AP luidt noodklok voor toename in datadiefstal

Aantal datalekken neemt af

Dit artikel delen:
cybersecurity

De Autoriteit Persoonsgegevens (AP) ontving in 2020 in totaal 1.173 meldingen over hacks waarbij persoonsgegevens zijn gestolen. Dat is een toename van dertig procent ten opzichte van het jaar ervoor. Daarentegen is het aantal datalekmeldingen afgenomen.

Dat blijkt uit de ‘Rapportage Datalekken 2020’ dat de AP vandaag publiceert.

In 2020 ontving de AP in totaal 23.976 datalekmeldingen. Dat is een daling van elf procent ten opzichte van 2019. Bijna vijf procent van de meldingen betreft datadiefstal. Cybercriminelen zetten hacking, malware of phishing in om persoonsgegevens buit te maken. De autoriteit zegt dat dit type meldingen met bijna een derde is gestegen ten opzichte van vorig jaar. In 2019 namen dergelijke meldingen al met een kwart toe.

Het rapport concludeert dat vooral grote organisaties die veel persoonsgegevens verwerken het doelwit zijn van datadiefstal. Iets meer dan veertig procent van de meldingen komt van organisaties met meer dan vijfhonderd medewerkers. Het type datalek komt het meest voor in de sector gezondheid en welzijn (13 procent) gevolgd door onderwijs (11 procent), ict-dienstverlening (9 procent) en handel en autobranche (8 procent).

Dat persoonsgegevens steeds vaker het doelwit zijn van criminelen, vindt de autoriteit zeer verontrustend. Criminelen kunnen de persoonsgegevens gebruiken voor identiteitsfraude of oplichting en de schade kan tot in de duizenden euro’s lopen.

Type datalekken

Datadiefstal is dus goed voor zo’n vijf  procent van alle datalekken. Nog steeds ontstaat twee derde deel van datalekken doordat de persoonsgegevens naar een verkeerde ontvanger zijn versturen. Dat wordt gevolgd doordat een post met persoonsgegevens is kwijtgeraakt (8 procent). Andere type datalekken ontstaan wanneer verkeerde persoonsgegevens in een klantportaal worden getoond (4 procent), wanneer een apparaat of gegevensdrager, zoals usb-stick, is kwijtgeraakt of gestolen (3 procent) en wanneer persoonsgegevens per ongeluk worden gepubliceerd (3 procent).

Van de 23.976 datalekmeldingen komt maar liefst dertig procent uit de sector gezondheid en welzijn. Dat is een daling van vier procent ten opzichte van 2019. De daarop volgende meest getroffen sectoren zijn de financiële dienstverlening en het openbaar bestuur (beide 22 procent). De financiële sector noteert een daling van 34 procent en bij de overheid stijgt het aantal datalekken met dertien procent. Die stijging bij de overheid komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger. Drie procent van de datalekmeldingen is afkomstig uit de ict-sector.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

"Net als in de afgelopen jaren worden de meeste datalekken veroorzaakt doordat persoonsgegevens naar een verkeerde ontvanger gaan. De stijging van het aantal meldingen vanuit de overheid komt hoofdzakelijk door dit type datalek."

Eehhmm ja, is dat hier niet de essentie van een datalek? Dat 'persoonsgegevens naar een verkeerde ontvanger gaan'?
Als ze naar de goede ontvanger gaan is er niets aan de hand. En als het geen persoonsgegevens betreft dan heeft de AP geen betrokkenheid.
Bij een 'datalek' is sprake van verlies door eigen nalatigheid of toedoen. Dit in tegenstelling tot 'datadiefstal'.

Gezondheid & Welzijn (30%), Financiële Dienstverlening (22%) en Openbaar Bestuur (22%) waren in 2020 gezamenlijk verantwoordelijk voor 74% van het totaal aantal meldingen van 'datalekken'. En in 66% van het totaal aantal meldingen van 'datalekken' was sprake van verkeerd verstuurde persoonsgegevens of afgifte aan de verkeerde ontvanger.
Daarnaast was in slechts 5% van het totaal aantal meldingen van 'datalekken' sprake van hacking, phishing of malware.
Kortom, in ongeveer 95% van de 23.976 van de 'datalekken' was sprake van 'eigen toedoen'.
Overigens blijkt een onbekend aantal meldingen van 'datalekken' niet of te laat te worden gemeld. Opnieuw een zaak van 'eigen toedoen'.

Onduidelijk, want niet onderbouwd, is hoe meerfactorauthenticatie (MFA) de impact van juist die 95% datalekken had kunnen beperken of voorkomen.
Zoals we bovendien uit de historie weten was in veel gevallen van inbreuken sprake van 'meekijken met een collega' of het gebruik van elkaars authenticatiemiddelen.
De doorgaans ontbrekende systeem- en applicatie-logging is dan het sluitstuk van het brakke bouwwerk.

Dat zowel beveiligingsbewustzijn en mede daardoor het beveiligingsbeleid in de meeste organisaties niet of onvoldoende op orde is een situatie die al decennia in stand wordt gehouden. Ook de AVG - sinds mei 2016 van kracht - heeft daarbij nauwelijks invloed gehad.
De verantwoordelijken worden nog steeds niet accountable gehouden.

Dat de AP 2/3 van het rapport besteed aan MFA misleidt dan ook. Het leidt de aandacht af van de achterliggende oorzaken.
MFA is een middel, geen doel. Een noodzakelijk middel voor een basisniveau van beveiliging.
Maar voor het dringend noodzakelijke doel is MFA slechts een beperkt middel. Een panacee.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures bij AP

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-01T10:59:00.000Z Suzanne Martens
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.