3. Cybersecurityincidenten
In het voorgaande hoofdstuk werd gekeken naar de maatregelen die bedrijven en personen nemen om meer cyberweerbaar te worden. In dit hoofdstuk wordt ingegaan op de ICT-veiligheidsincidenten die plaatsvinden, ondanks de genomen maatregelen. Hierbij wordt onderscheid gemaakt tussen interne incidenten, die door onopzettelijk of eigen toedoen ontstaan, en incidenten ten gevolge van een aanval van buitenaf. Bij het laatste type incident wordt ook wel gesproken van ‘cybercrime’. Cybercrime kan worden omschreven als ‘alle delicten die gepleegd worden met behulp van ICT’ (CBS, 2017a). Het gaat hierbij dus over strafbare feiten gepleegd door cybercriminelen, zoals online fraude, DDoS-aanvallen en inbraak in computers.
3.1 Bedrijven
3.1.1 Type ICT-veiligheidsincidenten
In de ICT-enquête onderscheiden we twee soorten ICT-veiligheidsincidenten: incidenten door eigen toedoen en incidenten als gevolg van een aanval van buitenaf. Voor beide soorten incidenten onderscheiden we drie varianten: uitval van een ICT-systeem, datavernietiging (vernietiging of verminking van elektronische gegevens) en dataonthulling (onthulling van vertrouwelijke elektronische gegevens). Hiermee komen we op zes typen ICT-veiligheidsincidenten in totaal.
Intermezzo: Overzicht ICT-veiligheidsincidenten
De drie ICT-veiligheidsincidenten met een interne oorzaak zijn:
-
Uitval van ICT-systeem als gevolg van een ICT-gerelateerd veiligheidsincident, zoals een hardware- of softwarestoring.
-
Datavernietiging of dataverminking als gevolg van een ICT-gerelateerd veiligheidsincident, zoals een hardware- of softwarestoring.
-
Dataonthulling door onopzettelijk toedoen van eigen personeel.
De drie ICT-veiligheidsincidenten door een aanval van buitenaf zijn:
-
Uitval van ICT-systeem ten gevolge van een aanval van buitenaf, zoals een DDoS- of ransomwareaanval waarbij ICT-systemen niet meer gebruikt kunnen worden.
-
Datavernietiging of dataverminking ten gevolge van een infectie met kwaadaardige software of door ongeoorloofde elektronische toegang.
-
Dataonthulling door cyberinbraak, phishing of pharming. [voetnoot: Zie voetnoot paragraaf 2.2.1 in hoofdstuk 2 voor een toelichting van phishing en pharming. ]
Bron: CBS (2017f, 2018f, 2019f, 2020f, 2021e, 2022f, 2023g)
3.1.2 Cybersecurityincidenten per bedrijfsgrootteklasse
In de ICT‐enquête wordt aan een representatieve steekproef van bedrijven gevraagd hoe vaak ze te maken hebben gehad met elk van de eerder genoemde ICT‐veiligheidsincidenten. Ook wordt gevraagd of er kosten werden gemaakt ten gevolge van de ICT‐veiligheidsincidenten. Deze vragen zijn inmiddels zeven opeenvolgende jaren voorgelegd. In het volgende deel worden de resultaten eerst per bedrijfsgrootteklasse besproken. Daarna wordt gekeken naar de ontwikkeling van ICT‐veiligheidsincidenten per bedrijfstak.
Grote bedrijven hebben vaker incidenten dan kleine bedrijven
In figuren 3.1.1(a) en 3.1.1(b) wordt per bedrijfsgrootteklasse het percentage van bedrijven getoond dat minstens één ICT‐veiligheidsincident heeft gehad als gevolg van een interne oorzaak (a) of een aanval van buitenaf (b). Voor beide figuren worden dus de hiervoor genoemde type incidenten (uitval ICT-systeem, datavernietiging en dataonthulling) samengenomen. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage bedrijven dat aangeeft dat er kosten met het ICT-incident gemoeid waren.
Grote bedrijven hebben over de jaren heen consistent meer incidenten dan kleine bedrijven. Dit geldt voor zowel interne incidenten als incidenten door een aanval van buitenaf. Voor dit patroon kunnen meerdere oorzaken zijn. Bij interne incidenten, zoals uitval van ICT-systemen door hardware of software storingen, kan meespelen dat grote bedrijven vaker een grotere en complexere ICT-infrastructuur hebben. Een groter aantal computers of meer hardware binnen een bedrijf gaat immers gepaard met een grotere kans dat er schade aan één van de systemen optreedt. Bij incidenten door een aanval van buitenaf is het daarnaast aannemelijk dat grote bedrijven interessanter zijn voor cybercriminelen. Bij grote bedrijven valt immers meer te halen en daar is de (publiciteits)schade groter. Tot slot kan meespelen dat grote bedrijven vaak meer ICT-specialisten in dienst hebben. Hierdoor kan de kans op detectie van ICT‐veiligheidsincidenten groter zijn.
