Cybersecuritymonitor 2021
Over deze publicatie
In deze vijfde editie van de Cybersecuritymonitor schetst het CBS een beeld van de ICT-incidenten waar bedrijven en personen slachtoffer van zijn geworden en de maatregelen die ze ertegen nemen.
Aan de hand van een twintigtal indicatoren wordt een beeld geschetst van de cybersecurity in Nederland. In vergelijking met de vorige editie is er dit jaar voor het eerst informatie met betrekking tot ZZP'ers opgenomen.
De Cybersecuritymonitor wordt mede op verzoek van het Ministerie van Economische Zaken en Klimaat samengesteld.
1. Inleiding
Dit is het vijfde jaar op rij dat het Centraal Bureau voor de Statistiek de Cybersecuritymonitor uitbrengt. Het doel van de monitor is het rapporteren over de meest actuele stand van zaken over de cyberweerbaarheid van bedrijven en huishoudens in Nederland. Dat gebeurt met voornamelijk CBS‐cijfers over het aantal cybercrime gerelateerde incidenten en maatregelen die genomen worden om deze incidenten te voorkomen.
De cybersecuritymonitor wordt mede op verzoek van het ministerie van Economische Zaken en Klimaat (EZK) gemaakt. De eerdere edities zijn beschikbaar via (CBS, 2017f, 2018f, 2019f, 2020f).
De structuur van de monitor is weer opgezet volgens dezelfde lijnen als de afgelopen edities. Cybersecurity werd hierin opgesplitst in twee domeinen: maatregelen en incidenten. Bij cybersecuritymaatregelen denken we aan het hele scala van mogelijkheden om de veiligheid van computers, smartphones, laptops, servers en netwerken te verhogen. Cybersecurityincidenten zijn juist de gevolgen van acties of activiteiten die de veiligheid van deze digitale systemen ondermijnen. Cybersecurityincidenten hoeven niet altijd een gevolg van kwaadwillende acties te zijn: ook een systeemfout waardoor gevoelige data naar buiten gebracht wordt of het verliezen van een onbeveiligde USB‐stick in de trein kan als een cybersecurityincident gezien worden. Immers, ook bij dit soort incidenten wordt de digitale veiligheid ondermijnd. Het ontstaan van cybersecurityincidenten als gevolg van kwaadwillenden wordt ook wel aangeduid als cybercrime. Voor een uitgebreidere toelichting verwijzen we naar de eerste Cybersecuritymonitor (CBS, 2017f).
In dit rapport worden in hoofdstuk 2 de cybersecuritymaatregelen besproken, dat wil zeggen de maatregelen die door bedrijven worden genomen om zichzelf meer cyberweerbaar te maken. In hoofdstuk 3 wordt ingegaan op alle cybersecurityincidenten bij Nederlandse bedrijven en personen. Ten slotte gaan we in hoofdstuk 4 in op de geregistreerde cybercrime, dus de cybersecurityincidenten door kwaadwillenden die ook daadwerkelijk slachtoffers gemaakt hebben.
2. Cybersecuritymaatregelen
2.1 Bedrijven
Dit hoofdstuk gaat in op de maatregelen die bedrijven in Nederland nemen om zichzelf meer cyberweerbaar te maken. De cijfers komen uit de CBS‐enquêtes ’ICT‐gebruik bedrijven 2017’ (CBS, 2017a,b,c,d,e), ’ICT‐gebruik bedrijven 2018’ (CBS, 2018a,b,c,d,e), ’ICT‐gebruik bedrijven 2019’ (CBS, 2019c,e,d,b,a), ’ICT‐gebruik bedrijven 2020’ (CBS, 2020d,a,e,c,b) en ’ICT‐gebruik bedrijven 2021’ (CBS, 2021b,d,c,a,e). .
De jaarlijkse enquête ’ICT‐gebruik bedrijven’ (of kortweg: de ICT‐enquête) wordt in samenwerking met de andere EU‐landen uitgevoerd onder leiding van Eurostat. Een deel van de uitvoeringskosten van de ICT‐enquête wordt door Eurostat gefinancierd. Het ministerie van Economische Zaken en Klimaat financiert daarnaast extra onderdelen van het onderzoek die niet verplicht zijn op basis van EU‐regelgeving.
Via de ICT‐enquête wordt jaarlijks het ICT‐gebruik van bedrijven in Nederland in kaart gebracht. Dit levert ook cijfers op die iets zeggen over de cyberweerbaarheid van bedrijven: de mate waarin zij bedrijfsprocessen en waardevolle data beveiligen tegen cybercriminelen. In deze monitor besteden we afzonderlijk aandacht aan de maatregelen die door bedrijven worden genomen om het bedrijf te beveiligen tegen aanvallen van buitenaf en de ICT‐veiligheidsincidenten. De maatregelen worden in dit hoofdstuk beschreven, terwijl de incidenten in het volgende hoofdstuk aan bod komen.
De ICT‐enquête wordt gehouden onder ongeveer 20 duizend aselect getrokken Nederlandse bedrijven van verschillende bedrijfsgrootteklassen en bedrijfscategorieën. Daarnaast is afgelopen jaar voor het eerst in opdracht van EZK een beknopte versie van de ICT‐bedrijven enquête uitgestuurd naar zo’n 22 duizend Zelfstandigen Zonder Personeel (ZZP’ers). Deze beknopte versie bevat voornamelijk de ICT‐veiligheidsvragen uit de totale enquête. De resultaten van de ZZP’ers worden dit jaar voor het eerst meegenomen om zo een vergelijking met bedrijven met 2 of meer werknemers te kunnen maken.
In de Appendix wordt in tabellen A.1.1 en A.1.2 een overzicht van respectievelijk alle grootteklassen en bedrijfstakken gegeven. In dit hoofdstuk worden de cijfers van vijf grootteklassen uitgelicht: ZZP’ers (1 werkzame persoon), bedrijven met 2 tot 10 werkzame personen, bedrijven met 10 tot 50 werkzame personen, bedrijven met 50 tot 250 werkzame personen en bedrijven met 250 of meer werkzame personen. Daarnaast laten we nog voor een viertal bedrijfstakken de cijfers zien: 1) Energie‐, water‐ en afvalbeheer, 2) Horeca, 3) Gezondheidszorg en 4) de ICT‐sector. Een compleet overzicht van de cijfers van alle grootteklassen en bedrijfstakken kan op Statline (CBS, 2022a) gevonden worden.
Maatregelen ter verhoging van de cyberweerbaarheid
Aan de bedrijven die aan de ICT‐enquête hebben deelgenomen, zijn verschillende vragen voorgelegd die iets zeggen over hun cyberweerbaarheid. Zo is aan bedrijven gevraagd welke ICT‐veiligheidsmaatregelen zijn getroffen. Ook is gevraagd wie de ICT‐veiligheidsmaatregelen binnen een bedrijf uitvoert: het eigen personeel, een extern bedrijf, of een combinatie van beide.
Eerst wordt bekeken hoe vaak verschillende cybersecuritymaatregelen door bedrijven toegepast worden. In figuren 2.1.1(a–l) en 2.1.2(a–l) worden over de jaren 2016–20201) voor verschillende bedrijfsgrootteklassen en bedrijfstakken voor twaalf verschillende maatregelen de percentages getoond van het aantal bedrijven dat de maatregelen dat jaar heeft toegepast. Voor de duidelijkheid worden slechts vier bedrijfsgrootteklassen en vier bedrijfstakken uitgelicht. Het volledige overzicht wordt in tabellen A.2.1 en A.2.2 gegeven en kan op StatLine (CBS, 2022a) gevonden worden. Uiteraard kan met deze twaalf maatregelen nooit een compleet beeld van het ICT‐beveiligingsniveau van bedrijven gegeven worden, maar er ontstaat wel een globale indruk, omdat je toch kan stellen dat elke extra maatregel die een bedrijf neemt een extra bijdrage levert aan de cyberweerbaarheid van het bedrijf.
Grote bedrijven nemen meer maatregelen tegen cyberdreigingen
In het algemeen kan gezegd worden dat het ICT‐beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. In figuur 2.1.1 is voor de jaren 2016–2020 te zien dat iedere maatregel vaker door grote dan door kleine bedrijven genomen wordt. Dit is echter voor sommige maatregelen duidelijker waarneembaar dan voor andere. Voor bijvoorbeeld een heel gangbare maatregel als het gebruik van anti‐virussoftware (figuur 2.1.1(a)) zijn de verschillen tussen grote en kleine bedrijven niet zo groot: meer dan 80 procent van alle bedrijven gebruikt anti‐virussoftware, ongeacht de bedrijfsgrootteklasse. Echter, bij een moeilijker toe te passen maatregel zoals het gebruik van een Virtual Private Netwerk (VPN) (figuur 2.1.1(l)) zijn wel grotere verschillen tussen kleine en grote bedrijven te zien: minder dan 30 procent van de bedrijven met 2 tot 10 werknemers maakt gebruik van VPN tegen 86 procent van de bedrijven met 250 of meer werknemers. Dat grotere bedrijven meer maatregelen treffen is niet vreemd: grotere bedrijven hebben immers vaker een grotere en meer complexe ICT‐infrastructuur en daarom is een breder scala aan beveiligingsmaatregelen nodig om het bedrijf cyberweerbaar te laten zijn.
In figuur 2.1.1 wordt ten slotte het percentage ZZP’ers getoond die in 2020 de maatregelen namen. Er kan geconstateerd worden dat bij alle ICT‐veiligheidsmaatregelen het percentage ZZP’ers dat deze maatregelen neemt net iets onder de kleinste bedrijfgrootteklasse van 2‐10 werknemers ligt, wat consistent is met de constatering dat kleine bedrijven minder ICT‐veiligheidsmaatregelen nemen dan grote bedrijven.
Toename authenticatie met soft- of hardware-token
Het gebruik van een soft‐ of hardware token voor het inloggen bij een bedrijf is de laatste vier jaar flink toegenomen. Deze zogenaamde two‐factor authenticatie2) is een stuk veiliger omdat naast een wachtwoord ook nog een extra code ingevoerd moet worden die per loginsessie verandert. Deze code kan verkregen worden via een speciaal apparaatje met afleesscherm of via een App op de smartphone zoals Authy, Google Authenticator of RSA SecureID. Op deze manier wordt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, kan de extra gegenereerde code om in te kunnen loggen extra bescherming bieden. Voor grote bedrijven is het gebruik van soft‐ of hardware tokens toegenomen van 71 procent in 2016 tot 89 procent in 2020, zoals is te zien in figuur 2.1.1(j). Bij alle bedrijfsgrootteklassen is te zien dat deze manier van inloggen steeds vaker gebruikt wordt. Zo maken de middelgrote bedrijven met 10 tot 50 werknemers een inhaalslag met een dekking die gestegen is van 29 procent in 2016 naar 60 procent in 2020. Voor kleine bedrijven (2 tot 10 werknemers) zien we zelfs bijna een verdubbeling van het gebruik van hardware‐tokens van 23 procent in 2016 naar 41 procent in 2020. Overigens bieden steeds meer websites de mogelijkheid tot het gebruik van two‐factor authenticatie aan, dus het is aannemelijk dat deze manier van inloggen nog meer in gebruik zal groeien.
ICT-veiligheidsmaatregelen per bedrijfstak
Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken met 2 of meer werknemers zien (de ZZP’ers zijn hier dus niet in meegenomen). Te zien is dat bedrijven die meer met ICT bezig zijn (ICT‐sector) of bedrijven die een groot belang hebben bij het beveiligen van hun data (Gezondheidszorg) beter scoren dan andere sectoren waar cybersecurity blijkbaar een minder belangrijke rol speelt, zoals de horeca. Wel moet in het achterhoofd gehouden worden dat ook een rol speelt dat de horecagroep relatief meer kleine bedrijven bevat, wat gezien de hierboven beschreven samenhang van het aantal maatregelen met de bedrijfsgrootte ook minder maatregelen impliceert. Bovendien, een horecaonderneming heeft vaak minder ICT‐systemen nodig voor de werkzaamheden, dus ligt het voor de hand dat er ook minder ICT‐beveiligingsmaatregelen genomen worden.
