Introductie
In een tijdperk waarin digitale transformatie sectoren in een ongekend tempo hervormt, kan het belang van robuuste cyberbeveiligingsmaatregelen niet genoeg worden benadrukt. Als VP Corporate Marketing en Research bij Kiteworks presenteer ik met genoegen ons uitgebreide “2024 Risk Score Report”, een kritische analyse van het veranderende cyberbeveiligingslandschap binnen diverse sectoren.
Introductie
Beste lezers,
In een tijdperk waarin digitale transformatie sectoren in een ongekend tempo hervormt, kan het belang van robuuste cyberbeveiligingsmaatregelen niet genoeg worden benadrukt. Als VP Corporate Marketing en Research bij Kiteworks presenteer ik met genoegen ons uitgebreide “2024 Risk Score Report”, een kritische analyse van het veranderende cyberbeveiligingslandschap binnen diverse sectoren.
Dit rapport verschijnt op een cruciaal moment waarop organisaties wereldwijd worstelen met steeds complexere cyberdreigingen. De datalekken die we de afgelopen jaren hebben gezien, nemen niet alleen toe in frequentie, maar ook in schaal en impact. Van zorgprocessen tot de financiële sector, van onderwijs tot retail: geen enkele sector is immuun voor deze digitale kwetsbaarheden. Onze analyse toont een consistente stijging van Risk Scores in alle sectoren, wat de dringende noodzaak onderstreept voor verbeterde cyberbeveiligingsstrategieën.
Wat dit rapport onderscheidt, is onze innovatieve Risk Score-methodologie. Door een gestandaardiseerde, kwantificeerbare maatstaf voor cyberbeveiligingsrisico te bieden, geven we besluitvormers een krachtig hulpmiddel om de beveiligingsstatus van hun organisatie te vergelijken met branchegenoten en de voortgang in de tijd te volgen. Deze aanpak maakt beter geïnformeerde strategische planning en toewijzing van middelen mogelijk in de strijd tegen cyberdreigingen.
In de volgende pagina’s vindt u gedetailleerde analyses van afzonderlijke sectoren, trends in datalekken en hun gevolgen, en inzichten in opkomende cyberbeveiligingsuitdagingen. We verkennen ook de potentiële toekomstige toepassingen van onze Risk Score-methodologie, van voorspellende modellen tot naleving van regelgeving. Wij hopen dat dit rapport niet alleen het bewustzijn van het huidige cyberbeveiligingslandschap vergroot, maar ook aanzet tot proactieve maatregelen om veerkrachtigere digitale ecosystemen te bouwen in alle sectoren.
Met vriendelijke groet,
Patrick Spencer
Patrick Spencer, Ph.D.
VP Corporate Marketing en Research
Kiteworks
Belangrijkste inzichten
Risicoscores per sector (1H 2024 – 2018)
| Sector | 1H 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 |
|---|---|---|---|---|---|---|---|
| Totaal | 7.3 | 7.3 | 6.0 | 6.2 | 5.4 | 5.3 | 5.1 |
| Onderwijs | 3.2 | 7.2 | 5.0 | 5.1 | 4.8 | 5.4 | 4.6 |
| Financiële sector | 5.9 | 8.5 | 6.2 | 4.6 | 6.0 | 6.4 | 5.8 |
| Overheid | 6.7 | 7.9 | 4.0 | 6.3 | 5.5 | 4.8 | 4.4 |
| Zorg | 5.4 | 8.2 | 5.4 | 5.0 | 6.8 | 5.9 | 5.3 |
| Horeca | 10.0 | 7.4 | 5.2 | 5.8 | 5.1 | 4.9 | 4.5 |
| Productie | 8.6 | 5.8 | 4.9 | 3.8 | 4.3 | 4.6 | 5.0 |
| Professionele dienstverlening | 3.5 | 6.0 | 4.5 | 6.4 | 5.2 | 5.8 | 5.4 |
| Retail | 9.1 | 6.3 | 3.6 | 7.2 | 5.7 | 5.3 | 4.9 |
| Technologie | 3.8 | 7.4 | 5.7 | 5.3 | 4.9 | 5.2 | 4.7 |
| Transport | 3.0 | 6.7 | 5.8 | 5.5 | 5.3 | 5.6 | 4.8 |
| Nutsector | 4.7 | 7.0 | 4.3 | 4.8 | 4.0 | 5.6 | 5.1 |
Tabel 1: 1H 2024 – 2018 Risicoscores.
1. Algemene stijging van de risicoscore: De gemiddelde risicoscore over alle sectoren steeg van 6,0 in 2022 naar 7,3 in 2023, een toename van 21,7%. Deze aanzienlijke stijging weerspiegelt de groeiende uitdagingen op het gebied van cyberbeveiliging waarmee organisaties in diverse sectoren worden geconfronteerd.
2. Financiële sector het meest risicovol: In 2023 had de financiële sector de hoogste risicoscore van 8,5, een stijging ten opzichte van 6,2 in 2022. Dit geeft aan dat deze sector de ernstigste cyberdreigingen kent van alle geanalyseerde sectoren.
3. Dramatische stijging bij overheid: De overheid kende de meest opvallende stijging in risicoscore over een periode van vijf jaar, van 4,0 in 2022 naar 7,9 in 2023, een toename van 97,5%. Dit onderstreept de snel toenemende cyberrisico’s in deze sector.
4. Recente kwetsbaarheid in de horeca: De horecasector vertoonde de meest alarmerende kortetermijntrend, waarbij de risicoscore steeg van 4,3 in 1H 2023 naar 10,0 in 1H 2024, een stijging van 132,6% in slechts één jaar.
5. Verbeterde positie technologie sector: Ondanks de kritieke rol in het digitale landschap, zag de technologiesector een sterke daling van de risicoscore van 7,6 in 1H 2023 naar 3,8 in 1H 2024, wat wijst op verbeterde cyberbeveiligingsmaatregelen in deze sector.
6. Opkomende risico’s in de productie: De risicoscore van de productiesector is meer dan verdubbeld van 3,9 in 1H 2023 naar 8,6 in 1H 2024, wat duidt op snel groeiende cyberbeveiligingsuitdagingen in deze traditioneel minder vaak getroffen sector.
Groeiende dreiging van datalekken
Datalekken zijn uitgegroeid tot een kritieke dreiging voor organisaties in alle sectoren, wat wordt verergerd in een tijdperk van digitale transformatie en onderlinge verbondenheid. Een uitdaging is dat het landschap van cyberbeveiliging voortdurend verandert, waarbij aanvallers steeds complexere methoden gebruiken om kwetsbaarheden in onze digitale infrastructuur uit te buiten. Dit rapport heeft als doel inzicht te geven in de huidige stand van zaken rondom datalekken, hun verstrekkende gevolgen en de dringende noodzaak van geavanceerde risicobeoordelingstools om deze groeiende dreiging het hoofd te bieden.
Overzicht van het huidige dataleklandschap
- Recente spraakmakende datalekken: Sinds eind 2023 zijn datalekken uitgegroeid tot een nog kritischer probleem voor zowel organisaties als individuen, waarbij alleen al in de VS maar liefst 3.205 datalekken zijn gemeld die meer dan 353 miljoen mensen hebben getroffen.1 T-Mobile, een herhaald doelwit, kreeg het afgelopen jaar te maken met meerdere datalekken waarbij gevoelige gegevens van zowel klanten als medewerkers zijn gecompromitteerd. De zorgsector, al een belangrijk doelwit voor cybercriminelen, zag miljoenen patiëntendossiers blootgesteld worden, wat de voortdurende worsteling van de sector om gevoelige informatie te beschermen verder vergrootte.
Tegelijkertijd bleef de opkomst van ransomware en aanvallen op de toeleveringsketen onverminderd doorgaan, waarbij de frequentie van kwetsbaarheden die als toegangspunt werden misbruikt bijna verdrievoudigde ten opzichte van het voorgaande jaar. De risico’s verbonden aan de software-toeleveringsketen bereikten in 2023 nieuwe hoogten; de MOVEit-beheerde bestandsoverdracht-aanval door de Russische cybercriminele groep Clop trof meer dan 2.600 organisaties en meer dan 89 miljoen datagegevens werden gelekt.2 Tot slot blijft, ondanks de groeiende bewustwording, menselijke fout een hardnekkige kwetsbaarheid: 74% van de datalekken betreft niet-kwaadwillende menselijke handelingen, zoals social engineering-aanvallen en onbedoelde fouten. Dit onderstreept de noodzaak voor robuustere beveiligingspraktijken en training.3
- Wereldwijde statistieken over frequentie en impact van datalekken: De frequentie en schaal van datalekken hebben alarmerende niveaus bereikt. Volgens het meest recente Identity Theft Resource Center (ITRC) “Global Data Breach Report” waren er in 2023 3.205 openbaar gemelde datalekken, een stijging van 15% ten opzichte van het voorgaande jaar.4 Nog zorgwekkender is de hoeveelheid blootgestelde gegevens—geschat op 22 miljard, wat een stijging van 30% betekent ten opzichte van 2022. De gemiddelde tijd om een datalek te identificeren en in te dammen steeg ook naar 287 dagen, wat wijst op de toenemende complexiteit van cyberaanvallen.
Economische impact van datalekken
De financiële gevolgen van datalekken zijn enorm en veelzijdig, en omvatten zowel directe als indirecte kosten.
- Directe kosten (bijv. financiële verliezen, juridische kosten): De directe financiële impact van een datalek kan aanzienlijk zijn. De gemiddelde kosten van een datalek bedroegen het afgelopen jaar $4,88 miljoen, een stijging van 10%.5 Dit cijfer omvat uitgaven voor het detecteren en afhandelen van het lek, juridische kosten, boetes van toezichthouders en kosten voor het informeren van klanten. Opvallend is de toename van ransomware-gerelateerde datalekken, waarbij het gemiddelde ransomware-eisbedrag in de eerste helft van dit jaar opliep tot $5,2 miljoen6 en Sophos aangeeft dat ransomwarebetalingen met 500% stegen tot $2 miljoen.7
- Indirecte kosten (bijv. reputatieschade, verlies van klantvertrouwen): Naast de meetbare financiële verliezen kunnen datalekken langdurige schade toebrengen aan de reputatie van een organisatie en de relatie met klanten. Uit een recent onderzoek blijkt dat 65% van de consumenten het vertrouwen in een bedrijf verliest na een datalek, en 85% aangeeft geen zaken te willen doen met een bedrijf als ze twijfels hebben over de beveiligingspraktijken.8 Datalekken hebben ook een langdurige juridische impact. Kiteworks ontdekte in het “2024 Sensitive Content Communications Privacy and Compliance Report” dat zes op de tien organisaties jaarlijks meer dan $2 miljoen uitgeven om de juridische kosten van zowel interne als externe incidenten met gegevensverlies te dekken, waarbij 45% meer dan $3 miljoen uitgeeft.9 Wanneer deze factoren worden meegenomen, kan de langetermijnimpact op merkwaarde en klantloyaliteit de directe financiële verliezen ruimschoots overstijgen.
