3. Cybersecurityincidenten bij bedrijven
In het voorgaande hoofdstuk werd gekeken naar de maatregelen die bedrijven nemen om meer cyberweerbaar te worden. In dit hoofdstuk wordt ingegaan op de cybersecurityincidenten die plaatsvinden, ondanks de genomen maatregelen. Hierbij wordt allereerst gekeken naar interne incidenten, die door onopzettelijk of eigen toedoen ontstaan, en incidenten die ontstaan ten gevolge van een aanval van buitenaf (paragraaf 3.1). In de rest van het hoofdstuk wordt daarna specifiek ingegaan op ransomware-aanvallen (paragraaf 3.2) en datalekmeldingen bij de Autoriteit Persoonsgegevens (paragraaf 3.3).
3.1 Cybersecurityincidenten door eigen toedoen of een aanval van buitenaf
In de ICT‐enquête (zie paragraaf 2.1) worden twee soorten cybersecurityincidenten onderscheiden: incidenten met een interne oorzaak en incidenten door een aanval van buitenaf. Voor beide soorten incidenten worden drie varianten onderscheiden.
3.1.1 Cybersecurityincidenten per bedrijfsgrootteklasse
In de ICT‐enquête wordt aan bedrijven gevraagd hoe vaak ze te maken hebben gehad met de eerder genoemde cybersecurityincidenten in het jaar daarvoor. Ook wordt gevraagd of er kosten werden gemaakt ten gevolge van de cybersecurityincidenten.3) Deze vragen zijn inmiddels acht opeenvolgende jaren voorgelegd. In het volgende deel worden de resultaten eerst per bedrijfsgrootteklasse besproken. Daarna wordt gekeken naar de ontwikkeling per bedrijfstak.
Cybersecurityincidenten komen vaker voor bij grote bedrijven
In figuren 3.1.1 en 3.1.2 wordt het percentage van bedrijven getoond naar bedrijfsgrootteklasse dat minstens één cybersecurityincident heeft gehad als gevolg van een aanval van buitenaf (figuur 3.1.1) of een interne oorzaak (figuur 3.1.2). Het linkerdeel van de staafjes geeft het percentage van bedrijven weer dat aangeeft dat er kosten met het incident gemoeid waren.
Over de jaren heen blijken grote bedrijven consistent vaker cybersecurityincidenten te hebben dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. Voor dit patroon kunnen meerdere oorzaken zijn. Zo kan bij interne incidenten, zoals uitval van ICT-systemen door hardware of software storingen, meespelen dat grote bedrijven vaker een grotere en complexere ICT-infrastructuur hebben. Een groter aantal computers of meer hardware binnen een bedrijf gaat immers gepaard met een grotere kans dat er schade aan één van de systemen optreedt. Bij incidenten door een aanval van buitenaf is het daarnaast aannemelijk dat grote bedrijven interessanter zijn voor cybercriminelen. Bij grote bedrijven valt immers meer te halen en daar is de (publiciteits)schade groter. Tot slot kan meespelen dat grote bedrijven vaak meer ICT-specialisten in dienst hebben. Hierdoor kan de kans op detectie van ICT‐veiligheidsincidenten groter zijn.
