Maj 2024 har varit en katastrofal månad för Spaniens cybersäkerhet. Flera stora företag och offentliga institutioner, inklusive Banco Santander, Telefónica, Iberdrola, DGT och Universidad Complutense, har utsatts för cyberattacker eller utreder misstänkta säkerhetsintrång. Miljontals personuppgifter befaras ha blivit komprometterade, vilket skapar oro för allvarliga konsekvenser.
Cyberattacker riktade mot stora företag och institutioner
De senaste attackerna har haft som syfte att stjäla känslig personlig information från användare. Banco Santander och Iberdrola har försökt minimera skadan genom att påpeka att det enbart är kontaktinformation som stulits, utan att lösenord eller finansiell information har komprometterats. Trots dessa påståenden varnar cybersäkerhetsexperter för att även stulen kontaktinformation utgör en betydande risk för de drabbade individerna.
Rafael López, cybersäkerhetsexpert på Perception Point, förklarar att även om angriparna inte har tillgång till bankuppgifter, kan de använda ID-nummer och kundinformation för att skapa riktade bedrägeriförsök. “De kan utge sig för att vara från Santander eller Telefónica, och det räcker för att skapa trovärdiga phishing-meddelanden,” varnar han.
Risk för sofistikerade phishing-attacker
Cybersäkerhetsexperter varnar för att dessa attacker kan leda till en oöverträffad mängd personliga phishing-försök. Det handlar inte längre om att bryta igenom datasäkerheten med avancerade verktyg, utan om att lura offret att själva öppna dörren. Med hjälp av några få personliga detaljer, som en förälders namn eller uppgifter om banken de använder, kan bedragare skapa övertygande phishing-meddelanden.
López förklarar vidare att de stulna uppgifterna kan användas för att träna AI-system och skapa ännu mer sofistikerade och personliga bedrägeriförsök. Detta gör attackerna än mer farliga och svårare att identifiera.
Leverantörsproblem och ansvar
Flera av de drabbade företagen hävdar att intrången skedde via deras leverantörer. Detta pekar på att stora företag ofta delegerar sina databaser till tredje parter som har sämre säkerhetsåtgärder, vilket skapar en potentiell sårbarhet. López anser att både huvudföretaget och dess leverantörer bör hållas ansvariga vid dataintrång och att sanktioner borde delas mellan parterna.
I Spanien har den nationella dataskyddsmyndigheten varit återhållsam när det gäller att utdöma de högsta böterna enligt EU:s dataskyddsförordning (GDPR). De största böterna hittills har varit tio miljoner euro mot Google 2022 och åtta miljoner euro mot Vodafone 2021. Offentliga institutioner som DGT och Universidad Complutense kan enligt spansk lag inte drabbas av ekonomiska sanktioner, utan endast få en varning.
Framtida åtgärder och förebyggande
För företag och institutioner är det avgörande att stärka sina säkerhetsåtgärder och implementera striktare protokoll för att skydda både egna och kunders data. Att öka medvetenheten om cybersäkerhet, både internt och bland leverantörer, är en viktig del av att förhindra framtida intrång.
Samtidigt bör privatpersoner vara extra vaksamma på phishing-försök, särskilt i ljuset av dessa attacker, och alltid vara försiktiga med att dela personliga uppgifter eller klicka på misstänkta länkar.