Noodzaak van robuuste risicobeoordeling
Gezien deze evoluerende en intensiverende dreigingen schieten traditionele risicobeoordelingsmethoden tekort. Organisaties hebben meer geavanceerde, datagedreven tools nodig om hun kwetsbaarheid voor datalekken nauwkeurig te beoordelen en hun investeringen in cyberbeveiliging te prioriteren.
Robuuste risicobeoordelingstools zijn essentieel voor:
- Het identificeren van kwetsbaarheden binnen het volledige digitale ecosysteem van een organisatie
- Het kwantificeren van potentiële financiële en reputatieschade van een datalek
- Het benchmarken van de beveiligingsstatus ten opzichte van branchegenoten en beste practices
- Het ondersteunen van strategische beslissingen over de inzet van middelen voor cyberbeveiligingsmaatregelen
- Het aantonen van zorgvuldigheid aan toezichthouders, stakeholders en klanten
In het vervolg van dit rapport verkennen we een nieuwe benadering van risicobeoordeling—de Data Breach Risk Score Index. Deze gestandaardiseerde maatstaf biedt organisaties een volledig en bruikbaar inzicht in hun datalekrisico, waardoor effectievere strategieën voor het voorkomen en beperken van datalekken mogelijk worden in een steeds gevaarlijker digitaal landschap.
Noodzaak van een gestandaardiseerde risicoscore
Nu organisaties worstelen met de voortdurende dreiging van datalekken, wordt het vermogen om risico’s nauwkeurig te beoordelen en te vergelijken essentieel. Het huidige landschap van risicobeoordeling wordt echter gekenmerkt door inconsistenties en beperkingen, wat het ontwikkelen van een allesomvattende cyberbeveiligingsstrategie bemoeilijkt. In deze sectie worden de uitdagingen van bestaande risicobeoordelingsmethoden besproken en wordt het pleidooi gehouden voor een gestandaardiseerde Data Breach Risk Score.
Uitdagingen bij het vergelijken van risico’s tussen sectoren en in de tijd
Een van de belangrijkste obstakels bij het beoordelen van datalekrisico’s in diverse sectoren is het ontbreken van uniforme rapportagestandaarden. Deze uitdaging wordt versterkt door het bestaan van meer dan 200 wereldwijde privacywetten, elk met hun eigen unieke vereiste en specificaties.10 Deze regelgeving verschilt in reikwijdte, handhavingsmechanismen en de rechten die aan individuen worden toegekend.
Verschillende sectoren en regio’s hanteren ook uiteenlopende vereiste voor wat als een meldingsplichtig datalek geldt, wanneer het gemeld moet worden en welke details openbaar gemaakt moeten worden. Bijvoorbeeld:
- De zorgsector in de Verenigde Staten, onder HIPAA, vereist melding van datalekken die 500 of meer personen treffen binnen 60 dagen.
- De GDPR van de EU verplicht melding van bepaalde datalekken binnen 72 uur, ongeacht het aantal getroffen personen.
- Veel sectoren kennen geen specifieke meldingsvereiste, wat leidt tot inconsistente en vaak vertraagde openbaarmakingen.
Alleen al in de Verenigde Staten hebben 20 staten uitgebreide privacywetten aangenomen, terwijl meer staten vergelijkbare wetgeving overwegen. Deze wetten verschillen op diverse punten, waaronder reikwijdte en toepassingsdrempels, consumentenrechten (bijv. recht op verwijdering, recht op correctie), opt-in versus opt-out vereiste voor gegevensverwerking en handhavingsmechanismen en sancties. Zo geeft de CCPA/CPRA van Californië consumenten het recht om zich af te melden voor de verkoop van hun persoonsgegevens, terwijl de CDPA van Virginia opt-in toestemming vereist voor het verwerken van gevoelige gegevens.
Ontwikkeling van een Risicoscore-algoritme
Het creëren van een gestandaardiseerde Risicoscore vereist een zorgvuldig ontworpen algoritme dat volledigheid en praktische toepasbaarheid in balans brengt. In dit gedeelte wordt het ontwikkelingsproces van ons Risicoscore-algoritme uiteengezet, inclusief de doelstellingen, componenten, methodologie en interpretatierichtlijnen.
Doelstellingen van de Score
De Risicoscore is ontworpen met drie primaire doelstellingen:
- Uitgebreide Risicobeoordeling: De Risicoscore is bedoeld om een holistisch beeld te geven van het datalekrisico van een organisatie door meerdere aspecten van kwetsbaarheden in cyberbeveiliging en hun potentiële impact te integreren. Het gaat verder dan alleen technische beoordelingen en omvat factoren die de gevolgen van datalekken in de praktijk weerspiegelen.
- Vergelijkbaarheid tussen sectoren en in de tijd: Een belangrijk doel van de Risicoscore is het mogelijk maken van zinvolle vergelijkingen tussen diverse sectoren en over verschillende tijdsperioden. Deze vergelijkbaarheid is essentieel voor benchmarking en trendanalyse, zodat organisaties hun risiconiveau kunnen plaatsen binnen het bredere cyberbeveiligingslandschap.
- Actiegerichte inzichten voor risicobeperking: Naast het bieden van een numerieke waarde is de Risicoscore bedoeld om actiegerichte inzichten te verschaffen. Door de score op te splitsen in componenten kunnen organisaties specifieke kwetsbaarheden identificeren en hun risicobeperkende maatregelen effectief prioriteren.
Componenten van de Risicoscore
De Risicoscore bestaat uit vier belangrijke componenten, elk gekozen vanwege hun vermogen om verschillende aspecten van datalekrisico te weerspiegelen:
- Aantal compromitteringen: Deze component geeft de frequentie van datalekincidenten weer. Een hoger aantal compromitteringen duidt op een grotere kwetsbaarheid in de beveiligingsmaatregelen van een organisatie.
- Aantal slachtoffers: Deze factor weerspiegelt de schaal van datalekken. Een groter aantal getroffen personen wijst op ernstigere lekken met mogelijk grotere impact.
- Slachtoffers per compromittering-ratio: Deze ratio geeft inzicht in de gemiddelde ernst van lekken. Een hogere ratio betekent dat wanneer er een lek optreedt, dit doorgaans meer mensen treft.
- Kosten van datalek: Deze component omvat de financiële impact van datalekken, inclusief zowel directe als indirecte kosten. Dit helpt het economische risico van potentiële lekken te kwantificeren.
Methodologie van de Risk Score Index
De Risicoscore wordt berekend met een systematische methodologie die consistentie en vergelijkbaarheid waarborgt:
- Technieken voor gegevensnormalisatie: Om rekening te houden met verschillen in schaal tussen organisaties en sectoren, passen wij percentiel-gebaseerde normalisatie toe op elke component. Deze techniek rangschikt elke waarde binnen de dataset en zet deze om naar een percentiel (van 0 tot 1), zodat eerlijke vergelijkingen tussen diverse schalen mogelijk zijn.
- Weging van componenten: Elke component krijgt een specifiek gewicht op basis van het waargenomen belang voor het totale risico:
- Aantal compromitteringen: 30%
- Aantal slachtoffers: 30%
- Slachtoffers per compromittering-ratio: 20%
- Kosten van datalek: 20%
Deze gewichten zijn vastgesteld in overleg met cyberbeveiligingsexperts en op basis van analyse van historische lekgegevens.
- Berekeningsproces: De Risicoscore wordt berekend aan de hand van de volgende stappen:
Bereken de jaar-op-jaar veranderingen voor elke component.
Pas percentiel-gebaseerde normalisatie toe op deze veranderingen.
Vermenigvuldig elke genormaliseerde waarde met het toegewezen gewicht.
Tel de gewogen waarden bij elkaar op.
Vermenigvuldig de som met 10 om de uiteindelijke score te schalen naar een bereik van 1-10.
Interpretatie van de Risicoscore
- Scorebereik en Betekenis
De Risicoscore loopt van 1 tot 10, waarbij hogere scores op een groter risico wijzen:
Het is belangrijk om te benadrukken dat deze categorieën relatief zijn. Zelfs een score “Laag Risico” vereist voortdurende waakzaamheid in het huidige cyberbeveiligingslandschap.
- Richtlijnen voor Vergelijkende Analyse
Bij het interpreteren van Risicoscores:- Vergelijk scores binnen dezelfde sector om te benchmarken met branchegenoten.
- Analyseer scores in de tijd om trends in het risicoprofiel van een organisatie te signaleren.
- Onderzoek de afzonderlijke componenten van de score om specifieke kwetsbaarheden te identificeren.
- Beschouw de score samen met andere risicobeoordelingsinstrumenten en sectorspecifieke factoren.
- Gebruik de score als startpunt voor een diepgaandere risicoanalyse en het plannen van risicobeperking.
Vier gegevenscomponenten die de risicoscore vormen
In deze sectie presenteren we de resultaten van het toepassen van ons Risk Score-algoritme op ITRC-gegevens van de eerste helft van 2024, 2023 en 2022, evenals 2023 – 2018. Door deze recente data te analyseren, willen we inzicht geven in actuele cyberbeveiligingstrends en opkomende patronen binnen diverse sectoren.
OPMERKING: Alle datalekken en slachtoffers per sector zijn niet gelijk aan het totale aantal datalekken en slachtoffers, omdat diverse ondervertegenwoordigde sectoren, evenals onbekend en overig, zijn uitgesloten.