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal,Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | ||||||||||||
| 2023 | 4 | 12 | 2 | 5 | 1 | 1 | 2 | 7 | 16 | 7 | 2 | 9 |
| 2022 | 5 | 14 | 3 | 6 | 2 | 1 | 3 | 8 | 19 | 9 | 3 | 11 |
| 2019 | 9 | 10 | 6 | 5 | 3 | 3 | 3 | 5 | 19 | 11 | 6 | 8 |
| 2016 | 18 | 21 | 12 | 10 | 9 | 15 | 2 | 3 | 39 | 22 | 24 | 5 |
| 50 tot 250 werkzame personen | ||||||||||||
| 2023 | 2 | 8 | 2 | 4 | 1 | 1 | 1 | 3 | 10 | 6 | 2 | 4 |
| 2022 | 3 | 8 | 2 | 5 | 1 | 1 | 1 | 4 | 11 | 7 | 2 | 5 |
| 2019 | 5 | 7 | 3 | 5 | 2 | 1 | 1 | 3 | 12 | 8 | 3 | 4 |
| 2016 | 15 | 14 | 9 | 8 | 8 | 10 | 1 | 1 | 29 | 17 | 18 | 2 |
| 10 tot 50 werkzame personen | ||||||||||||
| 2023 | 2 | 5 | 1 | 3 | 0 | 1 | 1 | 2 | 7 | 4 | 1 | 3 |
| 2022 | 2 | 5 | 2 | 3 | 1 | 1 | 0 | 2 | 7 | 5 | 2 | 2 |
| 2019 | 4 | 5 | 4 | 3 | 2 | 1 | 1 | 1 | 9 | 7 | 3 | 2 |
| 2016 | 10 | 8 | 6 | 6 | 6 | 5 | 1 | 1 | 18 | 12 | 11 | 2 |
| 2 tot 10 werkzame personen | ||||||||||||
| 2023 | 1 | 3 | 1 | 1 | 0 | 1 | 0 | 1 | 4 | 2 | 1 | 1 |
| 2022 | 1 | 3 | 1 | 2 | 1 | 1 | 0 | 1 | 4 | 3 | 2 | 1 |
| 2019 | 2 | 4 | 2 | 2 | 1 | 1 | 0 | 1 | 6 | 4 | 2 | 1 |
| 2016 | 4 | 5 | 3 | 3 | 2 | 2 | 1 | 0 | 9 | 6 | 4 | 1 |
| 2 of meer werkzame personen | ||||||||||||
| 2023 | 1 | 4 | 1 | 2 | 0 | 1 | 0 | 1 | 5 | 3 | 1 | 1 |
| 2022 | 2 | 3 | 1 | 2 | 1 | 1 | 0 | 2 | 5 | 3 | 2 | 2 |
| 2019 | 3 | 4 | 2 | 3 | 1 | 1 | 0 | 2 | 7 | 5 | 2 | 2 |
| 2016 | 6 | 5 | 4 | 4 | 3 | 3 | 1 | 1 | 11 | 8 | 6 | 2 |
| 1 werkzame persoon (zzp'er) | ||||||||||||
| 2023 | 1 | 3 | 0 | 2 | 0 | 1 | 0 | 2 | 4 | 2 | 1 | 2 |
| 2022 | 1 | 3 | 0 | 2 | 0 | 2 | 0 | 1 | 4 | 2 | 2 | 1 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal, Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 250 of meer werkzame personen | ||||||||||||
| 2023 | 9 | 36 | 9 | 29 | 1 | 3 | 1 | 16 | 45 | 38 | 4 | 17 |
| 2022 | 14 | 32 | 13 | 27 | 2 | 3 | 2 | 16 | 46 | 40 | 5 | 18 |
| 2019 | 30 | 35 | 27 | 29 | 4 | 4 | 6 | 19 | 65 | 56 | 8 | 25 |
| 2016 | 31 | 31 | 28 | 26 | 7 | 6 | 4 | 12 | 62 | 54 | 13 | 16 |
| 50 tot 250 werkzame personen | ||||||||||||
| 2023 | 6 | 24 | 5 | 22 | 1 | 3 | 0 | 6 | 30 | 27 | 4 | 6 |
| 2022 | 8 | 24 | 8 | 21 | 1 | 2 | 1 | 4 | 32 | 29 | 3 | 5 |
| 2019 | 22 | 31 | 21 | 29 | 2 | 4 | 1 | 7 | 53 | 50 | 6 | 8 |
| 2016 | 26 | 29 | 25 | 27 | 5 | 5 | 2 | 4 | 55 | 52 | 10 | 6 |
| 10 tot 50 werkzame personen | ||||||||||||
| 2023 | 4 | 15 | 4 | 13 | 1 | 1 | 0 | 2 | 19 | 17 | 2 | 2 |
| 2022 | 5 | 17 | 5 | 15 | 0 | 2 | 0 | 2 | 22 | 20 | 2 | 2 |
| 2019 | 16 | 23 | 15 | 23 | 2 | 3 | 1 | 3 | 39 | 38 | 5 | 4 |
| 2016 | 18 | 24 | 18 | 23 | 3 | 4 | 1 | 2 | 42 | 41 | 7 | 3 |
| 2 tot 10 werkzame personen | ||||||||||||
| 2023 | 1 | 6 | 1 | 6 | 0 | 1 | 0 | 1 | 7 | 7 | 1 | 1 |
| 2022 | 2 | 8 | 2 | 7 | 0 | 1 | 0 | 1 | 10 | 9 | 1 | 1 |
| 2019 | 8 | 17 | 8 | 16 | 1 | 2 | 1 | 1 | 25 | 24 | 3 | 2 |
| 2016 | 9 | 14 | 8 | 13 | 2 | 3 | 1 | 1 | 23 | 21 | 5 | 2 |
| 2 of meer werkzame personen | ||||||||||||
| 2023 | 2 | 8 | 2 | 7 | 0 | 1 | 0 | 1 | 10 | 9 | 1 | 1 |
