Cybersecuritymonitor 2020

Dit is het vierde jaar op rij dat het Centraal Bureau voor de Statistiek de Cybersecuritymonitor uitbrengt. Het doel van de monitor is het rapporteren over de meest actuele stand van zaken over de cyberweerbaarheid van bedrijven en huishoudens in Nederland. Dat gebeurt met voornamelijk CBS-cijfers over het aantal cybercrime gerelateerde incidenten en maatregelen die genomen worden om deze incidenten te voorkomen.

De cybersecuritymonitor wordt mede op verzoek van het Ministerie van Economische Zaken en Klimaat (EZK) gemaakt. De eerdere edities zijn beschikbaar via (CBS, 2017a, 2018b, 2019a).

De structuur van de monitor is weer opgezet volgens dezelfde lijnen als de afgelopen drie edities. Cybersecurity werd hierin opgesplitst in twee domeinen: maatregelen en incidenten. Bij cybersecuritymaatregelen denken we aan het hele scala van mogelijkheden om de veiligheid van computers, smartphones, laptops, servers en netwerken te verhogen. Cybersecurityincidenten zijn juist de gevolgen van acties of activiteiten die de veiligheid van deze digitale systemen ondermijnen. Cybersecurityincidenten hoeven niet altijd een gevolg van kwaadwillende acties te zijn: ook een systeemfout waardoor gevoelige data naar buiten gebracht wordt of het verliezen van een onbeveiligde USB-stick in de trein kan als een cybersecurityincident gezien worden. Immers, ook bij dit soort incidenten wordt de digitale veiligheid ondermijnd. Het ontstaan van cybersecurityincidenten als gevolg van kwaadwillenden wordt ook wel aangeduid als cybercrime. Voor een uitgebreidere toelichting verwijzen we naar de voorgaande Cybersecuritymonitors (CBS, 2017a, 2018b, 2019a).

In dit rapport worden in hoofdstuk 2 de cybersecuritymaatregelen besproken, dat wil zeggen de maatregelen die door bedrijven worden genomen om zichzelf meer cyberweerbaar te maken. In hoofdstuk 3 wordt ingegaan op alle cybersecurityincidenten bij Nederlandse bedrijven en personen. Ten slotte gaan we in hoofdstuk 4 in op de geregistreerde cybercrime, dus de cybersecurityincidenten door kwaadwillenden die ook daadwerkelijk slachtoffers gemaakt hebben.

2.1 Bedrijven

In dit hoofdstuk gaan we in op de maatregelen die bedrijven in Nederland nemen om zichzelf meer cyberweerbaar te maken. We gebruiken hier vooral de cijfers uit de CBS-enquêtes ’ICT-gebruik bedrijven 2017’ (CBS, 2017b, d, c, e, f), ’ICT-gebruik bedrijven 2018’  (CBS, 2018d, f, e, g, h), ’ICT-gebruik bedrijven 2019’ (CBS, 2019b, d, c, e, f) en ’ICT-gebruik bedrijven 2020’ (CBS, 2020b, d, c, e, f).

De jaarlijkse enquête ’ICT-gebruik bedrijven’ (of kortweg: de ICT-enquête) wordt in samenwerking met de andere EU-landen uitgevoerd. Een deel van de uitvoeringskosten van de ICT-enquête wordt door Eurostat gefinancierd. Het Ministerie van Economische Zaken en Klimaat financiert daarnaast extra onderdelen van het onderzoek die niet verplicht zijn op basis van EU-regelgeving.

Via de ICT-enquête wordt jaarlijks het ICT-gebruik van bedrijven in Nederland in kaart gebracht. Dit levert ook cijfers op die iets zeggen over de cyberweerbaarheid van bedrijven: de mate waarin zij bedrijfsprocessen en waardevolle data beveiligen tegen cybercriminelen. In deze monitor besteden we afzonderlijk aandacht aan de maatregelen die door bedrijven worden genomen om het bedrijf te beveiligen tegen aanvallen van buitenaf en de ICT-veiligheidsincidenten. De maatregelen worden in dit hoofdstuk beschreven, terwijl de incidenten in het volgende hoofdstuk aan bod komen.

