In 2023 zijn er in Nederland meer aanvallen met ransomware geweest dan tot nu toe algemeen bekend was. Dat blijkt uit de eerste ransomware-rapportage van de Autoriteit Persoonsgegevens (AP).
Over heel 2023 telt de AP zeker 178 geslaagde aanvallen. Omdat een aanval vaak meerdere organisaties tegelijk treft, loopt het totale aantal getroffen organisaties tot in de vele honderden. Persoonlijke gegevens van miljoenen mensen in Nederland werden geraakt.
“Ransomware-aanvallen zijn een gevaarlijke trend, ze maken serieus slachtoffers”, verklaart AP-voorzitter Aleid Wolfsen. “Uit cijfers van de AP blijkt nu dat dit gevaar zelfs nog groter is dan gedacht. Dat moet een waarschuwing zijn voor iedereen. Organisaties in Nederland: word niet het volgende slachtoffer, zorg dat je je digitale beveiliging op orde hebt.”
Miljoenen gegevens
Bij een ransomware-aanval breken hackers digitaal in bij een organisatie. Met speciale software ‘gijzelen’ ze bestanden vol privacygevoelige gegevens. De hackers eisen losgeld om de bestanden weer toegankelijk te maken. Ook kunnen ze dreigen om de versleutelde data aan andere criminelen te verkopen of zelfs openbaar te maken.
De AP ziet dat cybercriminelen hun pijlen soms richten op één specifiek bedrijf in een bepaalde sector. Maar ook dat ze regelmatig IT-leveranciers aanvallen die gegevens beheren namens een hele reeks bedrijven uit allerlei sectoren. Slaagt zo’n aanval, dan raken de hackers dus in een klap tal van organisaties – en daarmee uiteindelijk ook de vele mensen van wie persoonsgegevens bij al die organisaties liggen.
Wolfsen: “De omvang van een ransomware-aanval neemt al snel exponentieel toe, de schade vermenigvuldigt zich vliegensvlug. Onderschat het niet.” Bij één specifieke ransomware-hack werden vorig jaar in een keer zelfs meer dan tweehonderd organisaties tegelijkertijd getroffen, met gegevens van in totaal maar liefst 2,5 miljoen mensen in Nederland.
Meldplicht
Een schatting tot nu toe was dat er vorig jaar in Nederland ruim 140 ransomware-aanvallen waren. Dit cijfer komt van andere instanties die zich met het thema bezighouden. Dat de AP meer ransomware-aanvallen telt, komt mogelijk door de rol van de AP als toezichthouder op de wettelijke meldplicht bij datalekken.
Wolfsen: “Een datalek is als er iets misgaat waardoor persoonsgegevens bij de verkeerde mensen kunnen terechtkomen. Bij een ransomware-aanval is die kans natuurlijk aanzienlijk. Een getroffen organisatie moet zo’n lek dan melden bij de AP. Het is daarentegen niet altijd verplicht om zo’n incident te melden bij andere instanties. Dit verklaart waarom de AP relatief sterk zicht heeft op het aantal ransomware-aanvallen in Nederland.”