Aantal genomen ICT-veiligheidsmaatregelen
Het was te zien dat grote bedrijven vaker meer verschillende ICT‐maatregelen nemen dan kleine bedrijven. Dit wordt meer kwantitatief weergegeven in figuren 2.1.3 en 2.1.4, waarbij we per bedrijfsgrootte en bedrijfstak het percentage bedrijven laten zien dat een zeker aantal maatregelen neemt. Kijkend naar de verdeling van het aantal maatregelen per bedrijfsgrootteklasse (figuur 2.1.3) valt te zien dat kleine bedrijven hoger scoren op een kleiner aantal maatregelen, terwijl grote bedrijven juist vaker meerdere maatregelen tegelijk nemen. Van de bedrijven met 250 of meer werknemers neemt zelfs bijna de helft van de bedrijven alle tien maatregelen die uitgevraagd zijn.3)
In figuur 2.1.4 is weer te zien dat ICT‐bedrijven over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker wat minder maatregelen afdoende gevonden wordt. Op zich is dit niet opmerkelijk, omdat de noodzaak in de horeca voor bijvoorbeeld het gebruik van VPN‐verbindingen veel minder is.
Een kwart van de bedrijven neemt meer dan vijf maatregelen
Uit de verdelingen van het aantal maatregelen is ook af te leiden hoeveel bedrijven minimaal de helft van de gevraagde maatregelen nemen. Dit wordt in figuur 2.1.5 en figuur 2.1.6 respectievelijk per bedrijfsgrootteklasse en bedrijfstak getoond voor de jaren 2016 tot en met 2020. In figuur 2.1.5 is nu goed te zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2018 toegenomen is. In 2019 stagneert deze toename voor de grootste bedrijven met meer dan 50 werknemers, terwijl het aantal bedrijven dat meer dan 5 maatregelen neemt voor bedrijven met 10 tot 50 werknemers zelfs iets afgenomen is. Deze afname moet wel gerelativeerd worden, omdat in 2019 nog steeds meer bedrijven in de groep 10 tot 50 werknemers meer dan vijf maatregelen nemen dan in 2017. Ten slotte is te zien dat ongeveer één derde van de ZZP’ers vijf of meer van de gevraagde ICT‐veiligheidsmaatregelen neemt. In figuur 2.1.6 wordt per bedrijfstak het percentage bedrijven met 2 of meer werknemers getoond die meer dan vijf ICT‐veiligheidsmaatregelen treffen. Zoals al eerder waargenomen was, is te zien dat in de ICT en in de Zorg een relatief grote groep bedrijven meer dan vijf maatregelen treft (rond de 70 procent), terwijl dit voor de horeca een stuk lager ligt met ongeveer 20 procent. Wel kunnen we zien dat ook per bedrijfstak de afgelopen vier jaar steeds meer bedrijven meer ICT‐veiligheidsmaatregelen tegelijkertijd nemen. Ook stagneerde in 2019 het aantal bedrijven met veel ICT‐veiligheidsmaatregelen per bedrijfstak in vergelijking met 2018.
Aantal maatregelen | 1 werkzame persoon (ZZP'er) | 2 tot 10 werkzame personen | 10 tot 50 werkzame personen | 50 tot 250 werkzame personen | 250 of meer werkzame personen |
---|---|---|---|---|---|
0 | 10 | 10 | 3 | 1 | 1 |
1 | 10 | 11 | 3 | 1 | 0 |
2 | 17 | 14 | 7 | 1 | 0 |
3 | 17 | 13 | 7 | 2 | 1 |
4 | 13 | 10 | 10 | 4 | 1 |
5 | 10 | 9 | 10 | 6 | 3 |
6 | 8 | 8 | 11 | 9 | 4 |
7 | 4 | 7 | 11 | 12 | 8 |
8 | 4 | 6 | 11 | 15 | 14 |
9 | 2 | 5 | 11 | 18 | 20 |
10 | 4 | 7 | 16 | 31 | 48 |
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfsgrootte, 2021 (CBS, 2021b) |
Aantal maatregelen | Zorg | Horeca | ICT | Industrie |
---|---|---|---|---|
0 | 2 | 19 | 2 | 7 |
1 | 3 | 22 | 4 | 7 |
2 | 4 | 19 | 7 | 14 |
3 | 10 | 9 | 9 | 12 |
4 | 9 | 9 | 11 | 10 |
5 | 12 | 6 | 15 | 10 |
6 | 11 | 8 | 12 | 8 |
7 | 13 | 3 | 11 | 8 |
8 | 12 | 2 | 14 | 8 |
9 | 9 | 1 | 7 | 7 |
10 | 15 | 3 | 9 | 10 |
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2021 (CBS, 2021d) |
dim_gk | 2016 (% van bedrijven) | 2017 (% van bedrijven) | 2018 (% van bedrijven) | 2019 (% van bedrijven) | 2020 (% van bedrijven) |
---|---|---|---|---|---|
250 of meer werkzame personen | 94 | 94 | 97 | 98 | 97 |
50 tot 250 werkzame personen | 82 | 83 | 89 | 89 | 91 |
10 tot 50 werkzame personen | 54 | 61 | 69 | 65 | 70 |
2 tot 10 werkzame personen | 32 | 37 | 43 | 44 | 42 |
1 werkzame persoon (ZZP'er) | 32 | ||||
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfsgrootte, 2021 (CBS, 2021b) |
dim_sbi | 2016 (% van bedrijven) | 2017 (% van bedrijven) | 2018 (% van bedrijven) | 2019 (% van bedrijven) | 2020 (% van bedrijven) |
---|---|---|---|---|---|
Zorg | 57 | 66 | 74 | 73 | 72 |
ICT | 74 | 73 | 76 | 73 | 68 |
Industrie | 42 | 47 | 53 | 53 | 51 |
Horeca | 20 | 18 | 22 | 21 | 23 |
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2021 (CBS, 2021d) |
Uitvoering ICT-veiligheidswerkzaamheden
De organisatie van de ICT‐beveiliging wordt in figuur 2.1.7 en figuur 2.1.8 onder de loep genomen. Er wordt per bedrijfsgrootteklasse en bedrijfstak gekeken wie in 2018, 2019 en 2020 de ICT‐veiligheidswerkzaamheden binnen het bedrijf uitvoert: eigen personeel, een extern bedrijf of een mix van beide. Voor het jaar 2020 is dit ook voor het eerst voor ZZP’ers weergegeven. Er moet aangetekend worden dat de vraagstelling in 2020 iets veranderd is: het is in dat jaar ook mogelijk om de vraag als ’niet van toepassing’ aan te duiden, wat weergeven wordt met de donkergroene kleur van de ’20‐staafjes uit de grafiek. In de jaren daarvoor was deze mogelijkheid er niet en moest je aangeven of je de ICT‐veiligheidswerkzaamheden zelf deed of uitbesteedde (of een mix daarvan). Deze verandering is er waarschijnlijk ook de oorzaak van dat uitkomsten ten opzichte van voorgaande jaren wat verschoven zijn, met name voor de kleine bedrijven. Om deze reden wordt met name naar de categorie ’Extern’ gekeken, d.w.z het percentage van bedrijven dat de ICT‐veiligheidswerkzaamheden volledig door een extern bedrijf laat uitvoeren en daar derhalve niks zelf aan doet. Deze categorie lijkt redelijk constant gebleven over de overgelopen drie jaren. ZZP’ers besteden relatief gezien het minst van de ICT‐veiligheidswerkzaamheden volledig extern uit en het percentage dat deze vraag als ’niet van toepassing’ heeft aangeduid, is het grootst.
Jaar | Extern (% van bedrijven) | Zelf/eigen personeel (% van bedrijven) | Extern en zelf/eigen personeel (% van bedrijven) | N.v.t. (% van bedrijven) | |
---|---|---|---|---|---|
1 (ZZP'ers) | '18 | ||||
1 (ZZP'ers) | '19 | ||||
1 (ZZP'ers) | '20 | 14 | 34 | 4 | 48 |
2 - 10 | '18 | 31 | 53 | 16 | 0 |
2 - 10 | '19 | 42 | 51 | 7 | 0 |
2 - 10 | '20 | 26 | 22 | 6 | 46 |
10 - 50 | '18 | 47 | 25 | 28 | 0 |
10 - 50 | '19 | 59 | 27 | 14 | 0 |
10 - 50 | '20 | 49 | 17 | 16 | 18 |
50 - 250 | '18 | 34 | 21 | 45 | 0 |
50 - 250 | '19 | 42 | 24 | 34 | 0 |
50 - 250 | '20 | 39 | 22 | 33 | 6 |
250 - | '18 | 17 | 17 | 66 | 0 |
250 - | '19 | 20 | 22 | 58 | 0 |
250 - | '20 | 19 | 23 | 55 | 3 |
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e) |
Jaar | Extern (% van bedrijven) | Zelf/eigen personeel (% van bedrijven) | Extern en zelf/eigen personeel (% van bedrijven) | N.v.t. (% van bedrijven) | |
---|---|---|---|---|---|
Industrie | '18 | 40 | 39 | 21 | 0 |
Industrie | '19 | 52 | 36 | 12 | 0 |
Industrie | '20 | 36 | 17 | 11 | 36 |
ICT | '18 | 12 | 61 | 27 | 0 |
ICT | '19 | 10 | 69 | 21 | 0 |
ICT | '20 | 9 | 52 | 19 | 20 |
Horeca | '18 | 20 | 71 | 9 | 0 |
Horeca | '19 | 37 | 59 | 4 | 0 |
Horeca | '20 | 16 | 20 | 1 | 63 |
Zorg | '18 | 44 | 29 | 27 | 0 |
Zorg | '19 | 54 | 32 | 14 | 0 |
Zorg | '20 | 45 | 21 | 11 | 23 |
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e) |
Bij grote bedrijven komt het vaker voor dat het eigen personeel in ieder geval een deel van de ICT‐veiligheidsmaatregelen uitvoert. Bovendien komt ’Niet van toepassing’ bij grote bedrijven nauwelijks voor. Dit is niet opmerkelijk omdat een groot bedrijf complexe zaken kan uitbesteden en meer personeel heeft dat de wat meer standaardwerkzaamheden prima zelf kan doen.
Als we in figuur 2.1.8 naar de uitvoering van ICT‐veiligheidswerkzaamheden per bedrijfstak kijken, kunnen we zien dat ICT‐bedrijven in de meeste gevallen prima in staat zijn alle ICT‐beveiliging zelf te doen; zo’n 70 procent van de ICT‐bedrijven doet de ICT‐beveiliging volledig zelf. Ook dit is niet opmerkelijk omdat je kan verwachten dat bij bedrijven in de ICT voldoende expertise voor handen is om de ICT‐beveiliging zelf te doen. In de Zorg en in de Industrie worden de ICT‐beveiligingswerkzaamheden in de helft van de gevallen uitbesteed. De Horeca heeft het meest gebruik gemaakt van de nieuwe categorie ’Niet van toepassing’: bijna twee derde van de horecabedrijven zegt dat ICT‐beveiligingswerkzaamheden niet van toepassing.
2.2 Websites
Deze paragraaf beschrijft de maatregelen die bedrijven nemen om de beveiliging en betrouwbaarheid van hun websites te verhogen. Het gebruik van veilige en moderne internetstandaarden speelt hierbij een belangrijke rol.
Aandeel .nl-domeinnamen met DNSSEC-beveiliging stijgt
Medio 2022 was het aandeel .nl‐domeinnamen met DNSSEC‐beveiliging toegenomen tot 57 procent (figuur 2.2.1). Tussen eind april 2012 en eind mei 2022 is het percentage met DNSSEC‐beveiligde .nl‐websites nagenoeg continu toegenomen. Hierbij verliep de toename in de eerste jaren van deze periode sneller dan in de latere jaren.
