Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Top 11 Datalekken

Praktische inzichten en aanbevelingen met de Kiteworks Risk Exposure Index

RAPPORT DOWNLOADEN

Introductie

Terwijl we ons bewegen door het complexe landschap van cyberbeveiliging in 2024, zijn de toenemende frequentie en ernst van datalekken onmiskenbaar. Alleen al in de eerste helft van dit jaar hebben cybercriminelen meer dan een miljard records gecompromitteerd, wat diverse sectoren heeft getroffen, waaronder telecommunicatie, zorgprocessen, de financiële sector en de overheid. Deze incidenten hebben niet alleen de kwetsbaarheden binnen onze digitale infrastructuren blootgelegd, maar ook de dringende noodzaak benadrukt van robuuste cyberbeveiligingsstrategieën om gevoelige data te beschermen.

INTRODUCTIE LEZEN

Overzicht van Datalekken in 1H 2024

De eerste helft van 2024 liet een aanzienlijke toename zien in het aantal en de schaal van datalekken, wat de groeiende complexiteit en vastberadenheid van cybercriminelen wereldwijd weerspiegelt. Volgens gegevens van het Identity Theft Resource Center (ITRC),1 hebben de top 10 datalekken in deze periode meer dan een miljard records gecompromitteerd in diverse sectoren, waaronder telecommunicatie, zorgprocessen, de financiële sector, technologie en overheidsinstanties. Deze incidenten variëren van ransomware-aanvallen en toeleveringsketen-kwetsbaarheden tot per ongeluk gelekte data, waarmee de diverse tactieken van cybercriminelen en de wijdverspreide kwetsbaarheden in verschillende branches worden benadrukt. De top 10 van ITRC bevatte niet het National Public Data-datalek, waarbij maar liefst 2,9 miljard datarecords van 1,3 miljoen mensen werden blootgesteld. Daarom hebben wij National Public Data toegevoegd aan ons rapport.

Bevindingen uit het Kiteworks 2024 Sensitive Content Communications Privacy and Compliance Report onderstrepen verder het cruciale belang van het beheren van gevoelige data in alle sectoren.2 Het rapport benadrukt de uitdagingen waarmee organisaties worden geconfronteerd bij het beschermen van gevoelige inhoud, nu zij steeds meer vertrouwen op meerdere communicatietools en interacties met derden, wat tal van kwetsbaarheden kan creëren. Zo blijkt uit het rapport dat organisaties met 10 of meer communicatietools 3,55 keer vaker te maken kregen met datalekken dan het gemiddelde aantal dat door de gehele respondentengroep werd gerapporteerd.

Belangrijkste Trends in Datalekken

Wanneer je dieper kijkt naar de Top 11 Datalekken in 1H 2024, komen er diverse inzichten naar voren:

  1. Ransomware-aanvallen: Ransomware blijft een veelgebruikte aanvalsmethode en richt zich op organisaties in diverse sectoren. Spraakmakende datalekken, zoals die bij Change Healthcare en MediSecure, tonen de verwoestende impact van ransomware, niet alleen door het verstoren van bedrijfsprocessen, maar ook door het compromitteren van gevoelige data. Deze aanvallen hebben geleid tot aanzienlijke financiële verliezen en operationele verstoringen, wat het belang van robuuste ransomwareverdedigingsstrategieën benadrukt.
  2. Enorme schaal van data-exposure: De hoeveelheid blootgestelde data bij datalekken is toegenomen, waarbij incidenten met miljoenen records steeds vaker voorkomen. Zo werd AT&T getroffen door twee grote datalekken die samen meer dan 180 miljoen klantgegevens, waaronder persoonlijke informatie en logs, compromitteerden. Ook het datalek bij Snowflake trof meerdere bedrijven en stelde honderden miljoenen records bloot, waarmee de verstrekkende dreiging van toeleveringsketen-aanvallen in het huidige digitale landschap wordt geïllustreerd (wat wordt bevestigd door de bevindingen in het Verizon 2024 Data Breach Investigations Report, waarin 15% van alle aanvallen het afgelopen jaar in verband stond met de toeleveringsketen).3
  3. Kwetsbaarheden in diverse sectoren: Datalekken zijn niet beperkt tot één sector, maar treffen een breed scala aan branches, elk met hun eigen unieke kwetsbaarheden. Sectoren zoals zorgprocessen, de financiële sector en technologie lopen extra risico vanwege de gevoelige aard van de data die zij verwerken en zijn goed vertegenwoordigd in de top 10 datalekken van het ITRC 1H 2024-rapport. Het ontbreken van governance-tracking en controles, evenals geavanceerde beveiligingsmogelijkheden, zijn belangrijke oorzaken. Zo blijkt uit het Kiteworks-rapport dat 57% van de organisaties niet in staat is om externe verzendingen en het delen van inhoud te volgen, te controleren en te rapporteren.
  4. Opkomende dreigingen door risico’s van derden en interne fouten: Naast externe aanvallen zijn risico’s van derden en interne fouten ook uitgegroeid tot belangrijke dreigingen. De datalekken bij Kaiser en USPS, waarbij gevoelige informatie per ongeluk werd gedeeld met adverteerders, onderstrepen de groeiende zorg over intern gegevensbeheer en de risico’s die gepaard gaan met interacties met derden. Het volgen en controleren van de gegevensstroom naar en van alle derde partijen waarmee organisaties data uitwisselen, is lastig: twee derde van de organisaties geeft aan gevoelige inhoud uit te wisselen met meer dan 1.000 derde partijen.4

