Bij de ransomware-aanval op klantcommunicatiebedrijf AddComm die vorig jaar plaatsvond werden de gegevens van 1,5 miljoen mensen buitgemaakt. "De hack is het beste wat ons is overkomen. Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd", zegt ceo Leonie van der Veen in het Datalekkenrapport van de Autoriteit Persoonsgegevens (AP). Het bedrijf maakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens. Wat die afspraken precies inhouden is nooit bekendgemaakt.
AddComm verzorgt voor duizenden bedrijven de communicatie met klanten. ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD, de Regionale Belasting Groep (RBG), Essent en Vattenfall, drinkwaterbedrijf Dunea, Eneco, Gemeentelijk Belastingkantoor Twente, Hoogheemraadschap Hollands Noorderkwartier (HHNK) waren enkele van de klanten van AddComm die hun klanten over het datalek waarschuwden.
Volgens de AP raakte de aanval op AddComm ruim vijfduizend klanten van het bedrijf. In totaal zorgde de ransomware-aanval voor meer dan 5400 datalekmeldingen. De toezichthouder analyseerde deze gemelde datalekken en ontdekte dat zestien organisaties hun slachtoffers niet hadden geïnformeerd over de aanval. Deze organisaties vonden bijvoorbeeld dat er geen sprake was van een hoog risico voor betrokkenen, omdat het ging om “normale” persoonsgegevens, zoals een telefoonnummer en een e-mailadres, zo laat de AP weten.
De toezichthouder vond dat er wel sprake was van hoge risico’s bij het datalek, omdat het lek bij één organisatie al zorgde voor 24.000 slachtoffers. "Door het lekken van onder meer een e-mailadres konden deze duizenden slachtoffers bijvoorbeeld per e-mail op grote schaal worden gephisht." Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen.
In totaal werden ruim 1,5 miljoen mensen slachtoffer van de aanval. De toezichthouder stelt dat het vanwege de grote aantallen (gevoelige) persoonsgegevens grote risico’s voor slachtoffers zag. "De hack is het beste wat ons is overkomen", aldus AddComm-ceo Leonie van der Veen. "Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd. Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie. Door minder data te verwerken en deze korter te bewaren, is de impact van een hack kleiner."
"Het is verleidelijk om data security vooral te zien als iets waar ‘de mensen van de techniek’ over gaan. Maar ik ben er op pijnlijke wijze achter gekomen dat dat niet klopt. Security moet een integraal onderdeel zijn van je bedrijfsvoering", laat Van der Veen in een blogposting weten." Ze voegt toe dat een procedure op papier geen garantie is voor dataveiligheid in de praktijk. Hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.