Welkom bij een analyse van cyberincidenten in Nederland van het jaar 2023, aangeboden door DataLekt. Met onze missie om bewustzijn en inzicht in cybersecurity te vergroten, duiken we dieper in de data om de trends, belangrijke incidenten en de bredere impact van cybercriminaliteit in Nederland te begrijpen.
Het is nog even belangrijk om te benadrukken dat onderstaande analyse gebaseerd is op informatie die in de media bekend is gemaakt. Onze indruk is dat dit (helaas) het topje van de ijsberg is, zeker wanneer daarbij de cijfers van de Autoriteit Persoonsgegevens in ogenschouw genomen worden.
Trends in cyberincidenten
Het jaar 2023 markeert een keerpunt in de wereld van cybersecurity in Nederland. Met een totaal van 304 geregistreerde cyberincidenten, getuigt dit jaar van een onmiskenbare toename in zowel de frequentie als de diversiteit van cyberaanvallen. Deze trend wijst op een grote noodzaak voor meer aandacht en actie op dit vlak.
Opvallend was de opmars van (D)DoS-aanvallen, die van 3 in 2022 naar 26 in 2023 sprongen. Deze significante stijging duidt op een hernieuwde voorkeur voor deze aanvalsmethode door cybercriminelen, wellicht vanwege de relatieve eenvoud en de potentieel grote verstoring die ze kunnen veroorzaken. De impact van dergelijke aanvallen is vooral merkbaar in sectoren waar continuïteit van dienstverlening cruciaal is.
Datalekken door externe oorzaken bleven de boventoon voeren met 118 incidenten. Deze stijging benadrukt de aanhoudende uitdagingen op het gebied van netwerkbeveiliging en de noodzaak voor organisaties om hun systemen en gegevens tegen externe inbreuken te beschermen.
Gijzelsoftware, of ransomware, bleef een prominente dreiging met een toename naar 74 incidenten. Deze vorm van cybercriminaliteit, die zich richt op het versleutelen van data en eisen van losgeld, toont aan dat aanvallers steeds meer gericht zijn op financieel gewin en bereid zijn om agressieve tactieken te gebruiken om hun doelen te bereiken.
Deze trends in 2023 versterken het belang van proactieve beveiligingsmaatregelen, waaronder regelmatige risicoanalyses, het updaten van beveiligingssystemen, en het trainen van medewerkers. Deze stappen zijn essentieel om te anticiperen en te reageren op de dynamische en steeds geavanceerdere aard van cyberdreigingen.
Oorzaak van incidenten
In 2023 wordt een opvallende trend waargenomen in de oorzaak van cyberincidenten in Nederland. De data toonde aan dat er een groeiende kloof was tussen incidenten veroorzaakt door derde partijen en die door eerste partijen. Met 77 incidenten die toegeschreven werden aan derde partijen, tegenover 227 veroorzaakt door eerste partijen, is het duidelijk dat de risico’s binnen organisaties en hun externe relaties divers zijn en aandacht behoeven.
Deze stijging in incidenten gerelateerd aan derde partijen is indicatief voor de complexiteit en onderlinge verbondenheid van moderne bedrijfsnetwerken. Veel organisaties zijn afhankelijk van externe leveranciers, dienstverleners en partners voor essentiële bedrijfsprocessen. Dit maakt hen kwetsbaar voor de beveiligingsrisico’s die deze derde partijen met zich meebrengen. Het onvoldoende beveiligen van deze keten kan leiden tot significante datalekken en andere beveiligingsincidenten.
Daarentegen weerspiegelen de incidenten veroorzaakt door eerste partijen de interne uitdagingen waarmee organisaties worden geconfronteerd. Dit omvat kwetsbaarheden in hun eigen systemen en netwerken, evenals fouten of nalatigheid van medewerkers. Dergelijke incidenten benadrukken het belang van sterke interne beveiligingsprotocollen en een cultuur van cybersecurity-bewustzijn binnen organisaties.
Financiële impact
De financiële impact van cyberincidenten in 2023 geeft een significant ander beeld dan in 2022. Het is mogelijk dat in 2023 veel minder informatie in de media bekend is geworden, maar vooralsnog zijn de categorieën Financiële schade, Losgeld betaald, Losgeld geëist en Boetes allemaal gedaald.
Het relatief lage bedrag aan boetes in 2023, €180.000, suggereert dat er ruimte is voor verbetering in de handhaving van regelgeving en het opleggen van sancties aan organisaties die nalatig zijn in het beschermen van hun data. Het is op zijn minst een opvallende beweging getuige dat er meer cyberincidenten in de media bekend zijn geworden.
Sector-specifieke incidenten
De verdeling van incidenten over sectoren toont een gevarieerd beeld. Vooral de gezondheids- en welzijnszorg en het onderwijs waren in 2023 minder getroffen dan in 2022, wat wijst op verbeterde beveiligingsmaatregelen in deze sectoren. Daarentegen zagen we een significante stijging in sectoren zoals cultuur, sport en recreatie (van 6 naar 16 incidenten) en de industrie (van 10 naar 23 incidenten). Dit kan duiden op een groeiende kwetsbaarheid in deze branches.