Aantal bedrijven met ICT-veiligheidsincidenten neemt af
In figuren 3.1.1(a) en 3.1.1(b) is te zien dat het totale aantal ICT‐veiligheidsincidenten met zowel een interne oorzaak (a) als door een aanval van buitenaf (b) is afgenomen. Deze daling is zichtbaar voor bedrijven in alle bedrijfsgrootteklassen. In 2016 had bijvoorbeeld nog bijna 40 procent van de grootste bedrijven een ICT-veiligheidsincident door een aanval van buitenaf, terwijl dit in 2022 nog maar 18 procent was.
De daling van het aantal incidenten met een interne oorzaak is dit niet consistent, maar schommelt over de tijd. Voor de grootste bedrijven zien we bijvoorbeeld een toename voor de jaren 2017 – 2019, gevolgd door een afname voor de jaren 2020 – 2022. Dit kan te maken hebben met het feit dat interne incidenten niet per se te voorkomen zijn; een hardwareonderdeel kan nu eenmaal kapotgaan. De afname in 2020 is mogelijk deels te verklaren doordat de uitleg van de categorie ‘dataonthulling door eigen personeel’ is gewijzigd. Vanaf 2020 is hier namelijk uitdrukkelijk bij vermeld dat het gaat om onopzettelijke dataonthulling door eigen personeel, en niet om opzettelijk toedoen. Omdat het bij opzettelijke incidenten gaat om cybercrime, zijn dit eigenlijk incidenten die veroorzaakt worden door een aanval van buitenaf. Dit kan hebben geleid tot een afname van het aantal gerespondeerde incidenten door een interne oorzaak.
Een derde van de ICT-veiligheidsincidenten gaat gepaard met kosten
Ten slotte laten figuren 3.1.1(a) en 3.1.1(b) ook zien dat lang niet alle ICT-veiligheidsincidenten ook gepaard gaan met kosten. Dit geldt voor ICT‐veiligheidsincidenten met zowel een interne oorzaak als door een aanval van buitenaf. In 2016–2019 had ongeveer de helft van de bedrijven met ten minste één ICT-veiligheidsincident ook daadwerkelijk kosten aan het incident. In 2020–2022 was dit nog maar het geval bij ongeveer een derde van de bedrijven. Sinds 2020 wordt aan bedrijven ook gevraagd hoe hoog de kosten waren als percentage van de omzet. Deze resultaten worden later in dit hoofdstuk besproken.
Bron: CBS (2017f, 2018f, 2019f, 2020f, 2021e, 2022f, 2023g)
3.1.3 Cybersecurityincidenten per bedrijfstak
Figuren 3.1.2(a) en 3.1.2(b) tonen het aandeel van bedrijven zien met ten minste één ICT-veiligheidsincident met een interne oorzaak (a) of door een aanval van buitenaf (b) per bedrijfstak voor bedrijven met twee of meer werknemers. Het lichtgekleurde deel van de staafdiagrammen geeft het percentage weer dat aangeeft dat er ook kosten aan de ICT-veiligheidsincidenten verbonden waren.
Figuur 3.1.2(a) laat zien dat ook per bedrijfstak het aandeel bedrijven met ten minste één ICT-veiligheidsincident met een interne oorzaak in de periode 2019 – 2022 behoorlijk is afgenomen. Deze trend kan mogelijk deels worden verklaard door de eerdergenoemde aanpassing in de vraagstelling. In de bedrijfstakken ‘Gezondheids- en welzijnszorg’ en ‘Financiële dienstverlening’ had een kleine 20 procent van de bedrijven in 2022 ten minste één intern ICT-veiligheidsincident. Ongeveer een vijfde van deze bedrijven gaf aan dat deze incidenten ook gepaard gingen met kosten. In de bedrijfstakken ‘Industrie’ en ‘ICT’ had respectievelijk 13 en 15 procent van de bedrijven een intern ICT-veiligheidsincident. In de bedrijfstak ‘Horeca’ traden de ICT-veiligheidsincidenten het minst vaak op: in 2022 had ongeveer 9 procent van de horecabedrijven ten minste één ICT-veiligheidsincident met een interne oorzaak. Op zich is dit niet vreemd, omdat de mate van digitalisering in de horeca lager is vergeleken met andere bedrijfstakken (CBS, 2021c). Hierdoor is de kans op uitval door een hardware- of softwarestoring ook kleiner.
Figuur 3.1.2(b) toont tot slot dat het aandeel van bedrijven dat ten minste één ICT-veiligheidsincident door een aanval van buitenaf meldt vanaf 2019 is afgenomen. Hoewel er van jaar op jaar soms een kleine stijging te zien is, is er over het algemeen sprake van een dalende trend. Dit geldt voor zowel het totale aantal ICT-veiligheidsincidenten als het aandeel dat gepaard ging met kosten.
