Het aantal datadiefstallen door cybercriminelen is in 2024 vrijwel verdubbeld. Dat meldt de Autoriteit Persoonsgegevens (AP) in het jaarlijkse overzicht van datalekken in Nederland. Bij datadiefstal stelen cybercriminelen persoonlijke gegevens van mensen en dreigen die te verkopen of op internet te zetten.

“Wees ontzettend alert op je gegevens, waar je die bewaart en met wie je die deelt”, waarschuwt AP-bestuurder Katja Mur. “Er kunnen je echt de naarste dingen overkomen als criminelen gegevens van jou in handen krijgen. Met je telefoonnummer of e-mail sturen ze je nauwelijks van echt te onderscheiden nepberichten, om je zo op te lichten en geld van je te stelen. Met een kopie van je paspoort kan iemand zich online voordoen als jou, bijvoorbeeld door een belabonnement af te sluiten en op jouw naam illegale zaken te organiseren. Pas dus écht goed op.”

Datadiefstal door ransomware
Datadiefstal vindt vaak plaats bij cyberaanvallen met ransomware. Daarbij nemen hackers computersystemen van organisaties over en ‘bevriezen’ zij de data in de systemen, om vervolgens losgeld te eisen.
Organisaties bereiden zich hier steeds vaker op voor door back-ups van data te maken, zodat zij een kopie van de data hebben voor na een eventuele hack. Maar hackers passen hun tactieken hier vervolgens weer op aan. Cybercriminelen kopiëren de gehackte datasets steeds vaker zelf ook en dreigen die vervolgens te verkopen of online te publiceren als ze geen geld krijgen. Zo proberen de criminelen hun verdienmodel in stand te houden.

Zorgwekkende trend
Deze datadiefstal kwam in 2024 ongeveer twee keer zo vaak voor als in 2023, schat de AP. Mur: “We kunnen spreken van een zorgwekkende trend.” De AP baseert zich onder meer op een enquête die zij heeft uitgevoerd onder organisaties die vorig jaar werden getroffen door ransomware. Het totale aantal ‘succesvolle’ ransomware-aanvallen in 2024 bedroeg volgens de AP zeker 112.
De financiële schade van cyberaanvallen voor organisaties kan flink oplopen, blijkt ook uit de enquête van de AP. Er zijn voorbeelden uit 2024 waarbij de schade oploopt tot in de tonnen. Gemiddeld geven organisaties aan dat zij voor meer dan 100.000 euro het schip in gingen. Kostenposten na een ransomware-aanval zijn bijvoorbeeld de noodgedwongen inhuur van externe cyberdeskundigen.

CEO aan het woord
Nieuw in de datalekkenrapportage van de AP is dat de CEO van een klantcommunicatiebureau vertelt over haar ervaringen met een grootschalige ransomware-aanval op haar bedrijf. Meer dan 5.000 klantorganisaties van het bedrijf AddComm en daarmee de persoonlijke gegevens van circa 1,5 miljoen klanten van onder andere Eneco, Essent en Vattenfall werden hierdoor ook geraakt, aldus CEO Leonie van der Veen. Het ging onder andere om namen, adressen, e-mailadressen, factuurbedragen en in sommige gevallen zelfs burgerservicenummers en medische informatie. Criminelen gebruiken deze gegevens voor gerichte phishing-aanvallen of bijvoorbeeld het versturen van valse facturen.
De AP roept organisaties alvast op zich beter te wapenen tegen cyberaanvallen. Mur: “Dat is in het belang van je klanten, jezelf – van iedereen. Zorg dat je ICT-beveiliging op orde is, maak een zorgvuldige omgang met data een onderdeel van je organisatiecultuur en zet het onderwerp centraal op de bestuursagenda.” Wat je niet hebt, kan ook niet lekken, stelt de AP, die er nogmaals op aandringt om minder data te verzamelen, die korter te bewaren en alleen te delen met externe partijen als dat echt noodzakelijk is. Ook het detecteren van verdachte inlogpogingen en het instellen van multifactorauthenticatie (MFA) zijn cruciale maatregelen. Mocht het toch misgaan, dan is het van cruciaal belang om slachtoffers zo snel mogelijk te informeren om gevolgschade te beperken.