Datalekken: 1H 2024 – 1H 2022 en 2023 – 2018
| Sectorgroep | 1H 2024 Datalekken | 1H 2023 Datalekken | 1H 2022 Datalekken |
|---|---|---|---|
| Totaal | 1.571 | 1.382 | 817 |
| Onderwijs | 76 | 80 | 41 |
| Financiële sector | 407 | 243 | 128 |
| Overheid | 74 | 50 | 33 |
| Zorg | 236 | 377 | 160 |
| Gastvrijheid | 33 | 23 | 11 |
| Productie | 151 | 112 | 115 |
| Professionele diensten | 178 | 137 | 94 |
| Detailhandel | 46 | 57 | 30 |
| Technologie | 66 | 87 | 31 |
| Transport | 54 | 36 | 19 |
| Nutvoorzieningen | 34 | 22 | n.v.t. |
Tabel 2: 1H 2024, 2023 en 2022 Datalekken.
| Sectorgroep | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 |
|---|---|---|---|---|---|---|
| Totaal | 2.734 | 1.376 | 1.628 | 1.440 | 1.250 | 1.090 |
| Onderwijs | 173 | 99 | 150 | 125 | 100 | 90 |
| Financiële sector | 744 | 269 | 210 | 185 | 150 | 120 |
| Overheid | 105 | 72 | 95 | 90 | 85 | 80 |
| Zorg | 809 | 343 | 350 | 290 | 250 | 220 |
| Gastvrijheid | 67 | 34 | 35 | 30 | 25 | 20 |
| Productie | 259 | 249 | 220 | 205 | 190 | 180 |
| Professionele diensten | 308 | 223 | 315 | 290 | 250 | 200 |
| Detailhandel | 167 | 87 | 130 | 125 | 110 | 100 |
| Technologie | 71 | 0 | 60 | 55 | 50 | 45 |
| Nutvoorzieningen | 53 | 0 | 60 | 45 | 40 | 35 |
Tabel 3: 2023 – 2018 Datalekken.
Gegevensinbreuken: 1H 2024 – 1H 2022 en 2023 – 2018
| Sector | 1H 2024 Slachtoffers | 1H 2023 Slachtoffers | 1H 2022 Slachtoffers |
|---|---|---|---|
| Totaal | 1.077.048.249 | 179.799.326 | 57.723.887 |
| Onderwijs | 722.460 | 1.656.813 | 405.493 |
| Financiële sector | 28.414.934 | 41.494.053 | 22.486.993 |
| Overheid | 9.376.758 | 11.079.145 | 810.529 |
| Zorg | 26.885.828 | 25.025.229 | 13.127.906 |
| Horeca | 564.245.892 | 428.360 | 77.761 |
| Productie | 50.428.176 | 1.380.637 | 490.535 |
| Professionele diensten | 1.265.261 | 12.957.365 | 3.346.048 |
| Detailhandel | 384.019.001 | 6.142.588 | 325.530 |
| Technologie | 8.096.887 | 30.965.930 | 15.807.269 |
| Transport | 1.680.013 | 11.157.924 | 845.823 |
| Nutvoorzieningen | 1.566.546 | 37.377.449 | n.v.t. |
Tabel 4: 1H 2024, 2023 en 2022 Slachtoffers.
| Sector | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 |
|---|---|---|---|---|---|---|
| Totaal | 237.519.000 | 407.000.000 | 209.480.000 | 186.940.000 | 165.390.000 | 146.350.000 |
| Onderwijs | 4.000.000 | 2.000.000 | 3.000.000 | 2.500.000 | 2.000.000 | 1.500.000 |
| Financiële sector | 61.000.000 | 27.000.000 | 50.000.000 | 45.000.000 | 40.000.000 | 35.000.000 |
| Overheid | 10.000.000 | 1.000.000 | 8.000.000 | 7.000.000 | 6.000.000 | 5.000.000 |
| Zorg | 56.000.000 | 28.000.000 | 48.000.000 | 42.000.000 | 38.000.000 | 36.000.000 |
| Horeca | 3.000.000 | 1.500.000 | 2.500.000 | 2.000.000 | 1.500.000 | 1.000.000 |
| Productie | 5.000.000 | 24.000.000 | 15.000.000 | 13.000.000 | 11.000.000 | 9.000.000 |
| Professionele diensten | 30.000.000 | 6.000.000 | 20.000.000 | 18.000.000 | 15.000.000 | 12.000.000 |
| Detailhandel | 65.000.000 | 249.000.000 | 60.000.000 | 55.000.000 | 50.000.000 | 45.000.000 |
| Technologie | 222.000 | n.v.t. | 200.000 | 180.000 | 150.000 | 130.000 |
| Nutvoorzieningen | 297.000 | n.v.t. | 280.000 | 260.000 | 240.000 | 220.000 |
Tabel 5: 2023 – 2018 Gegevensslachtoffers.
| Sector | 2023 vs. 2022 | 2022 vs. 2021 | 2021 vs. 2020 | 2020 vs. 2019 | 2019 vs. 2018 |
|---|---|---|---|---|---|
| Totaal | -71,35% | 48,53% | 10,76% | 11,53% | 11,51% |
| Onderwijs | 50,00% | -50,00% | 16,67% | 20,00% | 25,00% |
| Financiële sector | 55,74% | -85,19% | 10,00% | 11,11% | 12,50% |
| Overheid | 90,00% | -700,00% | 12,50% | 14,29% | 16,67% |
| Zorg | 50,00% | -71,43% | 12,50% | 9,52% | 5,26% |
| Horeca | 50,00% | -66,67% | 20,00% | 25,00% | 33,33% |
| Productie | -380,00% | 37,50% | 13,33% | 15,38% | 18,18% |
| Professionele diensten | 80,00% | -233,33% | 10,00% | 16,67% | 20,00% |
| Detailhandel | -283,08% | 75,90% | 8,33% | 9,09% | 10,00% |
| Technologie | n.v.t. | n.v.t. | 10,00% | 16,67% | 13,33% |
| Nutvoorzieningen | n.v.t. | n.v.t. | 7,14% | 7,69% | 8,33% |
Tabel 6: 2023 – 2018 Toename/Afname Gegevensslachtoffers.
Slachtoffers per datalek: 1H 2024 – 1H 2022 en 2023 – 2018
| Sectorgroep | 1H 2024 Slachtoffers per datalek | 1H 2023 Slachtoffers per datalek | 1H 2022 Slachtoffers per datalek |
|---|---|---|---|
| Totaal | 760.091 | 142.698 | 87.196 |
| Onderwijs | 9.506 | 201.710 | 9.890 |
| Financiële sector | 69.816 | 170.757 | 175.680 |
| Overheid | 126.713 | 221.583 | 24.561 |
| Zorg | 113.923 | 66.380 | 82.049 |
| Horeca | 17.098.360 | 18.624 | 7.069 |
| Productie | 333.961 | 12.327 | 4.266 |
| Professionele diensten | 7.108 | 94.579 | 35.596 |
| Detailhandel | 8.348.239 | 107.765 | 10.851 |
| Technologie | 122.680 | 355.930 | 509.912 |
| Transport | 31.111 | 309.942 | 44.517 |
| Nutvoorzieningen | 46.075 | 1.698.975 | n.v.t. |
Tabel 7: 1H 2024, 2023 en 2022 Slachtoffers per datalek.
| Sectorgroep | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 |
|---|---|---|---|---|---|---|
| Totaal | 86.876 | 295.785 | 128.673 | 129.819 | 132.312 | 134.266 |
| Onderwijs | 23.121 | 20.202 | 20.000 | 20.000 | 20.000 | 16.667 |
| Financiële sector | 81.989 | 100.372 | 238.095 | 243.243 | 266.667 | 291.667 |
| Overheid | 95.238 | 13.889 | 84.211 | 77.778 | 70.588 | 62.500 |
| Zorg | 69.221 | 81.633 | 137.143 | 144.828 | 152.000 | 163.636 |
| Horeca | 44.776 | 44.118 | 71.429 | 66.667 | 60.000 | 50.000 |
| Productie | 19.305 | 96.386 | 68.182 | 63.415 | 57.895 | 50.000 |
| Professionele diensten | 97.403 | 26.906 | 63.492 | 62.069 | 60.000 | 60.000 |
| Detailhandel | 389.222 | 2.862.069 | 461.538 | 440.000 | 454.545 | 450.000 |
| Technologie | 3.127 | n.v.t. | 3.333 | 3.273 | 3.000 | 2.889 |
| Nutvoorzieningen | 5.604 | n.v.t. | 4.667 | 5.778 | 6.000 | 6.286 |
Tabel 8: 2023 – 2018 Slachtoffers per datalek.
Gemiddelde kosten van een datalek
De onderstaande gegevens zijn afkomstig uit het jaarlijkse “Cost of a Data Breach Report” van IBM en vormen het vierde van de vier datacomponenten in het algoritme.
| Sectorgroep | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 |
|---|---|---|---|---|---|---|---|
| Totaal | $4.880.000 | $4.450.000 | $4.350.000 | $4.240.000 | $3.860.000 | $3.920.000 | $3.860.000 |
| Onderwijs | $3.480.000 | $2.960.000 | $3.280.000 | $3.270.000 | $2.010.000 | $1.840.000 | $1.160.000 |
| Financiële sector | $5.560.000 | $4.730.000 | $4.470.000 | $4.240.000 | $4.990.000 | $5.200.000 | $1.520.000 |
| Overheid | $4.880.000 | $4.450.000 | $4.350.000 | $4.240.000 | $3.860.000 | $3.920.000 | $3.860.000 |
| Zorg | $6.080.000 | $5.900.000 | $5.970.000 | $5.720.000 | $5.850.000 | $5.860.000 | $2.060.000 |
| Horeca | $3.500.000 | $3.650.000 | $3.860.000 | $3.790.000 | $3.900.000 | $4.770.000 | $1.660.000 |
| Productie | $5.450.000 | $4.660.000 | $4.970.000 | $4.880.000 | $5.040.000 | $5.050.000 | $1.700.000 |
| Farmaceutische industrie | $5.080.000 | $4.470.000 | $4.700.000 | $4.650.000 | $4.230.000 | $4.620.000 | $1.810.000 |
| Professionele diensten | $4.430.000 | $4.180.000 | $3.590.000 | $3.750.000 | $3.580.000 | $3.770.000 | $1.280.000 |
| Detailhandel | $2.550.000 | $2.600.000 | $2.070.000 | $1.930.000 | $1.080.000 | $1.290.000 | $750.000 |
| Technologie | $5.290.000 | $4.780.000 | $4.720.000 | $4.650.000 | $6.390.000 | $5.600.000 | $1.670.000 |
| Transport | $3.820.000 | $3.630.000 | $2.940.000 | $2.030.000 | $1.720.000 | $1.990.000 | $1.200.000 |
| Nutvoorzieningen | $5.100.000 | $4.820.000 | $5.010.000 | $5.040.000 | $5.060.000 | $5.200.000 | $1.740.000 |
Tabel 9: 2024 – 2018 Gemiddelde kosten van een datalek per sector.