Bron: CBS (2017f, 2018f, 2019f, 2020f, 2021e, 2022f, 2023g)
3.1.4 ICT-veiligheidsincidenten per categorie per bedrijfstak
Bron: CBS (2017f, 2018f, 2019f, 2020f, 2021e, 2022f, 2023g)
3.1.4 Cybersecurityincidenten per type incident
In dit deel bekijken we de bijdragen van de drie afzonderlijke type ICT-veiligheidsincidenten: uitval van ICT-systemen, datavernietiging en dataonthulling.
Cybersecurityincidenten per type incident per bedrijfsgrootteklasse
Figuur 3.1.3 toont per bedrijfsgrootteklasse het percentage van bedrijven dat ten minste één uitval van een ICT-systeem, datavernietiging, of dataonthulling had als gevolg van een interne oorzaak (a1, b1, c1) of een aanval van buitenaf (a2, b2, c2).
Tot nu toe zagen we dat het aandeel van bedrijven met een ICT-veiligheidsincident als gevolg van een interne oorzaak toeneemt met de bedrijfsgrootteklasse. Figuur 3.1.3(a1) laat nu zien dat deze toename voornamelijk is toe te schrijven aan de uitval van een ICT-systeem door een hardware- of softwarestoring. Van de bedrijven met 2 tot 10 werkzame personen had bijvoorbeeld 9 procent in 2022 ten minste één uitval door een storing, terwijl dit voor bedrijven met meer dan 250 werkzame personen 37 procent was. De overige twee incidenten, zoals getoond in de figuren 3.1.3(b1, c1), kwamen ook vaker voor bij grote bedrijven. Maar omdat deze incidenten minder vaak voorkwamen, droegen ze minder bij aan het totaal van interne incidenten.
Ook in de onderliggende categorieën van incidenten is de daling van het aantal bedrijven met ten minste één intern ICT-veiligheidsincident grotendeels zichtbaar. De ontwikkeling over de tijd per incident is echter minder eenduidig. Bijvoorbeeld, tot aan 2019 was er een toename te zien in dataonthulling als gevolg van interne incidenten bij grote bedrijven met 250 of meer werknemers, zoals weergegeven in figuur 3.1.3(c1), terwijl er vanaf 2020 weer een afname te zien is. Een vergelijkbaar patroon is waarneembaar voor de uitval van ICT-systemen, zoals weergegeven in figuur 3.1.3(a1). Deze trends wijken dus af van de ontwikkeling van het totale aantal interne incidenten.
Figuren 3.1.3(a2, b2, c2) laten verder zien dat alle typen incidenten als gevolg van een aanval van buitenaf vaker voorkomen bij grote bedrijven dan bij kleine bedrijven. Dit komt ook overeen met het eerder beschreven patroon voor het totaal van incidenten door een aanval van buitenaf. Tot slot zagen we eerder dat er sprake was van een afname van het aandeel bedrijven met ten minste één ICT-veiligheidsincident door een aanval van buitenaf. In figuren 3.1.3(a2, b2, c2) is nu te zien dat deze afname vooral toe te schrijven is aan de afname van het aandeel bedrijven met een uitval van een ICT-systeem en datavernietiging door een aanval van buitenaf. Het aandeel bedrijven dat een dataonthulling als gevolg van een cyberinbraak meldt, is juist toegenomen over de afgelopen jaren. De ontwikkelingen variëren dus sterk naar het type incident.
Cybersecurityincidenten per type incident per bedrijfstak
Figuur 3.1.4 laat per bedrijfstak het percentage van bedrijven zien dat ten minste één uitval van een ICT-systeem, datavernietiging, of dataonthulling had als gevolg van een interne oorzaak (a1, b1, c1) of een aanval van buitenaf (a2, b2, c2). Net zoals bij de afname van ICT-veiligheidsincidenten per bedrijfsgrootteklasse, zien we voor bijna alle bedrijfstakken een afname van het percentage bedrijven dat een ICT-veiligheidsincident met een interne oorzaak en door een aanval van buitenaf meldt. Opvallend genoeg geldt dit in 2022 ten opzichte van 2016 niet voor de bedrijfstakken ‘Financiële diensten’ en ‘Zorg’; we zien bij dataonthulling door een intern incident een toename, zoals getoond in figuur 3.1.4(c1). Ook zien we bij bijna alle bedrijfstakken dat het aandeel bedrijven dat een dataonthulling als gevolg van een cyberinbraak meldt, is toegenomen.
