3. Cybersecurityincidenten
In het voorgaande hoofdstuk werd gekeken naar de maatregelen die bedrijven en personen nemen om meer cyberweerbaar te worden. Nu worden de incidenten beschouwd die plaatsvinden ondanks alle maatregelen die genomen worden. Hierbij worden gewone incidenten, die door onopzettelijk of eigen toedoen ontstaan, onderscheiden van incidenten ten gevolge van een aanval van buitenaf. Bij de laatste vorm wordt ook wel gesproken van ’cybercrime’. Cybercrime kan worden omschreven als ’alle delicten die gepleegd worden met behulp van ICT’ (CBS, 2017f). We praten dus over delicten (strafbare feiten) door toedoen van cybercriminelen. Te denken valt aan online fraude, DDoS aanvallen en inbraak
in computers.
3.1 Bedrijven
Type ICT-veiligheidsincidenten
In de ICT‐enquête onderscheiden we twee soorten ICT‐veiligheidsincidenten: incidenten door eigen toedoen en incidenten ten gevolge van een aanval van buitenaf. Voor beide groepen onderscheiden we weer drie type incidenten: uitval van een ICT‐systeem, datavernietiging (vernietiging of verminking van elektronische gegevens) en dataonthulling (onthulling van vertrouwelijke elektronische gegevens). Hiermee komen we op zes typen ICT‐veiligheidsincidenten in totaal.
Cybersecurityincidenten per bedrijfsgrootte
In de ICT‐enquête wordt aan een representatieve steekproef van bedrijven gevraagd hoe vaak ze te maken hebben gehad met elk van de genoemde ICT‐veiligheidsincidenten. Ook wordt gevraagd of er kosten waren verbonden aan de ICT‐veiligheidsincidenten. Deze vragen zijn nu vijf opeenvolgende jaren voorgelegd. We kijken nu eerst naar de resultaten per bedrijfsgrootteklasse. Daarna zullen we ook kijken naar de ontwikkeling van ICT‐veiligheidsincidenten per bedrijfstak.
Grote bedrijven hebben steeds vaker incidenten
In figuren 3.1.1 en 3.1.2 wordt voor de periode 2016–2020 per bedrijfsgrootteklasse het percentage van bedrijven getoond dat minstens één ICT‐veiligheidsincident heeft gehad ten gevolge van respectievelijk een interne oorzaak of een aanval van buitenaf. Voor beide figuren worden dus de in paragraaf 3.1.1 genoemde typen incidenten (uitval ICT‐systeem, datavernietiging en dataonthulling) samengenomen. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten met het ICT‐incident gemoeid waren.
Meest opvallend is dat grote bedrijven over de jaren heen consistent meer incidenten rapporteren dan kleine bedrijven voor zowel interne incidenten als incidenten door een aanval van buitenaf. Dit kan meerdere oorzaken hebben. Voor de interne incidenten, zoals uitval van ICT‐systemen door hardware of software storingen, speelt mee dat grote bedrijven vaker een grotere, meer complexe ICT‐infrastructuur hebben: met meer computers en andere hardware binnen het bedrijf wordt de kans uiteraard groter dat er in een jaar ook wat kapot gaat. Als je kijkt naar incidenten door een aanval van buitenaf kunnen we aannemen dat grote bedrijven vaak interessanter voor cybercriminelen zijn omdat er meer te halen valt of de (publiciteits) schade groter is. Wat verder nog een rol speelt, is dat bij grote bedrijven vaak meer ICT‐specialisten werken, wat ook de kans groter maakt dat ICT‐veiligheidsincidenten gedetecteerd worden die misschien bij kleine bedrijven onder de radar blijven.
