Toezichthouder: Explosieve stijging van datadiefstal

Het aantal cyberaanvallen gericht op het stelen van diefstal is in 2020 met 30% gestegen ten opzichte van een jaar eerder. De Autoriteit Persoonsgegevens spreekt van een explosieve toename van het aantal hacks en datadiefstal.

Dit meldt de toezichthouder in de ‘Rapportage Datalekken 2020’, die door AP-voorzitter Aleid Wolfsen naar de Tweede Kamer is gestuurd. De AP meldt steeds meer meldingen van hacking, phishing of malware te ontvangen. Ook waarschuwt de toezichthouder dat identiteitsfraude en oplichtingen mensen jarenlang kan blijven achtervolgen en de schade in de duizenden euro's kan lopen.

Vaak langere tijd in het netwerk aanwezig

Ook wijst de AP erop dat aanvallers steeds vaker al langere tijd in het netwerk aanwezig zijn voordat zij toeslaan. In deze periode verkennen zij het netwerk van het doelwit en brengen het in kaart. Ook proberen zij meer bevoegdheden te krijgen in het netwerk. Met als doel persoonsgegevens te stelen of systemen te besmetten met ransomware.

De toezichthouder ontving in 2020 in totaal 1.173 meldingen van datalekken waarbij hacking, malware of phishing is ingezet voor de diefstal van persoonsgegevens. Dit is 30% meer dan in 2019. In dat jaar steeg het aantal meldingen ook al met 25%.

Wolfsen: “Veel mensen worden persoonlijk getroffen wanneer criminelen erin slagen hun persoonsgegevens te stelen.. Criminelen gebruiken de gestolen gegevens namelijk voor identiteitsfraude en om spam- en phishingaanvallen uit te voeren. De schade van dergelijke oplichting kan zodanig oplopen, dat mensen echt in problemen komen en al hun spaargeld kwijtraken.”

Meerfactorauthentificatie

Naar schatting zijn 600.000 tot 2.000.000 personen in 2020 getroffen door een datalek waar slechts één stap nodig was om in te loggen. Meerfactorauthenticatie kan in deze gevallen schade beperken. Bij een dergelijke systeem moet een gebruikers zich op minimaal twee manieren identificeren, bijvoorbeeld via een wachtwoord en een code die via sms wordt toegestuurd.

Wolfsen: “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij er zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging. Meerfactorauthenticatie is een heel eenvoudige beveiligingsmaatregel die verplicht is bij de verwerking van gevoelige persoonsgegevens, maar die organisaties eigenlijk overal standaard zouden moeten doorvoeren. Dat zou veel leed kunnen voorkomen.”

Minder datalekken

Het totaal aantal datalekken is in 2020 (24.000) gedaald ten opzichte van 2019 (27.000). Het gaat hierbij niet alleen om datalekken door datadiefstal, maar ook andere incidenten zoals incidenten zonder kwade opzet. Dit komt volgens de AP onder meer doordat incassobureau's hun werkwijze sterk hebben verbeterd, waardoor minder betalingsherinneringen bij verkeerde ontvangers terechtkomen.

De AP trekt ook opnieuw aan de bel over het tekort aan personeel en budget. Door dit tekort kan de toezichthouder slechts bij een beperkt deel van de gemelde datalekken in actie komen.

Petra Claessen, directeur BTG/TGG: "Digitale veiligheid is van groot belang, zowel voor bedrijven als hun klanten. Zo lopen slachtoffers onder meer risico op identiteitsfraude en kan een datalek gebruikers jarenlang blijven achtervolgen. Het groeiend aantal cyberaanvallen laat zien waarom meer personeel en budget voor de Autoriteit Persoonsgegevens noodzakelijk is. BTG roept de overheid dan ook op tot meer investeringen in deze toezichthouder."