Jaar | % van aantal .nl-domeinnamen (% van .nl-domeinnamen) |
---|---|
jan '12 | 0,0 |
feb '12 | 0,0 |
mrt '12 | 0,0 |
apr '12 | 0,0 |
mei '12 | 0,0 |
jun '12 | 0,3 |
jul '12 | 3,8 |
aug '12 | 15,3 |
sep '12 | 25,5 |
okt '12 | 25,9 |
nov '12 | 26,3 |
dec '12 | 26,6 |
jan '13 | 26,9 |
feb '13 | 27,1 |
mrt '13 | 27,5 |
apr '13 | 27,6 |
mei '13 | 28,5 |
jun '13 | 28,6 |
jul '13 | 28,8 |
aug '13 | 28,8 |
sep '13 | 30,2 |
okt '13 | 30,3 |
nov '13 | 31,1 |
dec '13 | 31,1 |
jan '14 | 31,2 |
feb '14 | 31,2 |
mrt '14 | 31,2 |
apr '14 | 31,1 |
mei '14 | 31,2 |
jun '14 | 31,7 |
jul '14 | 32,2 |
aug '14 | 33,8 |
sep '14 | 33,8 |
okt '14 | 33,8 |
nov '14 | 34,6 |
dec '14 | 40,6 |
jan '15 | 40,8 |
feb '15 | 41,0 |
mrt '15 | 43,2 |
apr '15 | 43,7 |
mei '15 | 43,6 |
jun '15 | 43,6 |
jul '15 | 43,6 |
aug '15 | 43,8 |
sep '15 | 43,6 |
okt '15 | 44,0 |
nov '15 | 43,9 |
dec '15 | 44,3 |
jan '16 | 44,3 |
feb '16 | 44,0 |
mrt '16 | 44,5 |
apr '16 | 44,2 |
mei '16 | 44,2 |
jun '16 | 44,2 |
jul '16 | 44,7 |
aug '16 | 45,0 |
sep '16 | 45,0 |
okt '16 | 45,0 |
nov '16 | 45,5 |
dec '16 | 45,5 |
jan '17 | 45,5 |
feb '17 | 45,6 |
mrt '17 | 45,7 |
apr '17 | 46,0 |
mei '17 | 46,4 |
jun '17 | 47,2 |
jul '17 | 47,7 |
aug '17 | 48,5 |
sep '17 | 48,8 |
okt '17 | 49,0 |
nov '17 | 49,2 |
dec '17 | 49,3 |
jan '18 | 49,3 |
feb '18 | 49,4 |
mrt '18 | 49,7 |
apr '18 | 52,0 |
mei '18 | 52,2 |
jun '18 | 52,3 |
jul '18 | 52,6 |
aug '18 | 52,7 |
sep '18 | 53,1 |
okt '18 | 53,3 |
nov '18 | 53,4 |
dec '18 | 53,5 |
jan '19 | 53,8 |
feb '19 | 54,0 |
mrt '19 | 54,2 |
apr '19 | 54,3 |
mei '19 | 54,5 |
jun '19 | 54,4 |
jul '19 | 54,4 |
aug '19 | 54,5 |
sep '19 | 54,6 |
okt '19 | 54,6 |
nov '19 | 54,7 |
dec '19 | 54,8 |
jan '20 | 54,9 |
feb '20 | 55,0 |
mrt '20 | 55,2 |
apr '20 | 55,4 |
mei '20 | 55,5 |
jun '20 | 55,5 |
jul '20 | 55,5 |
aug '20 | 55,5 |
sep '20 | 55,5 |
okt '20 | 55,4 |
nov '20 | 55,7 |
dec '20 | 55,9 |
jan '21 | 56,2 |
feb '21 | 56,2 |
mrt '21 | 56,4 |
apr '21 | 56,2 |
mei '21 | 56,1 |
jun '21 | 56,0 |
jul '21 | 56,6 |
aug '21 | 57,0 |
sep '21 | 57,1 |
okt '21 | 57,1 |
nov '21 | 57,0 |
dec '21 | 57,1 |
jan '22 | 57,3 |
feb '22 | 57,3 |
mrt '22 | 57,3 |
apr '22 | 57,4 |
mei '22 | 57,4 |
Bron: SIDN, 2022 |
DNSSEC is een beveiligingssysteem voor DNS (het internettelefoonboek dat zorgt voor de vertaling van domeinnamen naar IP‐adressen). DNSSEC breidt DNS uit met een extra beveiliging. Met alleen DNS is de vertaling van een domeinnaam namelijk niet beveiligd. Hierdoor kan een kwaadwillende het internetverkeer van een gebruiker omleiden naar een vals IP‐adres en vervolgens vertrouwelijke gegevens of zelfs geld ontfutselen. Met DNSSEC wordt bij de vertaling van domeinnaam naar IP‐adres een digitale handtekening toegevoegd die een internetgebruiker automatisch kan laten controleren. Hierdoor wordt het omleiden naar een vals IP‐adres voorkomen. DNSSEC is daarmee een belangrijk wapen in de strijd tegen phishing en pharming. De domeinregistratie en het bijhouden van het gebruik van DNSSEC in Nederland wordt uitgevoerd door de Stichting Internet Domeinregistratie Nederland (SIDN).
2) Strikt genomen is er nog een onderscheid te maken tussen two‐factor authenticatie en two‐step authenticatie, maar dat laten we verder buiten beschouwing omdat beide vormen sowieso een extra beveiliging opleveren ten opzichte van het inloggen met enkel een wachtwoord.
3) Van de twaalf maatregelen die in figuur 2.1.1 en figuur 2.1.2 getoond worden, nemen we er maar tien mee in figuur 2.1.3 en figuur 2.1.4 waar we het totaal aantal maatregelen tonen dat bedrijven nemen. Dit omdat de maatregelen ’ICT‐cursus aan specialisten’ (d) en ’Updaten software’ (k) niet over alle jaren beschikbaar zijn.
3. Cybersecurityincidenten
In het voorgaande hoofdstuk werd gekeken naar de maatregelen die bedrijven en personen nemen om meer cyberweerbaar te worden. Nu worden de incidenten beschouwd die plaatsvinden ondanks alle maatregelen die genomen worden. Hierbij worden gewone incidenten, die door onopzettelijk of eigen toedoen ontstaan, onderscheiden van incidenten ten gevolge van een aanval van buitenaf. Bij de laatste vorm wordt ook wel gesproken van ’cybercrime’. Cybercrime kan worden omschreven als ’alle delicten die gepleegd worden met behulp van ICT’ (CBS, 2017f). We praten dus over delicten (strafbare feiten) door toedoen van cybercriminelen. Te denken valt aan online fraude, DDoS aanvallen en inbraak
in computers.
3.1 Bedrijven
Type ICT-veiligheidsincidenten
In de ICT‐enquête onderscheiden we twee soorten ICT‐veiligheidsincidenten: incidenten door eigen toedoen en incidenten ten gevolge van een aanval van buitenaf. Voor beide groepen onderscheiden we weer drie type incidenten: uitval van een ICT‐systeem, datavernietiging (vernietiging of verminking van elektronische gegevens) en dataonthulling (onthulling van vertrouwelijke elektronische gegevens). Hiermee komen we op zes typen ICT‐veiligheidsincidenten in totaal.
Cybersecurityincidenten per bedrijfsgrootte
In de ICT‐enquête wordt aan een representatieve steekproef van bedrijven gevraagd hoe vaak ze te maken hebben gehad met elk van de genoemde ICT‐veiligheidsincidenten. Ook wordt gevraagd of er kosten waren verbonden aan de ICT‐veiligheidsincidenten. Deze vragen zijn nu vijf opeenvolgende jaren voorgelegd. We kijken nu eerst naar de resultaten per bedrijfsgrootteklasse. Daarna zullen we ook kijken naar de ontwikkeling van ICT‐veiligheidsincidenten per bedrijfstak.
Grote bedrijven hebben steeds vaker incidenten
In figuren 3.1.1 en 3.1.2 wordt voor de periode 2016–2020 per bedrijfsgrootteklasse het percentage van bedrijven getoond dat minstens één ICT‐veiligheidsincident heeft gehad ten gevolge van respectievelijk een interne oorzaak of een aanval van buitenaf. Voor beide figuren worden dus de in paragraaf 3.1.1 genoemde typen incidenten (uitval ICT‐systeem, datavernietiging en dataonthulling) samengenomen. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten met het ICT‐incident gemoeid waren.
Meest opvallend is dat grote bedrijven over de jaren heen consistent meer incidenten rapporteren dan kleine bedrijven voor zowel interne incidenten als incidenten door een aanval van buitenaf. Dit kan meerdere oorzaken hebben. Voor de interne incidenten, zoals uitval van ICT‐systemen door hardware of software storingen, speelt mee dat grote bedrijven vaker een grotere, meer complexe ICT‐infrastructuur hebben: met meer computers en andere hardware binnen het bedrijf wordt de kans uiteraard groter dat er in een jaar ook wat kapot gaat. Als je kijkt naar incidenten door een aanval van buitenaf kunnen we aannemen dat grote bedrijven vaak interessanter voor cybercriminelen zijn omdat er meer te halen valt of de (publiciteits) schade groter is. Wat verder nog een rol speelt, is dat bij grote bedrijven vaak meer ICT‐specialisten werken, wat ook de kans groter maakt dat ICT‐veiligheidsincidenten gedetecteerd worden die misschien bij kleine bedrijven onder de radar blijven.
Verder laat figuur 3.1.1 zien dat voor 2020 voor alle grootteklassen een behoorlijke daling van het aantal interne incidenten ten opzichte van het jaar daarvoor plaatsvindt. Zo rapporteerde 65 procent van de bedrijven met 250 of meer werknemers in 2020 een intern incident gehad te hebben, terwijl dit een jaar later nog maar 47 procent was, een daling van 18 procentpunt. Voor een deel valt deze daling te verklaren door de iets nauwere formulering van de categorie ’dataonthulling door eigen personeel’. Vanaf 2020 is daar duidelijk bij vermeld dat het uitdrukkelijk gaat om onopzettelijke dataonthulling door eigen personeel, en niet om opzettelijk toedoen. In dat laatste geval valt het incidenten onder dataonthulling ten gevolge van een aanval van buitenaf, omdat het hoort bij de categorie cybercrime. Het is dus mogelijk dat door deze duidelijkere omschrijving dat het om onopzettelijk toedoen van eigen personeel gaat, dit tot een daling van deze categorie heeft geleid. Aan de andere kant, ook de categorie ’uitval door een storing’ is flink gedaald en bij deze vraag is de formulering niet veranderd. Dus de daling is in ieder geval ten dele een werkelijke daling van het aantal interne incidenten.
De helft van de ICT-veiligheidsincidenten gaat gepaard met kosten
In figuren 3.1.1 en 3.1.2 is te zien dat lang niet alle ICT‐veiligheidsincidenten met kosten gepaard gaan. Ongeveer de helft van de bedrijven die ICT‐veiligheidsincidenten rapporteren, zegt hier ook kosten aan gehad te hebben. Voor 2020 is deze fractie zelfs nog wat gedaald ten opzichte van het jaar daarvoor: in 2020 gaat nog maar ongeveer een derde van de ICT‐veiligheidsincidenten gepaard met kosten. Het komt dus vaker voor dan niet dat er wel sprake was van een ICT‐veiligheidsincident, maar dat dit niet direct tot kosten heeft geleid. Dit geldt voor zowel incidenten met een interne oorzaak als incidenten ten gevolge van een aanval van buitenaf. Overigens moeten we hierbij ook de kanttekening maken dat in 2020 iets uitgebreider op de kosten ingegaan wordt, wat eventueel ook een oorzaak van deze daling geweest kan zijn omdat bedrijven bewuster bezig zijn bij het invullen dat het om incidenten met kosten gaat.