3.1.5 Kostenverdeling van de ICT-veiligheidsincidenten
Kostenverdeling van ICT-veiligheidsincidenten met interne oorzaak
| % van bedrijven met intern ICT-veiligheidsincident | Jaar | <1% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 1 tot 2% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 2 tot 5% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 5 tot 10% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 10 tot 50% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | ≥50% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) |
|---|---|---|---|---|---|---|---|
| 1 (zzp'ers) | '20 | 1,3 | 0,2 | 0,1 | 0,1 | 0 | 0 |
| 1 (zzp'ers) | '21 | 0,7 | 0 | 0,2 | 0,1 | 0 | 0 |
| 1 (zzp'ers) | '22 | 0,5 | 0,2 | 0,3 | 0 | 0 | 0 |
| 2 - (totaal) | '20 | 3,4 | 0,5 | 0,2 | 0,1 | 0 | 0 |
| 2 - (totaal) | '21 | 2,2 | 0,4 | 0,2 | 0 | 0,1 | 0 |
| 2 - (totaal) | '22 | 2 | 0,1 | 0,2 | 0,1 | 0 | 0 |
| 2 - 9 | '20 | 2,6 | 0,4 | 0,1 | 0,1 | 0 | 0 |
| 2 - 9 | '21 | 1,4 | 0,4 | 0,2 | 0 | 0,1 | 0 |
| 2 - 9 | '22 | 1,3 | 0,1 | 0,3 | 0,1 | 0 | 0 |
| 10 - 49 | '20 | 6,1 | 0,9 | 0,3 | 0 | 0 | 0 |
| 10 - 49 | '21 | 5,4 | 0,6 | 0,4 | 0 | 0 | 0 |
| 10 - 49 | '22 | 4,3 | 0,4 | 0,1 | 0 | 0 | 0 |
| 50 - 249 | '20 | 9,9 | 0,7 | 0,1 | 0,1 | 0 | 0 |
| 50 - 249 | '21 | 8,6 | 0,6 | 0,2 | 0,1 | 0 | 0 |
| 50 - 249 | '22 | 7,4 | 0,4 | 0,1 | 0 | 0 | 0 |
| 250 - | '20 | 12,8 | 0,9 | 0,5 | 0 | 0 | 0 |
| 250 - | '21 | 15 | 0,7 | 0,3 | 0 | 0 | 0 |
| 250 - | '22 | 12,2 | 0,5 | 0 | 0 | 0 | 0 |
| % van bedrijven met intern ICT-veiligheidsincident | Jaar | <1% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 1 tot 2% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 2 tot 5% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 5 tot 10% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | 10 tot 50% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) | ≥50% van de totale omzet (% van bedrijven met intern ICT-veiligheidsincident) |
|---|---|---|---|---|---|---|---|
| Financ. dnstverl. | '20 | 5,8 | 2,1 | 0,5 | 0 | 0 | 0 |
| Financ. dnstverl. | '21 | 6,2 | 0,2 | 0,6 | 0 | 0 | 0 |
| Financ. dnstverl. | '22 | 2,6 | 1,6 | 0 | 0 | 0 | 0 |
| Spc.Zakelk. dnstverl. | '20 | 4,4 | 1 | 0,3 | 0 | 0 | 0 |
| Spc.Zakelk. dnstverl. | '21 | 3 | 0,6 | 0,4 | 0 | 0 | 0 |
| Spc.Zakelk. dnstverl. | '22 | 2,3 | 0,2 | 0,1 | 0 | 0 | 0 |
| Industrie | '20 | 4,3 | 0,4 | 0,4 | 0 | 0 | 0 |
| Industrie | '21 | 3,7 | 0,5 | 0,2 | 0 | 0 | 0 |
| Industrie | '22 | 2,9 | 0,2 | 0 | 0 | 0 | 0 |
| Vervoer/ opslag | '20 | 4,6 | 0,3 | 0,1 | 0,6 | 0 | 0 |
| Vervoer/ opslag | '21 | 2,5 | 0,1 | 0 | 0,1 | 0 | 0 |
| Vervoer/ opslag | '22 | 2,5 | 0,1 | 0 | 0 | 0 | 0 |
| Energie/ water/afval | '20 | 3,9 | 0,9 | 0 | 0 | 0 | 0 |
| Energie/ water/afval | '21 | 3 | 0 | 0 | 0 | 0 | 0 |
| Energie/ water/afval | '22 | 2,9 | 0 | 1 | 0 | 0 | 0 |
| Horeca | '20 | 2,5 | 0,2 | 0,2 | 0 | 0 | 0 |
| Horeca | '21 | 0,6 | 0,7 | 0,1 | 0 | 0,5 | 0 |
| Horeca | '22 | 1 | 0,2 | 0,5 | 0 | 0 | 0 |
| Gezondheid/ welzijnsz. | '20 | 5,2 | 1,1 | 0,2 | 0 | 0 | 0 |
| Gezondheid/ welzijnsz. | '21 | 3 | 0,4 | 0 | 0 | 0 | 0 |
| Gezondheid/ welzijnsz. | '22 | 3,2 | 0 | 0,2 | 0 | 0 | 0 |
Figuren 3.1.5(a) en 3.1.5(b) laten per bedrijfsgrootteklasse (a) en bedrijfstak (b) de hoogte van de kosten van de interne ICT-veiligheidsincidenten zien als percentage van de omzet. De hoogte van de samengestelde staafjes geeft het percentage weer van de bedrijven die kosten hadden aan een intern ICT-veiligheidsincident. De staafjes komen dus overeen met de hoogte van de lichtgekleurde delen van de staafjes in de figuren 3.1.1(b) en 3.1.2(b). Met kleur is aangegeven hoe hoog de kosten waren als percentage van de totale omzet van het bedrijf. De percentages zijn opgedeeld in zes categorieën: ‘Minder dan 1%’, ‘1 tot 2%’, ‘2 tot 5%’, ‘5 tot 10%’, ‘10 tot 50%’, of ‘50% of meer’.
