Recent vroegen wij ons af: “Hoe vaak zijn er eigenlijk Cyberincidenten in Nederland bekend geworden in de media?”. Het antwoord is waarschijnlijk frequent, maar we waren op zoek naar een wat ‘harder’ cijfer dan een mysterieus onderbuik gevoel. We gingen dus aan de slag.
Scope van de zoektocht
Voordat we begonnen met onze zoektocht naar Cyberincidenten vonden we scope heel belangrijk. Deze hebben we gesteld op Nederlandse bedrijven. We hebben ook bedrijven opgezocht waarbij een Cyberincident direct impact had op een Nederlands bedrijf.
Hierbij hebben we (ongeveer) de startdatum van de Algemene Verordening Gegevensbescherming (AVG) genomen als moment vanaf waar we zijn gaan zoeken. Het is immers mogelijk om heel ver terug te gaan. En het laatste uitgangspunt is dat een Cyberincident uiteraard in de media bekend is. Op onze lijst dus geen incidenten die online niet gevonden kunnen worden.
De volgende zoektermen zijn onder andere gebruikt bij de zoektocht: datalek, gijzelsoftware, ransomware, ceo-fraude, nepmail, hack, en phishing.
Soorten Cyberincidenten
Er zijn ontzettend veel variaties mogelijk, maar we hebben de Cyberincidenten op hoofdlijnen weten terug te brengen naar de volgende categorieën. Dat zijn: (D)DoS, Datalek, verlies of misbruik (interne actor), Datalek, inbraak of kwetsbaarheid (externe actor), Gijzelsoftware (ransomware), en Oplichting / fraude (via e-mail of IM). Elk incident krijgt overigens maar één categorie om dubbele tellingen te voorkomen.
Bij enkele categorieën geven we ook aan om hoeveel gelekte gegevensrecords of betrokkenen het ging. Van andere categorieën Cyberincidenten hebben we de financiële schade genoemd, en de hoogte van een eventuele boete. Waar bekend hebben we ook aangegeven of er losgeld is betaald en hoeveel dat dan was.
We zijn vervolgens gaan zoeken op de voor de hand liggende websites Tweakers.net en Security.nl, maar hebben ook andere bronnen gebruikt in onze zoektocht.
Observaties Cyberincidenten
Hieronder staan onze observaties uiteengezet in de verschillende categorieën en jaren.
| Cyberincident | 2021 | 2020 | 2019 | 2018* | Totaal |
|---|---|---|---|---|---|
| (D)DoS | 4 | 16 | 0 | 6 | 26 |
| Datalek, verlies of misbruik (interne actor) | 8 | 7 | 11 | 6 | 32 |
| Datalek, inbraak of kwetsbaarheid (externe actor) | 17 | 23 | 14 | 7 | 61 |
| Gijzelsoftware (ransomware) | 7 | 11 | 2 | 0 | 20 |
| Oplichting / fraude (via e-mail of IM) | 0 | 1 | 1 | 1 | 3 |
| Non-compliance AVG | 2 | 2 | 1 | 0 | 5 |
| Totaal | 38 | 60 | 29 | 20 | 147 |
Over de hele periode zijn er 93 datalekken in de media terecht gekomen. In 52 gevallen werd bekend gemaakt wat de daadwerkelijke impact van de lek was. Totaal zijn er hierbij 24 miljoen gegevensrecords gelekt. Gemiddeld ging het om 460 duizend per datalek. Wanneer bij de datalekken zonder dergelijke bekendmaking uitgegaan wordt van een gemiddelde datalek, dan zou het potentieel om bijna 18,8 miljoen gegevensrecords gaan. Samen goed voor meer dan 42 miljoen gegevensrecords.
In de media vonden we maar 3 Cyberincidenten in de categorie CEO-fraude. Samen wel goed voor een schadebedrag van € 19,5 miljoen euro. Zo is ook bekend dat in 4 gijzelsoftware gevallen voor € 3 miljoen euro aan losgeld betaald is. Terwijl er in ieder geval bij 7 gevallen bekend zijn gemaakt dat er losgeld betaald is. Ook Autoriteit Persoonsgegevens heeft niet stil gezeten met een boetetotaal van € 4,4 miljoen euro bij 4 datalekken en 5 gevallen van non-compliance aan de AVG.
Daarbij lijkt er een overduidelijke groei trend te zijn. Het totaal in 2018 (behoudens de eerste 4 maanden) was 20 Cyberincidenten. In 2019 groeide dit naar 29, en in 2020 zelfs naar 60. Een schatting van het totaal aan Cyberincidenten in 2021 komt uit op zo’n 90. Dus er zijn waarschijnlijk nog 50 incidenten die het resterende jaar gaan vullen met verwondering en verbazing. Tijd zal het leren.
Bij interesse in toegang tot de lijst met Cyberincidenten kan er contact met ons opgenomen worden. Zie contact informatie onderaan deze blog.
Puntje van het topje van de ijsberg
De cijfers die we hebben gevonden geven al duidelijk een groot probleem weer. Tegelijkertijd hebben we het zeer sterke vermoeden dat dit nog maar het puntje van het topje van de spreekwoordelijke ijsberg is.
Autoriteit Persoonsgegevens geeft in ieder geval al aan dat er tot eind 2020 al 12 boetes zijn uitgedeeld. De boete van Uber hebben we overigens niet overgenomen (Amerikaans bedrijf).
Opvallend vonden we ook dat er zo weinig gijzelsoftware gevallen in de media terecht zijn gekomen. Terwijl gijzelsoftware toch wel als een sterk groeiend dreiging wordt gezien. Ook Tweakers heeft in oktober 2020 hier een uitgebreid artikel aan gewijd. En de NCSC ondersteund deze waarneming ook in het Cybersecuritybeeld Nederland 2020.
Bij het doornemen van de data viel ons ook op dat (D)DoS aanvallen vooral gericht zijn op Internet Service Providers. En dat datalekken voor zo’n 34% toe te schrijven zijn aan interne actoren! Inhoudelijk gezien is het belangrijk dat bedrijven hun Security hygiene op orde brengen en houden. En dat tevens medewerkers bewust worden gemaakt en gehouden van Security én Privacy risico’s.
Heeft u ondersteuning nodig bij het in kaart brengen van uw Cybersecurity risico’s? Of heeft u hulp nodig bij een Cyberincident? Roep dan gelijk onze hulp in! Dat kan via [email protected] en 085 0290 572.