Risicoscoreberekeningen per sector
Risicoscores: 1H 2024, 1H 2023 en 1H 2022
Met behulp van de in Sectie III beschreven methodologie hebben we de Risicoscores voor elke sector berekend voor twee vergelijkingsperioden: 2024 vs. 2023 en 2023 vs. 2022.
| Sectore | 1H 2024 Risicoscore | 1H 2023 Risicoscore | 1H 2022 Risicoscore |
|---|---|---|---|
| Totaal | 7.3 | 6.6 | 6.2 |
| Onderwijs | 3.2 | 7.1 | 5.3 |
| Financiële sector | 5.9 | 6.8 | 7.4 |
| Overheid | 6.7 | 8.2 | 4.1 |
| Zorg | 5.4 | 6.4 | 6.7 |
| Horeca | 10.0 | 4.3 | 3.5 |
| Productie | 8.6 | 3.9 | 3.7 |
| Professionele diensten | 3.5 | 6.9 | 5.6 |
| Detailhandel | 9.1 | 6.1 | 3.8 |
| Technologie | 3.8 | 7.6 | 8.3 |
| Transport | 3.0 | 7.3 | 5.9 |
| Nutvoorzieningen | 4.7 | n.v.t. | n.v.t. |
Tabel 10: 1H 2024, 1H 2023 en 1H 2022 Risicoscores.
Risicoscores: 2023 – 2018
Daarnaast hebben we met onze vastgestelde methodologie de Risicoscores voor elke sector berekend voor de periode 2023 tot 2018:
| Sectore | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 |
|---|---|---|---|---|---|---|
| Totaal | 7.3 | 6.0 | 6.2 | 5.4 | 5.3 | 5.1 |
| Onderwijs | 7.2 | 5.0 | 5.1 | 4.8 | 5.4 | 4.6 |
| Financiële sector | 8.5 | 6.2 | 4.6 | 6.0 | 6.4 | 5.8 |
| Overheid | 7.9 | 4.0 | 6.3 | 5.5 | 4.8 | 4.4 |
| Zorg | 8.2 | 5.4 | 5.0 | 6.8 | 5.9 | 5.3 |
| Horeca | 7.4 | 5.2 | 5.8 | 5.1 | 4.9 | 4.5 |
| Productie | 5.8 | 4.9 | 3.8 | 4.3 | 4.6 | 5.0 |
| Professionele diensten | 6.0 | 4.5 | 6.4 | 5.2 | 5.8 | 5.4 |
| Detailhandel | 6.3 | 3.6 | 7.2 | 5.7 | 5.3 | 4.9 |
| Technologie | 7.4 | 5.7 | 5.3 | 4.9 | 5.2 | 4.7 |
| Transport | 6.7 | 5.8 | 5.5 | 5.3 | 5.6 | 4.8 |
| Nutvoorzieningen | 7.0 | 4.3 | 4.8 | 4.0 | 5.6 | 5.1 |
Tabel 11: 2023 – 2018 Risicoscores per sector.
Data-inzichten en trends
Risicoscore en data in totaal
Het totale aantal datalekken vertoont een consistente stijgende lijn over de geobserveerde periodes, wat wijst op een snelgroeiend aantal cyberbeveiligingsincidenten in alle sectoren. Van 1H 2022 tot 1H 2023 was er een aanzienlijke stijging van 69,16% in het aantal datalekken, gevolgd door nog eens een stijging van 13,68% van 1H 2023 tot 1H 2024. Dit resulteert in een substantiële totale stijging van 92,29% van 1H 2022 tot 1H 2024. Nog opvallender is de exponentiële groei van het totale aantal slachtoffers dat door deze datalekken is getroffen. Het aantal slachtoffers steeg met 194,50% van 1H 2022 tot 1H 2023 en schoot vervolgens omhoog met 490,76% van 1H 2023 tot 1H 2024, wat uitkomt op een verbluffende stijging van 1639,75% in het totale aantal slachtoffers van 1H 2022 tot 1H 2024. De metric Slachtoffers per Datalek benadrukt deze trend verder, met een stijging van 74,10% van 1H 2022 tot 1H 2023, gevolgd door een toename van 419,69% van 1H 2023 tot 1H 2024, wat resulteert in een totale stijging van 804,76% van 1H 2022 tot 1H 2024.
Deze cijfers schetsen een zorgwekkend beeld van niet alleen frequentere cyberaanvallen, maar ook aanvallen die steeds groter zijn qua schaal en impact, waardoor per incident aanzienlijk meer personen worden getroffen. Wanneer de Risk Score per sector en over een periode van zes jaar wordt bekeken, komen er interessante inzichten naar voren. De totale Risk Score in 2023 bedraagt nu 7,2, tegenover 5,9 in 2022, een stijging van 18%. Deze piek weerspiegelt niet alleen de toenemende complexiteit van cyberaanvallen, maar ook bredere operationele gevolgen zoals financiële verliezen, reputatieschade en strengere regelgeving. Gegevens uit IBM’s “Cost of a Data Breach Report” bevestigen deze stijging, met een toename van 10% in de gemiddelde wereldwijde kosten van een datalek, nu op $4,88 miljoen.11 Deze trend onderstreept de dringende noodzaak voor verbeterde cyberbeveiligingsmaatregelen en paraatheid in alle sectoren om de groeiende risico’s en potentiële schade van datalekken te beperken.
Risicoscore en analyse per sector
Onderwijs
De onderwijssector heeft de afgelopen zes jaar een aanzienlijke stijging in de Risk Score doorgemaakt, wat de groeiende blootstelling aan cyberaanvallen weerspiegelt nu digitale tools en technologieën voor afstandsonderwijs steeds breder worden ingezet. In 2018 was de Risk Score voor onderwijs relatief laag met 4,2. Deze is echter jaarlijks gestaag gestegen, tot 4,9 in 2022 en vervolgens een forse sprong naar 7,1 in 2023, een stijging van 44,9% in één jaar.
Deze consistente stijgende lijn onderstreept de toenemende afhankelijkheid van online platforms, applicaties van derden en clouddiensten, die het aanvalsoppervlak voor onderwijsinstellingen hebben vergroot. Het aantal datalekken steeg in 2023 met 42,77% ten opzichte van 2022, wat aangeeft dat onderwijsinstellingen steeds vaker doelwit zijn. Deze toename kan worden toegeschreven aan vaak beperkte cyberbeveiligingsbudgetten en de groeiende afhankelijkheid van applicaties van derden in de sector.
De impact van deze datalekken is eveneens aanzienlijk toegenomen. In 2022 werden ongeveer 2.000.000 personen getroffen door datalekken in de onderwijssector. Dit aantal verdubbelde tot meer dan 4.000.000 in 2023, wat de toenemende schaal van aanvallen benadrukt. De financiële gevolgen zijn aanzienlijk: 49% van de hogeronderwijsinstellingen rapporteerde in 2023 meer dan $5 miljoen te hebben betaald aan juridische kosten rond datalekken. Bovendien bedroegen de gemiddelde kosten van een datalek in de onderwijssector, ondanks een lichte daling, nog steeds een aanzienlijke $3,48 miljoen in 2023.
Opvallend is dat de meest recente gegevens voor 1H 2024 een scherpe daling van de Risk Score laten zien naar 3,2, vergeleken met 7,1 in 1H 2023 en 5,3 in 1H 2022. Deze recente daling suggereert ofwel minder impactvolle datalekken of verbeterde beveiligingsmaatregelen in de meest recente periode. Gezien de grillige aard van het cyberbeveiligingslandschap in deze sector, zoals blijkt uit de schommelende ratio’s van slachtoffers per datalek door de jaren heen, is het echter belangrijk deze verbetering met voorzichtigheid te bekijken.
Ondanks de recente positieve trend blijven onderwijsinstellingen aantrekkelijke doelwitten voor cybercriminelen. De rijkdom aan persoonlijke informatie in hun systemen, gecombineerd met de toenemende digitalisering van de sector, maakt het essentieel voor onderwijsinstellingen om recente beveiligingsverbeteringen te behouden en verder uit te bouwen. Om aanhoudende risico’s te beperken, moet de sector prioriteit geven aan het verbeteren van gegevensbeheer, het verminderen van het aantal gebruikte communicatietools en investeren in uitgebreide cyberbeveiligingstrainingen voor personeel en studenten.
Financiële sector
De financiële sector heeft over een periode van zes jaar een geleidelijke maar aanzienlijke stijging in de Risk Score gezien, wat haar positie als topdoelwit voor cybercriminelen weerspiegelt. In 2018 was de Risk Score 5,5, die gestaag steeg naar 6,0 in 2020 en 6,1 in 2022, om vervolgens te pieken op 8,4 in 2023. Deze consistente stijging weerspiegelt de groeiende afhankelijkheid van digitale financiële diensten en de blootstelling aan complexe cyberaanvallen gericht op waardevolle activa.
Het aantal datalekken in de sector groeide aanzienlijk met 63,84% van 2022 tot 2023, met 744 gemelde incidenten in 2023. De impact van deze datalekken was groot: het aantal slachtoffers steeg tot 61 miljoen in 2023, tegenover 27 miljoen in 2022. Deze enorme toename onderstreept de groeiende complexiteit van cyberaanvallen en de kwetsbaarheid van de sector door de afhankelijkheid van externe leveranciers.
De gemiddelde kosten van een datalek in de financiële sector stegen tot $5,56 miljoen in 2023, wat de hoge inzet bij het beschermen van financiële data weerspiegelt. Ondanks deze zorgwekkende trends laten recente halfjaarcijfers enige verbetering zien. De sector noteerde Risk Scores van 7,4 in 1H 2022, 6,8 in 1H 2023 en 5,9 in 1H 2024, wat wijst op een lichte daling. Toch blijft de financiële sector zeer kwetsbaar door de aard van haar activiteiten en het potentieel voor aanzienlijke financiële verliezen.
Om deze risico’s te beperken, moeten financiële instellingen blijven investeren in robuuste beveiligingsinfrastructuur, risicobeheer van leveranciers verbeteren en zorgen voor naleving van wereldwijde regelgeving voor gegevensbescherming. De recente verbeteringen suggereren dat een verhoogde focus op cyberbeveiliging positieve resultaten oplevert, maar voortdurende waakzaamheid blijft cruciaal gezien de aantrekkelijkheid van de sector voor cybercriminelen.
Overheid
De overheid heeft een van de scherpste stijgingen in Risk Score doorgemaakt van alle sectoren. In 2019 stond de Risk Score op 4,0, maar deze steeg fors naar 7,8 in 2023, een stijging van 95% in deze periode. Deze toename wordt grotendeels toegeschreven aan de groeiende dreiging van cyberaanvallen door staten en politiek gemotiveerde incidenten, vooral gericht op nationale veiligheidssystemen en verouderde infrastructuur.