Datalekdetails

Datalek Risk Exposure Index Aantal getroffen records Geschatte totale zakelijke impact (USD) Type geconverteerde gegevens Overtredingen van regelgeving Eis voor ransomware
Change Healthcare 9.46 100.000.000 $17.900.000.000 Persoonlijke, medische, facturatie-informatie HIPAA, HITECH Act, California CMIA, Texas Medical Records Privacy Act, HIPAA Security Rule, HIPAA Privacy Rule Ja, onbekend bedrag
National Public Data 9.46 2.900.000.000 $501.700.000.000 Persoonlijke gegevens, burgerservicenummers FTC Act, GDPR, diverse Amerikaanse staatswetten voor gegevensbescherming zoals CCPA Nee
AT&T (twee datalekken) 9.37 110.000.000 $19.690.000.000 Telefoonnummers, belgegevens, persoonlijke informatie FCC Regulations (CPNI), FTC Act, CCPA, NY SHIELD Act, GDPR, Telecommunications Act Ja, niet bekendgemaakt bedrag
Synnovis 9.11 300.000.000 $53.700.000.000 Patiëntinteractiegegevens UK Data Protection Act 2018, GDPR, NIS-voorschriften, UK NHS Data Security and Protection Toolkit Ja, $50 miljoen geëist
Ticketmaster 8.79 560.000.000 $100.240.000.000 Volledige namen, adressen, e-mailadressen, telefoonnummers, betaalkaartgegevens PCI DSS, FTC Act, CCPA, Massachusetts Data Breach Notification Law, GDPR Nee
Kaiser 7.60 13.400.000 $2.398.600.000 Websitezoektermen, gezondheidsinformatie HIPAA, HITECH Act, California CMIA, FTC Act, GDPR (indien EU-inwoners betrokken zijn) Nee
MediSecure 7.56 13.000.000 $2.327.000.000 Persoonlijke en gezondheidsgegevens Australian Privacy Act, Healthcare Identifiers Act, deelstaat-specifieke gezondheidsgegevensregelgeving Ja, onbekend bedrag
USPS 7.31 62.000.000 $11.098.000.000 Postadressen, trackinggegevens CCPA, FTC Act, diverse staatswetten voor datalekmeldingen, GDPR (indien van toepassing) Nee
Evolve Bank 6.83 7.600.000 $1.360.400.000 Persoonlijke informatie CCPA, GLBA (Gramm-Leach-Bliley Act), FTC Safeguards Rule, staatswetten voor bescherming van financiële gegevens Ja, onbekend bedrag
Cencora 6.23 1.000.000 $179.000.000 Gezondheidsgegevens HIPAA, FDA-regelgeving, deelstaat-specifieke medische privacywetten (bijv. California CMIA, Texas Medical Records Privacy Act) Nee
Infosys McCamish Systems 6.23 6.078.263 $1.074.000.000 Burgerservicenummers, medische informatie, financiële gegevens CCPA, GLBA, FTC Act, staatswetten voor bescherming van verzekeringsgegevens, HIPAA (indien van toepassing) Ja, onbekend bedrag

Kosten van datalekken

De toenemende frequentie en ernst van datalekken onderstrepen de dringende noodzaak voor organisaties om geavanceerde cyberbeveiligingsmaatregelen te nemen. IBM’s 2024 Cost of a Data Breach Report laat zien dat de wereldwijde gemiddelde kosten van een datalek het afgelopen jaar met 10% zijn gestegen, tot $4,88 miljoen.

De financiële impact van datalekken op bedrijven gaat verder dan de directe kosten voor detectie, escalatie en melding. Er zijn aanzienlijke directe kosten, zoals boetes van toezichthouders, juridische schikkingen, forensisch onderzoek en kosten voor klantmeldingen. Organisaties die niet voldoen aan regelgeving voor gegevensbescherming zoals de General Data Protection Regulation (GDPR) of de Health Insurance Portability and Accountability Act (HIPAA) kunnen aanzienlijke boetes krijgen. Zo bedroeg op 1 maart 2024 het totale bedrag aan GDPR-boetes ongeveer €4,48 miljard (USD 4,96 miljard), een stijging van €1,71 miljard ten opzichte van het voorgaande jaar. Tegelijkertijd stegen de gemiddelde kosten van een GDPR-overtreding van circa €500.000 in 2019 naar €4,4 miljoen (USD 4,4 miljoen) in 2023.

Naast deze wereldwijde of nationale regelgeving zorgen regionale of staatsgebonden wet bescherming persoonsgegevens zoals de California Consumer Protection Act (CCPA) voor extra complexiteit en uitdagingen voor bedrijven die in deze regio’s actief zijn.

Risicofactoren bij Datalekken

Hoeveelheid en type blootgestelde gegevens

De risicofactoren die samenhangen met datalekken worden sterk beïnvloed door de hoeveelheid en het type blootgestelde gegevens. In de eerste helft van 2024 varieerden datalekken sterk qua type gecompromitteerde gegevens. Persoonsgegevens zijn zeker een belangrijk doelwit, waarbij Verizon rapporteert dat bijna 60% van de datalekken persoonlijk identificeerbare informatie (PII) betrof, waaronder namen, adressen, burgerservicenummers en financiële informatie zoals creditcardgegevens.7 Gezondheidsdossiers, inclusief gevoelige patiëntinformatie, waren ook zeer gewild, vooral bij datalekken in de zorgsector waar het blootstellen van beschermde gezondheidsinformatie (PHI) een extra risico met zich meebracht vanwege regelgeving zoals HIPAA.

Aantal slachtoffers

De omvang van de impact van een datalek wordt vaak bepaald door het aantal getroffen personen en organisaties. In de eerste helft van 2024 raakten diverse datalekken miljoenen mensen in diverse sectoren. Zo hadden datalekken in de telecom- en zorgsector een grote impact, waarbij tientallen miljoenen klanten en patiënten werden getroffen.

Gevoeligheid van blootgestelde gegevens

Het gevoeligheidsniveau van de blootgestelde gegevens is een cruciale factor bij het bepalen van de ernst en impact van een datalek. Gegevens met een hoge gevoeligheid, zoals burgerservicenummers, gezondheidsdossiers en financiële informatie, brengen een groter risico met zich mee dan gegevens met een lage gevoeligheid, zoals e-mailadressen of algemene bedrijfsinformatie. Lekkages van gevoelige gegevens leiden vaker tot ernstige gevolgen, zoals identiteitsdiefstal, financiële fraude en andere kwaadwillige activiteiten. In gevallen waarbij gevoelige financiële informatie of gezondheidsdossiers betrokken zijn, zijn de daaruit voortvloeiende regelgevende maatregelen en hogere herstelkosten aanzienlijk groter vanwege de strenge vereisten rondom gegevensbescherming voor deze typen data.

