Het aantal datadiefstallen door cybercriminelen is in 2024 vrijwel verdubbeld. Dat meldt de Autoriteit Persoonsgegevens (AP) in het jaarlijkse overzicht van datalekken in Nederland. Bij datadiefstal stelen cybercriminelen persoonlijke gegevens van mensen en dreigen die te verkopen of op internet te zetten.

‘Wees ontzettend alert op je gegevens, waar je die bewaart en met wie je die deelt’, waarschuwt AP-bestuurder Katja Mur. ‘Er kunnen je echt de naarste dingen overkomen als criminelen gegevens van jou in handen krijgen. Met je telefoonnummer of e-mail sturen ze je nauwelijks van echt te onderscheiden nepberichten, om je zo op te lichten en geld van je te stelen. Met een kopie van je paspoort kan iemand zich online voordoen als jou, bijvoorbeeld door een belabonnement af te sluiten en op jouw naam illegale zaken te organiseren. Pas dus écht goed op.’

Datadiefstal door ransomware

Datadiefstal vindt vaak plaats bij cyberaanvallen met ransomware. Daarbij nemen hackers computersystemen van organisaties over en ‘bevriezen’ zij de data in de systemen, om vervolgens losgeld te eisen.

Organisaties bereiden zich hier steeds vaker op voor door back-ups van data te maken, zodat zij een kopie van de data hebben voor na een eventuele hack. Maar hackers passen hun tactieken hier vervolgens weer op aan. Cybercriminelen kopiëren de gehackte datasets steeds vaker zelf ook en dreigen die vervolgens te verkopen of online te publiceren als ze geen geld krijgen. Zo proberen de criminelen hun verdienmodel in stand te houden.

Zorgwekkende trend

Deze datadiefstal kwam in 2024 ongeveer twee keer zo vaak voor als in 2023, schat de AP. Mur: ‘We kunnen spreken van een zorgwekkende trend.’ De AP baseert zich onder meer op een enquête die zij heeft uitgevoerd onder organisaties die vorig jaar werden getroffen door ransomware. Het totale aantal ‘succesvolle’ ransomware-aanvallen in 2024 bedroeg volgens de AP zeker 112.

Enorme schade

De financiële schade van cyberaanvallen voor organisaties kan flink oplopen, blijkt ook uit de enquête van de AP. Er zijn voorbeelden uit 2024 waarbij de schade oploopt tot in de tonnen. Gemiddeld geven organisaties aan dat zij voor meer dan 100.000 euro het schip in gingen. Kostenposten na een ransomware-aanval zijn bijvoorbeeld de noodgedwongen inhuur van externe cyberdeskundigen.

CEO aan het woord

Nieuw in de datalekkenrapportage van de AP is dat de CEO van een klantcommunicatiebureau vertelt over haar ervaringen met een grootschalige ransomware-aanval op haar bedrijf. Meer dan 5.000 klantorganisaties van het bedrijf – en daarmee de persoonlijke gegevens van circa 1,5 miljoen mensen – werden hierdoor ook geraakt.

Welke lessen heeft deze CEO hieruit geleerd, en welke boodschap heeft zij voor anderen?

Oproep van de AP

De AP roept organisaties alvast op zich beter te wapenen tegen cyberaanvallen. Mur: ‘Dat is in het belang van je klanten, jezelf – van iedereen. Zorg dat je ICT-beveiliging op orde is, maak een zorgvuldige omgang met data een onderdeel van je organisatiecultuur en zet het onderwerp centraal op de bestuursagenda.’

Bron: AP