Verder laat figuur 3.1.1 zien dat voor 2020 voor alle grootteklassen een behoorlijke daling van het aantal interne incidenten ten opzichte van het jaar daarvoor plaatsvindt. Zo rapporteerde 65 procent van de bedrijven met 250 of meer werknemers in 2020 een intern incident gehad te hebben, terwijl dit een jaar later nog maar 47 procent was, een daling van 18 procentpunt. Voor een deel valt deze daling te verklaren door de iets nauwere formulering van de categorie ’dataonthulling door eigen personeel’. Vanaf 2020 is daar duidelijk bij vermeld dat het uitdrukkelijk gaat om onopzettelijke dataonthulling door eigen personeel, en niet om opzettelijk toedoen. In dat laatste geval valt het incidenten onder dataonthulling ten gevolge van een aanval van buitenaf, omdat het hoort bij de categorie cybercrime. Het is dus mogelijk dat door deze duidelijkere omschrijving dat het om onopzettelijk toedoen van eigen personeel gaat, dit tot een daling van deze categorie heeft geleid. Aan de andere kant, ook de categorie ’uitval door een storing’ is flink gedaald en bij deze vraag is de formulering niet veranderd. Dus de daling is in ieder geval ten dele een werkelijke daling van het aantal interne incidenten.
De helft van de ICT-veiligheidsincidenten gaat gepaard met kosten
In figuren 3.1.1 en 3.1.2 is te zien dat lang niet alle ICT‐veiligheidsincidenten met kosten gepaard gaan. Ongeveer de helft van de bedrijven die ICT‐veiligheidsincidenten rapporteren, zegt hier ook kosten aan gehad te hebben. Voor 2020 is deze fractie zelfs nog wat gedaald ten opzichte van het jaar daarvoor: in 2020 gaat nog maar ongeveer een derde van de ICT‐veiligheidsincidenten gepaard met kosten. Het komt dus vaker voor dan niet dat er wel sprake was van een ICT‐veiligheidsincident, maar dat dit niet direct tot kosten heeft geleid. Dit geldt voor zowel incidenten met een interne oorzaak als incidenten ten gevolge van een aanval van buitenaf. Overigens moeten we hierbij ook de kanttekening maken dat in 2020 iets uitgebreider op de kosten ingegaan wordt, wat eventueel ook een oorzaak van deze daling geweest kan zijn omdat bedrijven bewuster bezig zijn bij het invullen dat het om incidenten met kosten gaat.
Aantal bedrijven met ICT-veiligheidsincidenten neemt af
Ten slotte kunnen we uit figuren 3.1.1 en 3.1.2 aflezen dat voor de meeste bedrijfsgrootteklassen het totaal aantal interne en externe ICT‐veiligheidsincidenten over de laatste vijf jaar is afgenomen. Voor de incidenten met een interne oorzaken is dit niet heel duidelijk, zeker niet voor de grootste bedrijven: bij deze groep zien we juist een toenemende trend over de jaren 2017–2020. Dit zou te maken kunnen hebben met het feit dat interne incidenten niet per se te voorkomen zijn: een kapot hardware onderdeel is iets wat nu eenmaal kan ontstaan.
Voor de ICT‐veiligheidsincidenten door een aanval van buitenaf is de afname voor alle bedrijfsgrootteklassen over de periode 2016—2019 waar te nemen, maar voor het laatste jaar 2020 is juist weer een lichte toename van ICT‐veiligheidsincidenten door een aanval van buiten te zien. Zo is te zien dat in 2016 bijna 40 procent van de grote bedrijven (250 of meer werknemers) met een ICT‐veiligheidsincident te maken heeft gehad, terwijl dat in 2019 19 procent was. In 2020 is dit weer toegenomen tot 22 procent van de grote bedrijven die een ICT‐veiligheidsincident melden door een aanval van buitenaf.
Ook als alleen naar de incidenten met kosten gekeken wordt, is te zien dat het aantal meldingen gehalveerd is: in 2016 gaf 19 procent van de grote bedrijven aan een ICT‐veiligheidsincident met kosten gehad te hebben, terwijl dat in 2020 nog maar 9 procent was. In 2020 is dit zelfs dus nog wat verder afgenomen: bij 8 procent van de grote bedrijven met een ICT‐veiligheidsincident door een aanval van buiten ging dat ook met kosten gepaard. Deze afname van het aantal ICT‐veiligheidsincidenten door een aanval van buitenaf is waarneembaar voor alle bedrijfsgrootteklassen. Toch zal verderop aangetoond worden dat deze afname wel iets genuanceerder bekeken moet worden, omdat het beeld een gemiddelde betreft en de ontwikkelingen per type incident ook een rol spelen.