Methoden van datalekken

De methoden die worden gebruikt bij datalekken zijn geëvolueerd en weerspiegelen de toenemende complexiteit van cybercriminelen. Veelvoorkomende methoden zijn onder andere ransomware-aanvallen, phishing-campagnes, bedreigingen van binnenuit en het uitbuiten van kwetsbaarheden in diensten of software van derden. Ransomware blijft een veelvoorkomende aanvalsmethode, waarbij aanvallers gegevens versleutelen en losgeld eisen voor vrijgave, wat vaak leidt tot aanzienlijke operationele verstoringen en financiële verliezen.

Phishing-aanvallen blijven ook een belangrijke oorzaak van datalekken, waarbij social engineering-technieken worden gebruikt om medewerkers te misleiden tot het vrijgeven van gevoelige informatie of het verlenen van ongeautoriseerde toegang. Het uitbuiten van kwetsbaarheden in diensten van derden of toeleveringsketen-aanvallen is een groeiende trend. Datalekken die voortkomen uit kwetsbaarheden bij derden kunnen een grote impact hebben, omdat ze vaak meerdere organisaties raken en hele netwerken van zakenpartners en klanten beïnvloeden. Deze trend benadrukt het belang van robuuste risicobeheer door derden en regelmatige kwetsbaarheidsbeoordelingen.

Ontdek de Risk Exposure Score van een Datalek

Evalueer een datalek aan de hand van zes risicofactoren en genereer een Risk Exposure Index Score om het algehele risico van een datalek te bepalen. Ontvang een score in minder dan één minuut.

PROBEER NU

Ontwikkeling van de Risk Exposure Index

Introductie van de Risk Exposure Index

De Risk Exposure Index is een strategisch hulpmiddel dat is ontwikkeld om datalekken te evalueren en te prioriteren op basis van hun ernst en potentiële impact. In een tijdperk waarin datalekken steeds frequenter en complexer worden, staan organisaties voor grote uitdagingen bij het beoordelen van het risico dat elk lek vormt voor hun bedrijfsvoering, reputatie en naleving van regelgeving. De Risk Exposure Index biedt een gestandaardiseerd raamwerk om de risico’s van diverse datalekken te kwantificeren en te vergelijken. Door gebruik te maken van deze index kunnen organisaties hun cyberbeveiligingsmaatregelen prioriteren, middelen effectiever inzetten en hun algehele beveiligingsstatus verbeteren door zich te richten op de meest kritieke bedreigingen.

Number of Records Impacted by Data Breach.

Hoe de Risk Exposure Index werkt

De Risk Exposure Index gaat verder dan traditionele meetmethoden zoals het aantal blootgestelde records of de gemaakte financiële kosten. In plaats daarvan worden diverse factoren meegenomen om een genuanceerder beeld te geven van de ernst van een lek. Deze factoren omvatten onder andere het type gecompromitteerde gegevens, de mate van blootstelling, de kans op boetes vanuit regelgeving en de langetermijnimpact op de merknaam. Door deze elementen samen te voegen tot één allesomvattende score, stelt de index organisaties in staat om objectief de ernst van elk lek te beoordelen en weloverwogen beslissingen te nemen over waar zij hun inspanningen voor beperking moeten richten.

Methodologie van de Risk Exposure Index

De methodologie voor het berekenen van de Risk Exposure Index bestaat uit diverse criteria die samen de totale risicoscore van een datalek bepalen. Deze criteria zijn zorgvuldig geselecteerd om een volledig beeld te geven van de risico’s die samenhangen met een lek en omvatten het volgende:

  1. Aantal blootgestelde records: Dit criterium beoordeelt de hoeveelheid gegevens die tijdens een lek zijn gecompromitteerd. Hoe groter het aantal blootgestelde records, hoe hoger de risicoscore, aangezien grotere lekken doorgaans ernstigere gevolgen hebben, waaronder een grotere kans op identiteitsdiefstal, fraude en reputatieschade.
  2. Geschatte financiële impact: Dit criterium evalueert de potentiële financiële verliezen als gevolg van een lek, waaronder directe kosten zoals boetes, juridische kosten en hersteluitgaven, maar ook indirecte kosten zoals verlies van omzet en reputatieschade. Lekken met een hogere geschatte financiële impact krijgen een hogere score, wat de aanzienlijke economische last weerspiegelt die ze organisaties opleggen.
  3. Betrokkenheid van ransomware: Gezien de toenemende dreiging van ransomware-aanvallen, houdt dit criterium specifiek rekening met lekken waarbij ransomware betrokken is. Ransomware-aanvallen zijn bijzonder ontwrichtend, veroorzaken vaak aanzienlijke operationele stilstand en vereisen omvangrijke herstelmaatregelen. Lekken waarbij ransomware betrokken is, krijgen een hogere score vanwege de complexiteit en ernst van de benodigde respons.
  4. Gevoeligheid van de gegevens: De gevoeligheid van de blootgestelde gegevens is een cruciale factor bij het bepalen van het risiconiveau. Lekken waarbij zeer gevoelige gegevens, zoals beschermde gezondheidsinformatie (PHI) of financiële gegevens, betrokken zijn, krijgen hogere scores. Dit weerspiegelt het verhoogde risico op boetes, juridische stappen en de noodzaak van uitgebreid herstel om getroffen personen te beschermen.
  5. Ernst van het lek: Dit criterium kijkt naar de totale impact van het lek op de getroffen organisatie, inclusief operationele verstoring, klantvertrouwen en langetermijnreputatieschade. De ernst wordt beoordeeld op basis van de omvang van het lek, de betrokken gegevens en de effectiviteit van de respons van de organisatie. Ernstigere lekken krijgen hogere scores om hun bredere gevolgen te weerspiegelen.
  6. Aantal getroffen regelgeving: Dit criterium beoordeelt het regelgevingslandschap dat door het lek wordt geraakt. Lekken die meerdere regelgeving schenden, zoals GDPR, HIPAA of CCPA, krijgen hogere scores. Dit weerspiegelt de complexiteit van het beheren van naleving in diverse rechtsbevoegdheden en de kans op meerdere boetes en juridische stappen.