De ICT-enquête wordt gehouden onder ongeveer 20 duizend aselect getrokken Nederlandse bedrijven van verschillende bedrijfsgrootteklassen en bedrijfscategorieën. In de Appendix wordt in tabellen A.1.2 en A.1.1 een overzicht van respectievelijk alle grootteklassen en bedrijfstakken gegeven. In dit hoofdstuk worden de cijfers van vier grootteklassen uitgelicht: bedrijven met 2 tot 10 werkzame personen, bedrijven met 10 tot 50 werkzame personen, bedrijven met 50 tot 250 werkzame personen en bedrijven met 250 of meer werkzame personen. Daarnaast laten we nog voor een viertal bedrijfstakken de cijfers zien: 1) Energie-, water- en afvalbeheer, 2) Horeca, 3) Gezondheidszorg en 4) de ICT-sector. Een compleet overzicht van de cijfers van alle grootteklassen en bedrijfstakken kan op Statline (CBS, 2020a) gevonden worden.

2.1.1 Maatregelen ter verhoging van de cyberweerbaarheid

Aan de bedrijven die aan de ICT-enquête hebben deelgenomen, zijn verschillende vragen voorgelegd die iets zeggen over hun cyberweerbaarheid. Zo is aan bedrijven gevraagd welke ICT-veiligheidsmaatregelen zijn getroffen. Ook is gevraagd wie de ICT-veiligheidsmaatregelen binnen een bedrijf uitvoert: het eigen personeel, een extern bedrijf, of een combinatie van beide.

Eerst bekijken we hoe vaak verschillende cybersecuritymaatregelen door bedrijven toegepast worden. In figuren 2.1.1(a–l) en 2.1.2(a–l) worden over de jaren 2016–2019¹⁾ voor verschillende bedrijfsgrootteklasses en bedrijfstakken voor twaalf verschillende maatregelen de percentages getoond van het aantal bedrijven dat de maatregelen dat jaar heeft toegepast. We lichten voor de duidelijkheid slechts vier bedrijfsgrootteklasse en vier bedrijfstakken uit. Het volledige overzicht kan op StatLine (CBS, 2020a) gevonden worden. Uiteraard kan met deze twaalf maatregelen nooit een compleet beeld van het ICT-beveiligingsniveau van bedrijven gegeven worden, maar er ontstaat wel een globale indruk, omdat je toch kan stellen dat elke extra maatregel die een bedrijf neemt een extra bijdrage levert aan de cyberweerbaarheid van het bedrijf.

Grote bedrijven nemen meer maatregelen tegen cyberdreigingen
In het algemeen kan dus gezegd worden dat het ICT-beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. In figuur 2.1.1 is voor de jaren 2016–2019 te zien dat iedere maatregel vaker door grote dan door kleine bedrijven genomen wordt. Dit is echter voor sommige maatregelen duidelijker waarneembaar dan voor andere. Voor bijvoorbeeld een heel gangbare maatregel als het gebruik van anti-virussoftware (figuur 2.1.1(a)) zijn de verschillen tussen grote en klein bedrijven niet zo groot: meer dan 80 procent van alle bedrijven gebruikt anti-virussoftware, ongeacht de bedrijfsgrootteklasse. Echter, bij een moeilijker toe te passen maatregel zoals het gebruik van een Virtual Private Netwerk (VPN) (figuur 2.1.1(l)) zien we wel grotere verschillen tussen kleine en grote bedrijven: minder dan 30 procent van de bedrijven met 2 tot 10 werknemers maakt gebruik van VPN, tegen meer dan 80 procent van de bedrijven met 250 of meer werknemers. Dat grotere bedrijven meer maatregelen treffen is niet vreemd: grotere bedrijven hebben immers vaker een grotere en meer complexe ICT-infrastructuur en daarom is een breder scala aan beveiligingsmaatregelen nodig om het bedrijf cyberweerbaar te laten zijn.

Toename authenticatie met soft- of hardware-token
Het gebruik van een soft- of hardware token voor het inloggen bij een bedrijf is de laatste vier jaar flink toegenomen. Deze zogenaamde two-factor authenticatie²⁾ is een stuk veiliger omdat naast een wachtwoord ook nog een extra code ingevoerd moet worden die per loginsessie verandert. Deze code kan verkregen worden via een speciaal apparaatje met afleesscherm of via een App op de smartphone zoals Authy, Google Authenticator of RSA SecureID. Op deze manier wordt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, kan de extra gegeneerde code om in te kunnen loggen extra bescherming bieden.

