Datalekken bij non-profits: waarom goede doelen een aantrekkelijk doelwit zijn voor hackers

Je zou misschien denken dat hackers zich vooral richten op grote commerciële bedrijven. Toch blijken goede doelen en non-profits steeds vaker slachtoffer van cyberaanvallen. Hoe kan dat? En waarom is juist deze sector interessant voor criminelen? We leggen het in deze blog uit. 

Waarom zijn goede doelen interessant voor cybercriminelen?

Goede doelen werken met veel gevoelige informatie, zoals donateursbestanden, adressen van hulpbehoevenden en financiële gegevens. Voor cybercriminelen zijn deze gegevens goud waard.

Non-profits zijn om meerdere redenen een aantrekkelijk doelwit:

  • Meer online activiteiten: De groei van online donaties en digitale dienstverlening maakt de sector kwetsbaarder voor aanvallen.

  • Waardevolle persoonsgegevens: Gegevens van medewerkers, donateurs en vrijwilligers leveren geld op op de zwarte markt.

  • Kwetsbare doelgroepen: Organisaties die werken met kwetsbare mensen voelen sneller de druk om bij een aanval losgeld te betalen.

  • Samenwerkingen: Partnerschappen met bijvoorbeeld gemeenten vergroten de impact en schade van een aanval.

Een datalek kan elk goed doel overkomen

Misschien denk je: “Bij ons valt dat wel mee, we zijn niet zo groot.” Maar dat is juist waarom je als goed doel extra kwetsbaar bent. Kleine en middelgrote goede doelen zijn vaak een makkelijke prooi. Ze hebben een beperkt budget voor IT en hebben doorgaans een minder robuuste beveiliging dan die van grotere partijen.

Een paar voorbeelden uit de praktijk:

  • Een stichting die werkt met vluchtelingen verloor via phishing toegang tot e-mailaccounts met gevoelige dossiers.
  • Een dierenopvang kreeg te maken met ransomware en had geen back-up van hun administratie.
  • Een internationaal goed doel werd gehackt via een verouderde plug-in op hun website met een datalek als gevolg.

Als er dan ineens gegevens op straat liggen, raakt dat niet alleen je organisatie, maar ook het vertrouwen van je achterban. Vertrouwen dat je juist met zorg hebt opgebouwd…

De meest voorkomende dreigingen voor goede doelen

Cybercriminelen gebruiken verschillende technieken om goede doelen aan te vallen. De meest voorkomende dreigingen zijn:

Phishing
Phishing is nog altijd één van de populairste methodes. Aanvallers doen zich voor als een collega, bank of relatie en proberen je op die manier gevoelige informatie te stelen. Met een groot netwerk van donateurs, vrijwilligers en partners zijn goede doelen daarom extra gevoelig voor deze vorm van cybercriminaliteit. Eén goed nagemaakte e-mail kan al genoeg zijn om een werknemer of vrijwilliger te laten klikken.

Op dit moment zien we bij Bruis dat de AiTM-token diefstal erg populair is onder cybercriminelen. Bij deze vorm van phishing kunnen cybercriminelen zelfs Multi-Factor Authenication (MFA) omzeilen.  Je leest daarover meer in deze blog.

Malware & ransomware
Malware, en in het bijzonder ransomware, kan enorme schade aanrichten binnen je organisatie. Denk aan versleutelde bestanden, verloren toegang tot systemen of gestolen informatie. Omdat veel goede doelen afhankelijk zijn van digitale administratie, CRM-systemen of online campagnes, kan zo’n aanval je organisatie al snel platleggen.

DDoS-aanvallen
Bij een Distributed Denial of Service (DDoS)-aanval overspoelt een cybercrimineel je website of donatieplatform met verkeer, waardoor het tijdelijk niet bereikbaar is. Als dat gebeurt tijdens een fondsenwervingscampagne of online event, kan dat flinke impact hebben op je zichtbaarheid én inkomsten.

Datalekken
Een bestand dat je per ongeluk verstuurt naar een verkeerd mailadres, een onbeveiligde database of het niet verwijderen van een personeelsaccount, kan makkelijk leiden tot een datalek. Maar ook hacking van buitenaf kan ervoor zorgen dat belangrijke gegevens op straat komen te liggen. Wat de oorzaak ook is, het lekken van persoonsgegevens van medewerkers, donateurs, vrijwilligers of relaties kan het vertrouwen in je organisatie ernstig schaden.

