Maj har visat sig vara en katastrofal månad för Spaniens cybersäkerhet. Flera stora företag och institutioner som Banco Santander, Telefónica, Iberdrola, trafikverket DGT och Universidad Complutense har utsatts för cyberattacker eller undersöker misstänkta säkerhetsintrång. Miljontals människors persondata befaras ha blivit komprometterade.
Cyberattackerna syftar till att stjäla personuppgifter från användare. Banco Santander och Iberdrola har försökt minska allvaret genom att påpeka att endast kontaktinformation, inte lösenord eller finansiell information, har stulits. Cybersäkerhetsexperter varnar dock för att dessa intrång fortfarande utgör en betydande risk för de drabbade.
”De kanske inte har mina bankuppgifter, men de har mitt ID-nummer och vet att jag är kund hos Santander eller Telefónica. Det räcker för att skapa riktade bedrägeriförsök där de utger sig för att vara dessa företag,” varnar Rafael López, cybersäkerhetsexpert på Perception Point, i en intervju med tidningen El Diario.
López förklarar vidare att dessa data kan användas i AI-system för att skapa sofistikerade och personliga phishing-försök, vilket gör dem mycket farliga. Han påpekar att vi står inför en oöverträffad kampanj av bedrägeriförsök.
Bedrägerier riktade mot privatpersoner handlar ofta inte om att bryta igenom deras datasäkerhet med kraftfulla verktyg, utan om att få offret att själv öppna dörren. Med några få personliga uppgifter, som att målet är en förälder eller namnet på banken de använder, kan bedragare skapa trovärdiga phishing-meddelanden.
Flera av de drabbade företagen hävdar att intrången skedde hos deras leverantörer. Detta pekar på att stora företag ofta delegerar sina databaser till tredje parter med sämre säkerhetsåtgärder. López menar att både huvudföretaget och dess leverantörer bör hållas ansvariga vid sådana dataintrång och att sanktioner bör delas mellan dem.
Den spanska dataskyddsmyndigheten har sällan utdömt de högsta möjliga böterna enligt EUdataskyddsförordning. De högsta böterna hittills har varit tio miljoner euro mot Google 2022 och åtta miljoner euro mot Vodafone 2021. Offentliga institutioner som DGT och Universidad Complutense kan enligt spansk lag inte drabbas av ekonomiska sanktioner, utan endast få en varning.