Normalisatieproces en score-aanpassing

Om ervoor te zorgen dat de Risk Exposure Index een eerlijke en consistente maat biedt voor de ernst van een lek, wordt een normalisatieproces toegepast om scores aan te passen naar een gestandaardiseerde schaal van 1-10. Dit proces omvat de volgende stappen:

  1. Gegevensverzameling en initiële scoring: Elk lek wordt beoordeeld op basis van de zes hierboven genoemde criteria, en voor elk criterium wordt een initiële score toegekend op basis van vooraf gedefinieerde bereiken. Bijvoorbeeld: lekken waarbij meer dan 10 miljoen records zijn blootgesteld, kunnen de maximale score krijgen voor het criterium “Aantal blootgestelde records”.
  2. Toewijzing van gewichten: Aan elk criterium wordt een gewicht toegekend op basis van het relatieve belang bij het bepalen van het totale risiconiveau. Zo kunnen “Gevoeligheid van de gegevens” en “Geschatte financiële impact” zwaarder wegen dan “Aantal blootgestelde records” om hun kritieke impact op de beveiligingsstatus en nalevingsvereiste van de organisatie te weerspiegelen.
  3. Score-aggregatie: De gewogen scores voor elk criterium worden samengevoegd om een totale risicoscore voor elk lek te berekenen. Deze totaalscore geeft de algehele ernst van het lek weer op basis van de combinatie van alle risicofactoren.
  4. Normalisatie: De totaalscores worden vervolgens genormaliseerd zodat ze binnen een gestandaardiseerde schaal van 1-10 passen. Dit gebeurt door een wiskundige formule toe te passen die de scores aanpast op basis van de maximale en minimale scores die bij alle lekken zijn waargenomen. Het normalisatieproces zorgt ervoor dat de index een consistente en vergelijkbare maat biedt voor de ernst van lekken, ongeacht de onderliggende gegevens.
  5. Toewijzing van de eindscore: De genormaliseerde scores worden gecontroleerd en gevalideerd om nauwkeurigheid en consistentie te waarborgen. Elk lek krijgt vervolgens een definitieve Risk Exposure Index op de schaal van 1-10, waarbij hogere scores duiden op ernstigere lekken die onmiddellijke aandacht en actie vereisen.

Door deze grondige methodologie toe te passen, biedt de Risk Exposure Index een betrouwbaar en bruikbaar raamwerk voor het beoordelen en beheren van risico’s op datalekken. Zo kunnen organisaties hun cyberbeveiligingsstrategieën versterken en hun gevoelige gegevens beter beschermen tegen steeds veranderende dreigingen.

Estimated Total Business Impact by Data Breach.

Analyse van de top 11 datalekken op basis van de Risk Exposure Index

Hieronder staat de gecorrigeerde ranglijst van de top 10 datalekken in de eerste helft van 2024, gebaseerd op hun Risk Exposure Index

Risk Exposure Score of the Top 11 1H 2024 Data Breaches

1. Change Healthcare (Risk Exposure: 9.46)

Beschrijving van het incident: Change Healthcare werd getroffen door een ransomware-aanval die leidde tot diefstal van gevoelige gezondheidsgegevens, waaronder persoonlijke, medische en facturatie-informatie van 100 miljoen dossiers.

Impactanalyse: Het datalek had een ernstig financieel effect, met kosten voor losgeldbetalingen, systeemherstel en juridische kosten. De operationele verstoringen waren aanzienlijk en beïnvloedden de zorgprocessen in diverse zorginstellingen. De reputatieschade was groot, wat leidde tot verlies van vertrouwen bij patiënten en partners.

Risicoverdeling:

Gelekte dossiers:
100.000.000

Geschatte financiële impact:
$17.900.000.000

Gevoeligheid van data (1-5): 5

Financiële impact (1-5): 4

Naleving regelgeving (1-5): 5

2. National Public Data (Risk Exposure: 9.46)

Beschrijving van het incident: Het datalek vond plaats op 23 december 2023. National Public Data, een databroker gespecialiseerd in achtergrondcontroles en fraudepreventiediensten, meldde dat 2,9 miljard dossiers van 1,3 miljoen mensen zijn gelekt.

Impactanalyse: De gelekte informatie omvatte burgerservicenummers, namen, e-mailadressen, telefoonnummers en postadressen.

Risicoverdeling:

Gelekte dossiers:
2.900.000.000

Geschatte financiële impact:
$501.700.000.000

Gevoeligheid van data (1-5): 5

Financiële impact (1-5): 5

Naleving regelgeving (1-5): 4

3. AT&T (Risk Exposure: 9.37)

Beschrijving van het incident: Dit datalek betrof de diefstal van 110 miljoen klantendossiers, waaronder telefoonnummers, belgeschiedenis en persoonlijke informatie, als gevolg van ongeautoriseerde toegang.

Impactanalyse: Er ontstonden aanzienlijke financiële kosten door boetes van toezichthouders en kosten voor klantnotificaties. Het datalek veroorzaakte operationele gevolgen, waaronder verstoringen van diensten en strengere controle op de data management-praktijken van AT&T. Reputatieschade leidde tot verminderd klantvertrouwen en toegenomen klantenverlies.

Voor het tweede AT&T-datalek, hoewel het exacte aantal datadossiers niet expliciet is vermeld, is het aannemelijk dat het totale aantal gecompromitteerde dossiers over beide datalekken aanzienlijk hoger is dan 110 miljoen, mogelijk in de miljarden gezien de hoeveelheid bel- en sms-gegevens over een periode van zes maanden bij zo’n grote klantenbasis.

Risicoverdeling:

Gelekte dossiers:
110.000.000

Geschatte financiële impact:
$19.690.000.000

Gevoeligheid van data (1-5): 3

Financiële impact (1-5): 5

Naleving regelgeving (1-5): 5

4. Synnovis (Risk Exposure: 9.11)

Beschrijving van het incident: Synnovis, een Brits pathologielaboratorium, werd doelwit van een ransomware-aanval waarbij gegevens over 300 miljoen patiëntinteracties werden gecompromitteerd en medische diensten werden verstoord.