| 2022 | 3 | 9 | 3 | 9 | 0 | 2 | 0 | 1 | 12 | 12 | 2 | 1 |
| 2019 | 10 | 19 | 10 | 17 | 1 | 2 | 1 | 1 | 29 | 27 | 3 | 2 |
| 2016 | 11 | 16 | 10 | 16 | 3 | 2 | 1 | 1 | 27 | 26 | 5 | 2 |
| 1 werkzame persoon (zzp'er) | ||||||||||||
| 2023 | 1 | 6 | 1 | 5 | 0 | 1 | 0 | 1 | 7 | 6 | 1 | 1 |
| 2022 | 1 | 6 | 1 | 5 | 1 | 1 | 0 | 1 | 7 | 6 | 2 | 1 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
Aandeel bedrijven met cybersecurityincidenten neemt af
Het aandeel van bedrijven met ten minste één cybersecurityincident met een interne oorzaak (figuur 3.1.2) of een aanval van buitenaf (figuur 3.1.1) neemt door de jaren heen af. Deze daling is zichtbaar voor alle bedrijfsgrootteklassen. In 2016 had bijvoorbeeld nog bijna 40 procent van de grootste bedrijven (250 of meer werkzame personen) een cybersecurityincident door een aanval van buitenaf, terwijl dit in 2023 nog maar 16 procent was.
De daling van het aantal incidenten met een interne oorzaak schommelt over de tijd. Voor de grootste bedrijven (250 of meer werkzame personen) zien we bijvoorbeeld een toename voor jaren 2016-2019, gevolgd door een afname in de jaren daarna. Dit kan te maken hebben met het feit dat interne incidenten niet per se te voorkomen zijn; een hardwareonderdeel kan nu eenmaal kapotgaan. De afname na 2019 is daarnaast mogelijk deels te verklaren doordat de uitleg van de categorie ‘dataonthulling door eigen personeel’ is gewijzigd. Vanaf 2020 is hier uitdrukkelijk bij vermeld dat het gaat om onopzettelijke dataonthulling door eigen personeel, en niet om opzettelijk toedoen. Dit kan hebben geleid tot een afname van het aantal incidenten met een interne oorzaak.
Uitval ICT-systeem vaakst voorkomende type incident
Van alle cybersecurityincidenten kregen bedrijven het vaakst te maken met de uitval van een ICT-systeem met een interne oorzaak (figuur 3.1.2). Zo kreeg 9 procent van de bedrijven met 2 of meer werkzame personen in 2023 te maken met dit type incident. Een kleiner deel (3 procent) kreeg te maken met de uitval van een ICT-systeem door een aanval van buitenaf (figuur 3.1.1). De overige type incidenten (vernietiging of onthulling van data) deden zich voor bij 1 procent van de bedrijven. Dit geldt voor zowel de incidenten door een aanval van buitenaf als door een interne oorzaak.
Een vijfde van de cybersecurityincidenten gaat gepaard met kosten
Ten slotte laten figuren 3.1.1 en 3.1.2 zien dat lang niet alle cybersecurityincidenten ook gepaard gaan met kosten. Het aandeel van bedrijven met kosten aan het cybersecurityincident neemt daarnaast af met de tijd. Zo had in 2016 nog bijna 41 procent van de bedrijven met ten minste één cybersecurityincident met een interne oorzaak (2 of meer werkzame personen) ook daadwerkelijk kosten aan het incident, terwijl dit in 2023 nog maar 20 procent was. Van de bedrijven met ten minste één cybersecurityincident door een aanval van buitenaf (2 of meer werkzame personen) had in 2016 nog bijna 55 procent kosten aan het incident, terwijl dit in 2023 nog maar 20 procent was.