Cybersecurityincidenten per bedrijfstak
In figuren 3.1.3 en 3.1.4 wordt voor de periode 2016–2020 het aantal ICT‐veiligheidsincidenten met respectievelijk interne en externe oorzaak per bedrijfstak uitgesplitst voor alle bedrijven met twee of meer werknemers. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten aan de ICT‐veiligheidsincidenten verbonden waren.
Zoals al eerder geconstateerd was, is het percentage bedrijven dat in 2020 een intern ICT‐veiligheidsincident meldt behoorlijk afgenomen ten opzicht van 2019. Weer moeten we benadrukken dat dit waarschijnlijk deels door de iets nauwere definitie van de onthulling door eigen personeel komt, en deels door een daadwerkelijke daling. Opvallend is ook dat het aantal incidenten met interne oorzaak niet heel duidelijk met de bedrijfstak samenhangt. Voor de bedrijfstakken die we in figuur 3.1.3 bekijken, vinden we dat ongeveer een derde van de bedrijven een intern incident heeft gemeld, waarvan weer ongeveer de helft kosten met zich meebracht. Alleen de horeca meldt aanzienlijk minder incidenten: in 2020 meldde ongeveer 15 procent van de horecabedrijven een veiligheidsincident. Op zich is dit niet heel vreemd omdat in de horeca waarschijnlijk gewoon minder met een computer gewerkt wordt, zodat de kans op uitval door een hardware‐ of softwarestoring ook kleiner is.
Voor incidenten door een aanval van buitenaf vinden we vooral lage percentages bedrijven die hier melding van maken: voor ICT‐bedrijven en de industriebedrijven respectievelijk 11 en 7 procent; voor de zorg en horeca tussen de 5 en 6 procent van de bedrijven. Opnieuw zien we bij de de industrie dat het percentage van bedrijven dat een incident door een aanval van buitenaf meldt over de laatste vijf jaar afgenomen is. Bij de ICT‐bedrijven is er in 2020 een kleine toename te zien ten opzicht van 2019 van het aantal bedrijven dat een ICT‐veiligheidsincidenten door een aanval van buiten meldt.
Cybersecurityincidenten per type incident
We hebben tot nu toe gekeken naar het percentage bedrijven dat een incident gemeld heeft opgesplitst naar interne incidenten en door een aanval van buitenaf. De belangrijkste conclusie was dat voornamelijk het percentage bedrijven dat een incident meldt door een aanval van buitenaf over de laatste vier jaar afgenomen is. We zullen nu kijken wat de bijdragen van de 3 typen incidenten zijn: uitval, datavernietiging en dataonthulling.
Cybersecurityincidenten per type incident per grootteklasse
In figuren 3.1.5(a1–c1) toont de linker kolom de interne ICT‐veiligheidsincidenten voor respectievelijk uitval van ICT‐systemen, datavernietiging en dataonthulling.
Figuren 3.1.5(a2–c2) geven de incidenten door een aanval van buitenaf voor dezelfde drie typen incidenten.
Allereerst is weer voor de interne incidenten te zien dat er ook per catergorie van incidenten een sterke daling heeft plaatsgevonden van het aantal bedrijven dat een intern ICT‐veiligheidsincident meldt. Er was eerder al geconcludeerd dat het aantal interne incidenten toeneemt met de bedrijfsgrootte. Als we naar de drie typen interne incidenten kijken dan zien we dat deze toename voornamelijk toe te schrijven is in aan de uitval van ICT‐systemen door een hardware‐ of softwarestoring, zoals te zien is in figuur 3.1.5(a1): ongeveer 10 procent van de kleine bedrijven rapporteerde in 2020 een uitval door een storing, terwijl dit voor grote bedrijven zo’n 41 procent was. Beide percentages zijn een stuk lager dan de in 2019 gemeten percentages (respectievelijk 20 en 56 procent).