Voor grote bedrijven is het gebruik van soft- of hardware tokens toegenomen van 71 procent in 2016 tot 87 procent in 2019, zoals te zien in figuur 2.1.1(j). We zien bij alle bedrijfsgrootteklassen dat deze manier van inloggen steeds vaker gebruikt wordt. Zo maken de middelgrote bedrijven met 10 tot 50 werknemers een inhaalslag met een dekking die gestegen is van 29 procent in 2016 naar 54 procent in 2019. Voor kleine bedrijven (2 tot 10 werknemers) zien we zelfs bijna een verdubbeling van het gebruik van hardware-tokens van 23 procent 2017 naar 42 procent in 2019. Overigens bieden steeds meer websites de mogelijkheid tot het gebruik van two-factor authenticatie aan, dus het is aannemelijk dat deze manier van inloggen nog meer in gebruik zal groeien.

ICT-veiligheidsmaatregelen per bedrijfstak
Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken zien. Te zien is dat bedrijven die meer met ICT bezig zijn (ICT-sector) of bedrijven die een groot belang hebben bij het beveiligen van hun data (Gezondheidszorg) beter scoren dan andere sectoren waar cybersecurity blijkbaar een minder belangrijke rol speelt, zoals de horeca. Wel moet in het achterhoofd gehouden worden dat ook een rol speelt dat de horecagroep relatief meer kleine bedrijven bevat, wat gezien de hierboven beschreven samenhang van het aantal maatregelen met de bedrijfsgrootte ook minder maatregelen impliceert. Bovendien, een horecaonderneming heeft vaak minder ICT-systemen nodig voor de werkzaamheden, dus ligt het voor de hand dat er ook minder ICT-beveiligingsmaatregelen genomen worden.

Aantal genomen ICT-veiligheidsmaatregelen
We hebben gezien dat grote bedrijven vaker meer verschillende ICT-maatregelen nemen dan kleine bedrijven. Dit wordt meer kwantitatief weergegeven in figuren 2.1.3 en 2.1.4, waarbij we per bedrijfsgrootte en bedrijfstak het percentage bedrijven laten zien dat een zeker aantal maatregelen neemt. Kijkend naar de verdeling van het aantal maatregelen per bedrijfsgrootteklasse (figuur 2.1.3) valt te zien dat kleine bedrijven hoger scoren op een kleiner aantal maatregelen, terwijl grote bedrijven juist vaker meerdere maatregelen tegelijk nemen. Van de bedrijven met 250 of meer werknemers neemt zelfs bijna de helft van de bedrijven alle tien maatregelen die uitgevraagd zijn.³⁾

In figuur 2.1.4 kunnen we weer zien dat ICT-bedrijven over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker wat minder maatregelen afdoende gevonden wordt. Op zich is dit niet opmerkelijk, omdat de noodzaak in de horeca voor bijvoorbeeld het gebruik van VPN-verbindingen veel minder is.

Een kwart van de bedrijven neemt meer dan vijf maatregelen
Uit de verdelingen van het aantal maatregelen kunnen we ook afleiden hoeveel bedrijven minimaal de helft van de gevraagde maatregelen nemen. Dit wordt in figuur 2.1.5 en figuur 2.1.6 per respectievelijk bedrijfsgrootteklasse en bedrijfstak getoond voor de jaren 2016 tot en met 2019. In figuur 2.1.5 is nu goed te zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2018 toegenomen is. In 2019 stagneert deze toename voor de grootste bedrijven met meer dan 50 werknemers, terwijl het aantal bedrijven dat meer dan 5 maatregelen neemt voor bedrijven met 10 tot 50 werknemers zelfs iets afgenomen is. Deze afname moet wel gerelativeerd worden, omdat in 2019 nog steeds meer bedrijven in de groep 10 tot 50 werknemers meer dan vijf maatregelen nemen dan in 2017.

In figuur 2.1.6 wordt per bedrijfstak het aantal bedrijven getoond dat meer dan vijf ICT-veiligheidsmaatregelen treft. Zoals al eerder waargenomen was, is te zien dat in de ICT en in de Zorg een relatief grote groep bedrijven meer dan vijf maatregelen treft (rond de 70 procent), terwijl dit voor de horeca een stuk lager ligt met ongeveer 20 procent. Wel kunnen we zien dat ook per bedrijfstak de afgelopen vier jaar steeds meer bedrijven meer ICT-veiligheidsmaatregelen tegelijkertijd neemt. Ook stagneerde in 2019 het aantal bedrijven met veel ICT-veiligheidsmaatregelen per bedrijfstak in vergelijking met 2018.