Impactanalyse: De financiële impact omvatte kosten voor herstel van diensten en mogelijke boetes van toezichthouders. De operationele impact was aanzienlijk, met veel uitgestelde medische procedures en een kritieke situatie in de zorgsector. Reputatieschade tastte het vertrouwen binnen de zorggemeenschap aan.

Risicoverdeling:

Gelekte dossiers:
300.000.000

Geschatte financiële impact:
$53.700.000.000

Gevoeligheid van data (1-5): 1

Financiële impact (1-5): 5

Naleving regelgeving (1-5): 4

5. Ticketmaster (Risk Exposure: 8.79)

Beschrijving van het incident: Het datalek bij Snowflake, met gevolgen voor Ticketmaster, stelde 560 miljoen klantendossiers bloot, waaronder volledige namen, adressen, e-mailadressen, telefoonnummers en betaalkaartgegevens.

Impactanalyse: Financiële gevolgen omvatten herstelkosten en mogelijke rechtszaken. Operationele gevolgen betroffen verstoringen van klantdiensten en intensievere beveiligingsmonitoring. Reputatieschade trof zowel Snowflake als haar klanten en leidde tot zorgen over cloudbeveiliging.

Risicoverdeling:

Gelekte dossiers:
560.000.000

Geschatte financiële impact:
$100.240.000.000

Gevoeligheid van data (1-5): 2

Financiële impact (1-5): 5

Naleving regelgeving (1-5): 5

6. Kaiser (Risk Exposure: 7.60)

Beschrijving van het incident: Kaiser deelde per ongeluk privégezondheidsinformatie van 13,4 miljoen patiëntendossiers met adverteerders door trackingcodes op haar website.

Impactanalyse: Financiële gevolgen omvatten boetes van toezichthouders en juridische schikkingen. Operationele gevolgen betroffen een volledige herziening van gegevensbeheer en privacypraktijken. Het datalek veroorzaakte aanzienlijke reputatieschade en leidde tot zorgen over wet bescherming persoonsgegevens 2018.

Risicoverdeling:

Gelekte dossiers:
13.400.000

Geschatte financiële impact:
$2.398.600.000

Gevoeligheid van data (1-5): 5

Financiële impact (1-5): 4

Naleving regelgeving (1-5): 5

7. MediSecure (Risk Exposure: 7.56)

Beschrijving van het incident: MediSecure, een Australische aanbieder van recepten, werd getroffen door een ransomware-aanval waarbij de persoonlijke en gezondheidsgegevens van bijna 13 miljoen Australiërs werden gecompromitteerd.

Impactanalyse: Financiële kosten omvatten losgeldbetalingen en juridische kosten. Operationele gevolgen waren aanzienlijk, met verstoringen van zorgprocessen en uiteindelijk faillissement. Reputatieschade ondermijnde het vertrouwen van klanten en partners.

Risicoverdeling:

Gelekte dossiers:
13.000.000

Geschatte financiële impact:
$2.327.000.000

Gevoeligheid van data (1-5): 5

Financiële impact (1-5): 4

Naleving regelgeving (1-5): 3

8. USPS (Risk Exposure: 7.31)

Beschrijving van het incident: USPS deelde postadressen van ingelogde gebruikers met adverteerders zoals Meta, LinkedIn en Snap via trackingcodes.

Impactanalyse: Het datalek leidde tot financiële kosten door boetes en schikkingen. Operationele gevolgen omvatten aanpassingen in gegevensbeheer. Reputatieschade leidde tot strengere controle en zorgen over privacypraktijken.

Risicoverdeling:

Gelekte dossiers:
62.000.000

Geschatte financiële impact:
$11.098.000.000

Gevoeligheid van data (1-5): 1

Financiële impact (1-5): 4

Naleving regelgeving (1-5): 5

9. Evolve Bank (Risk Exposure: 6.83)

Beschrijving van het incident: Evolve Bank, een aanbieder van banking-as-a-service, werd getroffen door een ransomware-aanval waarbij de persoonlijke informatie van meer dan 7,6 miljoen mensen werd gecompromitteerd.

Impactanalyse: Financiële gevolgen omvatten losgeldbetalingen en boetes van toezichthouders. Operationele verstoringen waren aanzienlijk, met gevolgen voor klantdiensten en aangescherpte beveiligingsmaatregelen. Reputatieschade was groot en tastte het klantvertrouwen aan.

Risicoverdeling:

Gelekte dossiers:
7.600.000

Geschatte financiële impact:
$1.360.400.000

Gevoeligheid van data (1-5): 3

Financiële impact (1-5): 3

Naleving regelgeving (1-5): 3

10. Infosys McCamish Systems (Risk Exposure: 6.23)

Beschrijving van het incident: Het datalek betrof het blootstellen van burgerservicenummers, medische informatie en financiële gegevens, met impact op 6,1 miljoen dossiers.

Impactanalyse: Financiële gevolgen omvatten boetes van toezichthouders en kosten voor notificatie van het datalek. Operationele gevolgen betroffen verbeterde beveiligingsmaatregelen en betere bescherming van gegevens. Reputatieschade tastte het vertrouwen van klanten en partners aan.

Risicoverdeling:

Gelekte dossiers:
6.078.263

Geschatte financiële impact:
$1.074.000.000

Gevoeligheid van data (1-5): 5

Financiële impact (1-5): 2

Naleving regelgeving (1-5): 5

11. Cencora (Risk Exposure: 6.23)

Beschrijving van het incident: Het datalek betrof het blootstellen van gevoelige gezondheidsgegevens, waaronder patiëntendossiers en andere vertrouwelijke medische data, met impact op ongeveer 1 miljoen dossiers. Deze aanval op de toeleveringsketen trof gegevens van minstens 27 farmaceutische en biotechnologiebedrijven.