Uit figuur 3.1.5(a) blijkt dat in 2022 in de meeste gevallen de kosten minder dan 1 procent van de bedrijfsomzet bedroegen. Bij een klein deel van de bedrijven waren de kosten meer dan 1 procent van de omzet. In 2022 meldde bijvoorbeeld 0,1 procent van de kleine bedrijven (2 tot 10 werknemers) met ten minste één ICT-veiligheidsincident dat de kosten tussen 5 tot 10 procent van de totale omzet waren. Bij deze bedrijven moeten de incidenten dus een behoorlijk grote impact hebben gehad.
Figuur 3.1.5(b) laat daarnaast zien dat het aandeel bedrijven met kosten aan een intern ICT-veiligheidsincident in de bedrijfstak ‘Financiële dienstverlening’ flink is gedaald. Toch waren er in deze bedrijfstak alsnog relatief veel bedrijven waarbij de kosten hoger waren dan één procent van de bedrijfsomzet. In de bedrijfstak ‘Energie/water/afval’ steeg het aandeel bedrijven met kosten aan een intern ICT-veiligheidsincident juist behoorlijk, met name waar de kosten tussen de 2 en 5 procent van de totale omzet waren. In de horeca bleef het aandeel met kosten in 2022 ongeveer gelijk, maar daalde de hoogte van de kosten als percentage van de bedrijfsomzet.
Kostenverdeling van ICT-veiligheidsincidenten door aanval van buitenaf
| % van bedrijven met ICT-veiligheidsincident door aanval | Jaar | <1% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 1 tot 2% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 2 tot 5% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 5 tot 10% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 10 tot 50% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | ≥50% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) |
|---|---|---|---|---|---|---|---|
| 1 (zzp'ers) | '20 | 0,5 | 0,1 | 0,1 | 0 | 0,1 | 0 |
| 1 (zzp'ers) | '21 | 0,3 | 0,3 | 0,1 | 0 | 0 | 0 |
| 1 (zzp'ers) | '22 | 0,1 | 0 | 0 | 0,3 | 0 | 0 |
| 2 - (totaal) | '20 | 1,6 | 0,4 | 0,1 | 0,1 | 0 | 0 |
| 2 - (totaal) | '21 | 1,2 | 0,2 | 0,2 | 0 | 0 | 0 |
| 2 - (totaal) | '22 | 1 | 0,3 | 0,1 | 0 | 0 | 0 |
| 2 - 9 | '20 | 1,3 | 0,3 | 0,1 | 0,1 | 0 | 0 |
| 2 - 9 | '21 | 0,9 | 0,2 | 0,2 | 0 | 0 | 0 |
| 2 - 9 | '22 | 0,7 | 0,3 | 0,1 | 0 | 0 | 0 |
| 10 - 49 | '20 | 2,7 | 0,4 | 0,3 | 0 | 0 | 0 |
| 10 - 49 | '21 | 2,4 | 0,3 | 0,3 | 0,1 | 0 | 0 |
| 10 - 49 | '22 | 1,9 | 0,1 | 0,1 | 0 | 0 | 0 |
| 50 - 249 | '20 | 4,1 | 0,7 | 0,3 | 0,1 | 0 | 0 |
| 50 - 249 | '21 | 2,8 | 0,3 | 0,7 | 0 | 0 | 0 |
| 50 - 249 | '22 | 2,4 | 0,2 | 0,1 | 0 | 0 | 0 |
| 250 - | '20 | 7 | 0,5 | 0,5 | 0,1 | 0,1 | 0 |
| 250 - | '21 | 5,7 | 1 | 0,5 | 0,1 | 0 | 0 |
| 250 - | '22 | 4,3 | 0,6 | 0,1 | 0,1 | 0 | 0 |
| % van bedrijven met ICT-veiligheidsincident door aanval | Jaar | <1% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 1 tot 2% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 2 tot 5% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 5 tot 10% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | 10 tot 50% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) | ≥50% van de totale omzet (% van bedrijven met ICT-veiligheidsincident door aanval) |
