Het aantal ransomwareaanvallen in Nederland waarbij data werd gestolen, was vorig jaar bijna twee keer zo groot als in 2023. Volgens de Autoriteit Persoonsgegevens moeten organisaties niet alleen beleid opstellen, maar dit ook volgen.
De Autoriteit Persoonsgegevens meldt deze opvallende groei in haar jaarlijkse datalekrapportage. In 2023 werd nog bij 24 procent van de ransomwareaanvallen data gestolen, maar in 2024 gebeurde dat bij ‘minimaal 53 procent van de aanvallen’. “Bij de organisaties die deelnamen aan het onderzoek van de AP werd er zelfs in 89 procent van de gevallen data gestolen.” De AP zegt dat dit ten opzichte van 2023 bijna een verdubbeling is. “Criminelen gaan op zoek naar (financieel) gevoelige gegevens om deze te stelen en om daar organisaties, of zelfs de klanten daarvan, mee af te persen”, verklaart de toezichthouder.
De trend waarbij er bij ransomwareaanvallen steeds vaker data wordt gestolen, is al langere tijd gaande. Tweakers schreef er vorig jaar al een achtergrondartikel over. Experts merkten toen al op dat er steeds vaker ransomwareaanvallen voorkwamen waarbij er zelfs helemaal geen systemen meer worden versleuteld, maar die alleen nog draaien om datadiefstal.
De toezichthouder kijkt voornamelijk naar datalekken die voor slachtoffers de grootste risico’s opleveren. Dit kunnen bedrijven en directe klanten zijn, maar ook indirecte slachtoffers. Een duidelijk voorbeeld van dat laatste is klantcommunicatiebedrijf AddComm, dat in mei vorig jaar werd getroffen door een ransomwareaanval. Via de ruim vijfduizend klanten van dat bedrijf zijn in totaal anderhalf miljoen Nederlanders geraakt door dit datalek, zegt de AP nu. De toezichthouder en andere instanties waarschuwen al langer voor de gevaren van dergelijke supplychainaanvallen; daarbij worden toeleveranciers interessante doelwitten, omdat daarmee andere bedrijven kunnen worden getroffen.
AddComm is een groot geval, maar geen uitzondering. De AP stelt in haar onderzoek vast dat het aantal cyberaanvallen in 2024 is toegenomen. “In 2024 zijn er 1430 datalekken na een cyberincident gemeld. In 2023 waren dit er nog 1309”, staat in het jaarrapport.
De meeste cyberaanvallen waarvan de AP een melding binnenkreeg, kwamen voor in het onderwijs en in de zorg. Zo zijn er in het onderwijs veel datalekmeldingen gedaan na een cyberaanval bij schoolboekenleverancier Iddink, die veel onderwijsinstellingen raakte. De meeste datalekken werden gemeld in de zorg, in het openbaar bestuur en in de financiële dienstverlening.
De AP roept Nederlandse bedrijven en organisaties op tot actie op het gebied van beleid tegen cyberaanvallen. Bedrijven zouden niet alleen maar beleid moeten hebben, maar moeten zich ook goed daaraan houden en regelmatig controleren of dat beleid nog actueel is. In 40 procent van de door de AP onderzochte gevallen hadden bedrijven of instellingen wel beleid tegen cyberaanvallen, maar voerden ze dat niet juist uit of hielden er gebrekkige controle op. “In 33 procent van de gevallen was er geen of onvoldoende beleid tegen cyberaanvallen. Dat maakte deze getroffen organisaties zeer kwetsbaar voor cyberaanvallen”, aldus de AP.
:strip_exif()/i/2007676728.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2001462189.png?f=fpa)
/i/2004735554.png?f=fpa)
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_exif()/i/2004954826.jpeg?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
/i/2007418868.png?f=fpa)
:strip_exif()/i/2000585011.jpeg?f=fpa)
/i/2004610876.png?f=fpa)
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/361316/crop687655850101c_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
/u/601702/crop5671675c109e6_cropped.png?f=community){kind=small}