Risico voor betrokkenen datalek door cyberaanval wordt structureel onderschat
Bij cyberaanvallen wordt het risico van een datalek voor betrokkenen standaard te laag ingeschat door de getroffen organisaties. Dat concludeert de Autoriteit Persoonsgegevens na een analyse van de datalekmeldingen in 2023.
Openbaar bestuur koploper cyberaanvallen
In 2023 kreeg de Autoriteit Persoonsgegevens (AP) 25.694 meldingen van datalekken, zo is te lezen in de jaarlijkse rapportage. De meeste meldingen waren afkomstig uit de gezondheidssector. De sector openbaar bestuur heeft de twijfelachtige eer om de gezondheidssector te hebben ingehaald als sector met het hoogte aantal meldingen van cyberaanvallen. In 2023 ontving de Autoriteit Persoonsgegevens 141 meldingen van gemeenten over cyberaanvallen. Uit de sector openbaar bestuur als geheel kwamen 183 meldingen binnen over cyberaanvallen; aanzienlijk meer dan de 58 van vorig jaar.
Toeleverancier geraakt
In de meeste gevallen (145 van 183) ging het om cyberaanvallen die plaatsvinden bij ingehuurde bedrijven, zoals ict-leveranciers. Als een toeleverancier wordt geraakt, treft hetzelfde datalek vaak meerdere organisaties. Zo werd de software van de in maart 2023 gehackte ict-dienstverlener Nebu gebruikt door 20 Nederlandse marktonderzoeksbureaus, die op hun beurt onderzoeken uitvoerden voor 190 Nederlandse klantorganisaties, waaronder gemeenten. In totaal schat de AP dat 2,5 miljoen mensen slachtoffer werden van het datalek (al kunnen er dubbelingen tussen zitten, als iemand bijvoorbeeld klant was bij VodafoneZiggo én inwoner van Woerden, of een van de andere getroffen gemeenten.)
Minder dan de helft informeert betrokkenen
Organisaties reageren meestal verrast als ze slachtoffer blijken van een cyberaanval. Hoe krijgen we de systemen weer online? Waar hebben de cybercriminelen gezeten? Het melden van het datalek – binnen 72 uur – en het informeren van de mensen wiens data mogelijk zijn buitgemaakt staan lager op de prioriteitenlijst, merkt de toezichthouder. Uit een analyse van de datalekmeldingen na cyberaanvallen blijkt dat in gemiddeld 46 procent van de gevallen de betrokkenen worden geïnformeerd. Dat baart de AP zorgen.
Digitale weerbaarheid
Vaak menen organisaties dat het wel meevalt met de ernst van de datalekken. Op het meldformulier van de toezichthouder moet de melder een inschatting maken van het risico voor de betrokkenen. Gemiddeld wordt in 69 procent van de gevallen gedacht dat het een laag risico betreft. Wanneer er bijzondere persoonsgegevens zijn buitgemaakt, zoals medische dossiers, schat 66 procent van de organisaties het risico voor betrokkenen nog steeds laag in. Bij kopieën van paspoorten is dat 67 procent en bij creditcardgegevens 70 procent.
“Het bevorderen van de digitale weerbaarheid begint bij bewustzijn van waar de risico’s liggen,” zegt Özlem Sehirli, manager Team Datalekken bij de AP. “Pas dan kun je als organisatie de juiste veiligheidsmaatregelen nemen.” Ze vermoedt dat onwetendheid over privacy de oorzaak is. “De schade van het lekken van een medisch dossier is niet zo tastbaar. En organisaties onderschatten wat een cybercrimineel met een gelekt emailadres kan doen.”
Meer phishing na lek Nebu
Dat is zorgelijk, vindt datalekcoördinator Dennis Davrados. “Met een emailadres of een telefoonnummer in combinatie met NAW-gegevens (naam, adres, woonplaats – red.) kun je een phishingaanval opzetten, zoals veelvuldig is gebeurd na de aanval op Nebu. Daarom moet je zo’n datalek zo snel mogelijk melden.” Inwoners ontvangen bijvoorbeeld een persoonlijke email waarin ze worden bedankt dat ze aan het onderzoek van de gemeente hebben meegedaan, met een malafide link die ze zogenaamd naar een cadeaubon leidt. De AP is van plan om meer capaciteit te zetten op het bewustmaken van organisaties van de ernst van datalekken.
Risico-inschatting en melding hangen niet samen
Of de betrokkenen van een datalek worden geïnformeerd, hangt niet altijd samen met de risico-inschatting van de organisatie, blijkt uit de analyse. Zo worden slachtoffers in 60 procent van de gevallen wel op de hoogte gesteld dat hun emailadres of telefoonnummer is gelekt, terwijl de organisatie slechts in 19 procent van de gevallen denkt dat er sprake is van een hoog risico.
Actieve rol toezichthouder
Bij het hogere percentage meldingen heeft het toezicht een rol gespeeld, vermoedt de AP. Bij een cyberaanval waarbij meerdere organisaties betrokken waren, benadert de toezichthouder actief de organisaties die niet uit zichzelf melding doen van het datalek, om ze over te halen om alsnog een melding te doen bij de AP en bij de slachtoffers. Dat blijkt effectief.
Waardevol en interessant artikel. De opmerkingen over het risico verdienen wellicht ook opvolging. Uiteraard is het zeer onwenselijk dat een mailadres wordt gelekt. Daarover geen twijfel. Hoe ga je om met de risico inschatting daarvan is een belangrijke vraag.
Ik noem een analogie: vroeger hadden we telefooncellen met daarin … een telefoonboek. Het risico dat daaruit volgt dat iemand jouw huis kan vinden om er in te breken, pakken we aan door sloten op de deur, ramen sluiten als je weg bent en wat nog meer. Is een telefoonboek in een telefooncel dan een zeer waarschijnlijk hoog risico voor de rechten van betrokkenen? In de wetenschap dat de gemiddelde burger daar passende maatregelen op kan treffen en – ook niet onbelangrijk – wordt geacht te hebben getroffen? Hier weegt ook een eigen verantwoordelijkheid mee, zonder daarmee deel-verantwoordelijkheid weg te willen leiden van de verwerkingsverantwoordelijke, die suggestie voorwegnemend!
De wereld is doorontwikkeld. Onze maatregelen moeten daarop worden aangepast. Van slot op de deur en ramen sluiten, naar wijzigen wachtwoord op je router, virusscanneer op je pc of activeren bij je (mail)provider en niet blind klikken op elk mailtje dat binnenkomt.
Door het zwaartepunt van de discussie zo sterk te leggen op het verwerkingsverantwoordelijke-deel van het onderwerp, leidt dat wellicht de aandacht af van de eigen verantwoordelijkheid van betrokkenen. Een minstens zo belangrijk deel van de borging die bij de verwerkingsverantwoordelijke ligt, is borging die betrokkenen zelf kunnen en geacht mogen worden zelf te treffen. Als betrokkenen dat niet doen, in hoeverre mag/moet dat dan quasi worden verhaald op de verwerkingsverantwoordelijke?
Let wel: het bovenstaande is niet bedoeld als mening, maar als stelling om een constructief gesprek te triggeren.