De stijging van het aantal datalekken is even zorgwekkend, met een toename van 31,43% van 2022 tot 2023, wat resulteerde in 105 gemelde incidenten in 2023. De impact van deze datalekken was ernstig: het aantal slachtoffers steeg van 1 miljoen in 2022 tot 10 miljoen in 2023, een vertienvoudiging die de groeiende omvang en complexiteit van aanvallen op overheidsinstanties benadrukt.
Halfjaarcijfers laten aanzienlijke schommelingen in de Risk Score van de sector zien. Deze steeg scherp van 4,1 in 1H 2022 naar 8,2 in 1H 2023, om vervolgens te dalen naar 6,7 in 1H 2024. Deze variaties onderstrepen de grillige aard van cyberdreigingen waarmee overheidsorganisaties worden geconfronteerd en de voortdurende uitdagingen om consistente beveiligingsmaatregelen te handhaven.
De gemiddelde kosten van een datalek in de overheidssector bedroegen $4,88 miljoen in 2023, wat de aanzienlijke financiële gevolgen van deze incidenten weerspiegelt. Overheidsinstanties zijn belangrijke doelwitten geworden voor cybercriminelen vanwege hun afhankelijkheid van verouderde systemen, legacy-infrastructuur en uitgebreide netwerken van externe partijen. Om deze toenemende dreigingen het hoofd te bieden, moeten overheden prioriteit geven aan het moderniseren van legacy-systemen, het adopteren van zero-trust raamwerken en het versterken van samenwerking tussen publieke en private sectoren om de verdediging tegen toekomstige aanvallen te versterken.
Hospitality
De hospitalitysector heeft een van de meest dramatische veranderingen in Risk Score laten zien van alle sectoren, vooral in de afgelopen jaren. Van 2018 tot 2023 steeg de Risk Score gestaag van 4,5 naar 7,4, een stijging van 64,4% die de groeiende kwetsbaarheid voor cyberdreigingen weerspiegelt. De meest opvallende veranderingen vonden echter plaats in de laatste twee jaar, met een stijging van de Risk Score van 3,5 in 1H 2022 naar 4,3 in 1H 2023, en vervolgens een explosieve stijging naar 10,0 in 1H 2024, een stijging van 185% in slechts twee jaar.
Deze trend wordt weerspiegeld in het aantal datalekken, dat steeg van 20 incidenten in 2018 naar 67 in 2023, een toename van 235%. Het aantal slachtoffers groeide evenredig, van 1 miljoen naar 3 miljoen in dezelfde periode. Opvallend is dat de ratio slachtoffers per datalek relatief stabiel is gebleven, tussen de 50.000 en 70.000, wat suggereert dat hoewel aanvallen frequenter zijn geworden, hun individuele schaal niet evenredig is toegenomen.
De aanzienlijke stijging van zowel de Risk Score als het aantal incidenten weerspiegelt de groeiende kwetsbaarheid van de sector, waarschijnlijk veroorzaakt door de toenemende afhankelijkheid van klantgegevens voor boekings- en betalingssysteem. De scherpe stijging, vooral in 1H 2024, kan worden gekoppeld aan de snelle adoptie van digitale diensten en werken op afstand als reactie op veranderend consumentengedrag. Hoewel deze ontwikkelingen de klantervaring hebben verbeterd, hebben ze ook het aanvalsoppervlak voor cybercriminelen vergroot.
Gezien deze trends moeten hospitality-organisaties meer dan ooit prioriteit geven aan cyberbeveiliging, met een focus op het verbeteren van gegevensbeschermingsmaatregelen, vooral voor klantinformatie en betalingssysteem. Naarmate de sector blijft innoveren en digitaliseren, moet zij ervoor zorgen dat cyberbeveiligingsmaatregelen gelijke tred houden met deze ontwikkelingen. De sterke stijging van de Risk Score van 2022 tot 2024 is een wake-up call die de dringende noodzaak benadrukt voor verbeterde cyberbeveiligingspraktijken ter bescherming tegen groeiende dreigingen.
Productie
De productiesector heeft de afgelopen jaren een aanzienlijke stijging in de cybersecurity Risk Score doorgemaakt. Hoewel specifieke gegevens voor 2018-2022 ontbreken, heeft de sector een sterke toename gezien: van 3,7 in 1H 2022 naar 3,9 in 1H 2023, en vervolgens een scherpe stijging naar 8,6 in 1H 2024. Dit betekent een stijging van 132% in slechts twee jaar, wat wijst op een snel veranderend dreigingslandschap voor de productiesector.
De scherpe stijging in Risk Score komt overeen met een groeiend aantal datalekken en slachtoffers per datalek, wat suggereert dat de sector steeds ernstigere en frequentere cyberaanvallen ondervindt. Deze trend wordt waarschijnlijk veroorzaakt door de opkomst van digitale productietechnologieën, zoals slimme fabrieken en verbonden toeleveringsketens, die het aanvalsoppervlak voor potentiële cyberdreigingen hebben vergroot.
Datalekken in de productiesector kunnen verstrekkende gevolgen hebben, zoals verstoring van productielijnen, aantasting van toeleveringsketens en blootstelling van waardevol intellectueel eigendom. De impact van dergelijke datalekken reikt verder dan directe financiële verliezen en kan ook gevolgen hebben voor productkwaliteit, levertijden en zelfs de openbare veiligheid.
De aanzienlijke stijging van de Risk Score onderstreept het belang van het integreren van robuuste cyberbeveiligingsmaatregelen binnen productieprocessen. Naarmate de sector verder inzet op Industry 4.0-technologieën, waaronder Internet of Things (IoT)-apparaten, kunstmatige intelligentie en cloud computing, moet ook de aanpak van cyberbeveiliging evolueren. Producenten moeten zich richten op het beveiligen van hun steeds complexere IT-infrastructuren, het implementeren van sterke toegangscontroles en het regelmatig beoordelen en bijwerken van hun cyberbeveiligingsprotocollen om zich te beschermen tegen steeds complexere dreigingen.
Professionele dienstverlening
De sector professionele dienstverlening heeft de afgelopen jaren aanzienlijke schommelingen laten zien in het cybersecurityrisicoprofiel. Hoewel specifieke gegevens voor 2018-2022 ontbreken, heeft de Risk Score van de sector in recente halfjaarlijkse periodes grote veranderingen doorgemaakt. De Risk Score stond op 5,6 in 1H 2022, steeg naar 6,9 in 1H 2023 en daalde vervolgens aanzienlijk naar 3,5 in 1H 2024.
Deze recente daling in Risk Score suggereert dat de sector aanzienlijke vooruitgang heeft geboekt in het beheersen van cyberrisico’s, mogelijk door het implementeren van betere detectie- en responsmechanismen voor incidenten. Het is echter belangrijk op te merken dat het aantal slachtoffers per datalek in 1H 2023 opvallend hoog was, wat aangeeft dat er misschien minder datalekken waren, maar de impact ervan aanzienlijk bleef.
De verbeteringen in 1H 2024 suggereren dat de sector zich waarschijnlijk heeft gericht op het beperken van de impact van datalekken, mogelijk door verbeterde gegevensbeschermingspraktijken en robuustere beveiligingsprotocollen. Deze positieve trend is bemoedigend, maar de sector moet waakzaam blijven. Door de aard van het werk—het omgaan met vertrouwelijke en gevoelige klantgegevens—blijft de sector een aantrekkelijk doelwit voor aanvallers.
Ondanks de recente verbetering in de Risk Score moeten bedrijven in de professionele dienstverlening prioriteit blijven geven aan gegevensbescherming, vooral gezien hun rol in het beheren van gevoelige informatie voor meerdere klanten. De sector moet zich richten op het behouden en versterken van cyberbeveiligingsmaatregelen, waaronder robuuste encryptiepraktijken, regelmatige beveiligingsaudits en uitgebreide trainingsprogramma’s voor medewerkers. Naarmate het dreigingslandschap blijft evolueren, zal voortdurende investering in cyberbeveiliging cruciaal zijn om de positieve trend in de recente data vast te houden.
Retail
De retailsector heeft de afgelopen zes jaar aanzienlijke schommelingen gekend in de cybersecurity Risk Score. De Risk Score piekte op 6,0 in 2021, daalde naar 3,5 in 2022 en steeg vervolgens weer naar 6,2 in 2023. Deze variabiliteit weerspiegelt de veranderende aanpak van cyberbeveiliging in de sector, vooral bij de aanpassing aan toenemende e-commerce-activiteiten en veranderende kwetsbaarheden in betalingssysteem.
Recente halfjaarcijfers laten een zorgwekkende stijgende trend zien, met een Risk Score die steeg van 3,8 in 1H 2022 naar 6,1 in 1H 2023 en 9,1 in 1H 2024. Dit betekent een stijging van 139% in twee jaar, wat de groeiende dreiging voor de retailsector benadrukt, vooral in de context van e-commerce en digitale transacties.
Het aantal datalekken in retail is consistent gestegen, met een groei van 47,90% van 2022 tot 2023, met 167 gemelde incidenten in 2023 tegenover 87 in 2022. In de afgelopen vijf jaar schommelde het aantal datalekken, met een piek van 130 incidenten in 2021, een daling in 2022 en opnieuw een stijging in 2023.
Opvallend is dat terwijl het aantal datalekken toenam, het aantal slachtoffers aanzienlijk daalde van 249 miljoen in 2022 naar 65 miljoen in 2023. Dit kan erop wijzen dat aanvallen frequenter worden, maar hun schaal qua blootgestelde gegevens meer beperkt is, mogelijk door verbeterde beheersmaatregelen.
De gemiddelde kosten van een datalek in retail bedroegen $2,55 miljoen in 2023, wat de financiële last van deze incidenten weerspiegelt. Retailers zijn bijzonder kwetsbaar door de grote hoeveelheid financiële transacties die zij verwerken en hun afhankelijkheid van externe leveranciers. Om deze risico’s te beperken, moet de sector prioriteit geven aan het versterken van betalingsbeveiliging, het beveiligen van toeleveringsketens en het verminderen van de afhankelijkheid van externe tools voor het verwerken van klantgegevens.
Technologie
De technologiesector heeft over de periode van zes jaar van 2018 tot 2023 een relatief gestage stijging van de Risk Score laten zien. Beginnend bij 5,3 in 2018, bereikte de Risk Score 7,3 in 2023, een stijging van 37,7%. Deze geleidelijke maar consistente stijging weerspiegelt de voortdurende blootstelling aan cyberrisico’s, veroorzaakt door de afhankelijkheid van clouddiensten, de dreiging van diefstal van intellectueel eigendom en het risico op inbreuken op kritieke infrastructuur.
