3. Cybersecurityincidenten

In het voorgaande hoofdstuk hebben we gekeken naar de maatregelen die bedrijven en personen nemen om meer cyberweerbaar te worden. Nu gaan we kijken naar de incidenten die plaatsvinden ondanks alle maatregelen die genomen worden. We onderscheiden hierbij gewone incidenten die door eigen toedoen ontstaan en de incidenten ten gevolge van een aanval van buitenaf. Bij de laatste vorm spreken we ook wel van ’cybercrime’. Cybercrime kan worden omschreven als ’alle delicten die gepleegd worden met behulp van ICT’ (CBS, 2018b). We praten dus over delicten (strafbare feiten) door toedoen van cybercriminelen. Te denken valt aan online fraude, DDoS aanvallen en inbraak in computers.

3.1 Bedrijven

3.1.1 Type ICT-veiligheidsincidenten

In de ICT-enquête onderscheiden we twee soorten ICT-veiligheidsincidenten: incidenten door eigen toedoen en incidenten ten gevolge van een aanval van buitenaf. Voor beide groepen onderscheiden we weer drie type incidenten: uitval van een ICT-systeem, datavernietiging (vernietiging of verminking van elektronische gegevens) en dataonthulling (onthulling van vertrouwelijke elektronische gegevens). Hiermee komen we op zes typen ICT-veiligheidsincidenten in totaal.

Overzicht ICT-veiligheidsincidenten

De drie ICT-veiligheidsincidenten met een interne oorzaak zijn:
1. Uitval van ICT-systeem als gevolg van een ICT-gerelateerd veiligheidsincident, zoals een hardware- of softwarestoring.
2. Datavernietiging of dataverminking als gevolg van een ICT-gerelateerd veiligheidsincident, zoals een hardware- of softwarestoring.
3. Dataonthulling door onopzettelijk toedoen van eigen personeel.

De drie ICT-veiligheidsincidenten door een aanval van buitenaf zijn:
1. Uitval van ICT-systeem ten gevolge van een aanval van buitenaf, zoals een DDoS of ransomware aanval waarbij ICT-systemen niet meer gebruikt kunnen worden.
2. Datavernietiging of dataverminking ten gevolge van een infectie met kwaadaardige software of door ongeoorloofde elektronische toegang.
3. Dataonthulling door cyberinbraak, phishing of pharming.¹⁾
¹⁾ Bij pharming probeert een cybercrimineel gegevens van gebruikers te verkrijgen door ze naar een nepversie van een echte website te leiden. Bij phishing probeert een cybercrimineel op een meer directe manier gegevens van een gebruiker te verkrijgen door personen te benaderen met e‐mails die lijken op de e‐mail van een bank met een verzoek om inloggegevens te geven.

3.1.2 Cybersecurityincidenten per bedrijfsgrootte

In de ICT-enquête wordt aan een representatieve steekproef van bedrijven gevraagd hoe vaak ze te maken hebben gehad met elk van de genoemde ICT-veiligheidsincidenten. Ook wordt gevraagd of er kosten waren verbonden aan de ICT-veiligheidsincidenten. Deze vragen zijn nu vier opeenvolgende jaren voorgelegd. We bekijken nu eerst naar de resultaten per bedrijfsgrootteklasse. Daarna zullen we ook kijken naar de ontwikkeling van ICT-veiligheidsincidenten per bedrijfstak.

Grote bedrijven hebben steeds vaker incidenten
In figuren 3.1.1 en 3.1.2 wordt voor de periode 2016–2019 per bedrijfsgrootteklasse het percentage van bedrijven getoond dat minstens één ICT-veiligheidsincident heeft gehad ten gevolge van respectievelijk een interne oorzaak of een aanval van buitenaf. Voor beide figuren worden dus de in paragraaf 3.1.1 genoemde typen incidenten (uitval ICT-system, datavernietiging, en dataonthulling) samengenomen. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten met het ICT-incident gemoeid waren.

Meest opvallend is dat grote bedrijven over de jaren heen consistent meer incidenten rapporteren dan kleine bedrijven voor zowel interne incidenten als incidenten door een aanval van buitenaf. Dit kan meerdere oorzaken hebben. Voor de interne incidenten, zoals uitval van ICT-systemen door hardware of software storingen, speelt mee dat grote bedrijven vaker een grotere, meer complexe ICT-infrastructuur hebben: met meer computers en andere hardware binnen het bedrijf wordt de kans uiteraard groter dat er in een jaar ook wat kapot gaat. Als je kijkt naar incidenten door een aanval van buitenaf kunnen we aannemen dat grote bedrijven vaak interessanter voor cybercriminelen zijn omdat er meer te halen valt of de (publiciteits) schade groter is. Wat verder nog een rol speelt, is dat bij grote bedrijven vaak meer ICT-specialisten werken, wat ook de kans groter maakt dat ICT-veiligheidsincidenten gedetecteerd worden die misschien bij kleine bedrijven onder de radar blijven.

