De Autoriteit Persoonsgegevens (AP) ontving in 2020 wederom veel meer meldingen over hacking, phishing en malware. Belangrijkste doel van deze hacks? Het stelen van persoonsgegevens en/of het eisen van ‘losgeld’. In 2020 steeg het aantal meldingen met 30% ten opzichte van 2019. Een explosieve stijging, maar wat kunt u tegen deze dreiging doen?

Rapportage Datalekken 2020

Op 1 maart heeft de AP de ‘Rapportage Datalekken 2020’ gepubliceerd. In het rapport staat dat vooral grote organisaties (meer dan 500 werknemers) die veel persoonsgegevens verwerken doelwit zijn. ICT-dienstverlening staat op de derde plek van sectoren die het vaakst getroffen worden door hacking, phishing en malware.

De Autoriteit Persoonsgegevens vindt het verontrustend dat persoonsgegevens steeds vaker het doelwit zijn van criminelen. Door diefstal van persoonlijke informatie kunnen mensen immers veel schade ondervinden. Bijvoorbeeld als criminelen de persoonsgegevens gebruiken voor identiteitsfraude of oplichting.

Hackers verblijven steeds langer in netwerken

Criminelen gaan zeer geraffineerd te werk. Ze hebben vooral organisaties die veel persoonsgegevens verwerken in het vizier. Steeds vaker ontstaat daar een datalek doordat criminele hackers al langere tijd in een netwerk aanwezig zijn, voordat ze toeslaan.

cyber attack.jpg

De criminelen gebruiken deze tijd om het netwerk van de organisatie te verkennen en in kaart te brengen. Ze proberen meer bevoegdheden te krijgen in het netwerk, bijvoorbeeld door ‘systeembeheerders-rechten’ te verwerven. Vervolgens stelen ze persoonsgegevens of voeren een ransomware-aanval uit. In dat laatste geval eisen criminelen ‘losgeld’ (bijvoorbeeld in de vorm van Bitcoins), tegen de toezegging dat na betaling de systemen weer toegankelijk zijn voor de organisatie en/of de buit gemaakte persoonsgegevens zullen worden verwijderd door de criminelen en dat zij er geen misbruik van zullen maken.

Krijgt u te maken met een ransomware-incident?

Dan mag u er niet vanuit gaan dat er ‘alleen’ ransomware is geïnstalleerd op uw systemen. Hackers kunnen tijdens hun aanwezigheid in het netwerk ook gegevens hebben gekopieerd, vernietigd of gewijzigd. Daarnaast kunnen ze malware hebben geïnstalleerd, waardoor ze op een later moment eenvoudig weer toegang kunnen krijgen tot het netwerk of systeem.

Verontrustend…

Wat kunt u doen om hacking, phishing en malware te voorkomen?

Beveiligen!

security hacks malware

Uit het rapport blijkt dat er naar schatting in 2020 tussen de 600.000 en 2.000.000 personen getroffen zijn door een datalek, waarbij slechts één stap nodig was om in te loggen.

Meestal zijn complete systemen beveiligd met maar 1 wachtwoord. Met name bij datalekken door hacking, malware of phishing had ‘meerfactorauthenticatie’ de schade vaak kunnen beperken of voorkomen. Systeembeveiliging die verdachte (phishing) e-mails detecteert en gebruikers waarschuwt is ook onmisbaar.

Voorbereid zijn op een eventuele aanval van buitenaf? Zorg dat u een helder plan van aanpak klaar heeft liggen. Een interne procedure datalekken gaat u hier zeker bij helpen. Lees hierover onze blog: Datalek?! Geen paniek: volg het actieplan.

Slachtoffer geworden van hacking, phishing of malware?

ransomware.jpg

Een datalek als gevolg van hacking, phishing of malware waarbij (mogelijk) persoonsgegevens zijn buit gemaakt, moet u vrijwel altijd direct (uiterlijk binnen 72 uur) aan de AP melden. Als u het incident direct meldt, kan de AP met u meekijken of u de risico’s goed inschat en u verder helpen als dit nodig is.

Soms moeten ook de betrokkenen worden geïnformeerd. Het gaat om degenen van wie de persoonsgegevens zijn gelekt, denk aan werknemers en klanten.

Wanneer moet u betrokkenen informeren?

Dat is van veel omstandigheden afhankelijk, zoals het type en de gevoeligheid van de persoonsgegevens. Gaat het bijvoorbeeld om gevoelige gegevens als creditcardnummers en paspoorten? Dan kan dit grote impact hebben voor betrokkenen en moet u ze informeren.

Krijgt u te maken met een datalek?

Dan staan onze ICT-juristen u bij. Wij gaan na welke stappen u moet nemen; intern, richting betrokkenen en de AP.

Daarnaast onderzoeken we of u acties moet ondernemen richting een andere partij, mocht het lek daar zijn ontstaan. In dat geval kunnen wij u ook bijstaan om de mogelijkheden tot schadevergoeding te onderzoeken, bijvoorbeeld wanneer door een ransomware-aanval uw IT-systemen (tijdelijk) onbereikbaar zijn.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Meldt u zich dan nu aan voor onze maandelijkse nieuwsbrief.