3.1.2 Cybersecurityincidenten per bedrijfstak
Figuren 3.1.3 en 3.1.4 tonen het aandeel van bedrijven met ten minste één cybersecurityincident met een interne oorzaak (figuur 3.1.3) of door een aanval van buitenaf (figuur 3.1.4) per bedrijfstak (2 of meer werkzame personen). Merk op dat alleen een selectie van bedrijfstakken wordt getoond, namelijk de bedrijfstakken waar de cybersecurityincidenten het meest uiteenlopen. Een overzicht van alle bedrijfstakken wordt getoond in tabel A.3.1 t/m A.3.8.
Cybersecurityincidenten het meest voorkomend in de ICT-sector
Cybersecurityincidenten door een aanval van buitenaf kwamen in 2023 het vaakst voor in de ICT-sector (7 procent), en het minst vaak in de horeca (3 procent) (figuur 3.1.3). Voor de horeca is dit niet vreemd, omdat de mate van digitalisering daar vaak lager is dan in andere bedrijfstakken, waardoor de kans op uitval door een hardware‐ of softwarestoring ook kleiner is. Cybersecurityincidenten met een interne oorzaak kwamen in 2023 het vaakst voor in de bedrijfstakken ‘Energie, water en afvalbeheer’ (18 procent) en ‘Gezondheids- en welzijnszorg’ (17 procent). In deze bedrijfstak gingen de cybersecurityincidenten ook redelijk vaak gepaard met kosten. In de bedrijfstak ‘Verhuur van en handel in onroerend goed’ en de horeca kwamen cybersecurityincidenten met een interne oorzaak het minst vaak voor (6 procent).
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal, Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Industrie | ||||||||||||
| 2023 | 1 | 4 | 1 | 2 | 0 | 1 | 1 | 1 | 5 | 3 | 1 | 2 |
| 2022 | 1 | 4 | 1 | 2 | 1 | 1 | 0 | 2 | 5 | 3 | 2 | 2 |
| 2019 | 4 | 5 | 3 | 4 | 2 | 2 | 1 | 1 | 9 | 7 | 4 | 2 |
| 2016 | 9 | 5 | 6 | 4 | 5 | 4 | 1 | 1 | 14 | 10 | 9 | 2 |
| Horeca | ||||||||||||
| 2023 | 1 | 2 | 0 | 2 | 1 | 1 | 0 | 1 | 3 | 2 | 2 | 1 |
| 2022 | 1 | 1 | 1 | 1 | 0 | 1 | 0 | 1 | 2 | 2 | 1 | 1 |
| 2019 | 2 | 3 | 2 | 2 | 0 | 1 | 0 | 0 | 5 | 4 | 1 | 0 |
| 2016 | 2 | 4 | 1 | 2 | 1 | 3 | 0 | 1 | 6 | 3 | 4 | 1 |
| Financiële dienstverlening | ||||||||||||
| 2023 | 1 | 2 | 1 | 0 | 0 | 0 | 0 | 2 | 3 | 1 | 0 | 2 |
| 2022 | 2 | 7 | 2 | 4 | 0 | 4 | 0 | 3 | 9 | 6 | 4 | 3 |
| 2019 | 4 | 7 | 4 | 3 | 1 | 2 | 1 | 2 | 11 | 7 | 3 | 3 |
| 2016 | 7 | 8 | 2 | 5 | 4 | 4 | 1 | 1 | 15 | 7 | 8 | 2 |
| Gezondheids- en welzijnszorg | ||||||||||||
| 2023 | 1 | 3 | 1 | 2 | 0 | 0 | 1 | 1 | 4 | 3 | 0 | 2 |
| 2022 | 1 | 4 | 0 | 2 | 1 | 0 | 0 | 2 | 5 | 2 | 1 | 2 |
| 2019 | 3 | 5 | 3 | 4 | 1 | 1 | 0 | 1 | 8 | 7 | 2 | 1 |
| 2016 | 4 | 4 | 2 | 2 | 2 | 3 | 0 | 1 | 8 | 4 | 5 | 1 |
| ICT-sector | ||||||||||||
| 2023 | 2 | 5 | 2 | 3 | 0 | 1 | 0 | 2 | 7 | 5 | 1 | 2 |
| 2022 | 3 | 7 | 2 | 6 | 1 | 3 | 1 | 2 | 10 | 8 | 4 | 3 |
| 2019 | 3 | 7 | 2 | 6 | 1 | 1 | 0 | 2 | 10 | 8 | 2 | 2 |
| 2016 | 6 | 8 | 5 | 7 | 2 | 3 | 1 | 0 | 14 | 12 | 5 | 1 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
