De meeste getroffen organisaties betalen cybercriminelen niet

De Autoriteit Persoonsgegevens (AP) vindt het ‘een goede zaak’ dat verreweg de meeste organisaties géén losgeld aan cybercriminelen overmaken. Uit de eerste ransomware-rapportage van de privacywaakhond blijkt dat van 90 door ransomware getroffen organisaties er slechts acht hebben betaald. Het aantal aanvallen in Nederland blijkt wel veel groter dan eerder werd gedacht.

De AP maakt bekend dat er in 2023 in Nederland meer aanvallen met ransomware zijn geweest dan gedacht werd. De toezichthouder telt zeker 178 geslaagde aanvallen. Omdat één aanval vaak meerdere organisaties treft, loopt het aantal getroffen organisaties op tot in de vele honderden. AP-voorzitter Aleid Wolfsen spreekt van ‘een gevaarlijke trend’ en roept op tot meer waakzaamheid.

De AP merkt op dat cybercriminelen hun slachtoffers steeds doelgerichter kiezen. IT-leveranciers zijn een geliefd doelwit, omdat zij gegevens beheren namens meerdere bedrijven uit diverse sectoren. ‘Als zo’n aanval slaagt, raken de hackers in één klap tal van organisaties, en daarmee uiteindelijk ook de vele mensen van wie persoonsgegevens bij die organisaties liggen.’

Klein deel betaalt

Een ontwikkeling die de AP tevreden stemt, is het kleine aantal organisaties dat losgeld betaalde aan cybercriminelen. Van de 90 onderzochte organisaties betaalden er slechts acht in de hoop dat de criminelen de gestolen gegevens niet verder zouden verspreiden. Betalen is echter nooit een goed idee, benadrukt de AP. ‘Dat houdt namelijk een illegaal systeem in stand. Hoe minder vaak organisaties besluiten te betalen na een ransomware-aanval, hoe minder aantrekkelijk Nederland wordt voor cybercriminelen. Dat komt de bescherming van persoonsgegevens van Nederlanders ten goede. Bovendien is betalen geen garantie dat cybercriminelen zich aan hun woord houden.’

Dubbele afpersing

De AP constateert namelijk ook dat organisaties niet altijd weer toegang tot hun systemen krijgen, ondanks de belofte van de cybercriminelen. ‘De systemen bleven versleuteld en de gestolen (persoons)gegevens belandden alsnog op het dark web. Van de cybercriminelen ontbrak ieder spoor. De trend van ‘dubbele afpersing’ bij ransomware-aanvallen is in opkomst. Bijna de helft van de organisaties heeft hiermee te maken gehad. Hackers maken niet alleen gegevens ontoegankelijk door ze te versleutelen, maar dreigen ook steeds vaker om de gegevens te verkopen of openbaar te maken als er niet snel wordt betaald.’