Opvallend is dat recente halfjaarcijfers een scherpe daling van de Risk Score laten zien, van 8,3 in 1H 2022 naar 7,6 in 1H 2023 en verder naar 3,8 in 1H 2024. Deze dalende trend is opmerkelijk, vooral gezien de kritieke rol van de sector in wereldwijde infrastructuur en haar positie aan de frontlinie van technologische innovatie.
Het aantal datalekken in technologie is de afgelopen jaren relatief stabiel gebleven, met 71 gemelde incidenten in 2023, vergelijkbaar met 70 in 2022. Deze stabiliteit gaat terug tot eerdere jaren, met 60 incidenten in 2021 en 55 in 2020. Hoewel het aantal slachtoffers lager was dan in andere sectoren, met 222.000 getroffen personen in 2023, maakt de gevoelige aard van de betrokken data, zoals intellectueel eigendom en bedrijfsgeheimen, zelfs kleinschalige datalekken zeer impactvol.
De gemiddelde kosten van een datalek in de technologiesector bedroegen $5,29 miljoen in 2023, wat de hoge waarde van intellectueel eigendom en kritieke infrastructuur weerspiegelt. Ondanks de recente verbetering in de Risk Score blijft de sector voor uitdagingen staan door haar rol in het beheren van grote hoeveelheden gevoelige data en haar positie als belangrijk doelwit voor complexe cyberaanvallen.
Om deze risico’s te beperken, moeten technologiebedrijven blijven inzetten op het verbeteren van cloudbeveiliging, het versterken van encryptieprotocollen en het implementeren van robuuste toegangscontroles om waardevol intellectueel eigendom te beschermen. Het vermogen van de sector om te innoveren op het gebied van cyberbeveiliging zal cruciaal zijn om de positieve trend in de recente Risk Score-cijfers vast te houden.
Utilities
De utilitiessector heeft de afgelopen vijf jaar een gematigde maar consistente groei in de cybersecurity Risk Score doorgemaakt. De Risk Score steeg van 4,0 in 2019 naar 6,9 in 2023, een stijging van 72,5%. Deze stijging weerspiegelt de toenemende kwetsbaarheid van de sector voor cyberaanvallen, vooral op kritieke infrastructuur zoals elektriciteitsnetten en watersystemen.
Hoewel halfjaarcijfers voor 1H 2022 en 1H 2023 ontbreken, komt de utilitiessector naar voren als een belangrijk aandachtspunt in 1H 2024. In deze periode waren er 34 gemelde datalekken die 1.566.546 slachtoffers troffen. De ratio Slachtoffers per Datalek van 46.075 is bijzonder alarmerend, wat aangeeft dat datalekken in deze sector vaak veel mensen raken. Het aantal datalekken in de utilitiessector is relatief laag gebleven ten opzichte van andere sectoren, met 53 incidenten in 2023, vergeleken met 60 in zowel 2021 als 2020. Het aantal slachtoffers vertoont echter een stijgende lijn, met 297.000 in 2023, tegenover 280.000 in 2021 en 260.000 in 2020.
De financiële impact van datalekken in de utilitiessector is aanzienlijk. De gemiddelde kosten van een datalek in utilities bedroegen $5,10 miljoen in 2023, een lichte stijging ten opzichte van $4,82 miljoen in 2022. Deze hoge kosten weerspiegelen het kritieke karakter van nutsvoorzieningen en het potentieel voor grootschalige verstoring bij een groot datalek.
De utilitiessector staat voor grote uitdagingen bij het beveiligen van legacy-infrastructuur en het beheersen van risico’s die samenhangen met externe leveranciers, die essentieel zijn voor de bedrijfsvoering. Veel nutsbedrijven maken nog steeds gebruik van verouderde systemen die kwetsbaar zijn voor complexe aanvallen van zowel cybercriminelen als statelijke actoren.
Om deze groeiende risico’s aan te pakken, moeten nutsbedrijven zich richten op het moderniseren van hun infrastructuur, het implementeren van sterkere cyberbeveiligingsprotocollen en het versterken van samenwerking met overheidsinstanties. Het prioriteren van de beveiliging van operationele technologie (OT)-systemen, het verbeteren van incidentrespons en het versterken van de beveiliging van de toeleveringsketen zijn cruciale stappen om deze kritieke sector te beschermen tegen evoluerende cyberdreigingen.
Overkoepelende inzichten en conclusies
Aanhoudende groei van cyberrisico’s in diverse sectoren
Van 2018 tot 2023 zagen alle sectoren een gestage toename van hun Risicoscores, wat de toenemende complexiteit van cyberdreigingen en hun brede impact weerspiegelt. De gemiddelde Risicoscore over sectoren steeg naar 7,2 in 2023, tegenover 5,9 in 2022, een stijging van 18%. Deze groei duidt niet alleen op frequentere aanvallen, maar ook op een aanzienlijke escalatie in de ernst en operationele impact van datalekken, waaronder grotere financiële verliezen, reputatieschade en toegenomen toezicht door toezichthouders.
De periode tussen 2019 en 2020 kende een bijzonder sterke stijging van het totale aantal incidenten in diverse sectoren. Dit benadrukt hoe de plotselinge overgang naar werken op afstand en versnelde digitale transformatie sectoren kwetsbaarder maakte voor cyberdreigingen. Deze trend zette zich de daaropvolgende jaren voort, waarbij diverse sectoren opvallende stijgingen in hun Risicoscores lieten zien:
- Onderwijs: De Risicoscore steeg van 4,9 in 2022 naar 7,1 in 2023, een stijging van 44,9%, wat de groeiende afhankelijkheid van digitale leerplatforms en online bronnen in deze sector weerspiegelt.
- Financiële sector: De sector zag de Risicoscore stijgen van 6,1 in 2022 naar 8,4 in 2023, een toename van 37,7%, wat de voortdurende focus op waardevolle financiële activa en gevoelige klantgegevens onderstreept.
- Zorg: Met een stijging van de Risicoscore van 5,0 in 2018 naar 8,1 in 2023, kende deze sector een toename van 62% over vijf jaar. Dit benadrukt de toenemende kwetsbaarheid van digitale zorgsystemen en de hoge waarde van medische gegevens voor cybercriminelen.
- Overheid: De overheid kende een van de scherpste stijgingen: de Risicoscore steeg van 4,0 in 2019 naar 7,8 in 2023, een toename van 95%. Dit weerspiegelt de toenemende dreiging van statelijke actoren en de uitdagingen bij het beveiligen van verouderde systemen.
De aanhoudende groei van cyberrisico’s blijkt verder uit de toenemende schaal en impact van datalekken. Zo vertoonde het totale aantal datacompromitteringen een consistente stijgende lijn, met een stijging van 92,29% van de eerste helft van 2022 tot de eerste helft van 2024. Nog opvallender is de exponentiële groei van het totale aantal slachtoffers, met een verbluffende stijging van 1639,75% in dezelfde periode.
De aanhoudende groei van cyberrisico’s weerspiegelt ook de veranderende aard van cyberdreigingen. Aanvallers worden steeds complexer en maken gebruik van geavanceerde technologieën zoals AI en machine learning om traditionele beveiligingsmaatregelen te omzeilen. Daarnaast heeft het groeiende aanvalsoppervlak door de toename van IoT-apparaten, cloudservices en werken op afstand nieuwe kwetsbaarheden gecreëerd die cybercriminelen snel weten te benutten.
Nu sectoren hun processen blijven digitaliseren en onderling verbinden, zal de trend van toenemende cyberrisico’s waarschijnlijk aanhouden. Dit onderstreept de dringende noodzaak voor organisaties in alle sectoren om niet alleen hun cyberbeveiliging te versterken, maar ook een proactieve, risicogebaseerde benadering van beveiliging te hanteren die zich kan aanpassen aan het snel veranderende dreigingslandschap.
Datacompromitteringen versus slachtoffers: inzicht in de schommelingen
In de afgelopen zes jaar is de relatie tussen datacompromitteringen en het aantal slachtoffers sterk geschommeld in diverse sectoren. Deze trend is duidelijk zichtbaar in verschillende sectoren:
- Retail: In 2023 kende de sector 167 datacompromitteringen, tegenover 87 in 2022. Het aantal slachtoffers daalde echter scherp van 249 miljoen naar 65 miljoen. Deze schommeling suggereert verbeterde beheersing van datalekken of kleinschaligere aanvallen in 2023. De trend is niet lineair; in 2020 had de retailsector 60 miljoen slachtoffers bij minder compromitteringen, wat wijst op variërende schaal en impact van datalekken.
- Technologie: De sector kende relatief stabiele datacompromitteringen door de jaren heen, met 71 incidenten in 2023, slechts iets meer dan de 55 incidenten in 2020. Het aantal slachtoffers varieerde echter sterk, van 222.000 in 2023 tot 280.000 in 2021, wat aantoont dat zelfs een beperkt aantal compromitteringen grote hoeveelheden gevoelige gegevens kan blootstellen.
- Zorg: Deze sector valt op door een groot verschil in de verhouding tussen datacompromitteringen en slachtoffers. In 2021 leidden 350 datacompromitteringen tot 48 miljoen slachtoffers, terwijl in 2023 809 datacompromitteringen resulteerden in 56 miljoen slachtoffers. Dit suggereert dat aanvallen in de loop van de tijd meer geconcentreerd zijn geraakt, gericht op grotere organisaties of waardevollere patiëntinformatie.
Deze uiteenlopende verhoudingen benadrukken het belang van inzicht in niet alleen het aantal incidenten, maar ook hun schaal en de gevoeligheid van de gecompromitteerde gegevens. Hoewel sommige sectoren in bepaalde jaren minder datalekken kennen, zijn de datalekken die zich voordoen vaak complexer en hebben ze een diepgaander effect.
Stijgend risico door derde partijen: een sectoroverstijgende uitdaging
Tussen 2018 en 2023 zijn sectoren steeds meer gaan vertrouwen op derde partijen, waardoor hun aanvalsoppervlak aanzienlijk is vergroot. Deze afhankelijkheid maakt het lastiger om gevoelige gegevensuitwisselingen te volgen en te beveiligen, wat leidt tot complexere en verstrekkendere datalekken. Belangrijke bevindingen zijn onder andere:
- Financiële sector en technologie: 66% van de financiële instellingen en 65% van de technologiebedrijven rapporteerden dat zij gevoelige inhoud uitwisselden met meer dan 1.000 externe leveranciers. Dit betekent een consistente risicotoename ten opzichte van voorgaande jaren.