|---|---|---|---|---|---|---|---|
| Financ. dnstverl. | '20 | 1,9 | 0,3 | 0 | 0 | 0,1 | 0 |
| Financ. dnstverl. | '21 | 1,6 | 1,2 | 0,6 | 0 | 0 | 0 |
| Financ. dnstverl. | '22 | 0,4 | 0,3 | 0,1 | 1,1 | 0 | 0 |
| Spc.Zakelk. dnstverl. | '20 | 1 | 0,6 | 0,3 | 0,1 | 0,1 | 0,1 |
| Spc.Zakelk. dnstverl. | '21 | 1,3 | 0,2 | 0,5 | 0,2 | 0 | 0 |
| Spc.Zakelk. dnstverl. | '22 | 0,7 | 0,2 | 0,2 | 0 | 0 | 0 |
| Industrie | '20 | 2,1 | 0,3 | 0,3 | 0 | 0 | 0 |
| Industrie | '21 | 1,6 | 0,2 | 0,2 | 0,1 | 0 | 0 |
| Industrie | '22 | 1,2 | 0,1 | 0,1 | 0 | 0 | 0 |
| Vervoer/ opslag | '20 | 1,9 | 0,3 | 0,1 | 0,6 | 0 | 0 |
| Vervoer/ opslag | '21 | 1,8 | 0,2 | 0 | 0,1 | 0 | 0 |
| Vervoer/ opslag | '22 | 0,8 | 0 | 0 | 0 | 0 | 0 |
| Energie/ water/afval | '20 | 1,6 | 0 | 0 | 0 | 0 | 0 |
| Energie/ water/afval | '21 | 1,2 | 0 | 0 | 0 | 0 | 0 |
| Energie/ water/afval | '22 | 0,6 | 0 | 0 | 0 | 0,1 | 0 |
| Horeca | '20 | 1,8 | 0,1 | 0 | 0 | 0 | 0 |
| Horeca | '21 | 0,1 | 0,2 | 0 | 0 | 0 | 0 |
| Horeca | '22 | 0,2 | 0,5 | 0 | 0 | 0 | 0 |
| Gezondheid/ welzijnsz. | '20 | 0,4 | 0,3 | 0 | 0,3 | 0 | 0 |
| Gezondheid/ welzijnsz. | '21 | 1,5 | 0 | 0 | 0 | 0 | 0 |
| Gezondheid/ welzijnsz. | '22 | 1 | 0 | 0 | 0 | 0 | 0 |
Figuren 3.1.6(a) en 3.1.6(b) laten per bedrijfsgrootteklasse (a) en bedrijfstak (b) de hoogte zien van de kosten van de ICT-veiligheidsincidenten als gevolg van een aanval van buitenaf als percentage van de omzet. De hoogte van de samengestelde staafjes geeft het percentage weer van de bedrijven die kosten hadden aan een ICT-veiligheidsincident van buitenaf. De staafjes komen dus overeen met de hoogte van de lichtgekleurde delen van de staafjes in de figuren 3.1.1(a) en 3.1.2(a). Met kleur is weer aangegeven hoe hoog de kosten waren als percentage van de totale omzet van het bedrijf.
Ook in deze figuren is te zien dat het aandeel bedrijven met kosten aan een ICT-veiligheidsincident door een aanval van buitenaf in 2022 is afgenomen. In de meeste gevallen bedroegen de kosten minder dan 1 procent van de omzet van het bedrijf. Bij een klein deel van de bedrijven waren de kosten meer dan 1 procent van de omzet. Figuur 3.1.6(b) laat echter zien dat, in tegenstelling tot het voorgaande jaar, er in 2022 wel bedrijven waren waarbij de hoogte van de kosten tussen de 10 en 50 procent van de bedrijfsomzet was. Dit was relatief vaak het geval in de bedrijfstak ‘Energie/water/afval’. In deze bedrijfstak moeten de ICT‐veiligheidsincidenten dus een behoorlijke impact hebben gehad.
Het aandeel met kosten aan een incident door een aanval van buitenaf is het meest afgenomen in de bedrijfstak ‘Financiële dienstverlening’. De hoogte van de kosten als percentage van de totale omzet is in deze bedrijfstak juist wel behoorlijk gestegen: bij een groot gedeelte van de bedrijven in deze bedrijfstak bedroegen de kosten maar liefst 5 tot 10 procent van de totale bedrijfsomzet.