Grootschalige incidenten: De Nebu-keten
De impact van de reeks incidenten in 2023, bekend als de “Nebu-Keten”, onthult een verontrustend beeld van hoe een enkele kwetsbaarheid in de keten van cybersecurity een cascade van problemen kan veroorzaken. Nebu, een softwareleverancier, werd het epicentrum van een uitgebreid datalek, met gevolgen voor een veelheid aan organisaties, variërend van marktonderzoeksbureaus tot overheidsinstanties.
Het meest opmerkelijke aan deze reeks van incidenten was de wijze waarop het datalek zich verspreidde via de klanten van Nebu. Dit onderstreept het risico van ‘derde-partij’-kwetsbaarheden, waarbij de beveiligingsinbreuk bij één leverancier leidt tot compromittering van gegevens bij meerdere verbonden entiteiten. Organisaties zoals Blauw Research, USP Marketing Consultancy en verschillende overheidsinstanties werden getroffen, wat de omvang en impact van het lek illustreert.
Andere opvallende cyberincidenten
Naast de Nebu-Keten waren er in 2023 andere noemenswaardige cyberincidenten in Nederland, die de veelzijdigheid en ernst van de cyberdreigingen onderstrepen.
Een van de meest in het oog springende incidenten was de ransomware-aanval op de Koninklijke Nederlandse Voetbalbond (KNVB). Deze aanval, uitgevoerd door de Lock Bit-groep, resulteerde in de betaling van losgeld. Dit incident toont niet alleen de kwetsbaarheid van sportorganisaties voor cyberaanvallen, maar ook de groeiende trend van gerichte ransomware-aanvallen tegen organisaties met een hoog profiel.
Een ander significant incident was het ernstige lek bij het Kadaster, waarbij miljoenen woonadressen toegankelijk werden door een kwetsbaarheid in hun systeem. Dit lek benadrukt de risico’s verbonden aan het beheren van grote hoeveelheden gevoelige data en de noodzaak van robuuste databeveiliging en -beheer bij overheidsinstanties.
Verder werd Arriva getroffen door een datalek veroorzaakt door een lek in hun contactformulier. Dit incident onderstreept de noodzaak van zorgvuldige beveiliging van online interactiepunten met klanten, waarbij zelfs ogenschijnlijk kleine kwetsbaarheden kunnen leiden tot aanzienlijke datalekken.
Ten slotte waren er meerdere gevallen van CEO-fraude, waaronder bij Prisma Bleiswijk en de Gemeente Krimpen aan den IJssel. Dit geeft aan dat de dreiging van social engineering en de noodzaak van bewustwording onder medewerkers over deze vorm van fraude nog steeds zeer relevant is.
Conclusie en aanbevelingen
Het cyberlandschap van 2023 in Nederland, zoals geïllustreerd door de incidenten die in de media zijn gerapporteerd, vormt slechts het topje van de ijsberg. Deze observatie, gecombineerd met de gegevens van de Autoriteit Persoonsgegevens, suggereert een veel uitgebreider probleem van cyberveiligheid dan wat openlijk zichtbaar is.
De toename van cyberincidenten, variërend van de uitgebreide Nebu-Keten tot gerichte ransomware-aanvallen op organisaties zoals de KNVB, benadrukt de veelzijdigheid en de ernst van de hedendaagse cyberdreigingen. De sectorale verspreiding van deze incidenten onderstreept dat geen enkele industrie immuun is voor deze risico’s.
Gezien deze context, is het essentieel dat organisaties hun cybersecurity aanpak herzien en versterken. Dit omvat het implementeren van robuuste beveiligingsmaatregelen, het regelmatig bijwerken van systemen, en het bewustmaken van medewerkers over de diverse aard van cyberdreigingen. Het is cruciaal om niet alleen interne risico’s aan te pakken, maar ook de beveiligingsprotocollen van derde partijen te evalueren, gezien hun potentiële rol in de verspreiding van cyberaanvallen.
Daarnaast moeten organisaties een proactieve houding aannemen in hun responsplannen voor cyberincidenten, waarbij snel en effectief handelen cruciaal is om de impact te minimaliseren. Transparantie naar betrokkenen en adequate crisiscommunicatie zijn hierbij van groot belang.
Ten slotte benadrukken we de noodzaak voor continue waakzaamheid en samenwerking binnen de cybersecurity-gemeenschap. Het delen van kennis en best practices kan aanzienlijk bijdragen aan het versterken van de collectieve verdediging tegen cyberdreigingen. De branche organisatie Cyberveilig Nederland speelt hierin al een grote en belangrijke rol. Met een gelaagde, geïnformeerde aanpak kunnen we streven naar een veiliger digitaal Nederland in 2024 en daarna.
De website DataLekt is mede mogelijk gemaakt door MITE3 Cybersecurity, Maria Genova en SIDN Fonds.
We wensen iedereen een veilig en sterk 2023 toe!