Aantal bedrijven met ICT-veiligheidsincidenten neemt af
Ten slotte kunnen we uit figuren 3.1.1 en 3.1.2 aflezen dat voor de meeste bedrijfsgrootteklassen het totaal aantal interne en externe ICT‐veiligheidsincidenten over de laatste vijf jaar is afgenomen. Voor de incidenten met een interne oorzaken is dit niet heel duidelijk, zeker niet voor de grootste bedrijven: bij deze groep zien we juist een toenemende trend over de jaren 2017–2020. Dit zou te maken kunnen hebben met het feit dat interne incidenten niet per se te voorkomen zijn: een kapot hardware onderdeel is iets wat nu eenmaal kan ontstaan.
Voor de ICT‐veiligheidsincidenten door een aanval van buitenaf is de afname voor alle bedrijfsgrootteklassen over de periode 2016—2019 waar te nemen, maar voor het laatste jaar 2020 is juist weer een lichte toename van ICT‐veiligheidsincidenten door een aanval van buiten te zien. Zo is te zien dat in 2016 bijna 40 procent van de grote bedrijven (250 of meer werknemers) met een ICT‐veiligheidsincident te maken heeft gehad, terwijl dat in 2019 19 procent was. In 2020 is dit weer toegenomen tot 22 procent van de grote bedrijven die een ICT‐veiligheidsincident melden door een aanval van buitenaf.
Ook als alleen naar de incidenten met kosten gekeken wordt, is te zien dat het aantal meldingen gehalveerd is: in 2016 gaf 19 procent van de grote bedrijven aan een ICT‐veiligheidsincident met kosten gehad te hebben, terwijl dat in 2020 nog maar 9 procent was. In 2020 is dit zelfs dus nog wat verder afgenomen: bij 8 procent van de grote bedrijven met een ICT‐veiligheidsincident door een aanval van buiten ging dat ook met kosten gepaard. Deze afname van het aantal ICT‐veiligheidsincidenten door een aanval van buitenaf is waarneembaar voor alle bedrijfsgrootteklassen. Toch zal verderop aangetoond worden dat deze afname wel iets genuanceerder bekeken moet worden, omdat het beeld een gemiddelde betreft en de ontwikkelingen per type incident ook een rol spelen.
Cybersecurityincidenten per bedrijfstak
In figuren 3.1.3 en 3.1.4 wordt voor de periode 2016–2020 het aantal ICT‐veiligheidsincidenten met respectievelijk interne en externe oorzaak per bedrijfstak uitgesplitst voor alle bedrijven met twee of meer werknemers. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten aan de ICT‐veiligheidsincidenten verbonden waren.
Zoals al eerder geconstateerd was, is het percentage bedrijven dat in 2020 een intern ICT‐veiligheidsincident meldt behoorlijk afgenomen ten opzicht van 2019. Weer moeten we benadrukken dat dit waarschijnlijk deels door de iets nauwere definitie van de onthulling door eigen personeel komt, en deels door een daadwerkelijke daling. Opvallend is ook dat het aantal incidenten met interne oorzaak niet heel duidelijk met de bedrijfstak samenhangt. Voor de bedrijfstakken die we in figuur 3.1.3 bekijken, vinden we dat ongeveer een derde van de bedrijven een intern incident heeft gemeld, waarvan weer ongeveer de helft kosten met zich meebracht. Alleen de horeca meldt aanzienlijk minder incidenten: in 2020 meldde ongeveer 15 procent van de horecabedrijven een veiligheidsincident. Op zich is dit niet heel vreemd omdat in de horeca waarschijnlijk gewoon minder met een computer gewerkt wordt, zodat de kans op uitval door een hardware‐ of softwarestoring ook kleiner is.
Voor incidenten door een aanval van buitenaf vinden we vooral lage percentages bedrijven die hier melding van maken: voor ICT‐bedrijven en de industriebedrijven respectievelijk 11 en 7 procent; voor de zorg en horeca tussen de 5 en 6 procent van de bedrijven. Opnieuw zien we bij de de industrie dat het percentage van bedrijven dat een incident door een aanval van buitenaf meldt over de laatste vijf jaar afgenomen is. Bij de ICT‐bedrijven is er in 2020 een kleine toename te zien ten opzicht van 2019 van het aantal bedrijven dat een ICT‐veiligheidsincidenten door een aanval van buiten meldt.
Cybersecurityincidenten per type incident
We hebben tot nu toe gekeken naar het percentage bedrijven dat een incident gemeld heeft opgesplitst naar interne incidenten en door een aanval van buitenaf. De belangrijkste conclusie was dat voornamelijk het percentage bedrijven dat een incident meldt door een aanval van buitenaf over de laatste vier jaar afgenomen is. We zullen nu kijken wat de bijdragen van de 3 typen incidenten zijn: uitval, datavernietiging en dataonthulling.
Cybersecurityincidenten per type incident per grootteklasse
In figuren 3.1.5(a1–c1) toont de linker kolom de interne ICT‐veiligheidsincidenten voor respectievelijk uitval van ICT‐systemen, datavernietiging en dataonthulling.
Figuren 3.1.5(a2–c2) geven de incidenten door een aanval van buitenaf voor dezelfde drie typen incidenten.
Allereerst is weer voor de interne incidenten te zien dat er ook per catergorie van incidenten een sterke daling heeft plaatsgevonden van het aantal bedrijven dat een intern ICT‐veiligheidsincident meldt. Er was eerder al geconcludeerd dat het aantal interne incidenten toeneemt met de bedrijfsgrootte. Als we naar de drie typen interne incidenten kijken dan zien we dat deze toename voornamelijk toe te schrijven is in aan de uitval van ICT‐systemen door een hardware‐ of softwarestoring, zoals te zien is in figuur 3.1.5(a1): ongeveer 10 procent van de kleine bedrijven rapporteerde in 2020 een uitval door een storing, terwijl dit voor grote bedrijven zo’n 41 procent was. Beide percentages zijn een stuk lager dan de in 2019 gemeten percentages (respectievelijk 20 en 56 procent).
Datavernietiging door een hardware storing komt bij minder dan 10 procent van de bedrijven voor; bovendien is de koppeling aan de bedrijfsgrootte minder sterk aanwezig. Wel is te zien dat ook dataonthulling vaker bij grote dan bij kleine bedrijven voorkomt, maar omdat het hier om kleine percentages gaat, draagt deze categorie een stuk minder bij aan het totaal van interne incidenten. De ontwikkeling in de tijd is voor de interne incidenten minder duidelijk en varieert van categorie tot categorie. Bij de dataonthulling door een intern incident, getoond in figuur 3.1.5(a3), is een duidelijke toename in de tijd te zien voor de grote bedrijven van 250 of meer werknemers. Dit in tegenstelling tot de afname die we bij het totaal van interne incidenten gevonden hebben. Het maakt nogal uit naar welk type incident je kijkt. Figuur 3.1.5(a2–c2) laat zien dat alle typen incidenten ten gevolge van een aanval van buitenaf weer toenemen met de bedrijfsgrootte, zoals we al eerder bij het totaal van incidenten door een aanval constateerden. Er was eerder geconstateerd dat het percentage bedrijven dat incidenten rapporteert door een aanval van buitenaf afneemt over de tijd. Maar net als bij de interne incidenten is dit alleen toe te schrijven aan de afname van uitval van ICT‐systemen en vernietiging van data door een aanval van buitenaf. Het aantal bedrijven dat dataonthulling als gevolg van een cyberinbraak meldt, is echter weer toegenomen over de afgelopen vier jaar, met name als er naar de grote bedrijven gekeken wordt. Er kan dus geconcludeerd worden dat alleen kijkend naar de cijfers voor dataonthulling, we een toename van het aantal incidenten zien. Dit neemt echter niet weg dat als we de incidenten van datavernietiging en uitval van ICT‐systemen meenemen, het aantal incidenten over de jaren afgenomen is.
Meldingen datalekken bij Autoriteit Persoonsgegevens
Uit het voorgaande is gebleken dat met name grotere bedrijven melden dat ze ICT‐veiligheidsincidenten meemaakten in de vorm van dataonthullingen, zowel door eigen toedoen (bijvoorbeeld door het verliezen van een USB‐stick) als door cybercrime. In Nederland zijn bedrijven verplicht melding te doen van onthulling van persoonsgegevens bij de Autoriteit Persoonsgegevens (AP).
De meldplicht van datalekken geldt in Nederland sinds 2016 en is in EU‐verband verder geformaliseerd en gepreciseerd door de Algemene Verordening Gegevensbescherming (AVG) die sinds 25 mei 2018 van toepassing is. Van een datalek is sprake als privacygevoelige gegevens mogelijk in handen van derden zijn gevallen of waar derden toegang tot hebben gehad. Ook hierbij geldt dat de oorzaak van dit soort datalekken soms onbedoeld en terug te voeren is op slordige omgang door de houder van de gegevens. Echter, aan de andere kant van het spectrum staat het moedwillig hacken van dit soort gegevens om te illustreren hoe slecht deze gegevens beveiligd zijn, of om er daadwerkelijk iets mee te gaan doen, bijvoorbeeld te verkopen.
Bijna 25 duizend meldingen van datalekken in 2021
In 2021 zijn 24 866 datalekken gemeld bij de Autoriteit Persoonsgegevens. Dat betekent een toename van 3,7 procent ten opzichte van het jaar ervoor. Alleen in 2020 was het aantal gemelde datalekken nog hoger (26 956). In 2021 kwamen de meeste meldingen van datalekken — 37 procent — uit de sector gezondheid en welzijn (figuur 3.1.7).
In absolute zin ging het om 9 200 meldingen door bijvoorbeeld ziekenhuizen, apotheken en GGZ‐instellingen in 2021. Ook bij het openbaar bestuur (zoals Rijksoverheid en gemeenten) en in de financiële sector kwamen relatief veel meldingen van datalekken voor (respectievelijk 23 en 11 procent). Gezamenlijk waren deze drie sectoren dus goed voor 71 procent van alle gemelde datalekken in 2021.
Financiële dienstverlening (% van totaal gemelde datalekken) | Gezondheid en welzijn (% van totaal gemelde datalekken) | Openbaar bestuur (% van totaal gemelde datalekken) | |
---|---|---|---|
2017 | 19 | 30 | 19 |
2019 | 30 | 28 | 17 |
2021 | 11 | 37 | 23 |
Bron: Autoriteit Persoonsgegevens (2022) |
Ook in 2017 en 2019 vormden deze drie bedrijfstakken al de top‐3 van sectoren met de meeste datalekken. Niet altijd was de sector gezondheid en welzijn de bedrijfstak met de meeste datalekmeldingen. In 2019 kwamen de meeste meldingen uit de financiële sector4). In de genoemde sectoren worden veel en ‘gevoelige’ persoonsgegevens verwerkt en opgeslagen. Ook het aantal bedrijven en instellingen en organisaties in een sector speelt een rol bij de hoeveelheid meldingen.
Datalek vaak door persoonsgegevens bij verkeerde ontvanger
In 2021 was verreweg de meest voorkomende oorzaak van het ontstaan van een datalek een brief of postpakket met persoonsgegevens die verstuurd of afgegeven werd aan de verkeerde ontvanger(s). ‘Hacking, malware en/of phishing’ (cyberaanvallen) omvatte 9 procent van het aantal meldingen in 2021 (2 210 meldingen). In 2020 was deze categorie incidenten goed voor 5 procent van het totaal aantal meldingen. Door deze sterke toename waren cyberaanvallen in 2021 — weliswaar op ruime afstand van verkeerd bestelde persoonsgegevens — de tweede belangrijkste oorzaak van datalekmeldingen.
DDoS-aanvallen
Bij een DDoS‐aanval (Distributed Denial of Service‐aanval) wordt een bepaalde online dienst (bijvoorbeeld een website) onbereikbaar gemaakt door deze te bestoken met veelnetwerkverkeer. Er is meestal sprake van kwade opzet.