Datavernietiging door een hardware storing komt bij minder dan 10 procent van de bedrijven voor; bovendien is de koppeling aan de bedrijfsgrootte minder sterk aanwezig. Wel is te zien dat ook dataonthulling vaker bij grote dan bij kleine bedrijven voorkomt, maar omdat het hier om kleine percentages gaat, draagt deze categorie een stuk minder bij aan het totaal van interne incidenten. De ontwikkeling in de tijd is voor de interne incidenten minder duidelijk en varieert van categorie tot categorie. Bij de dataonthulling door een intern incident, getoond in figuur 3.1.5(a3), is een duidelijke toename in de tijd te zien voor de grote bedrijven van 250 of meer werknemers. Dit in tegenstelling tot de afname die we bij het totaal van interne incidenten gevonden hebben. Het maakt nogal uit naar welk type incident je kijkt. Figuur 3.1.5(a2–c2) laat zien dat alle typen incidenten ten gevolge van een aanval van buitenaf weer toenemen met de bedrijfsgrootte, zoals we al eerder bij het totaal van incidenten door een aanval constateerden. Er was eerder geconstateerd dat het percentage bedrijven dat incidenten rapporteert door een aanval van buitenaf afneemt over de tijd. Maar net als bij de interne incidenten is dit alleen toe te schrijven aan de afname van uitval van ICT‐systemen en vernietiging van data door een aanval van buitenaf. Het aantal bedrijven dat dataonthulling als gevolg van een cyberinbraak meldt, is echter weer toegenomen over de afgelopen vier jaar, met name als er naar de grote bedrijven gekeken wordt. Er kan dus geconcludeerd worden dat alleen kijkend naar de cijfers voor dataonthulling, we een toename van het aantal incidenten zien. Dit neemt echter niet weg dat als we de incidenten van datavernietiging en uitval van ICT‐systemen meenemen, het aantal incidenten over de jaren afgenomen is.
Meldingen datalekken bij Autoriteit Persoonsgegevens
Uit het voorgaande is gebleken dat met name grotere bedrijven melden dat ze ICT‐veiligheidsincidenten meemaakten in de vorm van dataonthullingen, zowel door eigen toedoen (bijvoorbeeld door het verliezen van een USB‐stick) als door cybercrime. In Nederland zijn bedrijven verplicht melding te doen van onthulling van persoonsgegevens bij de Autoriteit Persoonsgegevens (AP).
De meldplicht van datalekken geldt in Nederland sinds 2016 en is in EU‐verband verder geformaliseerd en gepreciseerd door de Algemene Verordening Gegevensbescherming (AVG) die sinds 25 mei 2018 van toepassing is. Van een datalek is sprake als privacygevoelige gegevens mogelijk in handen van derden zijn gevallen of waar derden toegang tot hebben gehad. Ook hierbij geldt dat de oorzaak van dit soort datalekken soms onbedoeld en terug te voeren is op slordige omgang door de houder van de gegevens. Echter, aan de andere kant van het spectrum staat het moedwillig hacken van dit soort gegevens om te illustreren hoe slecht deze gegevens beveiligd zijn, of om er daadwerkelijk iets mee te gaan doen, bijvoorbeeld te verkopen.
Bijna 25 duizend meldingen van datalekken in 2021
In 2021 zijn 24 866 datalekken gemeld bij de Autoriteit Persoonsgegevens. Dat betekent een toename van 3,7 procent ten opzichte van het jaar ervoor. Alleen in 2020 was het aantal gemelde datalekken nog hoger (26 956). In 2021 kwamen de meeste meldingen van datalekken — 37 procent — uit de sector gezondheid en welzijn (figuur 3.1.7).