| jaar | Incident met kosten, Alle typen1) (% van bedrijven) | Incident zonder kosten, Alle typen1) (% van bedrijven) | Incident met kosten, Uitval ICT-systeem (% van bedrijven) | Incident zonder kosten, Uitval ICT-systeem (% van bedrijven) | Incident met kosten, Vernietiging data (% van bedrijven) | Incident zonder kosten, Vernietiging data (% van bedrijven) | Incident met kosten, Onthulling data (% van bedrijven) | Incident zonder kosten, Onthulling data (% van bedrijven) | Totaal, Alle typen1) (% van bedrijven) | Totaal, Uitval ICT-systeem (% van bedrijven) | Totaal, Vernietiging data (% van bedrijven) | Totaal, Onthulling data (% van bedrijven) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Industrie | ||||||||||||
| 2023 | 3 | 10 | 3 | 9 | 1 | 1 | 0 | 1 | 13 | 12 | 2 | 1 |
| 2022 | 3 | 11 | 3 | 10 | 0 | 1 | 0 | 1 | 14 | 13 | 1 | 1 |
| 2019 | 13 | 20 | 12 | 20 | 2 | 3 | 1 | 2 | 33 | 32 | 5 | 3 |
| 2016 | 14 | 17 | 14 | 16 | 3 | 3 | 1 | 1 | 31 | 30 | 6 | 2 |
| Horeca | ||||||||||||
| 2023 | 1 | 5 | 1 | 5 | 0 | 1 | 0 | 1 | 6 | 6 | 1 | 1 |
| 2022 | 2 | 8 | 1 | 8 | 1 | 2 | 0 | 1 | 10 | 9 | 3 | 1 |
| 2019 | 4 | 18 | 4 | 16 | 1 | 1 | 0 | 0 | 22 | 20 | 2 | 0 |
| 2016 | 6 | 9 | 5 | 8 | 2 | 3 | 0 | 1 | 15 | 13 | 5 | 1 |
| Financiële dienstverlening | ||||||||||||
| 2023 | 1 | 14 | 1 | 12 | 0 | 1 | 0 | 3 | 15 | 13 | 1 | 3 |
| 2022 | 4 | 19 | 4 | 15 | 0 | 2 | 0 | 5 | 23 | 19 | 2 | 5 |
| 2019 | 15 | 21 | 15 | 19 | 2 | 2 | 1 | 4 | 36 | 34 | 4 | 5 |
| 2016 | 12 | 18 | 11 | 18 | 2 | 2 | 1 | 2 | 30 | 29 | 4 | 3 |
| Gezondheids- en welzijnszorg | ||||||||||||
| 2023 | 2 | 15 | 2 | 12 | 0 | 2 | 0 | 4 | 17 | 14 | 2 | 4 |
| 2022 | 4 | 16 | 4 | 14 | 0 | 1 | 0 | 4 | 20 | 18 | 1 | 4 |
| 2019 | 14 | 25 | 13 | 23 | 1 | 1 | 1 | 5 | 39 | 36 | 2 | 6 |
| 2016 | 13 | 21 | 12 | 21 | 1 | 2 | 0 | 2 | 34 | 33 | 3 | 2 |
| ICT-sector | ||||||||||||
| 2023 | 2 | 13 | 2 | 11 | 0 | 2 | 0 | 2 | 15 | 13 | 2 | 2 |
| 2022 | 2 | 13 | 2 | 13 | 0 | 2 | 1 | 1 | 15 | 15 | 2 | 2 |
| 2019 | 10 | 25 | 9 | 24 | 1 | 2 | 1 | 3 | 35 | 33 | 3 | 4 |
| 2016 | 10 | 19 | 10 | 18 | 2 | 4 | 1 | 2 | 29 | 28 | 6 | 3 |
| 1) De categorie 'Alle typen' geeft het percentage van bedrijven weer dat ten minste één type incident (uitval ICT-systeem, vernietiging data, onthulling data) heeft gehad. | ||||||||||||
3.2 Ransomware-aanvallen
Sinds 2021 wordt er in de ICT‐enquête ook specifiek gevraagd naar ransomware-aanvallen. Bij een ransomware-aanval worden de ICT‐systemen van een bedrijf of particulier door middel van malware geblokkeerd, om zo het slachtoffer te chanteren om losgeld (‘ransom’) te betalen om de systemen weer vrij te geven. Ransomware wordt door de Nationaal Coördinator Terrorismebestrijding en Veiligheid als een belangrijk risico voor de nationale veiligheid gezien (NCTV, 2023).