> 10 Gbps (% van DDoS aanvallen) | > 1 uur (% van DDoS aanvallen) | |
---|---|---|
2016 | 13 | 36 |
2017 | 12 | 21,7 |
2018 | 11 | 19,7 |
2019 | 10,5 | 14,8 |
2020 | 15 | 12 |
2021 | 21 | 10 |
Bron: CBS, Bron: NBIB 2020 | ||
¹⁾Van de bij NaWas aangesloten organisaties. |
Meer DDoS-aanvallen
In 2021 werden 2 796 DDos‐aanvallen geteld tegen 1 610 in het jaar ervoor (NBIP, 2022). Het betreft aanvallen bij partijen die gebruik maken van de Nationale anti‐DDoS‐Wasstraat (NaWas). In 2021 waren 114 partijen voornamelijk internetproviders, aangesloten bij de NaWas tegen 97 in 2020. Niet alle DDoS‐aanvallen waar Nederlandse websites mee te maken krijgen zijn dus opgenomen in de hier gepresenteerde cijfers. Kenmerken van DDoS‐aanvallen zijn de duur (tijd) en de omvang (Gbps). In 2021 duurde 10 procent van de aanvallen langer dan een uur (figuur 3.1.8). In de jaren 2017 tot en met 2020 was dit aandeel groter. Dit betekent niet per se dat er daardoor ook minder schade ontstond. Ook de complexiteit van de aanval speelt namelijk een rol. Een aanval waarbij meerdere technieken gecombineerd worden, een zogenoemde multivector aanval, is veel moeilijker te mitigeren dan een aanval met één techniek. Het aandeel DDoS‐aanvallen gemeten naar omvang groeide. In 2020 had 15 procent van de aanvallen een omvang van meer dan 10 Gbps, in 2021 was dit aandeel toegenomen tot 21 procent.
4. Cybercrime
In dit hoofdstuk worden enkele cijfers beschreven over online criminaliteit. Tevens wordt ingegaan op de sancties en/of straffen die worden opgelegd voor het plegen van een specifieke vorm van cybercrime, nl. computervredebreuk.
4.1 Online criminaliteit
Onder online criminaliteit worden delicten en incidenten geschaard die via internet, e‐mail of app plaatsvinden. Het betreft strafbare feiten in de sfeer van oplichting en fraude (aan‐ en verkoopfraude, fraude betalingsverkeer, ID‐fraude, phishing, computervredebreuk (hacken)) en om incidenten in de interpersoonlijke sfeer die niet altijd strafbaar zijn zoals bedreigingen, pesten, stalken en shame sexting5)
Slachtofferschap online criminaliteit toegenomen
Het slachtofferschap van online criminaliteit is sinds 2012 met 22 procent toegenomen (figuur 4.1.1). Vooral de laatste jaren is er sprake van een stijgende tendens. Van de onderscheiden vormen van online criminaliteit nam het slachtofferschap van aankoopfraude vanaf 2012 het sterkst toe (index 2021 = 219), gevolgd door verkoopfraude (index 2021 = 165) en online pesten (index 2021 = 126). Het percentage slachtoffers van hacken is vrij stabiel over de tijd. Met identiteitsfraude kwamen juist minder mensen in aanraking, zij het dat er de laatste jaren sprake is van een licht stijgende tendens.
In 2021 was 17 procent van de bevolking van 15 jaar en ouder, slachtoffer van een of meer online delicten of incidenten. Jongeren waren vaker slachtoffer dan ouderen. In 2021 was 20 procent van de 15‐ tot 25‐jarigen slachtoffer van online criminaliteit, van de 65‐plussers 12 procent. Van alle slachtoffers van online criminaliteit deed 19 procent aangifte bij de politie.
Meer cijfers over online criminaliteit zijn te vinden in de Veiligheidsmonitor 2021 (CBS, 2022c) van het CBS. Daarnaast zijn cijfers over dit onderwerp beschikbaar via StatLine(CBS, 2022b) en in de maatwerktabel behorende bij de veiligheidsmonitor 21(CBS, 2022d).
Periode | Totaal slachtofferschap online criminaliteit | Hacken | Aankoopfraude | Verkoopfraude | Identiteitsfraude | Online pesten |
---|---|---|---|---|---|---|
2012 | 100 | 100 | 100 | 100 | 100 | 100 |
2013 | 104,8 | 104,8 | 114,6 | 76,8 | 83,4 | 108,6 |
2014 | 92,8 | 87 | 122,9 | 69,1 | 49,3 | 101,1 |
2015 | 91,8 | 85,6 | 124,2 | 74,2 | 36,5 | 103,7 |
2016 | 88,8 | 81,5 | 120 | 85,3 | 29,4 | 103,6 |
2017 | 91,2 | 82,1 | 132,7 | 117,8 | 25,2 | 101,6 |
2019 | 107,6 | 92,5 | 157 | 149,9 | 33,8 | 135,7 |
2021 | 122,1 | 94,6 | 218,6 | 164,7 | 41,7 | 125,6 |
2) In 2018 en 2020 heeft geen meting plaatsgevonden |
4.2 Opgelegdesanctiesvoorcomputervredebreuk
Het Openbaar Ministerie (OM) en de rechter kunnen sancties opleggen aan verdachten van computervredebreuk. In een deel van de gevallen deelt het OM zonder tussenkomst van de rechter een strafbeschikking uit, biedt een transactie aan of besluit tot het seponeren van de zaak onder bepaalde voorwaarden. Veelal bestaan strafbeschikkingen of transacties uit een taakstraf, een geldboete of schadevergoeding. Een deel van de zaken stuurt het OM door naar de rechter die op zijn beurt een straf of maatregel kan opleggen.
1 op de 5 computervredebreukzaken afgehandeld met sanctie zonder tussenkomst rechter
In de periode 2015—2020 werden 117 van de 581 door het OM genomen beslissingen inzake computervredebreuk afgehandeld door het OM met een transactie, strafbeschikking of voorwaardelijk beleidssepot (tabel 4.2.1). Dit betekent dat 20 procent van de computervredebreukzaken afgehandeld werd zonder tussenkomst van een rechter. Dit aandeel is afgenomen ten opzichte van de periode 2009—2014, toen 38 procent van de beslissingen van het OM zonder tussenkomst van een rechter werd afgehandeld met een sanctie. Het totaal aantal computervredebreukzaken nam toe van 505 in 2009—2014 tot 581 in 2015—2020. Dat betekent een toename van 15 procent.
Een deel van de zaken stuurt het OM door naar de rechter waarna de rechter een straf of maatregel op kan leggen. Bij 69 computervredebreukzaken in 2015—2020 deelde de rechter een straf uit (83 in de periode 2009—2014). Het (grote) verschil tussen de door het OM genomen beslissingen op het terrein van computervredebreuk en het uiteindelijke aantal strafopleggingen, bestaat grotendeels uit zaken die door het OM zelf al worden geseponeerd of bij de rechter leiden tot vrijspraak dan wel een schuldigverklaring zonder straf.
2009-2014 | 2015-2020 | ||
---|---|---|---|
Door OM genomen beslissingen | 505 | 581 | |
Door OM genomen beslissingen | strafoplegging OM | 194 | 117 |
Door OM genomen beslissingen | door OM doorgestuurd naar de rechter (dagvaarding en oproep na verzet) | 128 | 126 |
Straf opgelegd door rechter | 83 | 69 | |
Bron: CBS. |
Rechter geeft vaak taakstraf
Voor de zaken die bij de rechter wel tot een straf leiden betreft dit relatief vaak een taakstraf.
In bijna driekwart van de strafzaken werd deze straf opgelegd in 2015—2020. Dat is meer dan
in 2009—2014 toen zes op de tien schuldigverklaringen met een straf werden afgedaan met
een taakstraf. Het aandeel door de rechter opgelegde boetes is gedaald van 42 procent in
2009—2014 naar 12 procent in 2015—2020. Het aandeel gevangenisstraffen is daarentegen
toegenomen.
2009-2014 (% van aantal strafzaken) | 2015-2020 (% van aantal strafzaken) | |
---|---|---|
Taakstraf | 56,6 | 73,9 |
Maatregelen²⁾ | 20,5 | 33,3 |
Gevangenisstraf | 19,3 | 29,0 |
Geldboete | 42,2 | 11,6 |
Onbekende straffen | 27,7 | 10,1 |
Bijkomende straffen | 4,8 | 7,2 |
¹⁾Een strafzaak kan meerdere straffen toegekend krijgen (bijvoorbeeld taakstraf en geldboete), dus het totaal overstijgt de 100 procent. ²⁾Betaling aan de staat, onttrekking aan het verkeer. |
Tabellen
A.1 Definities
Code | Bedrijfsgrootte |
---|---|
Totaal | 2 of meer werkzame personen |
1 | 1 werkzame persoon (ZZP'er) |
2- 10 | 2 tot 10 werkzame personen |
10- 50 | 10 tot 50 werkzame personen |
50- 250 | 50 tot 250 werkzame personen |
2- 250 | 2 tot 250 werkzame personen |
250- 500 | 250 tot 500 werkzame personen |
250+ | 250 of meer werkzame personen |
Code | Bedrijfsklasse |
---|---|
C | Industrie |
D-E | Energie, water, afvalbeheer |
F | Bouwnijverheid |
G | Handel |
H | Vervoer en opslag |
I | Horeca |
J | Informatie en communicatie |
K | Financiële dienstverlening |
L | Verhuur en handel van onroerend goed |
M | Specialistische zakelijke diensten |
N | Verhuur en overige zakelijke diensten |
Q | Gezondheids- en welzijnszorg |
ICT | ICT-sector |
A.2 Maatregelen
Maatregel | Aantal werkzame personen | 2016 | 2017 | 2018 | 2019 | 2020 |
---|---|---|---|---|---|---|
Anti-virussoftware | Totaal | 87 | 85 | 89 | 89 | 87 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 82 | |
2 tot 10 werkzame personen | 86 | 83 | 87 | 87 | 85 | |