3.1.6 Ransomwareaanvallen
populatie 2021 (% van bedrijven) 2022 (% van bedrijven) 1 (zzp'ers) 0,3 0,5 2 - 9 0,5 0,6 10 - 49 1,2 0,8 50 - 249 2,3 1,4 250 - 4 2,3 populatie 2021 (% van bedrijven) 2022 (% van bedrijven) Totaal
(2 -) 0,7 0,7 Verhuur/handel
onroerend goed 1,5 0,5 Industrie 1,2 0,8 Handel 0,8 0,8 Spec. zakelijke
diensten 0,8 0,9 ICT-sector 1,3 1,9
Sinds 2021 wordt er in de ICT-enquête ook specifiek gevraagd naar ransomwareaanvallen (CBS, 2022f, 2023g). Bij een ransomwareaanval worden de ICT-systemen van een bedrijf of particulier door middel van malware geblokkeerd, om zo het slachtoffer te chanteren om losgeld (‘ransom’) te betalen om de systemen weer vrij te geven. Ransomware wordt door de Nationaal Coördinator Terrorismebestrijding en Veiligheid als een belangrijk risico voor de nationale veiligheid gezien (NCTV, 2023). Het is daarom belangrijk om te monitoren hoe vaak dit voorkomt bij bedrijven in Nederland.
Aantal ransomwareaanvallen
Bedrijfsgrootte Ransomwareaanval gehad/Aantal Ransomwareaanval gehad/Percentage 1 werkzame persoon (zzp'er) 6000 0,5 Totaal (2 of meer werkzame personen) 2310 0,7 2 tot 10 werkzame personen 1700 0,6 10 tot 50 werkzame personen 410 0,8 50 tot 250 werkzame personen 140 1,4 250 of meer werkzame personen 60 2,3
In 2022 vonden er in totaal 8 310 ransomwareaanvallen plaats bij bedrijven (zie Tabel 3.1.9). Hiervan kwamen er 6 000 voor bij zzp’ers en 2 310 bij bedrijven met twee of meer werkzame personen. Tabel 3.1.9 geeft naast de absolute getallen ook het percentage van bedrijven per grootteklasse weer dat meldt een ransomwareaanval gehad te hebben. Hieruit blijkt dat procentueel gezien grote bedrijven meer last hebben van ransomwareaanvallen dan kleine bedrijven.
| populatie | 2021 (% van bedrijven met ransomwareaanval) | 2022 (% van bedrijven met ransomwareaanval) |
|---|---|---|
| 1 (zzp'ers) | 2 | 23,5 |
| 2 - (totaal) | 13,4 | 17,8 |
| 2 - 9 | 5,4 | 18 |
| 10 - 49 | 21,3 | 9 |
| 50 - 249 | 34,7 | 31,3 |
| 250 - | 34,5 | 41,7 |
| populatie | 2021 (% van bedrijven met ransomwareaanval) | 2022 (% van bedrijven met ransomwareaanval) |
|---|---|---|
| Financ. dnstverl. | 0 | 13,2 |
| Spc.Zakelk. dnstverl. | 13,6 | 5,7 |
| Industrie | 30,3 | 31,8 |
| Vervoer/ opslag | 4,5 | 2,8 |
| Energie/ water/afval | 23,2 | 0 |
| Horeca | 0 | 0 |
| Gezondheid/ welzijnsz. | 3,8 | 8 |
Hulpvraag bij politie en cybersecuritybedrijven
populatie 2021 (% van bedrijven met ransomwareaanval) 2022 (% van bedrijven met ransomwareaanval) 1 (zzp'ers) 0,6 53,8 2 - (totaal) 39 36,9 2 - 9 33,1 35,3 10 - 49 44 34,6 50 - 249 55,9 51,7 250 - 55,9 61,5
| populatie | 2021 (% van bedrijven met ransomwareaanval) | 2022 (% van bedrijven met ransomwareaanval) |
|---|---|---|
| Financ. dnstverl. | 6,1 | 19,8 |
| Spc.Zakelk. dnstverl. | 47,8 | 26,6 |
| Industrie | 53,4 | 39,7 |
| Vervoer/ opslag | 28,3 | 7,9 |
| Energie/ water/afval | 23,2 | 0 |
| Horeca | 47,5 | 18,6 |
| Gezondheid/ welzijnsz. | 13,3 | 66,1 |
Figuren 3.1.10 en 3.1.11 tonen het percentage van de bedrijven die een ransomwareaanval hadden en als gevolg daarvan hulp hebben gevraagd van respectievelijk de politie of een cybersecuritybedrijf. Van alle bedrijven met twee of meer werknemers die een ransomwareaanval gehad hebben schakelde 37 procent in 2022 de hulp in van een cybersecuritybedrijf. Een kleiner aandeel stapte naar de politie (18 procent). Het is hierbij uiteraard mogelijk dat een bedrijf hulp inschakelde van zowel de politie als een cybersecuritybedrijf. Opvallend is wel dat kleinere bedrijven minder vaak de hulp inschakelden van de politie en/of een cybersecuritybedrijf dan grotere bedrijven. Van de microbedrijven (2 tot 10 werkzame personen) stapte bijvoorbeeld 18 procent naar de politie, tegenover 42 procent van de grote bedrijven (250 of meer werkzame personen). Figuur 3.1.10(b) laat tot slot zien dat er ook verschillen waren tussen bedrijfstakken. In de bedrijfstak ‘Gezondheids- en welzijnszorg’ werd bijvoorbeeld veel vaker de hulp ingeschakeld van een cybersecuritybedrijf (66 procent) dan de politie (8 procent), terwijl in de bedrijfstak ‘Industrie’ respectievelijk 40 en 31 procent van de bedrijven naar een cybersecuritybedrijf of de politie stapte.