Wat kun je doen om jouw goede doel beter te beschermen?

Alle kleine beetjes helpen, dat geldt ook voor cybersecurity. Je kunt vandaag al de eerste stappen nemen om je IT-omgeving beter te beveiligen. Hieronder nemen we je mee in een aantal praktische tips:

Bewustwording is stap één
Train je medewerkers en vrijwilligers om phishingmails te herkennen. Een e-mail die zogenaamd van je collega of bank komt of een nep-link die leidt naar een inlogscherm: het lijkt soms net echt en één klik kan al genoeg zijn voor een datalek. Daarom is het belangrijk dat je team weet waar ze op moeten letten. Organiseer af en toe een korte training of stuur een test-phishingmail om te zien hoe alert iedereen is. De meeste datalekken komen voort uit een menselijke fout die je misschien wel kunt voorkomen.

Breng risico’s en kwetsbaarheden in kaart
Een risicoinventarisatie klinkt misschien als iets voor grote bedrijven, maar het is ook voor non-profits ontzettend waardevol. Door simpelweg in kaart te brengen welke gegevens je verwerkt, waar de zwakke plekken in je systemen zitten en welke processen risico lopen, kun je gerichte maatregelen nemen. Denk aan: wie heeft toegang tot welke data? Waar slaan we wat op? En wat doen we als er toch iets misgaat? Door daar nu in te investeren, kan het je later veel stress besparen.

Update je software en systemen
Updates komen altijd op het moment dat het je niet uitkomt, maar stel ze niet uit. Software-updates dichten beveiligingslekken die hackers actief proberen te misbruiken. Dit geldt niet alleen voor je computers, maar ook voor je website, routers en printers. Maak er een gewoonte van om regelmatig te checken of alles up-to-date is.

Werk met sterke wachtwoorden, MFA en passkeys
Wachtwoorden als “Welkom123” of “Stichting2023” zijn helaas nog steeds populair, maar het zijn makkelijke wachtwoorden om te kraken. Gebruik unieke, sterke wachtwoorden en maak gebruik van een wachtwoordmanager om ze veilig op te slaan. Voeg daar MFA aan je maakt het cybercriminelen al minder makkelijk.

Toch is een wachtwoord met MFA niet altijd meer voldoende om cybercriminelen buiten de deur te houden. Als je zeker wilt zijn van een veilige inlogmethode, raden we je aan om over te stappen op een passkey. Een passkey werkt als een digitale sleutel die alleen op jouw apparaat staat en die je toegang geeft zonder dat je een wachtwoord hoeft te typen. Je bevestigt je inlog bijvoorbeeld met je vingerafdruk, gezichtsherkenning of pincode. Omdat de sleutel nooit over het internet wordt verstuurd, is hij vrijwel onmogelijk te stelen of te kraken.

Maak back-ups en test ze
Een cyberaanval kan ervoor zorgen dat je belangrijke informatie en documenten verliest. Als je in dat geval geen back-up hebt, dan ben je alles kwijt. Maak dus regelmatig een back-up van je belangrijkste bestanden en bewaar die op een andere locatie (offline of in de cloud). Maar let op: een back-up is pas nuttig als je zeker weet dat je hem kunt terugzetten. Test daarom met regelmaat of je back-ups het ook doen. Het kost je misschien even tijd, maar kan je belangrijke gegevens redden.

Ondersteuning nodig bij jouw cybersecurity?

Bij Bruis helpen we goede doelen elke dag om veilig, slim en zorgeloos te werken. Op een manier die past bij jouw organisatie en missie. We zijn ISO9001, ISO27001 en NEN7510 gecertificeerd. Dat betekent dat we werken volgens de hoogste normen van kwaliteit- en informatiebeveiliging en dat jij erop kunt vertrouwen dat je in goede handen bent.

Benieuwd hoe veilig jouw organisatie eigenlijk is? Of wil je gewoon eens sparren over wat je kunt verbeteren? We denken graag met je mee. Neem via de onderstaande knop contact met ons op.

Heb je een vraag?

Neem gerust contact met ons op. We beantwoorden je vragen graag!

hallo@bruis.it
088 008 4700

Ook interessant: