AP: Miljoenen slachtoffers door datalekken bij IT-leveranciers
In algemene zin nam het aantal datalekmeldingen het afgelopen jaar met 4% toe tot bijna 25.000, zo blijkt uit de Datalekkenrapportage 2021 van de Autoriteit Persoonsgegevens. Opvallend daarbij is dat het aantal datalekmeldingen door cyberaanvallen zoals phishing en malware bijna is verdubbeld. Cyberaanvallen veroorzaakten vorig jaar nog 5% van alle meldingen, dit jaar is dat 9%.
IT-leveranciers spelen bij deze datalekken een sleutelrol, omdat zij een steeds meer gewild doelwit zijn voor hackers. Ze slaan gegevens op en leveren softwarepakketten of digitale werkplekken. Zo zijn ze verbonden aan enorm veel organisaties, die na een geslaagde aanval worden meegetrokken, zo lichten privacy-experts van de AP tijdens de presentatie van de rapportage toe. “IT-leveranciers zijn daarom voor criminelen goud waard en een populairder wordend doelwit.”
IT-bedrijven lichten slachtoffers niet in
In totaal zijn er in 2021 28 meldingen gemaakt van datalekken bij IT-leveranciers. Dat zorgde weer voor 18.000 meldingen van organisaties die zakendoen met de IT-leveranciers in kwestie. De schatting van de AP is dat er met deze 28 lekken bij IT-leveranciers vorig jaar in totaal minimaal zeven miljoen slachtoffers zijn. Lang niet ieder slachtoffer werd hierover geïnformeerd en dat is een grote zorg voor de privacywaakhond.
De AP merkt op dat meestal eerst systemen worden hersteld en pas veel later mensen op de hoogte worden gebracht van het datalek, waardoor de schade nog groter kan worden omdat slachtoffers zich pas veel later kunnen beschermen tegen gevolgen door bijvoorbeeld een wachtwoord te veranderen.
In het rapport klinkt dan ook flinke kritiek op IT-leveranciers, die in ogen van de AP hebben nagelaten om slachtoffers te informeren. De organisatie constateert dat IT-leveranciers niet snel, transparant en volledig genoeg communiceren over hun datalekken. Sommigen wachten tot nader onderzoek is afgerond, anderen zijn bang voor reputatieschade en onrust bij klanten. “Dit zijn voor de AP geen goede redenen”, schrijft de organisatie, die benadrukt dat IT-leveranciers die niet direct en volledig informeren de privacywet overtreden.
Losgeld geen maatregel
De AP ziet ook dat slachtoffers van organisaties die losgeld hebben betaald aan hackers om toegang tot gestolen data terug te krijgen vervolgens niet geïnformeerd worden over het lek. Een veelgenoemde reden daarbij is dat hackers na betaling toezeggingen deden over het niet verder verspreiden van data. In de ogen van de AP is losgeld betalen nooit een goede maatregel, mede omdat de data door hackers verder kan worden doorverkocht, waarna ze uiteindelijk worden gebruikt in spamlijsten of in bruteforce-aanvallen.
Niet-gemelde datalekken
IT-leveranciers informeren niet altijd slachtoffers van datalek, maar of de AP zelf dan wel in alle gevallen geïnformeerd wordt, blijft de vraag. Een melding levert vaak uren extra werk en diverse lastige vragen op. De werklast van datalekken kan bovendien soms fors zijn. Op de vraag of organisaties ervoor kiezen om datalekken te verzwijgen, geeft de AP aan dat er ‘wel achter organisaties wordt aangegaan’ die datalekken niet melden. “Als we erachter komen dat datalekken niet gemeld worden, sta je bij ons 3-0 achter. Hoe we achter deze lekken komen? Onder meer door wat ons via de media bereikt”, aldus één van de betrokken deskundigen.
Dat er datalekken zijn die wellicht aan het zicht van de AP worden onttrokken omdat ze niet worden gemeld, kan niet 100% worden uitgesloten. Daarbovenop komt dat de organisatie onderzoeken van datalekken met een hoog risico die wél gemeld worden aan zich voorbij moet laten gaan. De 36 uitgevoerde onderzoeken naar meer dan 7.000 datalekken met een hoog risico vormen dus slechts het topje van de ijsberg. “Het is met ons budget en onze bezetting niet mogelijk om iedere melding met een hoog risico te onderzoeken”, aldus voorzitter Aleid Wolfsen. Hij sloeg daarover de afgelopen jaren meerdere malen alarm.
In totaal werden er onderzoeken gestart naar 36 datalekken onder veertien bij IT-leveranciers, maar de toezichthouder had er afgelopen jaar graag meer uitgevoerd.
Handhaven bij slechte security
De AP trad in 2021 onder meer op bij Transavia omdat de beveiliging van persoonsgegevens slecht geregeld was. Er volgde een boete van 400.000 euro. Of de organisatie meer gaat handhaven naar aanleiding van slechte informatiebeveiliging, kan nog niet met zekerheid worden gesteld. De AP ziet bij de meest voorkomende incidenten die een datalek veroorzaakten dat een verkeerd verstuurde brief of postpakket verreweg de grootste veroorzaker is.
Maar ‘menselijke fouten’ zijn ook een aanleiding. Daaronder vallen onder meer slechte wachtwoorden, diefstel of verlies van gegevensdragers, Geen multifactor-authenticatie, slechte encryptie en gebrekkige hashing en wachtwoorden opslaan in platte tekst.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee