n 66.000 misdrijven per maand.
"Misschien worden nu geen aanvallen gepleegd, maar zie je straks enorme piek als de rust een beetje terugkeert"
Ziekenhuizen in de regio hebben hun digitale beveiliging verscherpt vanwege corona. Dat gebeurt met extra analyses van mogelijke dreigingen, zoals misleidende e-mails. Internetcriminelen grijpen het virus (covid-19) op tal van manieren aan om geld te verdienen.