Grotere bedrijven percentueel gezien vaker slachtoffer van ransomware-aanval
Figuren 3.2.1 en 3.2.2 tonen respectievelijk de percentages van bedrijven met een ransomware-aanval per grootteklasse en bedrijfstak in 2023.4) Figuur 3.2.1 laat zien dat grotere bedrijven in 2023 percentueel gezien iets vaker te maken kregen met een ransomware-aanval dan kleine bedrijven. Zo kreeg 2 procent van de bedrijven met 50 of meer werkzame personen in 2023 te maken met een ransomware-aanval, tegenover 1 procent bij de bedrijven met minder dan 50 werkzame personen. Figuur 3.2.2 laat zien dat bedrijven in de ICT‐sector het vaakst werden getroffen door een ransomware-aanval (2 procent). In de bedrijfstakken ‘Bouwnijverheid’ en ‘Financiële dienstverlening’ was het aandeel van bedrijven met een ransomware-aanval het laagst (0 procent).
| dim_gk | 2023 (% van bedrijven) |
|---|---|
| 250 of meer werkzame personen | 2 |
| 50 tot 250 werkzame personen | 2 |
| 10 tot 50 werkzame personen | 1 |
| 2 tot 10 werkzame personen | 1 |
| 2 of meer werkzame personen | 1 |
| 1 werkzame persoon (zzp'er) | 1 |
| dim_sbi | 2023 (% van bedrijven) |
|---|---|
| Industrie | 1 |
| Energie, water, afvalbeheer | 1 |
| Bouwnijverheid | 0 |
| Handel | 1 |
| Vervoer en opslag | 1 |
| Horeca | 1 |
| Informatie en communicatie | 1 |
| Financiële dienstverlening | 0 |
| Verhuur en handel van onroerend goed | 1 |
| Specialistische zakelijke diensten | 1 |
| Verhuur en overige zakelijke diensten | 1 |
| Gezondheids- en welzijnszorg | 1 |
| ICT-sector | 2 |
In het komende deel van deze paragraaf wordt ingezoomd op de bedrijven die in 2023 te maken kregen met een ransomware-aanval. Vanwege het beperkte aantal bedrijven dat deze vragen te zien heeft gekregen, is ervoor gekozen om deze resultaten alleen uit te splitsen naar bedrijfsgrootte.
Sinds 2024 wordt er in de ICT‐enquête een onderscheid gemaakt tussen twee soorten ransomware-aanvallen: (1) ransomware-aanvallen waarbij bestanden of ICT‐systemen versleuteld worden om alleen na betaling van losgeld weer vrij te geven, en (2) ransomware-aanvallen waarbij bestanden gestolen worden en gedreigd wordt dat de informatie openbaar gemaakt wordt. Figuur 3.2.3 laat zien hoe vaak beide typen ransomware-aanvallen in 2023 voorkwamen per grootteklasse. Het blijkt dat bijna de helft van de bedrijven met een ransomware-aanval (2 of meer werkzame personen) aangaf met beide typen ransomware-aanvallen te maken te hebben gehad (47 procent). Overigens hoeft dit niet te betekenen dat er sprake was van tweevoudige afpersing.5) Beide typen aanvallen konden zich immers ook los van elkaar voordoen. Een groot deel van de bedrijven gaf aan alleen een ransomware-aanval te hebben gehad waarbij bestanden of ICT‐systemen versleuteld waren (44 procent). Het overige deel gaf aan alleen een ransomware-aanval te hebben gehad waarbij bestanden gestolen waren en gedreigd werd deze openbaar te maken (9 procent).