2.1.2 Uitvoering ICT-veiligheidswerkzaamheden

De organisatie van de ICT-beveiliging wordt in figuur 2.1.7 en figuur 2.1.8 onder de loep genomen. Er wordt per bedrijfsgrootteklasse en bedrijfstak gekeken naar wie in 2018 en 2019 de ICT-veiligheidswerkzaamheden binnen het bedrijf uitvoert: eigen personeel, een extern bedrijf of een mix van beide. Meest opvallend is dat dit voor kleine bedrijven vaker door alleen eigen personeel gedaan wordt: ongeveer de helft van de kleine bedrijven doet de ICT-beveiliging zelf, terwijl dit voor grote bedrijven zo’n 20 procent is. Aan de andere kant wordt in het geval van kleine bedrijven de ICT-beveiliging vaker alleen door een extern bedrijf gedaan: bij ongeveer 40 procent van de kleine bedrijven tegen 20 procent  van de grote bedrijven. Bij grote bedrijven zal het dus vaker voorkomen dat zowel externe bedrijven als het eigen personeel de ICT-beveiliging doet. Dit is niet opmerkelijk, omdat een groot bedrijf complexe zaken kan uitbesteden en meer personeel heeft dat de wat meer standaardwerkzaamheden prima zelf kan doen.

Als we in figuur 2.1.8 naar de uitvoering van ICT-veiligheidswerkzaamheden per bedrijfstak kijken, kunnen we zien dat ICT-bedrijven in de meeste gevallen prima in staat zijn alle ICT-beveiliging zelf te doen; zo’n 70 procent van de ICT-bedrijven doet de ICT-beveiliging volledig zelf. Ook dit is niet opmerkelijk omdat je kan verwachten dat binnen ICT-bedrijven bedrijven voldoende expertise voor handen is om de ICT-beveiliging zelf te doen. In de Zorg en in de Industrie worden de ICT-beveiligingswerkzaamheden in de helft van de gevallen uitbesteed.

Ten slotte kunnen we waarnemen dat in 2019 in vergelijking met 2018 bij alle bedrijfsgrootten en bedrijfstakken het aantal bedrijven dat de ICT-beveiliging doet met zowel het eigen personeel als via een extern bedrijf iets is afgenomen.

2.2 Websites

In de vorige paragraaf is getoond hoe bedrijven met maatregelen hun ICT-infrastructuur weerbaar maken tegen dreigingen. In deze paragraaf staan de maatregelen centraal die bedrijven nemen om de beveiliging en betrouwbaarheid van hun websites te verhogen. Het gebruik van veilige en moderne internetstandaarden speelt hierbij een belangrijke rol. We kijken eerst naar het gebruik van een van die maatregelen, namelijk het toepassen van DNSSEC om de authenticiteit van .nl-domeinnamen te beschermen. Vervolgens besteden we nog aandacht aan het gebruik van internetstandaarden in het algemeen bij bedrijven.

2.2.1 Punt-nl domeinnamen met DNSSEC

Een manier om de veiligheid van een website te verhogen is het toepassen van DNSSEC. DNSSEC is een beveiligingssysteem voor DNS, het internettelefoonboek dat zorgt voor de vertaling van domeinnamen naar IP-adressen. Op zich werkt DNS prima, maar de vertaling van domeinnaam naar IP-adres is niet beveiligd. Dat is een risico, want een kwaadwillende kan verkeer van een gebruiker omleiden naar een vals IP-adres. Het op deze manier misleiden van een internetgebruiker is een beproefde methode om iemand vertrouwelijke gegevens of zelfs geld te ontfutselen. DNSSEC breidt DNS uit met een extra beveiliging: de vertaling van domeinnaam naar IP-adres wordt voorzien van een digitale handtekening. Een internetgebruiker kan die handtekening automatisch laten controleren. Op die manier wordt voorkomen dat hij of zij naar een vals IP-adres wordt geleid. DNSSEC is hiermee een belangrijk wapen in de strijd tegen phishing en pharming. Beide methoden zijn immers gebaseerd op het omleiden van internetgebruikers naar een valse website.