10 tot 50 werkzame personen | 93 | 94 | 96 | 92 | 95 | |
50 tot 250 werkzame personen | 97 | 98 | 98 | 97 | 98 | |
250 of meer werkzame personen | 98 | 98 | 99 | 98 | 99 | |
2 tot 250 werkzame personen | 87 | 85 | 89 | 89 | 87 | |
Authenticatie via soft- of hardwaretoken | Totaal | 26 | 30 | 39 | 46 | 45 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 38 | |
2 tot 10 werkzame personen | 24 | 27 | 35 | 42 | 41 | |
10 tot 50 werkzame personen | 29 | 38 | 49 | 54 | 60 | |
50 tot 250 werkzame personen | 48 | 54 | 62 | 68 | 75 | |
250 of meer werkzame personen | 71 | 76 | 81 | 87 | 89 | |
2 tot 250 werkzame personen | 25 | 30 | 39 | 45 | 45 | |
Beleid voor sterke wachtwoorden | Totaal | 57 | 61 | 65 | 68 | 66 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 66 | |
2 tot 10 werkzame personen | 55 | 58 | 63 | 65 | 62 | |
10 tot 50 werkzame personen | 64 | 70 | 74 | 74 | 77 | |
50 tot 250 werkzame personen | 81 | 84 | 86 | 88 | 90 | |
250 of meer werkzame personen | 93 | 94 | 94 | 96 | 96 | |
2 tot 250 werkzame personen | 57 | 61 | 65 | 68 | 65 | |
Encryptie van data | Totaal | 25 | 29 | 37 | 38 | 37 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 31 | |
2 tot 10 werkzame personen | 23 | 27 | 33 | 35 | 34 | |
10 tot 50 werkzame personen | 29 | 34 | 44 | 44 | 47 | |
50 tot 250 werkzame personen | 46 | 51 | 62 | 64 | 66 | |
250 of meer werkzame personen | 69 | 74 | 81 | 83 | 85 | |
2 tot 250 werkzame personen | 25 | 29 | 36 | 38 | 37 | |
Gegevens op andere fysieke locatie | Totaal | 71 | 67 | 72 | 71 | 66 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 58 | |
2 tot 10 werkzame personen | 68 | 63 | 68 | 68 | 62 | |
10 tot 50 werkzame personen | 80 | 81 | 85 | 82 | 82 | |
50 tot 250 werkzame personen | 90 | 90 | 93 | 91 | 92 | |
250 of meer werkzame personen | 94 | 93 | 97 | 95 | 96 | |
2 tot 250 werkzame personen | 70 | 66 | 72 | 71 | 66 | |
ICT-cursus aan ICT-specialisten | Totaal | 3 | 5 | . | 6 | 5 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 0 | |
2 tot 10 werkzame personen | 0 | 3 | . | 3 | 3 | |
10 tot 50 werkzame personen | 9 | 10 | . | 9 | 10 | |
50 tot 250 werkzame personen | 33 | 34 | . | 34 | 35 | |
250 of meer werkzame personen | 68 | 66 | . | 68 | 67 | |
2 tot 250 werkzame personen | 3 | 5 | . | 5 | 5 | |
Logbestanden voor analyse incidenten | Totaal | 31 | 33 | 39 | 37 | 36 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 19 | |
2 tot 10 werkzame personen | 25 | 26 | 32 | 31 | 30 | |
10 tot 50 werkzame personen | 49 | 54 | 59 | 55 | 57 | |
50 tot 250 werkzame personen | 75 | 78 | 82 | 79 | 82 | |
250 of meer werkzame personen | 88 | 88 | 91 | 91 | 91 | |
2 tot 250 werkzame personen | 30 | 33 | 38 | 37 | 36 | |
Methodes voor beoordelen ICT-veiligheid | Totaal | 22 | 25 | 31 | 28 | 28 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 13 | |
2 tot 10 werkzame personen | 17 | 20 | 26 | 22 | 23 | |
10 tot 50 werkzame personen | 34 | 40 | 48 | 41 | 45 | |
50 tot 250 werkzame personen | 55 | 60 | 67 | 63 | 68 | |
250 of meer werkzame personen | 72 | 75 | 80 | 81 | 82 | |
2 tot 250 werkzame personen | 21 | 24 | 31 | 27 | 27 | |
Network access control | Totaal | 31 | 33 | 37 | 37 | 34 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 23 | |
2 tot 10 werkzame personen | 28 | 29 | 32 | 32 | 29 | |
10 tot 50 werkzame personen | 42 | 46 | 50 | 48 | 50 | |
50 tot 250 werkzame personen | 60 | 60 | 63 | 64 | 66 | |
250 of meer werkzame personen | 67 | 68 | 71 | 72 | 73 | |
2 tot 250 werkzame personen | 31 | 33 | 36 | 36 | 34 | |
Risicoanalyses | Totaal | 22 | 25 | 31 | 29 | 28 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 15 | |
2 tot 10 werkzame personen | 17 | 20 | 26 | 24 | 23 | |
10 tot 50 werkzame personen | 34 | 40 | 47 | 42 | 45 | |
50 tot 250 werkzame personen | 58 | 62 | 64 | 63 | 67 | |
250 of meer werkzame personen | 75 | 76 | 80 | 80 | 79 | |
2 tot 250 werkzame personen | 21 | 24 | 31 | 28 | 28 | |
Updaten software/besturingssysteem | Totaal | . | . | 81 | 84 | 83 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 79 | |
2 tot 10 werkzame personen | . | . | 78 | 81 | 80 | |
10 tot 50 werkzame personen | . | . | 92 | 90 | 93 | |
50 tot 250 werkzame personen | . | . | 97 | 96 | 97 | |
250 of meer werkzame personen | . | . | 98 | 98 | 99 | |
2 tot 250 werkzame personen | . | . | 81 | 83 | 82 | |
VPN internetgebruik buiten het bedrijf | Totaal | 29 | 32 | 35 | 35 | 32 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | 23 | |
2 tot 10 werkzame personen | 23 | 25 | 29 | 29 | 26 | |
10 tot 50 werkzame personen | 47 | 50 | 54 | 52 | 55 | |
50 tot 250 werkzame personen | 74 | 75 | 77 | 78 | 79 | |
250 of meer werkzame personen | 85 | 86 | 86 | 86 | 86 | |
2 tot 250 werkzame personen | 28 | 31 | 35 | 35 | 32 | |
Maatregel | Bedrijfstak | 2016 | 2017 | 2018 | 2019 | 2020 |
---|---|---|---|---|---|---|
Anti-virussoftware | Totaal | 87 | 85 | 89 | 89 | 87 |
Industrie | 93 | 91 | 94 | 91 | 90 | |
Energie | 91 | 80 | 92 | 88 | 81 | |
Bouwnijverheid | 85 | 85 | 85 | 89 | 89 | |
Handel | 88 | 85 | 91 | 89 | 85 | |
Vervoer | 84 | 83 | 87 | 87 | 84 | |
Horeca | 76 | 70 | 75 | 76 | 74 | |
Informatie en communicatie | 87 | 89 | 89 | 90 | 86 | |
Financiële dienstverlening | 88 | 92 | 97 | 92 | 94 | |
Verhuur en handel onroerend goed | 80 | 77 | 84 | 82 | 80 | |
Specialistische zakelijke diensten | 90 | 91 | 93 | 92 | 91 | |
Verhuur en overige zakelijke diensten | 84 | 85 | 88 | 90 | 89 | |
Gezondheidszorg | 97 | 93 | 97 | 96 | 97 | |
ICT-sector | 90 | 92 | 91 | 90 | 89 | |
Authenticatie via soft- of hardwaretoken | Totaal | 26 | 30 | 39 | 46 | 45 |
Industrie | 24 | 29 | 39 | 43 | 41 | |
Energie | 34 | 34 | 43 | 46 | 45 | |
Bouwnijverheid | 16 | 25 | 31 | 33 | 37 | |
Handel | 21 | 26 | 36 | 43 | 42 | |
Vervoer | 21 | 25 | 33 | 45 | 39 | |
Horeca | 16 | 17 | 20 | 29 | 26 | |
Informatie en communicatie | 47 | 50 | 55 | 60 | 66 | |
Financiële dienstverlening | 45 | 53 | 62 | 64 | 67 | |
Verhuur en handel onroerend goed | 28 | 30 | 34 | 39 | 47 | |
Specialistische zakelijke diensten | 31 | 35 | 47 | 52 | 52 | |
Verhuur en overige zakelijke diensten | 20 | 30 | 39 | 48 | 43 | |
Gezondheidszorg | 47 | 49 | 59 | 67 | 69 | |
ICT-sector | 49 | 53 | 57 | 63 | 68 | |
Beleid voor sterke wachtwoorden | Totaal | 57 | 61 | 65 | 68 | 66 |
Industrie | 58 | 63 | 65 | 67 | 65 | |
Energie | 67 | 57 | 68 | 71 | 61 | |
Bouwnijverheid | 50 | 54 | 54 | 64 | 60 | |
Handel | 57 | 58 | 66 | 67 | 64 | |
Vervoer | 56 | 55 | 62 | 65 | 61 | |
Horeca | 38 | 48 | 47 | 53 | 47 | |
Informatie en communicatie | 77 | 78 | 85 | 82 | 84 | |
Financiële dienstverlening | 75 | 80 | 81 | 80 | 84 | |
Verhuur en handel onroerend goed | 51 | 52 | 67 | 59 | 59 | |
Specialistische zakelijke diensten | 67 | 70 | 71 | 73 | 72 | |
Verhuur en overige zakelijke diensten | 56 | 61 | 67 | 67 | 68 | |
Gezondheidszorg | 66 | 72 | 77 | 80 | 80 | |
ICT-sector | 80 | 82 | 86 | 84 | 85 | |
Encryptie van data | Totaal | 25 | 29 | 37 | 38 | 37 |
Industrie | 22 | 24 | 32 | 35 | 33 | |
Energie | 29 | 27 | 37 | 38 | 44 | |
Bouwnijverheid | 15 | 20 | 27 | 23 | 26 | |
Handel | 20 | 23 | 32 | 33 | 32 | |
Vervoer | 17 | 20 | 26 | 30 | 26 | |
Horeca | 11 | 12 | 18 | 22 | 18 | |
Informatie en communicatie | 58 | 59 | 66 | 65 | 65 | |
Financiële dienstverlening | 38 | 43 | 56 | 56 | 65 | |
Verhuur en handel onroerend goed | 26 | 16 | 26 | 37 | 37 | |
Specialistische zakelijke diensten | 31 | 36 | 44 | 46 | 44 | |
Verhuur en overige zakelijke diensten | 22 | 29 | 34 | 39 | 37 | |
Gezondheidszorg | 51 | 60 | 67 | 67 | 70 | |
ICT-sector | 60 | 62 | 67 | 67 | 66 | |
Gegevens op andere fysieke locatie | Totaal | 71 | 67 | 72 | 71 | 66 |
Industrie | 77 | 74 | 78 | 77 | 73 | |
Energie | 78 | 72 | 74 | 70 | 63 | |
Bouwnijverheid | 64 | 62 | 66 | 66 | 65 | |
Handel | 67 | 62 | 71 | 72 | 63 | |
Vervoer | 61 | 62 | 63 | 65 | 63 | |
Horeca | 52 | 42 | 46 | 43 | 36 | |
Informatie en communicatie | 87 | 82 | 89 | 84 | 82 | |
Financiële dienstverlening | 75 | 83 | 85 | 76 | 87 | |
Verhuur en handel onroerend goed | 69 | 63 | 69 | 64 | 65 | |
Specialistische zakelijke diensten | 83 | 80 | 85 | 80 | 78 | |