De helft van de ICT-veiligheidsincidenten gaat gepaard met kosten
In figuren 3.1.1 en 3.1.2 is te zien dat lang niet alle ICT-veiligheidsincidenten met kosten gepaard gaan. Ongeveer de helft van de bedrijven die ICT-veiligheidsincidenten rapporteren, zegt hier ook kosten aan gehad te hebben. Even vaak komt het dus voor dat er wel sprake was van een ICT-veiligheidsincident, maar dat dit niet direct tot kosten heeft geleid. Dit geldt voor zowel incidenten met een interne oorzaak als incidenten ten gevolge van een aanval van buitenaf.

Aantal bedrijven met ICT-veiligheidsincidenten neemt af
Ten slotte kunnen we uit figuren 3.1.1 en 3.1.2 aflezen dat voor de meeste bedrijfsgrootteklassen het totaal aantal interne en externe ICT-veiligheidsincidenten over de laatste vier jaar is afgenomen. Voor de incidenten met een interne oorzaken is dit niet heel duidelijk, zeker niet voor de grootste bedrijven: bij deze groep zien we een juist toenemende trend over de jaren 2017–2019. Dit zou te maken kunnen hebben met het feit dat interne incidenten niet per se te voorkomen zijn: een kapot hardware onderdeel is iets wat nu eenmaal kan ontstaan.

Voor de ICT-veiligheidsincidenten door een aanval van buitenaf is de afname voor alle bedrijfsgrootteklassen echter onmiskenbaar. Zo is te zien dat in 2016 bijna 40 procentvan de grote bedrijven (250 of meer werknemers) met een ICT-veiligheidsincident te maken heeft gehad, terwijl dat in 2019 minder dan 20 procentwas. Een halvering van het aantal meldingen over de afgelopen vier jaar dus. Ook als je alleen naar de incidenten met kosten kijkt, kan je zien dat het aantal meldingen gehalveerd is: in 2016 gaf 19 procentvan de grote bedrijven aan een ICT-veiligheidsincident met kosten gehad te hebben, terwijl dat in 2019 nog maar 9 procentwas. Deze afname van het aantal ICT-veiligheidsincidenten door een aanval van buitenaf is waarneembaar voor alle bedrijfsgrootteklassen. Toch zal verderop aangetoond worden dat deze afname wel iets genuanceerder bekeken moet worden, omdat het beeld een gemiddelde betreft en de ontwikkelingen per type incident ook een rol spelen.

3.1.3 Cybersecurityincidenten per bedrijfstak

In figuren 3.1.3 en 3.1.4 wordt voor de periode 2016–2019 het aantal ICT-veiligheidsincidenten met respectievelijk interne en externe oorzaak per bedrijfstak uitgesplitst voor alle bedrijven met twee of meer werknemers. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage van bedrijven weer dat aangeeft dat er ook kosten aan de ICT-veiligheidsincidenten verbonden waren.

Opvallend is dat het aantal incidenten met interne oorzaak niet heel duidelijk met de bedrijfstak samenhangt. Voor de bedrijfstakken die we in figuur 3.1.3 bekijken, vinden we dat ongeveer een derde van de bedrijven een intern incident heeft gemeld, waarvan weer ongeveer de helft kosten met zich meebracht. Alleen de horeca meldt aanzienlijk minder incidenten: in 2019 meldde ongeveer 20 procentvan de horecabedrijven een veiligheidsincident. Op zich is dit niet heel vreemd omdat in de horeca waarschijnlijk gewoon minder met een computer gewerkt wordt, zodat de kans op uitval door een hardware- of softwarestoring ook kleiner is.

Voor incidenten door een aanval van buitenaf vinden we vooral lage percentages van bedrijven die hier melding van maken: voor ICT-bedrijven en de industriebedrijven zo rond de 10 procent; voor de zorg en horeca tussen de 5 en 7 procent van de bedrijven. Opnieuw zien we bij de ICT en de industrie dat het percentage van bedrijven dat een incident door een aanval van buitenaf meldt over de laatste vier jaar afgenomen is. Deze trend vonden we voor de jaren 2016–2018 ook terug bij de horeca en gezondheidszorgbedrijven, maar het laatste jaar zien we hier weer een toename van het aantal incidenten door een aanval van buitenaf.

