Autoriteit Persoonsgegevens luidt noodklok vanwege explosieve toename hacks en datadiefstal
De Autoriteit Persoonsgegevens (AP) zag in 2020 een explosieve toename van het aantal gemelde datalekken door malware en phishing, gericht op het buitmaken van persoonsgegevens. Het aantal meldingen hiervan steeg met maar liefst 30% ten opzichte van 2019. Een verontrustende ontwikkeling, want mensen worden hiermee persoonlijk getroffen.
In het rapport Datalekken 2020 is te lezen dat de AP in 2020 ongeveer 24.000 datalekmeldingen ontving. Een daling ten opzichte van 2019, toen de AP 27.000 meldingen ontving. Dit komt vooral door de aangepaste werkwijze van incassobureaus, zodat veel minder betalingsherinneringen bij de verkeerde ontvangers terecht zijn gekomen.
Deze daling is het “goede” nieuws. Het slechte nieuws is de stijgang van het aantal meldingen van hacking, malware en phishing. Dit steeg met 30% naar bijna 1.200 meldingen. In 2019 was er ook al een stijging van 25% ten opzichte van 2018 te zien. Verontrustende cijfers, want door diefstal van persoonlijke en gevoelige informatie kunnen mensen veel schade ondervinden, bijvoorbeeld door identiteitsfraude of oplichting.
Criminelen steeds geraffineerder te werk
Criminelen gaan zeer geraffineerd te werk. Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, zijn het doelwit. Steeds vaker is daar een datalek ontstaan doordat criminele hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan. De criminelen gebruiken deze tijd om het netwerk van de organisatie te verkennen en in kaart te brengen. Ze proberen om meer bevoegdheden te krijgen in het netwerk, waarna persoonsgegevens gestolen worden of er een ransomware-aanval wordt uitgevoerd.
Hoe veilig is zijn mijn gegevens?
Naar schatting zijn er in 2020 tussen de 600.000 en 2.000.000 personen getroffen door een datalek waar slechts één stap nodig was om in te loggen. Vaak zijn complete systemen beveiligd met slechts één wachtwoord. Multi factor authenticatie (MFA) had de schade vaak kunnen beperken of voorkomen. Bij MFA moet een persoon op minimaal twee verschillende manieren inloggen om toegang te krijgen. Bijvoorbeeld met een wachtwoord en met een code die via een app of SMS gegenereerd wordt. Multi factor authenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren.
Geef criminelen geen kans
Een belangrijke technische maatregel is natuurlijk het afdwingen van MFA. Daarnaast lezen we in de berichtgeving van de AP dat phishing een grote trigger is van incidenten. Phishing is de grootste digitale dreiging waar organisaties mee te maken hebben. Phishingberichten worden niet alleen in bulk verstuurd, maar ook steeds vaker gericht op individuen (spearphishing) met informatie verkregen uit social engineering aanvallen.
Herkennen medewerkers in je bedrijf een phishing e-mail? En ook belangrijk, wat is de procedure als iemand een phishing e-mail herkent? Test het met een phishing simulatie en train medewerkers via een awareness programma. Samen kunnen we cybercriminaliteit terugdringen en een veilige werkomgeving voor bedrijven creëren.
Meer weten? Neem dan vrijblijvend contact met ons op.