Verhuur en overige zakelijke diensten | 70 | 65 | 69 | 70 | 66 | |
Gezondheidszorg | 84 | 82 | 87 | 86 | 83 | |
ICT-sector | 89 | 84 | 92 | 84 | 81 | |
ICT-cursus aan ICT-specialisten | Totaal | 3 | 5 | . | 6 | 5 |
Industrie | 5 | 6 | . | 7 | 6 | |
Energie | 10 | 10 | . | 11 | 12 | |
Bouwnijverheid | 1 | 2 | . | 2 | 2 | |
Handel | 2 | 4 | . | 5 | 4 | |
Vervoer | 4 | 3 | . | 3 | 3 | |
Horeca | 0 | 1 | . | 1 | 0 | |
Informatie en communicatie | 13 | 35 | . | 38 | 31 | |
Financiële dienstverlening | 9 | 15 | . | 13 | 13 | |
Verhuur en handel onroerend goed | 3 | 3 | . | 3 | 2 | |
Specialistische zakelijke diensten | 3 | 6 | . | 6 | 6 | |
Verhuur en overige zakelijke diensten | 2 | 5 | . | 4 | 3 | |
Gezondheidszorg | 3 | 3 | . | 4 | 4 | |
ICT-sector | 14 | 37 | . | 42 | 36 | |
Logbestanden voor analyse incidenten | Totaal | 31 | 33 | 39 | 37 | 36 |
Industrie | 36 | 39 | 45 | 42 | 40 | |
Energie | 48 | 42 | 54 | 51 | 41 | |
Bouwnijverheid | 20 | 22 | 30 | 29 | 26 | |
Handel | 29 | 31 | 37 | 35 | 34 | |
Vervoer | 25 | 29 | 35 | 31 | 33 | |
Horeca | 13 | 15 | 16 | 15 | 15 | |
Informatie en communicatie | 60 | 58 | 67 | 63 | 63 | |
Financiële dienstverlening | 50 | 56 | 61 | 59 | 66 | |
Verhuur en handel onroerend goed | 31 | 25 | 28 | 33 | 31 | |
Specialistische zakelijke diensten | 39 | 41 | 48 | 44 | 44 | |
Verhuur en overige zakelijke diensten | 29 | 33 | 36 | 34 | 34 | |
Gezondheidszorg | 39 | 43 | 49 | 51 | 51 | |
ICT-sector | 64 | 63 | 72 | 65 | 66 | |
Methodes voor beoordelen ICT-veiligheid | Totaal | 22 | 25 | 31 | 28 | 28 |
Industrie | 26 | 30 | 35 | 32 | 33 | |
Energie | 35 | 35 | 46 | 35 | 35 | |
Bouwnijverheid | 16 | 20 | 30 | 22 | 21 | |
Handel | 19 | 22 | 30 | 27 | 27 | |
Vervoer | 18 | 19 | 27 | 23 | 27 | |
Horeca | 8 | 11 | 13 | 12 | 10 | |
Informatie en communicatie | 35 | 43 | 46 | 43 | 39 | |
Financiële dienstverlening | 41 | 48 | 61 | 55 | 61 | |
Verhuur en handel onroerend goed | 25 | 23 | 31 | 28 | 32 | |
Specialistische zakelijke diensten | 28 | 29 | 37 | 30 | 34 | |
Verhuur en overige zakelijke diensten | 21 | 26 | 30 | 27 | 27 | |
Gezondheidszorg | 29 | 34 | 39 | 38 | 37 | |
ICT-sector | 37 | 43 | 47 | 44 | 43 | |
Network access control | Totaal | 31 | 33 | 37 | 37 | 34 |
Industrie | 34 | 38 | 40 | 40 | 37 | |
Energie | 37 | 38 | 42 | 51 | 41 | |
Bouwnijverheid | 20 | 27 | 34 | 31 | 23 | |
Handel | 29 | 32 | 36 | 37 | 33 | |
Vervoer | 23 | 30 | 30 | 30 | 31 | |
Horeca | 17 | 14 | 19 | 20 | 20 | |
Informatie en communicatie | 51 | 50 | 53 | 51 | 47 | |
Financiële dienstverlening | 48 | 53 | 59 | 55 | 61 | |
Verhuur en handel onroerend goed | 36 | 26 | 28 | 33 | 34 | |
Specialistische zakelijke diensten | 38 | 37 | 42 | 41 | 38 | |
Verhuur en overige zakelijke diensten | 28 | 33 | 35 | 34 | 34 | |
Gezondheidszorg | 46 | 47 | 47 | 48 | 48 | |
ICT-sector | 54 | 54 | 55 | 53 | 49 | |
Risicoanalyses | Totaal | 22 | 25 | 31 | 29 | 28 |
Industrie | 24 | 30 | 33 | 31 | 32 | |
Energie | 33 | 34 | 34 | 37 | 33 | |
Bouwnijverheid | 16 | 20 | 25 | 21 | 17 | |
Handel | 20 | 20 | 27 | 26 | 26 | |
Vervoer | 19 | 22 | 28 | 24 | 27 | |
Horeca | 10 | 12 | 15 | 13 | 12 | |
Informatie en communicatie | 39 | 47 | 50 | 48 | 47 | |
Financiële dienstverlening | 39 | 49 | 58 | 51 | 57 | |
Verhuur en handel onroerend goed | 22 | 22 | 25 | 24 | 27 | |
Specialistische zakelijke diensten | 25 | 30 | 37 | 31 | 33 | |
Verhuur en overige zakelijke diensten | 19 | 25 | 30 | 28 | 29 | |
Gezondheidszorg | 31 | 37 | 48 | 46 | 41 | |
ICT-sector | 42 | 47 | 53 | 50 | 50 | |
Updaten software/besturingssysteem | Totaal | . | . | 81 | 84 | 83 |
Industrie | . | . | 86 | 86 | 84 | |
Energie | . | . | 84 | 85 | 79 | |
Bouwnijverheid | . | . | 74 | 81 | 78 | |
Handel | . | . | 82 | 83 | 82 | |
Vervoer | . | . | 75 | 81 | 76 | |
Horeca | . | . | 56 | 65 | 68 | |
Informatie en communicatie | . | . | 94 | 94 | 94 | |
Financiële dienstverlening | . | . | 96 | 93 | 97 | |
Verhuur en handel onroerend goed | . | . | 78 | 75 | 73 | |
Specialistische zakelijke diensten | . | . | 90 | 91 | 89 | |
Verhuur en overige zakelijke diensten | . | . | 83 | 82 | 80 | |
Gezondheidszorg | . | . | 92 | 95 | 95 | |
ICT-sector | . | . | 96 | 94 | 95 | |
VPN internetgebruik buiten het bedrijf | Totaal | 29 | 32 | 35 | 35 | 32 |
Industrie | 36 | 39 | 42 | 42 | 42 | |
Energie | 42 | 45 | 51 | 50 | 43 | |
Bouwnijverheid | 20 | 21 | 29 | 26 | 23 | |
Handel | 26 | 28 | 34 | 34 | 30 | |
Vervoer | 23 | 26 | 27 | 26 | 27 | |
Horeca | 13 | 13 | 14 | 12 | 13 | |
Informatie en communicatie | 54 | 56 | 58 | 55 | 52 | |
Financiële dienstverlening | 51 | 57 | 53 | 55 | 52 | |
Verhuur en handel onroerend goed | 34 | 28 | 31 | 31 | 34 | |
Specialistische zakelijke diensten | 36 | 38 | 42 | 44 | 39 | |
Verhuur en overige zakelijke diensten | 25 | 32 | 32 | 31 | 29 | |
Gezondheidszorg | 37 | 44 | 49 | 48 | 45 | |
ICT-sector | 59 | 61 | 62 | 59 | 58 | |
A.3 Incidenten
Jaar | 2016 | 2017 | 2018 | 2019 | 2020 | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | |
Uitval ICT-dienst door ICT-veiligheidsincident | Totaal | 26 | 10 | 25 | 10 | 27 | 10 | 27 | 10 | 13 | 4 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | . | . | . | . | 7 | 1 | |
2 tot 10 werkzame personen | 21 | 8 | 21 | 8 | 22 | 8 | 24 | 8 | 10 | 3 | |
10 tot 50 werkzame personen | 41 | 18 | 40 | 15 | 39 | 16 | 38 | 15 | 23 | 7 | |
50 tot 250 werkzame personen | 52 | 25 | 49 | 22 | 51 | 23 | 50 | 21 | 35 | 10 | |
250 of meer werkzame personen | 54 | 28 | 50 | 26 | 56 | 31 | 56 | 27 | 41 | 13 | |
2 tot 250 werkzame personen | 25 | 10 | 25 | 9 | 26 | 10 | 27 | 9 | 13 | 4 | |
Vernietiging data door ICT-veiligheidsincident | Totaal | 5 | 3 | 5 | 3 | 4 | 2 | 3 | 1 | 2 | 1 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | . | . | . | . | 2 | 1 | |
2 tot 10 werkzame personen | 5 | 2 | 5 | 3 | 3 | 1 | 3 | 1 | 2 | 1 | |
10 tot 50 werkzame personen | 7 | 3 | 7 | 3 | 5 | 2 | 5 | 2 | 3 | 1 | |
50 tot 250 werkzame personen | 10 | 5 | 8 | 3 | 7 | 3 | 6 | 2 | 5 | 2 | |
250 of meer werkzame personen | 13 | 7 | 10 | 5 | 10 | 4 | 8 | 4 | 7 | 3 | |
2 tot 250 werkzame personen | 5 | 2 | 5 | 3 | 4 | 2 | 3 | 1 | 2 | 1 | |
Onthulling door intern incident | Totaal | 2 | 1 | 3 | 2 | 3 | 1 | 2 | 1 | 1 | 0 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | . | . | . | . | 0 | 0 | |
2 tot 10 werkzame personen | 2 | 1 | 3 | 2 | 2 | 1 | 2 | 1 | 1 | 0 | |
10 tot 50 werkzame personen | 3 | 1 | 4 | 1 | 3 | 1 | 4 | 1 | 2 | 0 | |
50 tot 250 werkzame personen | 6 | 2 | 7 | 1 | 8 | 1 | 8 | 1 | 6 | 1 | |
250 of meer werkzame personen | 16 | 4 | 19 | 4 | 25 | 6 | 25 | 6 | 17 | 3 | |
2 tot 250 werkzame personen | 2 | 1 | 3 | 2 | 2 | 1 | 2 | 1 | 1 | 0 | |
Jaar | 2016 | 2017 | 2018 | 2019 | 2020 | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | |
Uitval ICT-dienst door aanval van buitenaf | Totaal | 8 | 4 | 7 | 4 | 5 | 2 | 5 | 2 | 5 | 2 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | . | . | . | . | 3 | 0 | |
2 tot 10 werkzame personen | 6 | 3 | 6 | 3 | 5 | 2 | 4 | 2 | 4 | 1 | |
10 tot 50 werkzame personen | 12 | 6 | 11 | 6 | 8 | 4 | 7 | 4 | 8 | 3 | |
50 tot 250 werkzame personen | 17 | 9 | 12 | 5 | 9 | 4 | 8 | 3 | 11 | 4 | |
250 of meer werkzame personen | 22 | 12 | 16 | 8 | 11 | 6 | 11 | 6 | 14 | 5 | |
2 tot 250 werkzame personen | 7 | 4 | 7 | 4 | 5 | 2 | 5 | 2 | 5 | 2 | |
Vernietiging data aanval van buitenaf | Totaal | 6 | 3 | 4 | 3 | 3 | 1 | 2 | 1 | 2 | 1 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | . | . | . | . | 1 | 0 | |
2 tot 10 werkzame personen | 4 | 2 | 4 | 2 | 2 | 1 | 2 | 1 | 2 | 1 | |
10 tot 50 werkzame personen | 11 | 6 | 6 | 4 | 4 | 2 | 3 | 2 | 3 | 1 | |
50 tot 250 werkzame personen | 18 | 8 | 10 | 4 | 6 | 3 | 3 | 2 | 4 | 2 | |
250 of meer werkzame personen | 24 | 9 | 13 | 6 | 7 | 3 | 6 | 3 | 4 | 2 | |
2 tot 250 werkzame personen | 6 | 3 | 4 | 2 | 3 | 1 | 2 | 1 | 2 | 1 | |
Onthulling gegevens door ICT-inbraak | Totaal | 2 | 1 | 3 | 2 | 1 | 1 | 2 | 0 | 2 | 1 |
1 werkzame persoon (ZZP'ers) | . | . | . | . | . | . | . | . | 2 | 0 | |
2 tot 10 werkzame personen | 1 | 1 | 3 | 2 | 1 | 0 | 1 | 0 | 1 | 0 | |