Grote bedrijven vaker verzekerd tegen ICT-veiligheidsincidenten
populatie 2021 (% van bedrijven) 2022 (% van bedrijven) 1 (zzp'ers) 4,8 4,6 2 - (totaal) 16,7 15,7 2 - 9 13,6 12,4 10 - 49 29,1 28,6 50 - 249 37,3 36,2 250 - 44,2 41,9 populatie 2021 (% van bedrijven) 2022 (% van bedrijven) Financ.
dnstverl. 40,8 28,3 Spc.Zakelk.
dnstverl. 22,8 20,1 Industrie 16,6 17,7 Vervoer/
opslag 12,9 10,4 Energie/
water/afval 13,6 22,5 Horeca 4,9 8,1 Gezondheid/
welzijnsz. 29,8 24,7
Figuren 3.1.12(a) en 3.1.12(b) laten tot slot zien hoeveel bedrijven per grootteklasse (a) en bedrijfstak (b) een verzekering tegen ICT-veiligheidsincidenten afgesloten hebben. Van alle bedrijven met twee of meer werknemers was 16 procent in 2022 verzekerd tegen ICT-veiligheidsincidenten. Grotere bedrijven waren vaker verzekerd dan kleinere bedrijven. Van de zzp’ers was bijvoorbeeld slechts 5 procent verzekerd, terwijl van de bedrijven met 250 of meer werknemers zo’n 42 procent verzekerd was. Uit figuur 3.1.12(b) blijkt dat de hoogste percentages van verzekerde bedrijven te vinden zijn bij de financiële sector, de gezondheidszorg en de energiesector.
3.1.7 DDoS-aanvallen
Kwartaal Aanvallen (Aantal DDoS aanvallen) 2022-Q1 666 2022-Q2 514 2022-Q3 442 2022-Q4 379 2023-Q1 676 2023-Q2 408 2023-Q3 505 2023-Q4 559 Bron: CBS, Bron: NBIP 2023b ¹⁾Van de bij NaWas aangesloten organisaties. Kwartaal > 4 uur (Aantal DDoS aanvallen langer dan 4 uur) 2022-Q1 6 2022-Q2 18 2022-Q3 12 2022-Q4 38 2023-Q1 26 2023-Q2 36 2023-Q3 39 2023-Q4 28 Bron: CBS, Bron: NBIP 2023b ¹⁾Van de bij NaWas aangesloten organisaties.
Bij de Nationale anti-DDoS-Wasstraat (NaWas) werden in 2023 2 148 DDoS-aanvallen (Distributed Denial of Service aanvallen) geteld. Het gaat hier om aanvallen waarbij een aanvallende partij een server tijdelijk of langdurig onbeschikbaar probeert te maken door deze vanaf meerdere kanten te overspoelen met aanvragen. Dit zijn er meer dan in 2022 toen er 2 001 werden geteld, maar minder dan 2021 waarin het er 2 830 waren (NBIB, 2023b). Bij de NaWas zijn rond de 100 deelnemers aangesloten, waaronder voornamelijk internetproviders. Figuur 3.1.13(a) geeft het aantal DDoS-aanvallen zoals per kwartaal door de NaWas gemeten is; figuur 3.1.13(b) geeft het aantal intensieve DDoS-aanvallen met een duur van langer dan 4 uur. De aanvallen richten zich vooral op nationale veiligheidsdiensten, ziekenhuizen, de gezondheidszorg en andere kritieke infrastructuur. De meeste aanvallen vonden plaats in het eerste kwartaal (676) terwijl het aantal aanvallen in de andere kwartalen onder de 600 bleef en in het tweede kwartaal waren er slechts 408 aanvallen. Daarentegen vonden in het tweede en derde kwartaal wel de heftigste aanvallen plaats. Respectievelijk 36 en 39 aanvallen duurden in het tweede en derde kwartaal langer dan 4 uur. In zowel het eerste en vierde kwartaal waren dit er minder dan 30. Ook vond in het tweede kwartaal de krachtigste aanval plaats met een capaciteit van 381 Gbps, even groot als de heftigste aanval in het jaar 2022.