Explosieve stijging datalekken door cyberaanvallen

Gepubliceerd op 25 mei 2022 om 15:00

De Autoriteit Persoonsgegevens maakt zich grote zorgen over de stijging van het aantal meldingen van datalekken als gevolg van digitale aanvallen. Dat aantal steeg het afgelopen jaar met 88 procent, staat in een rapport van de toezichthouder.

Aantal meldingen door het dak

"Vorig jaar luidden wij al de noodklok", zegt voorzitter Aleid Wolfsen in een toelichting. Toen was de groei 30 procent. "In onze meest recente meting ging het aantal van dit soort meldingen door het dak." Het gaat in totaal om 2210 meldingen. Volgens de waakhond komt de toename deels doordat er meer nadruk op de meldplicht is gelegd.

De toezichthouder vraagt daarnaast extra aandacht voor de rol van IT-leveranciers, op wie internetcriminelen zich steeds vaker richten. Dit zijn partijen die IT-infrastructuur uit handen nemen van allerlei soorten organisaties. Denk aan softwarepakketten, clouddiensten of werkplekken. Als die leverancier wordt getroffen door een aanval, hebben de organisaties daar ook mee te maken en daarmee ook hun klanten.

Al met al is een relatief kleine groep leveranciers verantwoordelijk voor de grote hoeveelheid datalekken: 1800 organisaties maakten afgelopen jaar melding van een lek en dat bleek terug te voeren naar 28 leveranciers.

7 miljoen slachtoffers

Naar schatting maakten die datalekken samen 7 miljoen slachtoffers. Hier kunnen dubbelingen tussen zitten en het gaat niet per definitie om Nederlanders. Maar het geeft tegelijkertijd wel de schaal van het probleem aan, zeker omdat de werkelijke omvang waarschijnlijk groter is.

In totaal kreeg de toezichthouder het afgelopen jaar bijna 25.000 meldingen binnen, een lichte stijging ten opzichte van een jaar eerder. Het grootste deel (18.000) werd na een eerste beoordeling niet verder bekeken, de andere werden aangemerkt als 'hoog risico'. Hiervan is bijvoorbeeld sprake als het veel slachtoffers of gevoelige persoonsgegevens betreft.

Naar 36 van die 7000 meldingen is daadwerkelijk onderzoek gedaan. "Het ging voornamelijk om situaties waarbij een verwerkingsverantwoordelijke de slachtoffers van een ransomware-aanval ten onrechte niet informeerde", schrijft de toezichthouder in het rapport. Veertien keer ging het om een IT-leverancier.

Onmogelijk om iedere melding  te onderzoeken

Uit het lage aantal keren dat de AP daadwerkelijk onderzoek deed, blijkt dat de dienst zeer scherp moet kiezen. "Het is met ons budget en onze bezetting onmogelijk om iedere melding met een hoogrisicogrond te onderzoeken", zegt Wolfsen daarover. De toezichthouder vraagt al langer om meer budget, maar de extra toezeggingen in het coalitieakkoord zijn nog niet genoeg.

Het komt ook voor dat organisaties losgeld betalen na een digitale aanval met gijzelsoftware en vervolgens hun klanten niet informeren over het datalek. Er zijn dan bijvoorbeeld afspraken gemaakt met criminelen dat zij niks met de data gaan doen. De AP is hierover niet te spreken en geeft deze organisaties - die niet bij naam worden genoemd - een tik op de vingers.

Datalekkenrapportage Ap 2021
PDF – 716,3 KB 363 downloads

Bron: autoriteitpersoonsgegevens.nl, nos.nl

Tien grootste datalekken van 2021

2021 gaat de geschiedenisboeken in als een van de meest roerige jaren ooit op het gebied van cybersecurity en informatiebeveiliging. Het ene datalek was nog maar net achter de rug of het volgende lek diende zich alweer aan. Afgelopen jaar werden tal van bedrijven hiermee geconfronteerd.

Lees meer »

Datalekken UWV en SVB

Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om post gerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.

Lees meer »