3.1.4 Cybersecurityincidenten per type incident

We hebben tot nu toe gekeken naar het percentage bedrijven dat een incident gemeld heeft opgesplitst naar interne incidenten en door een aanval van buitenaf. De belangrijkste conclusie was dat voornamelijk het percentage bedrijven dat een incident meldt door een aanval van buitenaf over de laatste vier jaar afgenomen is. We zullen nu kijken wat de bijdragen van de 3 typen incidenten zijn: uitval, datavernietiging en dataonthulling.

Cybersecurityincidenten per type incident per grootteklasse
In figuren 3.1.5(a1–c1) toont de linker kolom de interne ICT-veiligheidsincidenten voor respectievelijk uitval van ICT-systemen, datavernietiging en dataonthulling. Figuren 3.1.5(a2–c2) geven de incidenten door een aanval van buitenaf voor dezelfde drie typen incidenten.

Er was eerder al geconcludeerd dat het aantal interne incidenten toeneemt met de bedrijfsgrootte. Als we naar de drie typen interne incidenten kijken dan zien we dat deze toename voornamelijk toe te schrijven is in aan de uitval van ICT-systemen door een hardware- of softwarestoring, zoals te zien is in figuur 3.1.5(a1): ongeveer 20 procentvan de kleine bedrijven rapporteert een uitval door een storing, terwijl dit voor grote bedrijven zo’n 55 procentis. Datavernietiging door een hardware storing komt bij minder dan 10 procentvan de bedrijven voor; bovendien is de koppeling aan de bedrijfsgrootte minder sterk aanwezig. Wel is te zien dat ook dataonthulling vaker bij grote dan bij kleine bedrijven voorkomt, maar omdat het hier om kleine percentages gaat, draagt deze categorie een stuk minder bij aan het totaal van interne incidenten. De ontwikkeling in de tijd is voor de interne incidenten minder duidelijk en varieert van categorie tot categorie. Bij de dataonthulling door een intern incident, getoond in figuur 3.1.5(a3), is een duidelijke toename in de tijd te zien voor de grote bedrijven van 250 of meer werknemers. Dit in tegenstelling tot de afname die we bij het totaal van interne incidenten gevonden hebben. Het maakt nogal uit naar welk type incident je kijkt.

Figuur 3.1.5(a2–c2) laat zien dat alle typen incidenten ten gevolge van een aanval van buitenaf weer toenemen met de bedrijfsgrootte, zoals we al eerder bij het totaal van incidenten door een aanval constateerden. Er was eerder geconstateerd dat het percentage bedrijven dat incidenten rapporteert door een aanval van buitenaf afneemt over de tijd. Maar net als bij de interne incidenten is dit alleen toe te schrijven aan de afname van uitval van ICT-systemen en vernietiging van data door een aanval van buitenaf. Het aantal bedrijven dat dataonthulling als gevolg van een cyberinbraak meldt, is echter weer toegenomen over de afgelopen vier jaar, met name als er naar de grote bedrijven gekeken wordt. Er kan dus geconcludeerd worden dat alleen kijkend naar de cijfers voor dataonthulling, we een toename van het aantal incidenten zien. Dit neemt echter niet weg dat als we de incidenten van datavernietiging en uitval van ICT-systemen meenemen, het aantal incidenten over de jaren afgenomen is.

3.1.5 Meldingen datalekken bij Autoriteit Persoonsgegevens

Uit het voorgaande is gebleken dat over de afgelopen vier jaar meer bedrijven melden dat ze ICT-veiligheidsincidenten meemaakten in de vorm van het dataonthullingen, zowel door eigen toedoen (zoals het verliezen van een USB-stick door eigen personeel) als door cybercrime. In Nederland zijn bedrijven verplicht melding te doen van onthulling van persoonsgegevens bij de Autoriteit Persoonsgegevens (AP).

27 duizend meldingen van datalekken
In 2019 zijn 26 956 datalekken gemeld bij de Autoriteit Persoonsgegevens, terwijl dit er in 2018 nog 20 881 waren.¹⁾ De meldplicht datalekken geldt in Nederland al sinds 2016. Deze meldplicht is in EU-verband verder geformaliseerd en gepreciseerd door de Algemene verordening gegevensbescherming (AVG) die sinds 25 mei 2018 van toepassing is. Het gaat hier over privacygevoelige gegevens die mogelijk in handen van derden zijn gevallen of waar derden toegang tot hebben gehad. Ook hier geldt dat de oorzaak van dit soort datalekken soms onbedoeld is en terug te voeren is op slordige omgang door de houder van de gegevens. Aan de andere kant van het spectrum staat het moedwillig hacken van dit soort gegevensbronnen om te illustreren hoe slecht deze gegevens beveiligd zijn, of om er daadwerkelijk iets mee te gaan doen, bijvoorbeeld te verkopen.
N.B. 25 mei 2018 werd de Algemene verordening gegevensbescherming (AVG) van kracht.

