Aanvallen met ransomware kwamen vorig jaar vaker voor dan tot nu toe bekend was, meldt de Autoriteit Persoonsgegevens (AP). Volgens de toezichthouder slaagden criminelen er 178 keer in een aanval uit te voeren waarbij computers werden gegijzeld.
In de praktijk zijn waarschijnlijk vele honderden organisaties getroffen, schrijft de AP in een nieuw rapport. Een aanval treft doorgaans meerdere organisaties tegelijk. "Persoonlijke gegevens van miljoenen mensen in Nederland werden geraakt", meldt de toezichthouder.
Bij een ransomwareaanval breken criminelen in op computers van een organisatie. Vervolgens gijzelen ze bestanden met gevoelige gegevens, waarna ze losgeld vragen om de versleutelde informatie weer vrij te geven. De criminelen dreigen vaak om de data te verkopen of te publiceren als er niet wordt betaald.
Uit het onderzoek blijkt dat de meeste organisaties de basisbeveiliging van hun systemen niet op orde hadden. Zo ontbrak het vaak aan tweestapsverificatie, een slecht wachtwoordbeleid en software die niet tijdig werd geüpdatet. Ook werden gevoelige gegevens vaak op één server bewaard in plaats van op verschillende netwerken.
AP-voorzitter Aleid Wolfsen maakt zich zorgen om de omvang van ransomwareaanvallen. "Dit soort aanvallen maken serieus slachtoffers", zegt hij. "Uit cijfers van de AP blijkt nu dat dit gevaar zelfs nog groter is dan gedacht. Dat moet een waarschuwing zijn voor iedereen. Organisaties in Nederland: word niet het volgende slachtoffer, zorg dat je je digitale beveiliging op orde hebt."
Bij een specifieke ransomwarehack vorig jaar werden meer dan tweehonderd organisaties tegelijk getroffen. Daarbij waren volgens de AP gegevens van 2,5 miljoen mensen in Nederland betrokken. Om welke gegevens het gaat en of die daadwerkelijk zijn buitgemaakt en doorverkocht, is niet bekend.
Bedrijven die te maken krijgen met een ransomwareaanval zijn het verplicht om dat te melden bij de AP. Overigens blijkt dat de meeste organisaties geen losgeld aan hackers overmaken. Betalen wordt door de toezichthouder dan ook afgeraden. "Zulke betalingen houden een crimineel verdienmodel in stand en vormen geen garantie dat je als organisatie daadwerkelijk je versleutelde data terugkrijgt."
Source: Nu.nl economisch