Het aantal geslaagde aanvallen met gijzelsoftware in Nederland bedroeg vorig jaar ten minste 178. Dat blijkt uit gegevens van de Autoriteit Persoonsgegevens (AP). Bij die aanvallen zijn van vele miljoenen Nederlanders de persoonsgegevens gestolen.

„Dit is enorm problematisch voor Nederland”, zegt Dennis Davrados, coördinator datalekken van de AP. Hij is samen met senior inspecteur Anne Bergen in de meldingen over 2023 gedoken. Dat was een puzzel, omdat één geslaagde aanval met gijzelsoftware in de regel tot meerdere meldingen bij de AP leidt.

Doordat melden bij de AP verplicht is – en aangifte bij de politie niet – kent de AP enkele tientallen gevallen meer dan er tot nu toe bekend waren bij politie en Openbaar Ministerie. Van de 178 aanvallen vond een kwart plaats bij multinationals. Het werkt zo: een crimineel koopt op een online marktplaats gijzelsoftware en een door een hacker gevonden beveiligingslek.

De crimineel dringt daarmee dat bedrijf binnen en kopieert een deel van de daar opgeslagen data en versleutelt de data van het bedrijf. Vervolgens krijgt het bedrijf een afpersbericht: betaal, dan krijg je de sleutel om weer bij de gegevens te kunnen. Omdat het in de regel gaat om gegevens van personeel of klanten, worden via het bedrijf ook andere organisaties getroffen.

Een voorbeeld van zo’n aanval in 2023 was bij marktonderzoekbureau Blauw, dat slachtoffer werd nadat softwareleverancier Nebu was gehackt. Blauw deed peilingen voor onder meer de Nederlands.