Ook 2022 heeft een groei in cyberincidenten laten zien. Waar het in 2021 nog 192 cyberincidenten betrof, waren het er in 2022 maar liefst 228. Opvallend is ook de stijging van cyberincidenten waarbij er sprake was van incidenten bij dienstverleners (derde partijen) die impact hadden op de klanten van de dienstverleners. In 2021 waren dat nog 30 gevallen, in 2022 is dat gegroeid naar 69.
Zowel datalekken met een externe oorzaak, gijzelsoftware (ransomware) als business email compromise (BEC) zitten in de lift. Datalekken met een externe oorzaak gingen van 70 naar 93, gijzelsoftware ging van 46 naar 65 en business email compromise van 7 naar 15 incidenten. Datalekken met een interne oorzaak bleven redelijk stabiel. Die ging van 40 in 2021 naar 39 in 2022.
Het jaar 2021 liet vooral zien dat er meer cyberincidenten in de media kwamen, maar dat er niet significant meer datalekken waren gemeld bij de Autoriteit Persoonsgegevens. Of dit ook voor 2022 geldt is nog even afwachten totdat de Autoriteit Persoonsgegevens deze gegevens heeft gepubliceerd.
Woningcorporaties het meest in de lift
Met een groei van 2 cyberincidenten in 2021 naar 21 incidenten in 2022 is de groei van cyberincidenten bij woningcorporaties in de branche Verhuur van en handel in onroerend goed het sterkst. Dat kwam onder andere door cyberincidenten bij leveranciers in die branche zoals Ista en The Sourcing Company. Ook de gezondheidszorg steeg met 17 cyberincidenten van 23 in 2021 naar 41 in 2022. En helaas ook de gemeentelijke overheid liet een stijging van 21 cyberincidenten zien waarmee zij uitkomen op 31 incidenten in 2022.
Een opvallende daler betreft Informatie en communicatie. Hieronder vallen ICT-organisaties, maar ook de journalistiek en de media. Zijn daalden met 11 incidenten van 28 in 2021 naar 17 in 2022.
Hoewel woningcorporaties de sterkste groei hebben laten zien, is de branche Gezondheids- en welzijnszorg met 41 gevallen toch het vaakst getroffen door cyberincidenten. Bij Overheid: Gemeenten gaat het om 31 incidenten, bij Verhuur van en handel in onroerend goed gaat het om 21 en bij Onderwijs gaat het om 14 cyberincidenten.
Hieronder staat een grafiek met een overzicht van de cyberincidenten per branche in 2021 en 2022.
Nieuwe EU richtlijn voor informatiebeveiliging
Ander belangrijk punt is dat de Europese Unie dit jaar de richtlijn NIS2 (Network and Information Security) heeft geratificeerd (in het Nederlands ook wel NIB2 (Netwerk en Informatiebeveiliging) genoemd). Deze richtlijn moet door Nederland nog in lokale wetgeving omgezet worden. De verwachting is dat de aangepaste Wbni* (Wet Beveiliging Netwerk- en Informatiesystemen) medio 2024 van kracht zal gaan worden. Deze wet zal dan extra regels op het vlak van beveiliging afdwingen voor alle organisaties in scope.
En let op, deze wet geldt ook voor organisaties die diensten leveren aan organisaties die in scope vallen. Meer lezen over de NIB2 kan via deze link van Cyberveilig Nederland: https://cyberveilignederland.nl/actueel/akkoord-over-herziening-nib-richtlijn-netwerk-en-informatiebeveiligingsrichtlijn
*) Het is op het moment van schrijven nog onbekend hoe de nieuwe wet feitelijk gaat heten
Een blik op 2023
Een opvallende stijger dit jaar waren de incidenten waarbij de oorzaak bij een derde partij lag. De ongrijpbare keten van integratie zal naar onze inschatting voor een nog groter aandeel van cyberincidenten zorgen in 2023. Het is daarom van cruciaal belang dat due diligence onderzoeken op vlak van information en cybersecurity bij derde partijen uitgevoerd worden.
Onze inschatting is ook dat ransomware en business email compromise verder zullen gaan stijgen. Deze aanvalsmethoden zijn zeer lucratief voor de cybercriminelen. En de zogenoemde “double” of zelfs “triple extortion” zullen we ook meer gaan zien bij gijzelsoftware. Dit betekent dat een organisatie getroffen wordt door gijzelsoftware, waarbij er gedreigd wordt met het publiceren van de gestolen data terwijl de organisatie continu last heeft van (D)DoS-aanvallen.
Gelukkig wordt de noodzaak van in beweging komen bij meer en meer organisaties duidelijker. Soms ontbreekt het echter nog aan het weten waar te beginnen. Schroom daarom niet om uw ICT partner, dienstverlener, MITE3 Cybersecurity of Maria Genova te benaderen.
En wie weet winnen we ook nog wel de Privacy Award van 2023, want DataLekt is genomineerd! Meer informatie hierover via deze link: https://privacyawards.nl/genomineerden-nederlandse-privacy-awards-2023-bekend/
We wensen iedereen een veilig en sterk 2023 toe!