In absolute zin ging het om 9 200 meldingen door bijvoorbeeld ziekenhuizen, apotheken en GGZ‐instellingen in 2021. Ook bij het openbaar bestuur (zoals Rijksoverheid en gemeenten) en in de financiële sector kwamen relatief veel meldingen van datalekken voor (respectievelijk 23 en 11 procent). Gezamenlijk waren deze drie sectoren dus goed voor 71 procent van alle gemelde datalekken in 2021.
| Financiële dienstverlening (% van totaal gemelde datalekken) | Gezondheid en welzijn (% van totaal gemelde datalekken) | Openbaar bestuur (% van totaal gemelde datalekken) | |
|---|---|---|---|
| 2017 | 19 | 30 | 19 |
| 2019 | 30 | 28 | 17 |
| 2021 | 11 | 37 | 23 |
| Bron: Autoriteit Persoonsgegevens (2022) | |||
Ook in 2017 en 2019 vormden deze drie bedrijfstakken al de top‐3 van sectoren met de meeste datalekken. Niet altijd was de sector gezondheid en welzijn de bedrijfstak met de meeste datalekmeldingen. In 2019 kwamen de meeste meldingen uit de financiële sector4). In de genoemde sectoren worden veel en ‘gevoelige’ persoonsgegevens verwerkt en opgeslagen. Ook het aantal bedrijven en instellingen en organisaties in een sector speelt een rol bij de hoeveelheid meldingen.
Datalek vaak door persoonsgegevens bij verkeerde ontvanger
In 2021 was verreweg de meest voorkomende oorzaak van het ontstaan van een datalek een brief of postpakket met persoonsgegevens die verstuurd of afgegeven werd aan de verkeerde ontvanger(s). ‘Hacking, malware en/of phishing’ (cyberaanvallen) omvatte 9 procent van het aantal meldingen in 2021 (2 210 meldingen). In 2020 was deze categorie incidenten goed voor 5 procent van het totaal aantal meldingen. Door deze sterke toename waren cyberaanvallen in 2021 — weliswaar op ruime afstand van verkeerd bestelde persoonsgegevens — de tweede belangrijkste oorzaak van datalekmeldingen.
DDoS-aanvallen
Bij een DDoS‐aanval (Distributed Denial of Service‐aanval) wordt een bepaalde online dienst (bijvoorbeeld een website) onbereikbaar gemaakt door deze te bestoken met veelnetwerkverkeer. Er is meestal sprake van kwade opzet.
| > 10 Gbps (% van DDoS aanvallen) | > 1 uur (% van DDoS aanvallen) | |
|---|---|---|
| 2016 | 13 | 36 |
| 2017 | 12 | 21,7 |
| 2018 | 11 | 19,7 |
| 2019 | 10,5 | 14,8 |
| 2020 | 15 | 12 |
| 2021 | 21 | 10 |
| Bron: CBS, Bron: NBIB 2020 | ||
| ¹⁾Van de bij NaWas aangesloten organisaties. | ||
Meer DDoS-aanvallen
In 2021 werden 2 796 DDos‐aanvallen geteld tegen 1 610 in het jaar ervoor (NBIP, 2022). Het betreft aanvallen bij partijen die gebruik maken van de Nationale anti‐DDoS‐Wasstraat (NaWas). In 2021 waren 114 partijen voornamelijk internetproviders, aangesloten bij de NaWas tegen 97 in 2020. Niet alle DDoS‐aanvallen waar Nederlandse websites mee te maken krijgen zijn dus opgenomen in de hier gepresenteerde cijfers. Kenmerken van DDoS‐aanvallen zijn de duur (tijd) en de omvang (Gbps). In 2021 duurde 10 procent van de aanvallen langer dan een uur (figuur 3.1.8). In de jaren 2017 tot en met 2020 was dit aandeel groter. Dit betekent niet per se dat er daardoor ook minder schade ontstond. Ook de complexiteit van de aanval speelt namelijk een rol. Een aanval waarbij meerdere technieken gecombineerd worden, een zogenoemde multivector aanval, is veel moeilijker te mitigeren dan een aanval met één techniek. Het aandeel DDoS‐aanvallen gemeten naar omvang groeide. In 2020 had 15 procent van de aanvallen een omvang van meer dan 10 Gbps, in 2021 was dit aandeel toegenomen tot 21 procent.