- Overheid: Bijna 30% van de overheidsinstanties gaf aan gegevens uit te wisselen met 5.000 of meer derde partijen, een percentage dat aanzienlijk hoger ligt dan in andere sectoren. Dit enorme externe netwerk voor gegevensuitwisseling vormt een aanzienlijk risico, vooral omdat overheidsorganisaties moeite hebben om verouderde systemen te moderniseren die vaak het doelwit zijn van statelijke actoren.
- Algemene trend: Het percentage datalekken dat wordt toegeschreven aan derde partijen is gestaag gestegen van 2018 tot 2023. Volgens Verizon steeg het percentage datalekken dat verband houdt met derde partijen vorig jaar met 68%, goed voor 15% van alle datalekken.
Deze trend onderstreept de groeiende noodzaak voor sterkere controle op leveranciers en robuustere strategieën voor risicobeheer van derde partijen in alle sectoren.
推奨事項とまとめ
サイバーセキュリティの状況が進化する中で、リスクスコア手法はさまざまな領域で変革的な可能性をもたらします。本セクションでは、この標準化されたリスク評価アプローチを活用した今後の有望な活用例を紹介し、より安全でコンプライアンスに準拠し、インテリジェントなサイバーエコシステムのビジョンを提示します。
- 予測的リスクモデリングとAI強化型脅威インテリジェンス
リスクスコア評価によって蓄積された過去データは、予測モデリングにおいて大きな可能性を秘めています。高度な時系列モデルを開発し、AIや機械学習技術を統合することで、将来のリスクスコアを予測し、新たな脅威をこれまでにない精度で特定できます。このアプローチは、動的な早期警告システムの構築につながり、組織がサイバーセキュリティリスクの顕在化前に積極的に対処できるようになります。
AI駆動のシステムがグローバルな脅威インテリジェンスフィードを継続的に分析し、組織固有のリスクスコアと相関させ、リアルタイムで実用的な知見を生成する様子を想像してください。このようなシステムは、潜在的な攻撃シナリオをシミュレーションし、それがリスクスコアに与える影響を評価し、個別に最適化された緩和策を提案することで、真に応答性と先進性を備えたリスク評価フレームワークを実現します。
- 規制コンプライアンスとレポーティングの革新
リスクスコアはサイバーセキュリティリスク開示のユニバーサル指標となる可能性があり、業界横断的なリスクコミュニケーションのための標準言語を生み出します。この標準化により、リアルタイムのリスクスコア監視によるサイバーセキュリティガバナンスの積極的なアプローチとともに、より効率的かつ効果的な規制監督が実現します。
規制当局が業界全体のリスクスコアをリアルタイムで監視するための集中型ダッシュボードを想像してください。このシステムは、リスク閾値を超えた組織を自動的にフラグ付けし、ターゲットを絞った監査をトリガーし、新たなトレンドに基づく政策介入まで提案することができます。組織にとっては、リスクスコアデータに基づく自動レポートツールによる規制提出書類の作成など、コンプライアンスプロセスの合理化が期待できます。
- 戦略的計画とリソース配分
リスクスコア手法は、戦略的なサイバーセキュリティ意思決定のための定量的な根拠を提供します。組織は、リスクスコアへの影響を組み込んだ高度なROIモデルを構築し、セキュリティ投資の意思決定に活用できます。このアプローチにより、データドリブンな予算配分が可能となり、リスク低減効果の高い領域にリソースを集中できます。
リスクスコアの変動に応じてサイバーセキュリティ予算をリアルタイムで調整する動的な予算配分ツールを想像してください。このようなツールは、さまざまなセキュリティ施策間でリソース配分を最適化し、即時的な脅威対策と長期的なリスク低減戦略のバランスを取ることができます。
- ベンチマーク、パフォーマンス向上、協調防御
業界別のリスクスコアベンチマークを設定することで、組織は自社のセキュリティ体制を相対的に把握できます。このアプローチは継続的な改善文化を促進し、トップパフォーマンス組織に基づくベストプラクティスガイドラインの策定を可能にします。
組織が匿名でリスクスコアデータやリスク低減の成功事例を共有する業界横断型コラボレーションプラットフォームを想像してください。このエコシステムは、AIによる分析を通じて業界全体のトレンドを特定し、協調防御戦略を提案することで、サイバーセキュリティ実践の集団的向上を促進します。
- サイバー保険とM&Aプロセスの変革
サイバー保険の分野では、リスクスコアによってより正確かつ動的なリスク評価および価格設定モデルが実現します。保険会社は、組織の現在のリスクスコアに基づき、リアルタイムで保険料を調整するパーソナライズされた利用ベースの保険商品を提供できるようになります。
合併・買収(M&A)においては、リスクスコアがサイバーセキュリティ上の負債評価の標準化手法となり得ます。AIを活用して統合後のリスクスコアを予測するM&Aデューデリジェンスプロセスを想像してください。これにより、サイバーセキュリティリスクを考慮した、より的確な意思決定と公正な評価が可能となります。
- サードパーティリスク管理とセキュアなコミュニケーションの強化
組織が複雑なベンダーやパートナーのネットワークにますます依存する中、リスクスコア手法はサードパーティリスク管理を革新します。すべてのベンダーのリスクスコアを継続的に監視し、パートナーのリスクレベル変化時にアクセス権限や追加セキュリティ対策を自動調整するサプライチェーン管理システムを想像してください。
機密性の高いコミュニケーションにおいては、参加者のリスクスコアやコンテンツの機密度に応じてセキュリティプロトコルを動的に調整するインテリジェントなシステムを想像できます。これにより、特に医療や金融などの高リスク業界で、より安全かつ効率的な情報共有が実現します。
- 複雑な規制環境への対応
データプライバシーやセキュリティ規制が拡大する中、リスクスコアはコンプライアンスの確保と証明のための重要なツールとなり得ます。複数の法域にまたがる規制要件とリスクスコアの各要素をマッピングし、組織のグローバルなコンプライアンス状況をリアルタイムで可視化する動的なコンプライアンスダッシュボードを想像してください。
このシステムは、現在のリスクスコアに基づく潜在的な罰金額の自動算出や、コンプライアンスギャップ解消のための個別推奨、さらには新たな規制案が組織のリスクプロファイルに与える影響の予測まで可能にします。
- AI時代のセキュアなコラボレーション
生成AIや大規模言語モデルの台頭により、データセキュリティに新たな課題が生じていますが、進化したリスクスコア手法はこれに対応できます。ドキュメントの内容、送信先、AIとの潜在的な相互作用に基づき自動的にリスクスコアを割り当てるインテリジェントなファイル共有プラットフォームを想像してください。このシステムは動的なアクセス制御や暗号化レベルを適用し、機密コンテンツが意図しないAI学習に利用されることを防ぎつつ、生産的なコラボレーションを実現します。
さらに、AI特有のリスクスコア要素により、AIシステムが機密情報を処理する際の独自リスクを評価・緩和できます。これにより、潜在的なデータ漏洩リスクの詳細な知見を提供し、緩和策を提案するAI監査ツールの開発につながり、組織はデータセキュリティを損なうことなくAIの利活用が可能となります。
リスクスコア手法のこれら未来的な応用を取り入れることで、組織はより積極的かつインテリジェントで協調的なサイバーセキュリティへの道を歩み、デジタル社会の進化する課題に対応できる体制を整えることができます。
まとめ
サイバーセキュリティの状況はかつてないスピードで進化しており、データ侵害はあらゆる業界で頻度・巧妙さ・深刻さを増しています。革新的なリスクスコア手法を活用した本分析により、このダイナミックな脅威環境に関する重要な知見が明らかになりました:
- 業界全体でサイバーリスクが一貫して上昇傾向にあり、平均リスクスコアは2022年から2023年にかけて18%上昇。
- データ侵害件数と被害者数の関係に大きな変動が見られ、サイバー攻撃の複雑化が浮き彫りに。
- サードパーティベンダーへの依存度増加による脆弱性の拡大。一部業界では5,000社以上の外部組織と機密データをやり取り。
リスクスコア手法は、サイバー脅威に対する集団的防御の強力なツールです。サイバーセキュリティリスクを標準化・定量化することで、業界や時系列を超えた有意義な比較を可能にし、より的確な意思決定とリソース配分を促進します。
デジタルフロンティアを進む中で、リスクスコアの予測モデリングから規制コンプライアンス、AI強化型セキュリティに至るまでの応用は、より安全な未来への道筋を示します。ただし、この可能性を実現するには、すべての関係者による協調的な取り組みが不可欠です。業界リーダーは導入を推進し、政策立案者は規制枠組みへの統合を検討し、サイバーセキュリティ専門家はその精度と有用性を継続的に高めていく必要があります。
デジタルレジリエンスが最重要となる時代において、リスクスコア手法は単なる指標ではなく、行動への呼びかけです。このアプローチを受け入れることで、より安全で透明性が高く、レジリエントなデジタルエコシステムを共に築くことができます。課題は大きいものの、リスクスコアがもたらす知見を活用することで、これまで以上に明確な備えで明日のサイバー脅威に立ち向かうことができるのです。
付録
追加リスクスコアテーブル
| 業種 | 2024年上半期 vs. 2023年上半期 | 2023年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 13.68% | 69.16% | 92.29% |
| 教育 | -5.00% | 95.12% | 85.37% |
| 金融サービス | 67.49% | 89.84% | 217.97% |
| 政府 | 48.00% | 51.52% | 124.24% |
| ヘルスケア | -37.40% | 135.63% | 47.50% |
| ホスピタリティ | 43.48% | 109.09% | 200.00% |
| 製造業 | 34.82% | -2.61% | 31.30% |
| プロフェッショナルサービス | 29.93% | 45.74% | 89.36% |
| 小売 | -19.30% | 90.00% | 53.33% |
| テクノロジー | -24.14% | 180.65% | 112.90% |
| 運輸 | 50.00% | 89.47% | 184.21% |
| 公益 | 33.00% | n/a | n/a |
表12:2024年上半期、2023年上半期、2022年上半期のデータ侵害の増減率。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | 49.67% | -18.31% | 11.55% | 13.19% | 12.80% |
| 教育 | 42.77% | -51.52% | 16.67% | 20.00% | 10.00% |
| 金融サービス | 63.84% | 21.93% | 11.90% | 18.92% | 20.00% |
| 政府 | 31.43% | -31.94% | 5.26% | 5.56% | 5.88% |
| ヘルスケア | 57.60% | -2.04% | 17.14% | 13.79% | 12.00% |
| ホスピタリティ | 49.25% | -2.94% | 14.29% | 16.67% | 20.00% |
| 製造業 | 3.86% | 11.65% | 6.82% | 7.32% | 5.26% |
| プロフェッショナルサービス | 27.60% | -41.26% | 7.94% | 13.79% | 20.00% |
| 小売 | 47.90% | -49.43% | 3.85% | 12.00% | 9.09% |
| テクノロジー | n/a | n/a | 8.33% | 9.09% | 10.00% |
