In dit blog kijken we terug op een bewogen 2021, deels vanwege een kleine pandemie waar we mee te maken kregen maar ook vanwege een flinke toename in het aantal datalekken. Voordat we de cijfertjes gaan bekijken en zien hoe snel het aantal datalekken toeneemt, is het goed om de volgende vraag eerst te beantwoorden. ‘Wat is een datalek?’.
Voor sommige van u zal dit een overbodige vraag zijn en als dat het geval is, goedzo! Want dat betekent dat je goed op de hoogte bent. Waren wij een basisschooljuffrouw geweest hadden we je nu een sticker gegeven. Anyway, terug naar de definitie van een datalek. Omdat er tegenwoordig steeds meer aandacht is voor privacy en data (pluspunt) zijn er tegelijkertijd ook steeds meer definities van een datalek (minpunt). Op die manier wordt het namelijk niet overzichtelijker. Omdat wij vinden dat een overheidsorgaan met de woorden ‘Autoriteit’ en ‘persoonsgegevens’ hier best wel wat kennis over zou moeten hebben, houden wij altijd de omschrijving van de AP aan. Namelijk:
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Zoals in de omschrijving al duidelijk wordt, een datalek komt niet enkel voor wanneer er data ontvreemd wordt! We vinden het belangrijk om dit te benadrukken, vandaar ook het uitroepteken, omdat veel mensen en organisaties hier de fout in gaan. Maar wanneer Pietje perrongeluk een e-mail inziet vol met vertrouwelijke persoonsgegevens is het ook een datalek. Heeft diezelfde Pietje echt een slechte dag en vernietigt hij (onbedoeld) een paar documenten met persoonsgegevens is dat ook een datalek. In alle gevallen dient er melding gemaakt te worden bij de AP. Waarom? Omdat de betrokken personen schade kunnen leiden door de acties van Pietje.
Nu dat de betekenis van een datalek helder is, is het tijd om het afgelopen jaar eens onder de loep te nemen. Zoals al aangegeven, het ziet er niet best uit. Dit zal geen nieuws zijn, maar wij hopen toch altijd dat een blog als deze iedereen weer even iedereen op scherp zet. U moet tenslotte niet vergeten dat een datalek het begin kan zijn van een succesvolle cyberaanval. Nog steeds wordt een datalek teveel als iets op zichzelf staand gezien, maar niets is minder waar. Bij een datalek komen vaak persoonlijke gegevens vrij. Deze gegevens kunnen vervolgens gebruikt worden om een bruteforce aanval uit te voeren of om middels spearphishing heel gericht aan te vallen in de hoop wat inloggegevens te ontfutselen. En dit zijn slechts enkele voorbeelden.
Zoals in de afbeelding hierboven te zien is, is het aantal meldingen van cyberaanvallen met 88% gestegen. We hoeven niet uit te leggen dat dit bizar is. Het aantal datalekmeldingen in 2021 tikte bijna de 25.000 aan, een stijging van bijna 5% ten opzichte van 2020 (23.550). En eigenlijk zou deze stijging allang moeten stagneren. Tegenwoordig is er zo ongekend veel aandacht voor ‘hoe om te gaan met data’ en ‘veilig online’ dat je zou verwachten dat u en ik, ofwel de mens, wat bewuster te werk zou gaan. Maar helaas. Hackers hebben inmiddels ook door waar ze het meest kunnen scoren en in 2021 zien we dat goed terug. Steeds meer IT-leveranciers worden aangevallen, zeker zij die persoonsgegevens van vele mensen verwerken zijn in 2021 een populair doelwit gebleken.
De AP heeft het afgelopen jaar 28 datalekken gezien bij IT-leveranciers. De impact hiervan is enorm. Deze 28 datalekken hebben geleid tot 1.800 datalekmeldingen bij de AP. Hierbij zijn naar schatting minimaal 7 miljoen slachtoffers getroffen. Omdat niet alle datalekken aan de AP worden gemeld, zijn dit er waarschijnlijk nog veel meer. De meeste datalekken bij IT-leveranciers worden veroorzaakt door cyberaanvallen. Het is voor een aanvaller dus veel effectiever om een verwerker aan te vallen dan een organisatie an sich.
Een ander populair doelwit, ondanks dat deze in het jaarverslag niet wordt benoemd, zijn de gemeentes. In 2021 zijn er enkele gemeentes uitgebreid in het nieuws geweest vanwege succesvolle aanvallen. Zo moest de Informatiebeveiligingsdienst (IBD), cybersecurity-onderdeel van de Vereniging Nederlandse Gemeenten (VNG), volgens het jaaroverzicht 2021 bij 276 ICT-incidenten ondersteuning bieden. In 2020 waren dat er 175, ruim 100 minder. In 2022 lijkt dit niet af te nemen, sterker nog, gemeentes zijn vanwege alle persoonsgegevens die zij verwerken en het vaak wat oubollige beleid een interessante optie voor hackers. Zo werden enkele weken geleden nog 5 gemeentes in Limburg gelijktijdig aangevallen.
Naast een redelijk onheilspellend rapport komt de AP ook met advies waar elke organisatie meteen mee aan de slag zou kunnen en moeten gaan (voor zover dat nog niet is gebeurd).
Een datalek is zoveel meer dan ‘he vervelend zeg’. Het heeft diverse negatieve effecten waar je als organisatie langs last van kan hebben en welke zelfs uiteindelijk tot faillissement kunnen leiden. Voorkomen is in het geval van een datalek zoveel beter dan moeten genezen. Op het moment dat er data uit jouw organisatie is gelekt zal dit financiële-, imago- en reputatieschade opleveren. Ons advies is dan ook om actief bezig te gaan met security awareness binnen de organisatie. Zorg er daarnaast voor dat uw IT-systemen minimaal 1 keer per jaar goed getest worden op mogelijk kwetsbaarheden. En tot slot, wees kritisch en alert. Ook nu zo net na de vakantie.
Meer weten of een keer sparren over uw cyberveiligheid? U weet ons inmiddels wel te bereiken!
Automated page speed optimizations for fast site performance