Den Haag,
Uit de eerste ransomware-rapportage van de Autoriteit Persoonsgegevens (AP) blijkt dat veel organisaties niet voldoende beveiligd zijn tegen ransomware-aanvallen. In 2023 werden er 178 succesvolle aanvallen gemeld, maar aangezien één aanval vaak meerdere organisaties treft, ligt het werkelijke aantal slachtoffers in de honderden. Bij twee op de drie getroffen organisaties bleek de basisbeveiliging niet op orde, wat hackers de kans gaf om persoonlijke gegevens van miljoenen Nederlanders te gijzelen. Het gaat hierbij om gevoelige informatie zoals e-mails, telefoonnummers, paspoortkopieën en bankgegevens.
Miljoenen gegevens gegijzeld en verkocht
Ransomware-hackers dringen digitaal binnen bij organisaties en versleutelen hun bestanden. Ze eisen vervolgens losgeld om de toegang tot deze bestanden te herstellen. In veel gevallen dreigen ze ook de gestolen gegevens te verkopen of openbaar te maken. Uit het onderzoek van de AP blijkt dat cybercriminelen soms één specifieke organisatie aanvallen, maar vaak ook IT-leveranciers treffen die gegevens van meerdere bedrijven beheren. Een grote aanval in 2023 leidde tot de besmetting van meer dan 200 organisaties, waarbij de persoonlijke gegevens van 2,5 miljoen mensen werden gegijzeld.
Slechte beveiliging vergroot risico’s
De AP constateert dat het ontbreken van essentiële beveiligingsmaatregelen, zoals multifactorauthenticatie en regelmatige software-updates, organisaties kwetsbaar maakt. Veel bedrijven slaan gevoelige data op één centrale server op, wat het risico op datalekken vergroot. Daarnaast is er een trend van ‘dubbele afpersing’, waarbij hackers niet alleen losgeld eisen, maar ook dreigen de gegevens te verkopen. Ondanks deze dreiging weigert de meerderheid van de getroffen organisaties losgeld te betalen, zoals wordt geadviseerd door het Digital Trust Center (DTC). Het DTC raadt af losgeld te betalen, omdat dit de kans op herhaalde afpersing vergroot en criminele activiteiten in stand houdt.