In figuur 2.2.1 is te zien dat het percentage .nl-domeinnamen met DNSSEC gestaag toeneemt. Tussen 1 juni 2012 en 1 oktober 2020 is dit percentage toegenomen van 0 tot 56 procent. Hierbij verliep de toename in de eerste jaren van deze periode wat sneller dan in de latere jaren. De domeinnaamregistratie en het bijhouden van het gebruik van DNSSEC wordt door de Stichting Internet Domeinregistratie Nederland  (SIDN, 2020) uitgevoerd.⁴⁾

2.2.2 Gebruik internetstandaarden bij bedrijven

Achtergrond
In 2020 is het CBS in opdracht van het Ministerie van Economische Zaken en Klimaat in samenwerking met Forum Standaardisatie een onderzoek begonnen naar het gebruik van internetstandaarden bij websites van bedrijven in Nederland. In dit onderzoek heeft het CBS gebruikgemaakt van de website Internet.nl (Platform Internetstandaarden, 2021). Uitgebreide resultaten van het onderzoek zullen medio 2021 worden gepubliceerd (CBS, 2021). Hieronder worden al wat eerste resultaten gepresenteerd.

De website Internet.nl is een testtool ontwikkeld in opdracht van Platform Internetstandaarden (2021). Het doel is om het gebruik van moderne en veilige Internetstandaarden te vergroten, om daarmee het Internet veiliger en betrouwbaarder te maken. Het idee is dat iedereen Internet.nl kan gebruiken om de domeinnaam van een website van een persoon of bedrijf in te voeren om een test uit te laten uitvoeren waarmee de veiligheid van de website getoetst wordt. Internet.nl toetst op de volgende aspecten:

• IPv6: bereikbaarheid via een modern internetadres.
• DNSSEC: gebruik van een ondertekende domeinnaam.
• https: gebruik van een beveiligde verbinding.
• Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.

Nadat de scan afgerond is, wordt een test rapport opgeleverd samen met een eindbeoordeling: een score tussen de 0 en 100 procent. Bedrijven die een 100 procent score halen, worden in de Hall of Fame opgenomen.

Uiteraard kan deze tool al direct door bedrijven gebruikt worden om hun eigen domeinnaam op veiligheid te toetsen. Indien het resultaat tegenvalt, kan dit bedrijven motiveren om extra beveiligingsmaatregelen toe te passen. In principe is het echter ook mogelijk om de tool te gebruiken om een statistische analyse op domeinnamen van bedrijven in Nederland uit te voeren. Op deze manier kunnen we per bedrijfstak en bedrijfsgrootte in kaart brengen hoe het met de veiligheid van websites van bedrijven is gesteld. Dit is het doel van het onderzoek dat het CBS in 2020 in samenwerking met Platform Internetstandaarden (2021) is gestart.

In het onderzoek wordt gebruikgemaakt van alle ongeveer 12 duizend domeinnamen die in de ICT-enquête door bedrijven zijn aangeleverd. Omdat deze bedrijven een representatieve steekproef vormen van alle bedrijven in Nederland kunnen we de resultaten van het onderzoek gebruiken om wat te zeggen over de veiligheid van websites van alle bedrijven. De eerste resultaten van de statistische analyse worden in het vervolg van deze paragraaf getoond. Medio 2021 wordt in een onderzoeksrapport een diepere analyse gepresenteerd CBS (2021).

Eindscore niet afhankelijk van bedrijfsgrootte, wel van bedrijfstak
In figuur 2.2.2 wordt de verdeling van de eindscore van Internet.nl per bedrijfsgrootteklasse getoond. Opvallend is dat de gemiddelde eindscores voor bedrijven bij alle bedrijfsgrootteklassen ongeveer 60 procent zijn. Waar we eerder hierboven nog constateerden dat kleine bedrijven vaak minder maatregelen dan grote bedrijven treffen om hun ICT-systemen te beveiligen, lijkt het er dus op dat de beveiliging van websites van kleine bedrijven even goed, zo niet beter, uitgevoerd wordt dan bij websites van grote bedrijven. Een verklaring zou kunnen zijn dat kleine bedrijven vaker ICT-specialisten inhuren om hun website te bouwen en dat hierbij nieuwere standaarden worden gebruikt. Grote bedrijven hebben wellicht vaker een website die al wat langer geleden ontwikkeld is in een tijd dat er nog minder aandacht was voor standaarden en dat deze later ook niet alsnog zijn toegepast bij onderhoudswerkzaamheden.

Een ander interessant inzicht is de gemiddelde eindscore per bedrijfstak zoals in figuur 2.2.3 getoond wordt. Hierbij zijn duidelijkere verschillen in gemiddelde eindscore te zien: de websites van de branch ’Energie/water/afval’ scoren gemiddeld zo’n 55 procent op basis van Internet.nl, terwijl dit voor de websites van bedrijven in de Horeca bijna 10 procentpunt hoger is, namelijk een gemiddelde eindscore van 64 procent. Ook dit lijkt weer strijdig met onze eerdere constatering dat de Horeca vaak wat achterloopt op het gebied van cyberweerbaarheid van gebruikte ICT-systemen. Wederom ligt als meest voor de hand liggende verklaring voor de hand dat de bouw van veel websites van horeca ondernemingen recenter en vaker door ICT-specialisten is uitgevoerd.

Verdeling van de eindscore aanzienlijk
Alhoewel de gemiddelde score van alle websites van bedrijven in Nederland zo rond de 60 procent ligt, is er wel sprake van een behoorlijke spreiding. De verdeling van de eindscore voor alle bedrijven in Nederland is te zien in figuur 2.2.4. De verdeling kent een aantal pieken rond de 30, 50, 70 en 90 procent. Dit zou te maken kunnen hebben met het feit dat de eindscore bepaald wordt aan de hand van meer dan 200 kenmerken die op een website gescand worden, en dat sommige van die kenmerken mogelijk in clusters voorkomen. In figuur 2.2.4 zijn verder nog drie kwartielen Q1, Q2, en Q3 weergegeven. Het eerste kwartiel Q1 geeft aan dat 25 procent van de bedrijven een eindscore lager dan 44 procent haalt. Het tweede kwartiel Q2, ook bekend als de mediaan, geeft aan dat de helft van alle bedrijven een score hoger dan 64 procent haalt. Het derde kwartiel geeft ten slotte aan dat 25 procent van de bedrijven een score hoger dan 76 procent haalt.

Verdeling van de eindscore per kenmerk
Alhoewel we tot nu toe geconcludeerd hebben dat grote en kleine bedrijven ongeveer dezelfde gemiddelde eindscore van 60 procent halen, zien we toch verschillen als we de verschillende kenmerken op bedrijfsniveau gaan analyseren. Voor deze analyse verwijzen we graag door naar de nog te publiceren rapportage (CBS, 2021) waarin deze verschillen zullen worden besproken en ook wat dieper op de methodologie van het onderzoek zal worden ingegaan.

In het voorgaande hoofdstuk hebben we gekeken naar de maatregelen die bedrijven en personen nemen om meer cyberweerbaar te worden. Nu gaan we kijken naar de incidenten die plaatsvinden ondanks alle maatregelen die genomen worden. We onderscheiden hierbij gewone incidenten die door eigen toedoen ontstaan en de incidenten ten gevolge van een aanval van buitenaf. Bij de laatste vorm spreken we ook wel van ’cybercrime’. Cybercrime kan worden omschreven als ’alle delicten die gepleegd worden met behulp van ICT’ (CBS, 2018b). We praten dus over delicten (strafbare feiten) door toedoen van cybercriminelen. Te denken valt aan online fraude, DDoS aanvallen en inbraak in computers.

3.1 Bedrijven

3.1.1 Type ICT-veiligheidsincidenten

In de ICT-enquête onderscheiden we twee soorten ICT-veiligheidsincidenten: incidenten door eigen toedoen en incidenten ten gevolge van een aanval van buitenaf. Voor beide groepen onderscheiden we weer drie type incidenten: uitval van een ICT-systeem, datavernietiging (vernietiging of verminking van elektronische gegevens) en dataonthulling (onthulling van vertrouwelijke elektronische gegevens). Hiermee komen we op zes typen ICT-veiligheidsincidenten in totaal.

3.1.2 Cybersecurityincidenten per bedrijfsgrootte

In de ICT-enquête wordt aan een representatieve steekproef van bedrijven gevraagd hoe vaak ze te maken hebben gehad met elk van de genoemde ICT-veiligheidsincidenten. Ook wordt gevraagd of er kosten waren verbonden aan de ICT-veiligheidsincidenten. Deze vragen zijn nu vier opeenvolgende jaren voorgelegd. We bekijken nu eerst naar de resultaten per bedrijfsgrootteklasse. Daarna zullen we ook kijken naar de ontwikkeling van ICT-veiligheidsincidenten per bedrijfstak.