| dim_gk | Bestanden versleuteld én dreiging openbaarmaking (% van bedrijven met ransomware-aanval) | Alleen bestanden versleuteld (% van bedrijven met ransomware-aanval) | Alleen dreiging openbaarmaking (% van bedrijven met ransomware-aanval) |
|---|---|---|---|
| 250 of meer werkzame personen | 57 | 31 | 12 |
| 50 tot 250 werkzame personen | 49 | 44 | 7 |
| 10 tot 50 werkzame personen | 51 | 40 | 10 |
| 2 tot 10 werkzame personen | 46 | 46 | 8 |
| 2 of meer werkzame personen | 47 | 44 | 9 |
| 1 werkzame persoon (zzp'er) | 49 | 8 | 43 |
Slechts 2 procent van bedrijven met ransomware-aanval betaalt losgeld
Figuur 3.2.4 geeft het percentage weer van bedrijven met een ransomware-aanval dat losgeld betaald heeft. Van alle bedrijven met een ransomware-aanval met 2 of meer werkzame personen betaalde 2 procent in 2023 losgeld. Dit lage percentage komt voornamelijk door het grote aantal kleine bedrijven (2 tot 10 werkzame personen) dat aangaf geen losgeld te betalen. Door grotere bedrijven werd wel vaker losgeld betaald. Zo betaalde 10 procent van de bedrijven met 50 tot 250 werkzame personen met een ransomware-aanval in 2023 losgeld.
| dim_gk | 2023 (% van bedrijven met ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 5 |
| 50 tot 250 werkzame personen | 10 |
| 10 tot 50 werkzame personen | 9 |
| 2 tot 10 werkzame personen | 0 |
| 2 of meer werkzame personen | 2 |
| 1 werkzame persoon (zzp'er) | 0 |
Naast losgeld kunnen bedrijven ook andere kosten hebben ten gevolge van een ransomware-aanval, zoals het vervangen van getroffen ICT-systemen, het inhuren van ICT-specialisten om de schade te beperken, of het eventuele productieverlies ten gevolge van de ransomware-aanval. Figuur 3.2.5 geeft weer welk percentage van bedrijven met een ransomware-aanval, aangeeft andere kosten te hebben gehad. Uit deze figuur blijkt dat ongeveer een derde van de bedrijven met een ransomware-aanval in 2023 andere kosten had ten gevolge van de ransomware-aanval. Grotere bedrijven hadden vaker andere kosten dan kleinere bedrijven.
| dim_gk | 2023 (% van bedrijven met ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 36 |
| 50 tot 250 werkzame personen | 39 |
| 10 tot 50 werkzame personen | 30 |
| 2 tot 10 werkzame personen | 32 |
| 2 of meer werkzame personen | 32 |
| 1 werkzame persoon (zzp'er) | 14 |
Bedrijven met ransomware-aanval schakelen vaker een cybersecuritybedrijf in dan de politie
Figuren 3.2.6 en 3.2.7 tonen het percentage van bedrijven met een ransomware-aanval dat als gevolg daarvan hulp heeft ingeschakeld van respectievelijk de politie of een cybersecuritybedrijf. Van alle bedrijven met 2 of meer werkzame personen die in 2023 een ransomware-aanval hadden, schakelde 14 procent de hulp in van de politie (figuur 3.2.6). Een groter aandeel stapte naar een cybersecuritybedrijf (39 procent) (figuur 3.2.7). Het is hierbij uiteraard mogelijk dat een bedrijf hulp inschakelde van zowel de politie als een cybersecuritybedrijf. Opvallend is wel dat kleinere bedrijven minder vaak de hulp inschakelden van de politie of een cybersecuritybedrijf dan grotere bedrijven. Van de microbedrijven (2 tot 10 werkzame personen) stapte in 2023 bijvoorbeeld 14 procent naar de politie, tegenover 34 procent van de grote bedrijven (250 of meer werkzame personen).
| dim_gk | 2023 (% van bedrijven met een ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 34 |
| 50 tot 250 werkzame personen | 26 |
| 10 tot 50 werkzame personen | 9 |
| 2 tot 10 werkzame personen | 14 |
| 2 of meer werkzame personen | 14 |
| 1 werkzame persoon (zzp'er) | 12 |
| dim_gk | 2023 (% van bedrijven met een ransomware-aanval) |
|---|---|
| 250 of meer werkzame personen | 64 |
| 50 tot 250 werkzame personen | 64 |
| 10 tot 50 werkzame personen | 57 |
| 2 tot 10 werkzame personen | 34 |
| 2 of meer werkzame personen | 39 |
| 1 werkzame persoon (zzp'er) | 24 |
3.3 Datalekmeldingen bij de Autoriteit Persoonsgegevens
Bedrijven en organisaties die een datalek hebben, dienen dit te melden bij de Autoriteit Persoonsgegevens (AP). In de eerste helft van 2024 kreeg de AP ruim 9,8 duizend keer een datalekmelding binnen. Hiermee ligt het aantal datalekmeldingen lager dan in de eerste helft van zowel 2023 als 2022 (beide 10,5 duizend).