Impactanalyse: Het datalek leidde tot aanzienlijke financiële kosten, waaronder boetes van toezichthouders en kosten voor het informeren van getroffen personen en het implementeren van extra cyberbeveiligingsmaatregelen om toekomstige datalekken te voorkomen. De financiële gevolgen omvatten ook juridische kosten en mogelijke schikkingen met getroffen partijen.

Risicoverdeling:

Gelekte dossiers:
1.000.000

Geschatte financiële impact:
$179.000.000

Gevoeligheid van data (1-5): 5

Financiële impact (1-5): 2

Naleving regelgeving (1-5): 5

Het gebruik van de Risk Exposure Index

Onze Risk Exposure Index houdt rekening met meer dan alleen het aantal blootgestelde gegevens of het aantal getroffen slachtoffers. Deze allesomvattende benadering biedt een duidelijker inzicht in de daadwerkelijke ernst en potentiële impact van elk datalek. Hoewel een groter aantal blootgestelde gegevens kan wijzen op een aanzienlijk datalek, betekent dit niet per se dat de risico-exposure hoger is. Diverse factoren dragen bij aan de risicoscore van een datalek, waardoor het soms voorkomt dat een datalek met minder gegevens toch een hogere risicoscore heeft dan een datalek met meer gegevens.

1. Aard en gevoeligheid van de betrokken gegevens

Het type gecompromitteerde gegevens is een cruciale factor die de Risk Exposure Index beïnvloedt. Zo betrof het datalek bij Change Healthcare, waarbij 100 miljoen gegevens betrokken waren, voornamelijk persoonlijke, medische en facturatie-informatie. Dit type gegevens is zeer gevoelig en leidt tot ernstige gevolgen, zoals het onomkeerbaar verlies van gezondheidsdata, wat de risico-exposure verhoogt, zelfs bij een kleiner aantal gegevens vergeleken met andere datalekken. Ook het Cencora-datalek, waarbij slechts 1 miljoen gegevens werden blootgesteld, scoorde hoog op de risicoschaal vanwege de gevoeligheid van de betrokken gezondheidsdata. Dit toont aan dat de aard van de gegevens vaak belangrijker is dan de hoeveelheid gegevens.

2. Regelgevende en compliance-implicaties

Regelgevende implicaties kunnen de totale risico-exposure van een datalek aanzienlijk beïnvloeden. Zo had het AT&T-datalek, waarbij 110 miljoen gegevens betrokken waren, een substantiële risico-exposure, niet alleen vanwege het aantal gegevens, maar ook door mogelijke overtredingen van diverse regelgeving, waaronder de FCC Regulations, FTC Act en CCPA. Deze overtredingen kunnen leiden tot aanzienlijke boetes en sancties, wat de totale risicoscore van het datalek verhoogt. Daarentegen kan een datalek met meer gegevens, zoals bij Ticketmaster met 560 miljoen gegevens, een lagere risico-exposure hebben als de gecompromitteerde data niet tot zulke zware regelgevende gevolgen leidt.

3. Potentiële impact voorbij directe verliezen

De langetermijngevolgen van een datalek, zoals identiteitsdiefstal, financiële fraude of reputatieschade, worden ook meegenomen in de Risk Exposure Index. Het Synnovis-datalek, waarbij 300 miljoen gegevens over patiëntinteracties betrokken waren, is een voorbeeld waarbij de langdurige impact op patiëntenzorg en vertrouwen resulteerde in een hoge risicoscore. Hoewel het aantal gegevens lager was dan bij het Ticketmaster-datalek, vergrootte het potentieel voor aanhoudende schade aan patiënten en zorgprocessen de risico-exposure aanzienlijk. Dit voorbeeld laat zien dat de index rekening houdt met de bredere gevolgen van een datalek, voorbij het directe verlies van gegevens.

4. Ransomware- en afpersingsfactoren

De aanwezigheid van ransomware-eisen kan de risicoscore van een datalek ook verhogen, ongeacht het aantal blootgestelde gegevens. Zo werd bij het Synnovis-datalek een ransomware-eis van $50 miljoen gesteld, wat bijdroeg aan de hoge risicoscore. Zelfs met minder betrokken gegevens dan bij het Ticketmaster-datalek, verhogen de bijkomende kosten en risico’s van losgeldeisen, waaronder mogelijke dubbele afpersing en herstelkosten, de totale risico-exposure van het datalek.

5. De impact van gevoeligheid van gegevens en het risico op identiteitsdiefstal

De impact van de gevoeligheid van gegevens blijkt uit datalekken bij bedrijven als Change Healthcare en Synnovis, waarbij het ging om zeer gevoelige medische en persoonlijke informatie. Het potentieel voor misbruik, zoals identiteitsdiefstal en financiële fraude, draagt aanzienlijk bij aan de hogere risico-exposure van deze datalekken, zelfs in vergelijking met datalekken waarbij een grotere hoeveelheid minder gevoelige data betrokken is, zoals bij Ticketmaster.

Afsluitende gedachten

Onze analyse van de top 11 datalekken in de eerste helft van 2024 onthult diverse belangrijke inzichten in het veranderende landschap van cyberbeveiligingsdreigingen:

  1. Diversiteit aan aanvalsvectoren en toenemende complexiteit: Cybercriminelen blijven diverse aanvalsmethoden inzetten, van ransomware en ongeautoriseerde toegang tot onbedoeld delen van gegevens, elk met unieke gevolgen voor beveiligingsstrategieën. Deze diversiteit aan aanvalsvectoren benadrukt hoe belangrijk het is voor organisaties om een meerlaagse beveiligingsaanpak te hanteren die een breed scala aan potentiële dreigingen adresseert.
  2. Significante impact van ransomware: Ransomware-aanvallen, vooral gericht op waardevolle sectoren zoals de zorg en de financiële sector, blijken zowel ontwrichtend als kostbaar te zijn. Incidenten zoals die bij Change Healthcare en Synnovis tonen aan welke ernstige operationele, financiële en reputatieschade kan ontstaan. Organisaties moeten prioriteit geven aan sterke ransomware-verdediging, waaronder geavanceerde dreigingsdetectie, snelle responsmogelijkheden en uitgebreide strategieën voor databack-ups.
  3. Hoge gevoeligheid en hoeveelheid blootgestelde data: Datalekken waarbij grote hoeveelheden gevoelige informatie, met name persoonlijke en financiële gegevens, zijn betrokken, leiden consequent tot hogere risicoscores vanwege de kans op identiteitsdiefstal, financiële fraude en boetes vanuit regelgeving. Dit onderstreept de noodzaak van verbeterde gegevensbescherming, vooral voor organisaties zoals National Public Data die gevoelige data verwerken via diverse communicatietools en platforms.
  4. Kwetsbaarheden bij derden en in de toeleveringsketen: Diverse datalekken, zoals bij AT&T en Ticketmaster, hebben de kwetsbaarheden blootgelegd die gepaard gaan met derde partijen en toeleveringsketen-partners. Dit benadrukt de kritieke noodzaak van continue monitoring en robuust beheer van relaties met derden om risico’s binnen uitgebreide netwerken te beperken.
  5. Naleving van regelgeving en juridische gevolgen: Uit de analyse blijkt dat datalekken vaak leiden tot overtredingen van meerdere regelgeving, met aanzienlijke boetes en juridische consequenties tot gevolg. Organisaties moeten hun compliancekaders en gegevensbeheer versterken om regelgevende overtredingen en bijbehorende financiële sancties te voorkomen.
  6. Holistische risicobeoordeling: De bevindingen uit het rapport benadrukken het belang van het meenemen van meerdere factoren bij het beoordelen van de risico-exposure van een datalek. Het gaat niet alleen om het aantal gelekte records of de directe financiële schade; het werkelijke risico wordt vaak bepaald door een combinatie van elementen, waaronder de gevoeligheid van de gecompromitteerde data, de kans op overtredingen van regelgeving en de bredere gevolgen voor de reputatie op de lange termijn.
  7. Contextuele impact van type lek en datagevoeligheid: De bevindingen laten zien dat het type datalek en de gevoeligheid van de betrokken data cruciale factoren zijn die de totale risico-exposure beïnvloeden. Zo kan een lek met een klein aantal zeer gevoelige gegevens, zoals burgerservicenummers of medische dossiers, ernstigere gevolgen hebben dan een lek met een grote hoeveelheid minder gevoelige data. Dit toont aan dat organisaties de context en inhoud van het gelekte materiaal moeten beoordelen, niet alleen de hoeveelheid, om de potentiële impact volledig te begrijpen.

Praktische Aanbevelingen

  1. Neem een Versterkte Beveiligingsstatus aan: Organisaties dienen hun cybersecurity-raamwerken te versterken met beveiligingsmaatregelen die specifiek zijn afgestemd op het beschermen van gevoelige inhoudscommunicatie. Dit omvat de inzet van geavanceerde beveiligingsmogelijkheden zoals inbraakdetectie- en preventiesystemen, beveiligde communicatiekanalen en continue dreigingsmonitoring om ongeautoriseerde toegang te voorkomen en potentiële datalekken te beperken.

  2. Implementeer Geavanceerde Encryptietechnieken: Om de privacy en beveiliging van gevoelige gegevens te waarborgen, dienen organisaties geavanceerde encryptiemethoden toe te passen voor gegevens in rust, onderweg en in gebruik. Het versleutelen van gevoelige inhoudscommunicatie voorkomt ongeautoriseerde toegang en datalekken, zorgt voor naleving van wettelijke vereisten en beschermt gevoelige informatie.

  3. Zet Next-gen Digital Rights Management (DRM) in: Organisaties moeten robuuste digital rights management-strategieën implementeren om toegang tot gevoelige inhoud te controleren en te monitoren. Dit omvat het definiëren van toegangsrechten, het volgen van documentgebruik en het toepassen van controles om ongeautoriseerd delen of misbruik van gevoelige informatie te voorkomen. Zo wordt het risico op datalekken verkleind en wordt voldaan aan regelgeving voor gegevensbescherming.

  4. Versterk Praktijken voor Risicobeheer door Derden: Beoordeel en monitor regelmatig de beveiligingspraktijken van externe leveranciers en partners om risico’s te beperken die samenhangen met uitgebreide netwerken. Dit houdt in dat er strenge beveiligingsvereisten worden gesteld aan interacties met derden en dat er beveiligde communicatieprotocollen worden geïmplementeerd om gevoelige gegevens die met externe partijen worden gedeeld te beschermen.

  5. Focus op Gevoeligheid van Gegevens en Naleving: Versterk gegevensbeschermingspraktijken door de beveiliging van zeer gevoelige informatie prioriteit te geven via toegangscontroles, encryptie en uitgebreide monitoring. Zorg voor naleving van wet bescherming persoonsgegevens 2018 door regelmatig audits uit te voeren op gegevensverwerking en een solide governance-framework te onderhouden om gevoelige inhoudscommunicatie te beschermen.

Toekomstperspectief

Nu cyberdreigingen blijven toenemen in complexiteit en omvang, moeten organisaties waakzaam en proactief blijven in hun cyberbeveiligingsinspanningen. De groeiende afhankelijkheid van digitale platforms en diensten van derden zal het aanvalsoppervlak waarschijnlijk vergroten, waardoor uitgebreid risicobeheer belangrijker wordt dan ooit. Door gebruik te maken van tools zoals de Risk Exposure Index en een toekomstgerichte benadering van cyberbeveiliging te hanteren, kunnen organisaties zichzelf beter beschermen tegen toekomstige datalekken en de potentiële impact minimaliseren.

