Meer Nederlandse bedrijven slachtoffer van gijzelsoftware dan gedacht
Nederlandse bedrijven en instellingen zijn vorig jaar vaker het doelwit geweest van een succesvolle aanval met gijzelsoftware dan tot nu toe bekend was. De politie en veiligheidsbedrijven berichtten eerder over 147 incidenten. Maar de Autoriteit Persoonsgegevens (AP) ontving in dezelfde periode 178 meldingen.
Bedrijven en instellingen zijn wettelijk verplicht om een datalek bij toezichthouder AP te melden, maar zij hoeven daarvan geen aangifte te doen. Dat verklaart vermoedelijk waarom de politie eerder dit jaar op een lager aantal uitkwam.
Bij een aanval met gijzelsoftware dringen cybercriminelen computersystemen binnen. Die versleutelen ze om vervolgens losgeld te eisen voor het weer vrijgeven van bestanden.
Losgeld betaald
Uit een analyse van 90 incidenten, uitgevoerd door de toezichthouder, blijkt dat ten minste 9 procent van de onderzochte bedrijven losgeld betaalde om weer toegang te krijgen tot bestanden.
Daarnaast hebben bedrijven die werkzaam zijn in de IT-dienstverlening vaker te maken met aanvallen dan bijvoorbeeld overheidsinstellingen, ziet de AP, die toeziet op de bescherming van persoonsgegevens.
"Die hebben vaak data van andere bedrijven in beheer", zegt Aleid Wolfsen, voorzitter van de toezichthouder. "Als een hacker daar weet binnen te dringen, heeft die toegang tot de gegevens van tientallen bedrijven en daardoor miljoenen persoonsgegevens."
Beveiliging niet op orde
Wolfsen is verder geschrokken van slechte beveiliging van veel bedrijven. Twee op de drie organisaties heeft namelijk niet hun basisbeveiliging op orde. Zo hadden bedrijven geen sterk wachtwoordbeleid of voerden zij software-updates niet tijdig uit.
Ook maakten bedrijven vaak geen gebruik van tweestapsverificatie, een methode waarbij je naast een wachtwoord ook een aanvullende gegenereerde code moet invullen om in te kunnen loggen.
Cybercriminelen versleutelen niet alleen bestanden en computersystemen, maar stelen ook geregeld persoonsgegevens. Dit vormt een risico voor bijvoorbeeld klanten van bedrijven die slachtoffer zijn van een aanval met gijzelsoftware. Persoonsgegevens kunnen op het dark web belanden, waarmee de kans op identiteitsfraude, phishing en oplichting toeneemt.