3.1.7 Melding van datalekken bij de Autoriteit Persoonsgegevens naar bedrijfstak en organisatie
	Openbaar bestuur (% van totaal gemelde datalekken)	Financiële dienstverlening (% van totaal gemelde datalekken)	Gezondheid en welzijn (% van totaal gemelde datalekken)
2016	15	17	29
2017	19	19	30
2018	17	26	29
2019	17	30	28
Bron: Autoriteit Persoonsgegevens

3.1.7 Melding van datalekken bij de Autoriteit Persoonsgegevens naar bedrijfstak en organisatie
	Openbaar bestuur (% van totaal gemelde datalekken)	Financiële dienstverlening (% van totaal gemelde datalekken)	Gezondheid en welzijn (% van totaal gemelde datalekken)
2016	15	17	29
2017	19	19	30
2018	17	26	29
2019	17	30	28
Bron: Autoriteit Persoonsgegevens

Meeste meldingen uit de financiële dienstverlening
Het overgrote deel van de gemelde datalekken is afkomstig uit de gezondheidszorg (ziekenhuizen, apotheken, GGZ-instellingen e.d.), de financiële sector (betaalservices, banken, verzekeringen e.d.) en het openbaar bestuur (gemeenten, rijksoverheid e.d.). In 2016 waren deze drie sectoren goed voor 61 procentvan alle gemelde datalekken, in 2017 was dit opgelopen tot 68 procenten in 2019 tot 75 procent. Dit zijn ook voorbeelden van sectoren waar veel en ‘gevoelige’ persoonsgegevens worden verwerkt en opgeslagen. Van deze drie sectoren kwamen tot 2019 de meeste meldingen uit de gezondheidszorg. In 2019 kwamen de meeste meldingen vanuit de financiële dienstverlening.

Aan de andere kant zegt het ook weer niet alles dat er veel meldingen uit deze sectoren komen en niet uit bijvoorbeeld de energiesector. Het aantal bedrijven, instellingen en organisaties in de gezondheidssector is immers ook vele malen groter dan het aantal bedrijven in de energiesector. Daar het absolute aantal gemelde datalekken fors is toegenomen gaat het ook voor deze sectoren om sterk toenemende aantallen datalekken. In 2016 kwam 61 procentvan alle gemelde datalekken nog overeen met ongeveer 3 500 meldingen. In 2019 was de genoemde 75 procentgoed voor 15 duizend meldingen.

Vijf procent datalekken door hack
Bij twee derde (66 procent) van de gemelde datalekken gaat het om het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Dit was ook het meest gemelde type datalek in 2018 (63 procent) en in 2017 (47 procent). Bij dit type datalek kan het gaan om een e-mail met daarin gevoelige persoonsgegevens die wordt verzonden naar de verkeerde ontvanger. Bijvoorbeeld door een typefout of omdat er in het e-mailprogramma een verkeerde geadresseerde wordt geselecteerd. Daarnaast komt het voor dat personen hun eigen gegevens opvragen bij organisaties, maar door een administratieve fout vervolgens ook persoonsgegevens van anderen ontvangen. In 2020 was 5 procentvan het aantal gemelde datalekken veroorzaakt door het via hacken, malware en/of phishing toegang krijgen tot de betreffende gegevens (902 meldingen). In 2018 was dit nog 4 procent(2017: 6 procent).

Uit de resultaten van de ICT-enquête bleek dat bij de grote bedrijven met 250 of meer werknemers er ongeveer twee keer zoveel bedrijven een incident melden door een interne oorzaak dan een incident door een aanval van buiten. Dit hoeft niet in tegenspraak te zien met de constatering dat bij de Autoriteit Persoonsgegevens het aantal meldingen door een aanval van buiten slechts 5 procent uit maakt van het totaal aantal meldingen. De ICT-enquête rapporteert immers het percentage bedrijven dat een incident gehad heeft, terwijl de AP het aantal meldingen zelf meet. Eén bedrijf kan meerdere meldingen doen, dus de getallen zijn niet direct met elkaar te vergelijken. Wat wel overeenkomt, is dat beide bronnen een toename van het aantal incidenten met onthullingen van gegevens laten zien.