| 公益 | n/a | n/a | 25.00% | 11.11% | 12.50% |
表13:2018年~2023年のデータ侵害増減。
| 業種 | 2024年上半期 vs. 2023年上半期 | 2023年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 490.76% | 194.50% | 1,639.75% |
| 教育 | -56.39% | 308.59% | 78.17% |
| 金融サービス | -31.52% | 84.52% | 26.36% |
| 政府 | -15.37% | 1,266.90% | 1,056.87% |
| ヘルスケア | 7.43% | 90.63% | 104.80% |
| ホスピタリティ | 131,622.36% | 450.87% | 725,515.53% |
| 製造業 | 3,552.53% | 181.46% | 10,180.24% |
| プロフェッショナルサービス | -90.24% | 287.24% | -62.19% |
| 小売 | 6,151.75% | 1,786.95% | 117,867.32% |
| テクノロジー | -73.85% | 95.90% | -48.78% |
| 運輸 | -84.94% | 1,219.18% | 98.62% |
| 公益 | -22.86% | n/a | n/a |
表14:2024年上半期、2023年上半期、2022年上半期の被害者数の増減率。
| 業種 | 2024年上半期 vs. 2023年上半期 | 2023年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 419.69% | 74.10% | 804.76% |
| 教育 | -54.10% | 109.40% | -3.88% |
| 金融サービス | -59.11% | -2.80% | -60.26% |
| 政府 | -42.81% | 802.16% | 415.90% |
| ヘルスケア | 71.62% | -19.10% | 38.85% |
| ホスピタリティ | 91,706.49% | 163.46% | 241,771.84% |
| 製造業 | 2,609.16% | 188.99% | 7,729.32% |
| プロフェッショナルサービス | -92.48% | 165.70% | -80.03% |
| 小売 | 7,646.73% | 893.13% | 76,935.21% |
| テクノロジー | -65.53% | -30.20% | -75.94% |
| 運輸 | -89.96% | 596.23% | -30.11% |
| 公益 | -35.87% | n/a | n/a |
表15:2024年上半期、2023年上半期、2022年上半期の侵害1件あたりの被害者数増減。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | -240.47% | 56.50% | -0.89% | -1.92% | -1.48% |
| 教育 | 12.62% | 1.00% | 0.00% | 0.00% | 16.67% |
| 金融サービス | -22.42% | -137.21% | -2.16% | -9.63% | -9.37% |
| 政府 | 85.42% | -506.31% | 7.64% | 9.24% | 11.46% |
| ヘルスケア | -17.93% | -68.00% | -5.60% | -4.95% | -7.66% |
| ホスピタリティ | 1.48% | -61.90% | 6.67% | 10.00% | 16.67% |
| 製造業 | -399.28% | 29.26% | 6.99% | 8.70% | 13.64% |
| プロフェッショナルサービス | 72.38% | -135.98% | 2.24% | 3.33% | 0.00% |
| 小売 | -635.33% | 83.87% | 4.67% | 3.31% | 1.00% |
| テクノロジー | n/a | n/a | 1.80% | 8.34% | 3.70% |
| 公益 | n/a | n/a | -23.81% | -3.84% | -4.77% |
表16:2018年~2023年のデータ侵害1件あたりの被害者数増減。
| 業種 | 2024年 vs. 2023年 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|---|
| 全体 | 8.81% | 2.25% | 2.53% | 8.96% | -1.55% | 1.53% |
| 教育 | -4.29% | -5.75% | 1.81% | -2.90% | -22.31% | 65.20% |
| 金融サービス | 2.96% | -1.19% | 4.19% | -2.27% | -0.17% | 64.85% |
| 政府 | -1.96% | 20.38% | 6.76% | 44.04% | -19.44% | 41.86% |
| ヘルスケア | -11.87% | 7.59% | 8.61% | 22.75% | 9.54% | 36.74% |
| ホスピタリティ | 4.97% | 19.01% | 30.95% | 15.27% | -15.70% | 39.70% |
| 製造業 | 14.93% | 5.50% | 5.15% | -17.69% | -4.21% | 70.77% |
| 製薬 | 5.49% | -3.94% | -0.60% | -0.40% | -2.77% | 66.54% |
| プロフェッショナルサービス | 12.01% | -5.15% | 1.06% | 9.03% | -9.22% | 60.82% |
| 小売 | 14.94% | -10.81% | 0.30% | 38.53% | 8.46% | 36.96% |
| テクノロジー | 14.50% | -6.65% | 1.81% | -3.28% | -0.20% | 66.34% |
| 運輸 | 5.64% | 14.11% | -4.46% | 4.53% | -5.31% | 66.05% |
| 公益 | 9.64% | 1.26% | 1.48% | -37.42% | 12.36% | 70.18% |
表17:2018年~2024年のデータ侵害コスト増減。
| 業種 | 2024年上半期 vs. 2022年上半期 | 2024年上半期 vs. 2023年上半期 | 2024年上半期 vs. 2022年上半期 |
|---|---|---|---|
| 合計 | 17.74% | 10.61% | 6.45% |
| 教育 | -39.62% | -54.93% | 33.96% |
| 金融サービス | -20.27% | -13.24% | -8.11% |
| 政府 | 63.41% | -18.29% | 100.00% |
| ヘルスケア | -19.40% | -15.63% | -4.48% |
| ホスピタリティ | 185.71% | 132.56% | 22.86% |
| 製造業 | 132.43% | 120.51% | 5.41% |
| プロフェッショナルサービス | -37.50% | -49.28% | 23.21% |
| 小売 | 139.47% | 49.18% | 60.53% |
| テクノロジー | -54.22% | -50.00% | -8.43% |
| 運輸 | -49.15% | -58.90% | 23.73% |
| 公益 | n/a | n/a | n/a |
表18:2024年上半期、2023年上半期、2022年上半期のリスクスコア増減。
| 業種 | 2023年 vs. 2022年 | 2022年 vs. 2021年 | 2021年 vs. 2020年 | 2020年 vs. 2019年 | 2019年 vs. 2018年 |
|---|---|---|---|---|---|
| 全体 | +21.67% | -3.23% | +14.81% | +1.89% | +3.92% |
| 教育 | +44.00% | -1.96% | +6.25% | -11.11% | +17.39% |
| 金融サービス | +37.10% | +34.78% | -23.33% | -6.25% | +10.34% |
| 政府 | +97.50% | -36.51% | +14.55% | +14.58% | +9.09% |
| ヘルスケア | +51.85% | +8.00% | -26.47% | +15.25% | +11.32% |
| ホスピタリティ | +42.31% | -10.34% | +13.73% | +4.08% | +8.89% |
| 製造業 | +18.37% | +28.95% | 11.63% | -6.52% | -8.00% |
| プロフェッショナルサービス | +33.33% | -29.69% | +23.08% | -10.34% | +7.41% |
| 小売 | +75.00% | -50.00% | +26.32% | +7.55% | +8.16% |
| テクノロジー | +29.82% | +7.55% | +8.16% | -5.77% | +10.64% |
| 運輸 | +15.52% | +5.45% | +3.77% | -5.36% | +16.67% |
| 公益 | +62.79% | -10.42% | +20.00% | -28.57% | +9.80% |
表19:2018年~2023年 業界別リスクスコア増減。
法的免責事項:
本調査レポートには、アルゴリズム分析および人工知能(AI)技術を活用して得られた知見が含まれています。以下の点にご留意ください。
実験的性質:本調査で使用したAIおよびアルゴリズム手法は実験的なものです。正確性の確保に努めておりますが、これらの技術の完全な信頼性や有効性を保証するものではありません。
専門的助言ではありません:本レポートで提示されている知見は、専門的、法的、財務的、またはその他の専門家による助言を構成するものではありません。重要な意思決定を行う際には、これらの結果のみに依拠しないでください。
誤りの可能性:最善を尽くしておりますが、使用しているAIやアルゴリズムには誤りやバイアス、不正確さが含まれている可能性があります。結果の解釈には注意し、重要な場合は独自に検証してください。
AIの限界:使用しているAIシステムには本質的な限界があり、個々のケースに関連するすべての変数や特有の状況を考慮できない場合があります。
人的監督:AIやアルゴリズムを活用していますが、人間の研究者が結果を確認・解釈しています。ただし、これによって誤りやバイアスが完全に排除されていることを保証するものではありません。
責任の否認:本レポートに記載された情報の利用または誤用により生じたいかなる損失、損害、結果についても、一切の責任を負いません。
継続的な開発:AIおよびアルゴリズム技術は急速に進化しています。本調査で使用した手法は、将来的に改良や修正が行われる可能性があります。
本調査レポートにアクセスし利用することで、これらの諸条件を読み、理解し、同意したものとみなされます。
参考文献
- Ani Petrosyan, “米国におけるデータ侵害件数および影響を受けた個人の年間推移(2005年~2023年)“, Statista, 2024年9月9日閲覧。
- Bert Kundress,”MOVEitハック被害者リスト“, KonBriefing, 2023年12月20日。
- “2024年データ侵害調査レポート”, Verizon, 2024年5月。
- “2023年データ侵害レポート”, Identity Theft Resource Center, 2024年1月。
- “2024年データ侵害コストレポート”, IBMおよびPonemon Institute, 2024年7月。
- James Coker, “ランサムウェア攻撃の要求額、2024年に520万ドルに急増“, Infosecurity Magazine, 2024年7月2日。
- “MFAの失敗がランサムウェア損失を500%急増させている理由“, The Hacker News, 2024年7月2日。
- “消費者の66%がデータ侵害後に企業を信頼しない“, Security Magazine, 2024年7月5日。
- “2024年機密コンテンツ通信プライバシー・コンプライアンスレポート”, Kiteworks, 2024年6月。
- Luke Fischer, “世界のプライバシー法および関連DPAの特定“, IAPP, 2024年3月19日。
- “2024年データ侵害コストレポート”, IBMおよびPonemon Institute, 2024年7月。