Informatiebeveiliging, IT Audit & Assurance

Ransomware-aanvallen bewijzen dat bedrijven nog beter met hun privacy moeten omgaan

In 2020 is het aantal meldingen over hacking, malware of phishing met 30% toegenomen ten opzichte van 2019. Het eisen van ransomware komt hierbij als sluitstuk steeds vaker voor. Naast de politie ziet de Autoriteit Persoonsgegevens (AP) dat hackers bij een cyberaanval langere tijd in een netwerk aanwezig zijn. Deze tijd gebruiken hackers om het netwerk van de organisatie te verkennen en de bedrijfskritieke onderdelen te lokaliseren. Daarnaast proberen hackers meer bevoegdheden te verkrijgen, zoals administratorrechten, waarna de ransomware-aanval wordt uitgevoerd. Een ransomware-aanval kan grote gevolgen hebben voor de privacy van betrokkenen. Is er altijd sprake van een datalek ingeval van een ransomware-aanval? En moet het datalek altijd worden gemeld bij de AP? Dit is voor organisaties vaak onduidelijk.

Ransomware als datalek, wat zegt de Autoriteit Persoonsgegevens?

De AP stelt als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, er sprake is van een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

Gezien hackers vaak langere tijd in de systemen van een organisatie zijn, kan er niet van worden uitgegaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem raken of alle gekoppelde bestanden. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens of er kan meer gebeurd zijn met persoonsgegevens dan op het eerst gezicht lijkt. Persoonsgegevens kunnen bijvoorbeeld gekopieerd of gemanipuleerd zijn.

Om de daadwerkelijke omvang van het van het datalek te bepalen zal de organisatie onderzoek moeten doen. Als de organisatie geen onderzoek doet, zo stelt de AP, moet ervan uit worden gegaan dat alle gegevens in de systemen door de besmetting getroffen kunnen zijn.

Melden van het datalek aan de Autoriteit Persoonsgegevens?

Een datalek als gevolg van ransomware moet binnen 72 uur na ontdekking van het datalek aan de AP worden gemeld indien het waarschijnlijk is dat het datelek leidt tot (een aanzienlijke kans op) ernstige nadelige voor de bescherming van persoonsgegevens. Als de risico’s van het datalek hoog zijn voor betrokkenen, moeten ook deze geïnformeerd worden.

Ons advies

Zorg ten eerste dat het bewustzijn onder medewerkers ten aanzien van ransomware groot is. Klik bijvoorbeeld niet zomaar op links of bijlagen in e-mails als je de afzender niet kent. Ook is het belangrijk dat de informatiebeveiliging op orde is en dat regelmatig (offline) backups worden gemaakt. Zo voorkom je dat je gegevens onbruikbaar worden.

Wij adviseren organisaties daarnaast om in geval een ransomware-aanval gedegen onderzoek te verrichten naar de aard en de omvang en een procedure voorhanden te hebben waarin staat aangegeven hoe te handelen in geval van een datalek.

Twijfel je toch hoe te handelen in geval van een ransomware-aanval? Raadpleeg dan de privacy specialisten van Avensus. Wij kunnen jou helpen een weloverwogen beslissing te maken over de melding aan de AP en betrokkenen, het opstellen van juiste procedures en het bewustzijn vergroten binnen jouw organisatie.

Vragen? Neem contact ons op: Fhoat Visser FVisser@avensus.nl of Mateus ten Hacken MtenHacken@avensus.nl of bel gelijk naar 085-0200070

Meer weten?

Wij helpen je graag verder

+31 (0) 85-0200070
info@avensus.nl

Gerelateerd

Menu