De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.
Cybercrime impact
Het Staring College dat getroffen is door een malware-aanval. De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) die zijn werkzaamheden noodgedwongen moet stilleggen door een aanval van de hackers groep DoppelPaymer. De website van de Amsterdamse woningcorporatie Stadgenoot die is gehackt. De Dienst Uitvoering Onderwijs (DUO) die per ongeluk het BSN-nummer van 1.700 klanten lekt. Privégegevens van klanten van Blokker, Allekabels.nl en Viruswaarheid-aanhangers die op straat belanden. En het privacyschandaal bij de GGD, waarbij de persoonsgegevens van miljoenen Nederlanders werden verhandeld via kanalen als Telegram, Snapchat en Wickr. En dat zijn alleen nog maar enkele voorbeelden van beveiligingsincidenten en datalekken van de afgelopen twee maanden.
Autoriteit Persoonsgegevens
Afgelopen jaar ontving de Autoriteit Persoonsgegevens 1.173 meldingen van dit soort datalekken, een stijging van 30 procent in vergelijking met 2019. De toezichthouder vindt het verontrustend dat cybercriminelen steeds vaker hun zinnen zetten op het stelen van persoonsgegevens. Deze data kan worden gebruikt voor identiteitsfraude, spam- en spearphishing-aanvallen, WhatsApp-fraude of andere oplichtingspraktijken. Slachtoffers kunnen er jarenlang last van hebben, of al hun spaargeld kwijtraken. Door een tekort in personeel en budget komt de toezichthouder bij slechts een handjevol van dit soort meldingen in actie.
Cybercriminelen en hackers gaan steeds geraffineerder en professioneler te werk, waardoor het aantal slachtoffers alleen maar verder toeneemt. Ze richten hun pijlen al lang niet meer enkel op de grote, internationaal opererende multinationals. Ze kiezen er steeds vaker voor om bedrijven te hacken waarvan ze weten dat ze veel persoonsgegevens verwerken.
De cyberaanval fasen
- Verkenningsfase
De cyberaanval, ook wel 'Advanced Persistent Threat' (APT) genoemd, bestaat uit verschillende fases. Voordat hackers daadwerkelijk een bedrijfsnetwerk infiltreren, gaan ze op verkenning uit. Maandenlang bestuderen ze hun doelwit om zoveel mogelijk over hem te weten te komen, zowel over de digitale als fysieke omgeving. Deze fase noemen we de verkenningsfase en vindt maanden voordat ze daadwerkelijk tot de aanval overgaan plaats.
Als hackers eenmaal de organisatie die ze willen aanvallen goed hebben bestudeerd, dringen ze daadwerkelijk binnen. Dit doen ze door middel van phishing, social engineering en andere hack methoden. Het doel van de aanvallers is om zich zo definitief mogelijk op het netwerk van hun doelwit te vestigen, zonder dat ze daarbij betrapt worden.
- Laterale bewegingsfase
Na de indringingsfase volgt de laterale bewegingsfase. In dit stadium proberen hackers zoveel mogelijk controle te krijgen over de digitale omgeving van hun doelwit. Ze zoeken naar de ‘kroonjuwelen’ van de organisatie: persoonlijke of bedrijfsgevoelige gegevens. Via bestaande accounts proberen de daders toegang te krijgen tot data die normaliter ontoegankelijk voor hen is. Om dat voor elkaar te krijgen moeten ze zoveel mogelijk rechten zien te verkrijgen, het liefst zelfs admin-rechten. Deze fase noemen we de privilege-escalatiefase en vindt enkele dagen tot enkele weken voor de daadwerkelijke aanval plaats.
- Exfiltratiefase
Als hackers toegang hebben tot voor hen relevante informatie, dan vindt de daadwerkelijke cyberaanval plaats. In deze fase, ook wel de exfiltratiefase genoemd, proberen ze ongemerkt zoveel mogelijk data te stelen. Dit moment noemen beveiligingsexperts ‘dag nul’. Soms duurt het weken of maanden voordat de IT-medewerkers van de getroffen organisatie de digitale inbraak detecteren.
Een belangrijke maatregel
De Autoriteit Persoonsgegevens schat dat er in 2020 persoonsgegevens zijn gestolen van zeshonderdduizend tot twee miljoen Nederlanders. Een belangrijke oorzaak daarvan is slechte beveiliging. Complete systemen zijn vaak met slechts één wachtwoord beschermd. Door gebruik te maken van meer-factor-authenticatie had volgens de toezichthouder veel schade voorkomen kunnen worden. Daarbij heb je naast een gebruikersnaam en wachtwoord ook een inlogcode nodig. Deze code verandert continu en wordt vaak per sms of WhatsApp-bericht opgestuurd.
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, stelt dat meer-factor-authenticatie veel leed voorkomt. “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meer-factor-authenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”
Goed nieuws
De toezichthouder meldt ook goed nieuws. Het totaal aantal datalek meldingen daalde afgelopen jaar met 11 procent tot 24.000. Ter vergelijking: in 2019 kwam het aantal meldingen uit op 27.000. Deze daling is te danken aan incassobureaus die hun werkwijze hebben verbeterd. Daardoor komen er minder betalingsherinneringen bij de verkeerde ontvangers terecht.
Bron: autoriteitpersoonsgegevens.nl, vpngids.nl
Meer info over ‘cybercriminaliteit’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Cybercrime gerelateerde berichten
Criminaliteit verschuift als de gelegenheid verschuift
De nieuwsmedia melden dat gedurende deze coronacrisis de criminaliteit in het algemeen afneemt, terwijl de cybercriminaliteit juist toeneemt. Hoe beïnvloedt de crisis de misdaad?
Filmpje: Tips voor thuis – veilig werken in tijden van corona
Vanwege de corona pandemie werkt Nederland massaal thuis en daarmee worden veel mensen genoodzaakt om hun werk digitaal te doen. Zoals we eerder al schreven, spelen cybercriminelen hier heel bewust op in. Aandacht voor veilig thuiswerken wordt daarom steeds belangrijker.In onderstaand filmpje verteld Jonathan (tevens schrijver op deze website) een aantal praktische tips met uitleg over hoe je thuis veilig kunt werken. De belangrijkste worden in de video behandeld, maar de rest van de tips en uitleg vind je hier.
Tips voor alle thuiswerkers
Cybercriminelen weten ook dat jij thuis werkt. Informatie over videoconferences, phishing mailtjes vanuit het RIVM of de WHO, mailtjes met malware erin, allerlei fake websites met zogenaamd informatie over vaccins.
"Samen beschermen we de ziekenhuizen"
Momenteel wordt er in de Nederlandse zorg intensief gewerkt om iedereen in de samenleving te helpen in deze bizarre tijden van de coronacrisis.
Samen tegen Corona Hackers
De hackers die de coronacrisis gebruiken om meer campagnes en aanvallen uit te voeren, hebben er een nieuwe tegenstander bij. Een groep van bijna 400 cybersecurityexperts wereldwijd zijn een organisatie begonnen om te vechten tegen hacks gerelateerd aan het nieuwe coronavirus Covid-19.
Microsoft waarschuwt voor zeroday aanval
De zeroday-aanval waar Microsoft gisteren voor waarschuwde was gericht tegen Windows 7-systemen, zo laat de softwaregigant vanavond weten. In de eerste waarschuwing werd gesteld dat er "beperkte gerichte" aanvallen waren waargenomen die misbruik van twee kwetsbaarheden in de Adobe Type Manager Library maakten waarvoor nog geen beveiligingsupdate beschikbaar is.