Omvang datalekken en hacken
In de ruime meerderheid van de gevallen, namelijk 64 procentin 2019, raakt het datalek één persoon. In veel mindere mate (4 procent) treft het datalek meer dan 500 personen. Datalekken die meer dan 500 personen raken, worden vaak veroorzaakt door hacking, malware en/of phishing. Datalekken door hacking en phishing komen met name voor in de zorg (18 procent). Van de genoemde 902 datalekken in 2019 door hacking, malware en/of phishing was in 30 procentvan de gevallen het aantal betrokken personen meer dan 500. Datalekken door hacking, malware en/of phishing kwamen in 2019 relatief vaak voor in de zakelijke dienstverlening (14 procent), de zorg (13 procent) en het onderwijs (13 procent).

De voorgaande voorbeelden van incidenten illustreren dat niet alles wat er mis kan gaan met ICT kwade opzet is. De primaire oorzaak van een incident komt niet altijd vanuit ‘cyberspace’ maar kan ook voortkomen uit menselijke tekortkomingen (slordigheid, vergeetachtigheid, onbekwaamheid e.d.).

3.1.6 DDoS-aanvallen

Van kwade opzet is wel sprake bij een zogeheten (Distributed) Denial of Service aanval (DDoS). Bij zo’n aanval wordt een bepaalde dienst (bijvoorbeeld een website) onbereikbaar gemaakt voor de gebruikelijke bezoekers. Een DDoS-aanval op een website wordt vaak uitgevoerd door de website te bestoken met veel netwerkverkeer opdat deze omvalt. De in de figuur 3.1.8 gepresenteerde cijfers zijn afkomstig van de Stichting Nationale Beheersorganisatie Internet Providers (NBIP) en hebben betrekking op de DDoS-aanvallen van de bij hen aangesloten partijen die gebruikmaken van de Nationale anti-DDoS-Wasstraat (NaWas). Dit is een hulpmiddel dat DDoS-aanvallen onschadelijk maakt en waar de aangesloten partijen (collectief) gebruik van maken. Het zijn dus niet alle DDoS-aanvallen waar Nederlandse websites mee te maken hebben, maar wel een groot deel daarvan.²⁾
Kenmerken van DDoS-aanvallen zijn de omvang (Gbps) en de duur (tijd). In 2019 had 11 procent van de DDoS-aanvallen een omvang van meer dan 10 Gbps. Dit is vergelijkbaar met de voorgaande jaren. In 2019 duurde 15 procent van de aanvallen langer dan een uur. Dit is minder dan in de voorgaande jaren. In 2020 wordt echter gemeld dat het aandeel van DDoS-aanvallen van langer dan een uur behoorlijk toegenomen is, tot meer dan 25 procent. Hierbij moet opgemerkt worden dat de grootte van een DDoS-aanval niet per se maatgevend is voor de schade die een DDoS-aanval aanbrengt. Ook de complexiteit van de aanval speelt een rol; een DDoS-aanval waarbij meerdere technieken gecombineerd worden, een zogenaamde multivector aanval, is veel moeilijker te mitigeren. Daarnaast is het soort DDos-aanval waar websites mee geconfronteerd worden onderwerp van ontwikkeling. Het mitigeren van een DDos-aanval vergt dus een continue inspanning met betrekking tot het up-to-date houden van de software van de NaWas. Het absolute aantal door de NaWas verwerkte DDos-aanvallen in 2019 en 2020 was respectievelijk 919 en 929 (2018: 938; 2017: 826; 2016: 680).

3.1.8 DDoS-aanvallen naar grootte en duur¹⁾
	> 10 Gbps (% van DDoS aanvallen)	> 1 uur (% van DDoS aanvallen)
2016	13	36
2017	12	21,7
2018	11	19,7
2019	10,5	14,8
2020	25,8	12,3
Bron: CBS, Bron: NBIB 2020
¹⁾DDos‐aanvallen van bij de NaWas aangesloten organisaties. Deelnemers aan de NaWas zijn niet gelimiteerd tot (kleinere) ISPs. Er zijn ook enkele grote organisaties die meedoen, zoals banken en verzekeraars.

3.1.8 DDoS-aanvallen naar grootte en duur¹⁾
	> 10 Gbps (% van DDoS aanvallen)	> 1 uur (% van DDoS aanvallen)
2016	13	36
2017	12	21,7
2018	11	19,7
2019	10,5	14,8
2020	25,8	12,3
Bron: CBS, Bron: NBIB 2020
¹⁾DDos‐aanvallen van bij de NaWas aangesloten organisaties. Deelnemers aan de NaWas zijn niet gelimiteerd tot (kleinere) ISPs. Er zijn ook enkele grote organisaties die meedoen, zoals banken en verzekeraars.