10 tot 50 werkzame personen | 2 | 1 | 3 | 1 | 2 | 1 | 2 | 1 | 2 | 1 | |
50 tot 250 werkzame personen | 2 | 1 | 3 | 1 | 3 | 1 | 4 | 1 | 4 | 1 | |
250 of meer werkzame personen | 5 | 2 | 7 | 2 | 7 | 2 | 8 | 3 | 9 | 3 | |
2 tot 250 werkzame personen | 2 | 1 | 3 | 2 | 1 | 1 | 2 | 0 | 1 | 1 | |
Jaar | 2016 | 2017 | 2018 | 2019 | 2020 | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | |
Uitval ICT-dienst door ICT-veiligheidsincident | Totaal | 26 | 10 | 25 | 10 | 27 | 10 | 27 | 10 | 13 | 4 |
Industrie | 30 | 14 | 27 | 11 | 29 | 13 | 32 | 12 | 15 | 5 | |
Energie | 29 | 12 | 30 | 13 | 33 | 12 | 31 | 13 | 16 | 4 | |
Bouwnijverheid | 22 | 9 | 19 | 8 | 21 | 9 | 21 | 11 | 10 | 4 | |
Handel | 26 | 11 | 25 | 9 | 27 | 10 | 28 | 9 | 10 | 3 | |
Vervoer | 21 | 9 | 19 | 8 | 23 | 9 | 23 | 9 | 14 | 6 | |
Horeca | 13 | 5 | 18 | 9 | 15 | 4 | 20 | 4 | 12 | 3 | |
Informatie en communicatie | 28 | 10 | 30 | 10 | 30 | 9 | 32 | 8 | 18 | 5 | |
Financiële dienstverlening | 29 | 11 | 30 | 9 | 40 | 16 | 34 | 15 | 22 | 8 | |
Verhuur en handel onroerend goed | 29 | 11 | 23 | 8 | 24 | 12 | 22 | 10 | 8 | 3 | |
Specialistische zakelijke diensten | 29 | 12 | 31 | 12 | 31 | 11 | 30 | 11 | 16 | 5 | |
Verhuur en overige zakelijke diensten | 22 | 8 | 24 | 8 | 22 | 9 | 23 | 7 | 10 | 2 | |
Gezondheidszorg | 33 | 12 | 29 | 9 | 34 | 11 | 36 | 13 | 22 | 6 | |
ICT-sector | 28 | 10 | 31 | 9 | 29 | 9 | 33 | 9 | 18 | 4 | |
Vernietiging data door ICT-veiligheidsincident | Totaal | 5 | 3 | 5 | 3 | 4 | 2 | 3 | 1 | 2 | 1 |
Industrie | 6 | 3 | 5 | 3 | 6 | 3 | 5 | 2 | 2 | 1 | |
Energie | 7 | 4 | 7 | 3 | 6 | 2 | 7 | 2 | 2 | 0 | |
Bouwnijverheid | 5 | 2 | 5 | 3 | 3 | 2 | 4 | 1 | 1 | 1 | |
Handel | 6 | 3 | 5 | 3 | 3 | 2 | 3 | 1 | 2 | 1 | |
Vervoer | 4 | 2 | 5 | 2 | 3 | 2 | 3 | 2 | 3 | 2 | |
Horeca | 5 | 2 | 7 | 4 | 2 | 0 | 2 | 1 | 3 | 1 | |
Informatie en communicatie | 6 | 2 | 5 | 2 | 4 | 2 | 3 | 1 | 2 | 0 | |
Financiële dienstverlening | 4 | 2 | 4 | 1 | 3 | 2 | 4 | 2 | 4 | 1 | |
Verhuur en handel onroerend goed | 8 | 3 | 3 | 2 | 3 | 2 | 3 | 1 | 2 | 1 | |
Specialistische zakelijke diensten | 5 | 3 | 6 | 3 | 5 | 2 | 4 | 2 | 3 | 1 | |
Verhuur en overige zakelijke diensten | 4 | 2 | 6 | 2 | 4 | 1 | 4 | 1 | 1 | 0 | |
Gezondheidszorg | 3 | 1 | 3 | 1 | 3 | 1 | 2 | 1 | 2 | 1 | |
ICT-sector | 6 | 2 | 4 | 2 | 4 | 2 | 3 | 1 | 3 | 0 | |
Onthulling door intern incident | Totaal | 2 | 1 | 3 | 2 | 3 | 1 | 2 | 1 | 1 | 0 |
Industrie | 2 | 1 | 3 | 1 | 2 | 0 | 3 | 1 | 1 | 0 | |
Energie | 5 | 3 | 3 | 1 | 3 | 0 | 3 | 1 | 3 | 1 | |
Bouwnijverheid | 2 | 1 | 2 | 1 | 1 | 1 | 1 | 0 | 0 | 0 | |
Handel | 2 | 1 | 3 | 2 | 2 | 1 | 2 | 1 | 1 | 0 | |
Vervoer | 1 | 1 | 3 | 2 | 1 | 0 | 2 | 1 | 1 | 0 | |
Horeca | 1 | 0 | 4 | 3 | 1 | 0 | 0 | 0 | 1 | 0 | |
Informatie en communicatie | 3 | 1 | 3 | 2 | 2 | 1 | 4 | 1 | 1 | 0 | |
Financiële dienstverlening | 3 | 1 | 3 | 1 | 6 | 1 | 5 | 1 | 3 | 0 | |
Verhuur en handel onroerend goed | 2 | 1 | 4 | 2 | 3 | 1 | 4 | 2 | 1 | 0 | |
Specialistische zakelijke diensten | 2 | 1 | 3 | 1 | 4 | 1 | 3 | 1 | 2 | 0 | |
Verhuur en overige zakelijke diensten | 2 | 1 | 3 | 1 | 2 | 1 | 2 | 1 | 1 | 0 | |
Gezondheidszorg | 2 | 0 | 6 | 1 | 7 | 1 | 6 | 1 | 5 | 1 | |
ICT-sector | 3 | 1 | 3 | 1 | 3 | 1 | 4 | 1 | 1 | 0 | |
Jaar | 2016 | 2017 | 2018 | 2019 | 2020 | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | Incident gehad | ook met kosten | |
Uitval ICT-dienst door aanval van buitenaf | Totaal | 8 | 4 | 7 | 4 | 5 | 2 | 5 | 2 | 5 | 2 |
Industrie | 10 | 6 | 8 | 4 | 7 | 3 | 7 | 3 | 5 | 2 | |
Energie | 8 | 3 | 7 | 3 | 6 | 2 | 4 | 1 | 8 | 1 | |
Bouwnijverheid | 9 | 4 | 9 | 3 | 5 | 3 | 5 | 2 | 3 | 2 | |
Handel | 8 | 4 | 7 | 4 | 6 | 3 | 5 | 2 | 5 | 2 | |
Vervoer | 5 | 3 | 8 | 5 | 5 | 3 | 5 | 2 | 5 | 2 | |
Horeca | 3 | 1 | 5 | 3 | 3 | 1 | 4 | 2 | 4 | 1 | |
Informatie en communicatie | 12 | 4 | 11 | 5 | 9 | 3 | 8 | 2 | 9 | 3 | |
Financiële dienstverlening | 7 | 2 | 6 | 3 | 5 | 3 | 7 | 4 | 10 | 2 | |
Verhuur en handel onroerend goed | 6 | 3 | 6 | 1 | 5 | 3 | 4 | 1 | 6 | 0 | |
Specialistische zakelijke diensten | 9 | 5 | 7 | 4 | 5 | 2 | 4 | 2 | 5 | 2 | |
Verhuur en overige zakelijke diensten | 8 | 4 | 8 | 3 | 5 | 3 | 4 | 2 | 4 | 1 | |
Gezondheidszorg | 4 | 2 | 6 | 3 | 4 | 1 | 7 | 3 | 5 | 1 | |
ICT-sector | 12 | 5 | 10 | 4 | 8 | 3 | 8 | 2 | 9 | 3 | |
Vernietiging data aanval van buitenaf | Totaal | 6 | 3 | 4 | 3 | 3 | 1 | 2 | 1 | 2 | 1 |
Industrie | 9 | 5 | 6 | 3 | 4 | 2 | 4 | 2 | 2 | 1 | |
Energie | 9 | 5 | 9 | 4 | 2 | 0 | 1 | 0 | 1 | 0 | |
Bouwnijverheid | 8 | 3 | 5 | 4 | 2 | 1 | 3 | 1 | 2 | 1 | |
Handel | 6 | 3 | 5 | 3 | 3 | 2 | 2 | 1 | 2 | 1 | |
Vervoer | 6 | 3 | 5 | 3 | 4 | 2 | 2 | 1 | 3 | 2 | |
Horeca | 4 | 1 | 4 | 2 | 2 | 1 | 1 | 0 | 2 | 1 | |
Informatie en communicatie | 4 | 2 | 4 | 2 | 2 | 1 | 2 | 1 | 1 | 0 | |
Financiële dienstverlening | 8 | 4 | 3 | 2 | 1 | 0 | 3 | 1 | 0 | 0 | |
Verhuur en handel onroerend goed | 6 | 2 | 1 | 0 | 3 | 1 | 3 | 2 | 2 | 1 | |
Specialistische zakelijke diensten | 5 | 2 | 5 | 3 | 3 | 1 | 2 | 0 | 2 | 1 | |
Verhuur en overige zakelijke diensten | 7 | 4 | 5 | 2 | 2 | 2 | 2 | 1 | 2 | 1 | |
Gezondheidszorg | 5 | 2 | 3 | 1 | 2 | 1 | 2 | 1 | 1 | 1 | |
ICT-sector | 5 | 2 | 4 | 2 | 3 | 1 | 2 | 1 | 2 | 0 | |
Onthulling gegevens door ICT-inbraak | Totaal | 2 | 1 | 3 | 2 | 1 | 1 | 2 | 0 | 2 | 1 |
Industrie | 2 | 1 | 3 | 2 | 2 | 0 | 2 | 1 | 2 | 0 | |
Energie | 2 | 0 | 3 | 2 | 2 | 0 | 2 | 1 | 1 | 0 | |
Bouwnijverheid | 2 | 0 | 2 | 1 | 1 | 1 | 1 | 0 | 1 | 1 | |
Handel | 2 | 1 | 3 | 2 | 1 | 1 | 2 | 0 | 2 | 1 | |
Vervoer | 2 | 1 | 3 | 1 | 3 | 1 | 2 | 1 | 2 | 0 | |
Horeca | 1 | 0 | 4 | 3 | 1 | 0 | 0 | 0 | 1 | 1 | |
Informatie en communicatie | 1 | 1 | 2 | 2 | 1 | 0 | 2 | 0 | 1 | 0 | |
Financiële dienstverlening | 2 | 1 | 2 | 1 | 2 | 0 | 3 | 1 | 1 | 0 | |
Verhuur en handel onroerend goed | 1 | 1 | 2 | 0 | 1 | 1 | 2 | 1 | 1 | 0 | |
Specialistische zakelijke diensten | 2 | 1 | 3 | 2 | 3 | 1 | 2 | 0 | 2 | 1 | |
Verhuur en overige zakelijke diensten | 2 | 1 | 2 | 1 | 1 | 1 | 3 | 1 | 2 | 0 | |
Gezondheidszorg | 1 | 0 | 1 | 1 | 1 | 0 | 1 | 0 | 1 | 1 | |
ICT-sector | 1 | 1 | 2 | 1 | 2 | 0 | 2 | 0 | 1 | 0 | |
Referenties
Autoriteit Persoonsgegevens (2022). Datalekkenrapportage 2021.
CBS (2017a). ICT‐gebruik bij bedrijven; bedrijfsgrootte.
CBS (2017b). ICT‐gebruik bij bedrijven; bedrijfstak.
CBS (2017c). ICT‐gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2017d). ICT‐gebruik bij kleine bedrijven; bedrijfsgrootte.
CBS (2017e). ICT‐gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2017f). Cybersecuritymonitor 2017.
CBS (2018a). ICT‐gebruik bij bedrijven; bedrijfsgrootte.
CBS (2018b). ICT‐gebruik bij bedrijven; bedrijfstak.
CBS (2018c). ICT‐gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2018d). ICT‐gebruik bij kleine bedrijven; bedrijfsgrootte.
CBS (2018e). ICT‐gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2018f). Cybersecuritymonitor 2018.
CBS (2019a). ICT‐gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2019b). ICT‐gebruik bij kleine bedrijven; bedrijfsgrootte.
CBS (2019c). ICT‐gebruik bij bedrijven; bedrijfsgrootte.
CBS (2019d). ICT‐gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2019e). ICT‐gebruik bij bedrijven; bedrijfstak.
CBS (2019f). Cybersecuritymonitor 2019.
CBS (2020a). ICT‐gebruik bij bedrijven; bedrijfstak.
CBS (2020b). ICT‐gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2020.
CBS (2020c). ICT‐gebruik bij kleine bedrijven; bedrijfsgrootte.
CBS (2020d). ICT‐gebruik bij bedrijven; bedrijfsgrootte.
CBS (2020e). ICT‐gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2020f). Cybersecuritymonitor 2020.
CBS (2021a). ICT‐gebruik bij kleine bedrijven; bedrijfsgrootte.
CBS (2021b). ICT‐gebruik bij bedrijven; bedrijfsgrootte.
CBS (2021c). ICT‐gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte.
CBS (2021d). ICT‐gebruik bij bedrijven; bedrijfstak.
CBS (2021e). ICT‐gebruik bij kleine bedrijven; bedrijfstak en bedrijfsgrootte, 2021.
CBS (2022a). CBS StatLine.
CBS (2022b). Statline Veiligheid en recht 2021.
CBS (2022c). Veiligheidsmonitor 2021.
CBS (2022d). Maatwerktabel Veiligheidsmonitor 2021.
NBIP (2022). Cijfers DDoS‐aanvallen in het 1e t/m 4e kwartaal.
SIDN (2022). SIDN Labs: .nl stats en data.