Grote bedrijven hebben steeds vaker incidenten
In figuren 3.1.1 en 3.1.2 wordt voor de periode 2016–2019 per bedrijfsgrootteklasse het percentage van bedrijven getoond dat minstens één ICT-veiligheidsincident heeft gehad ten gevolge van respectievelijk een interne oorzaak of een aanval van buitenaf. Voor beide figuren worden dus de in paragraaf 3.1.1 genoemde typen incidenten (uitval ICT-system, datavernietiging, en dataonthulling) samengenomen. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten met het ICT-incident gemoeid waren.

Meest opvallend is dat grote bedrijven over de jaren heen consistent meer incidenten rapporteren dan kleine bedrijven voor zowel interne incidenten als incidenten door een aanval van buitenaf. Dit kan meerdere oorzaken hebben. Voor de interne incidenten, zoals uitval van ICT-systemen door hardware of software storingen, speelt mee dat grote bedrijven vaker een grotere, meer complexe ICT-infrastructuur hebben: met meer computers en andere hardware binnen het bedrijf wordt de kans uiteraard groter dat er in een jaar ook wat kapot gaat. Als je kijkt naar incidenten door een aanval van buitenaf kunnen we aannemen dat grote bedrijven vaak interessanter voor cybercriminelen zijn omdat er meer te halen valt of de (publiciteits) schade groter is. Wat verder nog een rol speelt, is dat bij grote bedrijven vaak meer ICT-specialisten werken, wat ook de kans groter maakt dat ICT-veiligheidsincidenten gedetecteerd worden die misschien bij kleine bedrijven onder de radar blijven.

De helft van de ICT-veiligheidsincidenten gaat gepaard met kosten
In figuren 3.1.1 en 3.1.2 is te zien dat lang niet alle ICT-veiligheidsincidenten met kosten gepaard gaan. Ongeveer de helft van de bedrijven die ICT-veiligheidsincidenten rapporteren, zegt hier ook kosten aan gehad te hebben. Even vaak komt het dus voor dat er wel sprake was van een ICT-veiligheidsincident, maar dat dit niet direct tot kosten heeft geleid. Dit geldt voor zowel incidenten met een interne oorzaak als incidenten ten gevolge van een aanval van buitenaf.

Aantal bedrijven met ICT-veiligheidsincidenten neemt af
Ten slotte kunnen we uit figuren 3.1.1 en 3.1.2 aflezen dat voor de meeste bedrijfsgrootteklassen het totaal aantal interne en externe ICT-veiligheidsincidenten over de laatste vier jaar is afgenomen. Voor de incidenten met een interne oorzaken is dit niet heel duidelijk, zeker niet voor de grootste bedrijven: bij deze groep zien we een juist toenemende trend over de jaren 2017–2019. Dit zou te maken kunnen hebben met het feit dat interne incidenten niet per se te voorkomen zijn: een kapot hardware onderdeel is iets wat nu eenmaal kan ontstaan.

Voor de ICT-veiligheidsincidenten door een aanval van buitenaf is de afname voor alle bedrijfsgrootteklassen echter onmiskenbaar. Zo is te zien dat in 2016 bijna 40 procentvan de grote bedrijven (250 of meer werknemers) met een ICT-veiligheidsincident te maken heeft gehad, terwijl dat in 2019 minder dan 20 procentwas. Een halvering van het aantal meldingen over de afgelopen vier jaar dus. Ook als je alleen naar de incidenten met kosten kijkt, kan je zien dat het aantal meldingen gehalveerd is: in 2016 gaf 19 procentvan de grote bedrijven aan een ICT-veiligheidsincident met kosten gehad te hebben, terwijl dat in 2019 nog maar 9 procentwas. Deze afname van het aantal ICT-veiligheidsincidenten door een aanval van buitenaf is waarneembaar voor alle bedrijfsgrootteklassen. Toch zal verderop aangetoond worden dat deze afname wel iets genuanceerder bekeken moet worden, omdat het beeld een gemiddelde betreft en de ontwikkelingen per type incident ook een rol spelen.