Foreword

Risk Exposure Index Algorithm

Beoordelingscriteria

  1. Aantal blootgestelde records:
    • Meer dan 100.000.000: 6 punten
    • 10.000.001-100.000.000: 5 punten
    • 1.000.001-10.000.000: 4 punten
    • 100.001-1.000.000: 3 punten
    • 10.001-100.000: 2 punten
    • 1-10.000: 1 punt
  2. Geschatte financiële impact:
    • Meer dan $10.000.000.000: 6 punten
    • $1.000.000.001-$10.000.000.000: 5 punten
    • $100.000.001-$1.000.000.000: 4 punten
    • $10.000.001-$100.000.000: 3 punten
    • $1.000.001-$10.000.000: 2 punten
    • $1-$1.000.000: 1 punt
  3. Betrokkenheid van ransomware:
    • Ja: 1 punt
    • Nee: 0 punten
  4. Gevoeligheid van gegevens:
    • 5 punten (Extreem gevoelige gegevens): Datalekken waarbij zeer vertrouwelijke informatie betrokken is, zoals burgerservicenummers, medische dossiers, biometrische gegevens of zeer vertrouwelijke bedrijfsinformatie die ernstige schade of onherstelbare gevolgen kan veroorzaken als deze wordt blootgesteld.
    • 4 punten (Zeer gevoelige gegevens): Datalekken met meer gevoelige informatie zoals financiële details (creditcardnummers, bankrekeninggegevens), gezondheidsinformatie of gegevens die kunnen leiden tot identiteitsdiefstal of fraude.
    • 3 punten (Gevoelige gegevens): Datalekken met persoonlijk identificeerbare informatie (PII) zoals e-mailadressen, telefoonnummers of andere persoonlijke gegevens die mogelijk gebruikt kunnen worden voor phishing of spam.
    • 2 punten (Matige gevoeligheid): Gegevens die niet-openbaar zijn, maar minder gevoelig, zoals namen, adressen of contactinformatie die eenvoudig te verkrijgen zijn maar geen significant risico vormen als ze worden blootgesteld.
    • 1 punt (Lage gevoeligheid): Datalekken met gegevens die niet gevoelig zijn of al openbaar beschikbaar, zoals generieke of geanonimiseerde datasets zonder PII of gevoelige persoonsgegevens.
  5. Ernst:
    • 5 punten (Kritieke impact): Catastrofale impact met ernstige financiële gevolgen, grote risico’s voor de volksgezondheid, grootschalige identiteitsdiefstal of een zware reputatieschade die leidt tot blijvend verlies van vertrouwen.
    • 4 punten (Grote impact): Aanzienlijke gevolgen, waaronder uitgebreide identiteitsdiefstal, fraudegevallen, substantiële financiële verliezen of boetes van toezichthouders.
    • 3 punten (Matige impact): Matige schade, zoals beperkte financiële verliezen of reputatieschade, enkele gevallen van identiteitsdiefstal of matige controle door toezichthouders.
    • 2 punten (Lage impact): Kleine verstoringen, minimale financiële impact of beperkte blootstelling zonder significante schade voor individuen of organisaties.
    • 1 punt (Minimale impact): Datalekken met weinig tot geen impact op de organisatie of individuen, mogelijk door tijdige indamming of het ontbreken van waardevolle gegevens.
  6. Aantal getroffen regelgeving:
    • 5 of meer regelgevingen: 5 punten
    • 4 regelgevingen: 4 punten
    • 3 regelgevingen: 3 punten
    • 2 regelgevingen: 2 punten
    • 1 regelgeving: 1 punt

Details van het algoritme

  1. Tel de punten van alle zes criteria bij elkaar op.
  2. Deel de som door 2,8 om de score te normaliseren naar een schaal van 1-10.
  3. Rond het resultaat af op twee decimalen.
Algoritme

Juridische disclaimer:

Dit onderzoeksrapport bevat bevindingen die zijn verkregen met behulp van algoritmische analyse en kunstmatige intelligentie (AI)-technologieën. Let op het volgende:

Experimenteel karakter: De AI- en algoritmische methoden die in dit onderzoek zijn gebruikt, zijn experimenteel. Hoewel we ons best hebben gedaan om de nauwkeurigheid te waarborgen, kunnen we de volledige betrouwbaarheid of doeltreffendheid van deze technologieën niet garanderen.

Geen professioneel advies: De bevindingen in dit rapport vormen geen professioneel, juridisch, financieel of ander deskundig advies. Lezers dienen niet uitsluitend op deze resultaten te vertrouwen bij het nemen van belangrijke beslissingen.

Mogelijkheid tot fouten: Ondanks onze inspanningen kunnen de gebruikte AI en algoritmen fouten, vooringenomenheid of onnauwkeurigheden bevatten. De resultaten dienen met voorzichtigheid te worden geïnterpreteerd en waar van kritiek belang, onafhankelijk te worden geverifieerd.

Beperkingen van AI: De gebruikte AI-systemen hebben inherente beperkingen en houden mogelijk geen rekening met alle variabelen of specifieke omstandigheden die relevant zijn voor individuele gevallen.

Menselijke controle: Hoewel AI en algoritmen zijn ingezet, hebben menselijke onderzoekers de resultaten beoordeeld en geïnterpreteerd. Dit garandeert echter niet de afwezigheid van fouten of vooringenomenheid.

Geen aansprakelijkheid: Wij wijzen alle aansprakelijkheid af voor eventuele verliezen, schade of gevolgen die kunnen voortvloeien uit het gebruik of misbruik van de informatie in dit rapport.

Voortdurende ontwikkeling: AI- en algoritmische technologieën ontwikkelen zich snel. De in dit onderzoek gebruikte methoden kunnen in de toekomst worden verbeterd of aangepast.

Door toegang te krijgen tot en gebruik te maken van dit onderzoeksrapport, erkent u dat u deze voorwaarden hebt gelezen, begrepen en ermee akkoord gaat.

  1. “2023 Datalekken Rapport,” Identity Theft Resource Center, januari 2024.
  2. “Kosten van een Datalek Rapport 2024,” IBM, juli 2024.
  3. “2024 Datalekken Onderzoeksrapport,” Verizon, april 2024.
  4. “Privacy in de praktijk 2024,” ISACA, januari 2024.
  1. “Kosten van een Datalek Rapport 2024,” IBM, juli 2024.
  2. “Enforcement Tracker Database,” CMS, geraadpleegd op 2 september 2024.
  3. “2024 Datalekken Onderzoeksrapport,” Verizon, mei 2024.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks