image

AP: sterke toename van datalekmeldingen door malware en phishing

maandag 1 maart 2021, 09:29 door Redactie, 2 reacties

Het aantal meldingen van datalekken veroorzaakt door malware en phishing is vorig jaar sterk toegenomen, wat het belang van meerfactorauthenticatie (MFA) onderstreept, zo stelt de Autoriteit Persoonsgegevens vandaag. In totaal ontving de toezichthouder vorig jaar 24.000 datalekmeldingen, een daling ten opzichte van 2019, toen het nog om 27.000 meldingen ging. Nederland staat daarmee in de top 3 van Europese landen waar de meeste datalekken worden gemeld.

De daling vorig jaar komt vooral omdat incassobureaus minder datalekken rapporteren. Zij hebben hun werkwijze aangepast waardoor er minder betalingsherinneringen bij verkeerde ontvangers terecht zijn gekomen. Daarentegen was er wel een sterke stijging van het aantal datalekmeldingen veroorzaakt door malware, phishing en inbraken op systemen. De Autoriteit Persoonsgegevens spreekt van een explosieve toename en luidt zelfs de noodklok.

Bijna 1200 meldingen vorig jaar waren het gevolg van malware en phishing. Een stijging van dertig procent ten opzichte van 2019. In dat jaar waren dit soort meldingen ook al met 25 procent toegenomen. De AP merkt op dat vooral bij dit type datalek meerfactorauthenticatie de impact van het datalek had kunnen beperken of zelfs had kunnen voorkomen.Naar schatting van de AP waren vorig jaar minimaal 600.000 en maximaal 2.000.000 personen (mogelijk) betrokken bij een (gemeld) datalek dat voorkomen had kunnen worden met MFA.

Sectoren

De meeste datalekmeldingen werden vorig jaar gedaan door de sector gezondheid en welzijn (30 procent), gevolgd door financiële dienstverlening en openbaar bestuur (beide 22 procent). Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4 procent. De financiële sector liet zelfs een daling van 34 procent zien. Vanuit de overheid steeg het aantal datalekmeldingen echter met 13 procent. Dit komt doordat de overheid vaker persoonsgegevens naar de verkeerde ontvanger stuurde.

Niet gemelde datalekken

Net als in 2018 en 2019 stelt de toezichthouder dat nog steeds niet alle datalekken die organisaties moeten melden ook daadwerkelijk worden gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen bij de AP een klacht of tip achterlaten over een (meldplichtig) datalek, dat door de organisatie zelf niet gemeld blijkt te zijn. In 2020 heeft de AP bijna 2.500 klachten en tips van burgers ontvangen en beoordeeld over mogelijke datalekken.

Vorig jaar verrichtte de Autoriteit Persoonsgegevens tien onderzoeken waarbij (mogelijk) een meldplichtig datalek niet is gemeld. Deze onderzoeken hebben geleid tot een waarschuwende brief of een gesprek. Op dit moment lopen er nog negen onderzoeken. Naar aanleidingen van de datalekken doet de AP de onderstaande vijf aanbevelingen.

Image

Reacties (2)
01-03-2021, 13:35 door Anoniem
Een phisher kan natuurlijk gewoon vragen om de MFA codes. En de meeste mensen die niet kunnen vaststellen dat ze niet op de goede site zitten zullen deze vervolgens ook geven.

Malware vind ik wel een heel breed begrip. Malware zou bijvoorbeeld in de browser mee kunnen kijken en zo de MFA codes kunnen afvangen. Dat is volgens mij al heel oud. Een soort trojaans paard.
01-03-2021, 13:56 door karma4
Big Brother ofwel het AP bezig met de macht aan het grijpen. Wat moet die instantie met cybersecurtiy?

De verwerkende partij met een verkeerde naam voor de levering en betaling heeft te maken met een datalek op meerdere fronten. Ze mogen geen gegevens verwerken war geen overeenkomst of toestemming voor is.
Dat een oplichter met een verkeerde naam aankomt en dat zoiets geaccepteerd wordt voor de verwerking is ernstig.
Het grootste probleem voor de verwerker is het kunnen vaststellen dat het om de juiste persoon gaat. ALs ze zich bij het Ap nu daar eens druk om zouden maken. Wettelijk correct en geheel volgens de AVG.

Misdadigers en oplichters beschermen door de schuld te zoeken bij het bekend kunnen worden van namen is de foute weg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.