AP: gemeenten melden in 2023 meeste cyberaanvallen

Bij cyberaanvallen wordt het risico van een datalek voor betrokkenen standaard te laag ingeschat door de getroffen organisaties. Dat concludeert de Autoriteit Persoonsgegevens na een analyse van de datalekmeldingen in 2023.

Aanzienlijk meer meldingen cyberaanvallen

In 2023 kreeg de Autoriteit Persoonsgegevens (AP) 25.694 meldingen van datalekken, zo is te lezen in de jaarlijkse rapportage. De meeste meldingen waren afkomstig uit de gezondheidssector. De sector openbaar bestuur heeft de twijfelachtige eer om de gezondheidssector te hebben ingehaald als sector met het hoogte aantal meldingen van cyberaanvallen. In 2023 ontving de Autoriteit Persoonsgegevens 141 meldingen van gemeenten over cyberaanvallen. Uit de sector openbaar bestuur als geheel kwamen 183 meldingen binnen van cyberaanvallen; aanzienlijk meer dan de 58 van vorig jaar.

Toeleverancier geraakt

Het ging in de meeste gevallen (145 van 183) om cyberaanvallen die plaatsvinden bij ingehuurde bedrijven, zoals ict-leveranciers. Als een toeleverancier wordt geraakt, treft hetzelfde datalek vaak meerdere organisaties. Zo werd de software van de in maart 2023 gehackte ict-dienstverlener Nebu gebruikt door 20 Nederlandse marktonderzoeksbureaus, die op hun beurt onderzoeken uitvoerden voor 190 Nederlandse klantorganisaties, waaronder gemeenten. In totaal schat de AP dat 2,5 miljoen mensen slachtoffer werden van het datalek (al kunnen er dubbelingen tussen zitten, als iemand bijvoorbeeld klant was bij VodafoneZiggo én inwoner van Woerden, of een van de andere getroffen gemeenten.)

Betrokkenen informeren niet de eerste prio

Organisaties reageren meestal verrast als ze slachtoffer blijken van een cyberaanval. Hoe krijgen we de systemen weer online? Waar hebben de cybercriminelen gezeten? Het melden van het datalek – binnen 72 uur – en het informeren van de mensen wiens data mogelijk zijn buitgemaakt staan lager op de prioriteitenlijst, merkt de toezichthouder. Uit een analyse van de datalekmeldingen na cyberaanvallen blijkt dat in gemiddeld 46 procent van de gevallen de betrokkenen worden geïnformeerd. Dat baart de AP zorgen.

Het bevorderen van de digitale weerbaarheid begint bij bewustzijn van waar de risico’s liggen.

Özlem Sehirli, Autoriteit Persoonsgegevens

Risico-onderschatting 

Vaak menen organisaties dat het wel meevalt met de ernst van de datalekken. Op het meldformulier van de toezichthouder moet de melder een inschatting maken van het risico voor de betrokkenen. Gemiddeld wordt in 69 procent van de gevallen gedacht dat het een laag risico betreft. Wanneer er bijzondere persoonsgegevens zijn buitgemaakt, zoals medische dossiers, schat 66 procent van de organisaties het risico voor betrokkenen nog steeds laag in. Bij kopieën van paspoorten is dat 67 procent en bij creditcardgegevens 70 procent. 

‘Het bevorderen van de digitale weerbaarheid begint bij bewustzijn van waar de risico’s liggen,’ zegt Özlem Sehirli, manager Team Datalekken bij de AP. ‘Pas dan kun je als organisatie de juiste veiligheidsmaatregelen nemen.’ Ze vermoedt dat onwetendheid over privacy de oorzaak is. 'De schade van het lekken van een medisch dossier is niet zo tastbaar. En bij een gelekt emailadres onderschatten organisaties wat een cybercrimineel ermee kan doen.'

Veel phishing na aanval Nebu

Dat is zorgelijk, vindt datalekcoördinator Dennis Davrados. ‘Met een emailadres of een telefoonnummer in combinatie met NAW-gegevens (naam, adres, woonplaats - red.) kun je een phishingaanval opzetten, zoals veelvuldig is gebeurd na de aanval op Nebu. Daarom moet je zo’n datalek zo snel mogelijk melden.’ Inwoners ontvangen bijvoorbeeld een persoonlijke email waarin ze worden bedankt dat ze aan het onderzoek van de gemeente hebben meegedaan, met een malafide link die ze zogenaamd naar een cadeaubon leidt. De AP is van plan om meer capaciteit te zetten op het bewustmaken van organisaties van de ernst van datalekken.

Na de aanval op Nebu zijn veelvuldig phishingaanvallen opgezet.

Dennis Davrados, Autoriteit Persoonsgegevens

Actief achter de broek gezeten

Of de betrokkenen van een datalek worden geïnformeerd, hangt niet altijd samen met de risico-inschatting van de organisatie, blijkt uit de analyse. Zo worden slachtoffers in 60 procent van de gevallen wel op de hoogte gesteld dat hun emailadres of telefoonnummer is gelekt, terwijl de organisatie slechts in 19 procent van de gevallen denkt dat er sprake is van een hoog risico.

Bij het hogere percentage meldingen heeft het toezicht een rol gespeeld, vermoedt de AP. Bij een cyberaanval waarbij meerdere organisaties betrokken waren, benadert de toezichthouder actief de organisaties die niet uit zichzelf melding doen van het datalek, om ze over te halen om alsnog een melding te doen bij de AP en bij de slachtoffers. Dat blijkt effectief.