Meestal kwam de datalekmelding voort uit een incident met een brief of postpakket met persoonsgegevens. In 41 procent van de datalekmeldingen in de eerste helft van 2024 ging het om zo’n incident. Ook in voorgaande jaren kwam dit type incident het meeste voor. Het gaat hier bijvoorbeeld om een brief of postpakket dat is verstuurd of afgegeven aan een verkeerde ontvanger, of een brief of postpakket dat geopend retour is ontvangen of is kwijtgeraakt. In 18 procent van de datalekmeldingen ging het om een incident waarbij er iets misging met persoonsgegevens in een email, zoals versturen aan een verkeerde ontvanger. In 8 procent van de datalekmeldingen vond er een vorm van cybercrime plaats, zoals hacking, malware of phishing. Bij de overige incidenten (33 procent) gaat het onder andere om persoonsgegevens die zijn toegevoegd aan een verkeerd dossier, persoonsgegevens van een klant die zijn getoond in het verkeerde klantportaal, of om een usb-stick of papier met persoonsgegevens dat is kwijtgeraakt.
| Type incident | Aantal |
|---|---|
| Brief of postpakket met persoonsgegevens | 4029 |
| Email met persoonsgegevens | 1760 |
| Hacking, malware en/of phishing | 797 |
| Overig | 3219 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
Datalekmeldingen vooral van grote bedrijven
Bijna 70 procent van de datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie (250 of meer werkzame personen). Hiermee vertegenwoordigen grote bedrijven of organisaties (0,2 procent van alle bedrijven in Nederland) een relatief groot aandeel in de datalekmeldingen. Veel minder meldingen kwamen van kleinere bedrijven (0 tot 50 of 50 tot 250 werkzame personen). Beide iets meer dan 1 400 meldingen.
De helft van de datalekmeldingen kwam vanuit de bedrijfstak ‘Openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen’ (ruim 2,5 duizend) of een organisatie in de bedrijfstak ‘Gezondheids- en welzijnszorg’ (2,4 duizend). Hierbij gaat het vooral ook om de grote bedrijven waar de datalekmeldingen vandaan kwamen.
| Land | Aantal |
|---|---|
| Bedrijfsgrootte (werkzame personen) | |
| 250 of meer | 6430 |
| 50 tot 250 | 1410 |
| 0 tot 50 | 1420 |
| Bedrijfstak (SBI 2008) | |
| Openbaar bestuur en overheidsdiensten | 2540 |
| Gezondheids- en welzijnszorg | 2400 |
| Handel, vervoer en horeca | 1090 |
| Financiële dienst- verlening | 980 |
| Specialistische zakelijke diensten | 550 |
| Onderwijs | 500 |
| Verhuur en overige zakelijke diensten | 390 |
| Informatie en communicatie | 300 |
| Landbouw en nijverheid | 230 |
| Cultuur, sport, recreatie en overige dienstverlening | 160 |
| Verhuur en handel van onroerend goed | 120 |
| Bron: CBS, Autoriteit Persoonsgegevens (AP) | |
| *voorlopige cijfers | |
4) In tegenstelling tot eerdere edities van de Cybersecuritymonitor is ervoor gekozen om de cijfers af te ronden op hele percentages, net zoals op StatLine. Een percentage van 0 hoeft dus niet te betekenen dat er helemaal geen bedrijven zijn die een ransomware-aanval hebben gehad.
5) Er is sprake van tweevoudige afpersing als beide typen aanvallen tegelijkertijd voorkomen (DTC, 2025). Zelfs als bedrijven hun versleutelde data via een back-up kunnen herstellen, bestaat er dan alsnog een gevaar dat gevoelige data openbaar gemaakt wordt.