Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > Top 11 Datalekken van 2024: Waarom Gevoeligheid van Gegevens Belangrijker Is dan Aantal Records bij het Meten van de Werkelijke Impact
Top 11 Datalekken van 2024: Waarom Gevoeligheid van Gegevens Belangrijker Is dan Aantal Records bij het Meten van de Werkelijke Impact

Top 11 Datalekken van 2024: Waarom Gevoeligheid van Gegevens Belangrijker Is dan Aantal Records bij het Meten van de Werkelijke Impact

by Patrick Spencer updated april 14, 2025 Beheer van cyberbeveiligingsrisico's
Reading Time: 6 minutes

Datalekken komen steeds vaker voor, maar de werkelijke impact reikt veel verder dan de cijfers in de krantenkoppen. Het recent gepubliceerde Kiteworks-rapport “Top 11 Datalekken van 2024” past een geavanceerde Risk Exposure Index toe om de ernst van datalekken over diverse dimensies te meten, en onthult verrassende inzichten over wat nu echt de impact van een datalek bepaalt. Uit deze analyse blijkt dat de gevoeligheid van gegevens zwaarder weegt dan het aantal records bij het bepalen van de ernst van een datalek—het bewijst dat wat er gestolen is belangrijker is dan hoeveel er is buitgemaakt.

Veranderend Dataleklandschap

De schaal van dataverlies bereikte in 2024 ongekende hoogten, met meer dan 1,7 miljard mensen die een melding van een datalek ontvingen. Organisaties rapporteerden 4.876 datalekincidenten aan toezichthouders, een stijging van 22% ten opzichte van 2023. Nog zorgwekkender was de enorme toename van het aantal gecompromitteerde records, dat jaar-op-jaar met 178% steeg tot 4,2 miljard blootgestelde records.

Deze ongekende schaal werd grotendeels veroorzaakt door diverse “mega-datalekken”, waaronder het National Public Data-incident dat alleen al 2,9 miljard records compromitteerde. Vergeleken met het vijfjarig historisch gemiddelde vormt 2024 een belangrijk keerpunt, waarbij de impact van datalekken exponentieel in plaats van lineair toeneemt.

Er vond een opvallende verschuiving plaats in de doelwitsectoren: de financiële sector passeerde voor het eerst sinds 2018 de zorgsector als meest getroffen branche. Financiële instellingen waren goed voor 27% van de grote datalekken, gevolgd door zorg (23%), overheid (18%), retail (14%) en technologie (12%). Deze verschuiving weerspiegelt de veranderende prioriteiten van dreigingsactoren, die steeds vaker financiële data aanvallen vanwege de mogelijkheid tot directe winst.

Opkomende dreigingsvectoren in 2024 waren onder andere API-kwetsbaarheden, exploits door verkeerde cloudconfiguraties, identiteitsgebaseerde aanvallen en zero-day kwetsbaarheden, met een recordaantal van 90 ontdekte en misbruikte zero-days.

Belangrijkste inzichten

  1. Waarom is de gevoeligheid van data belangrijker dan het aantal records bij een datalek?

    De gevoeligheid van data bepaalt de potentiële schade van een datalek. Gevoelige gegevens zoals zorgdossiers of financiële documenten hebben een grotere impact op individuen en organisaties dan grote hoeveelheden minder kritieke data.

  2. Wat is de Risk Exposure Index (REI) die in het rapport wordt gebruikt?

    De REI is een gewogen scoresysteem dat de ernst van een datalek meet op basis van zeven factoren, waaronder datagevoeligheid, financiële impact, gevolgen voor regelgeving en complexiteit van de aanval. Het biedt een multidimensionaal beeld van het risico van een datalek, verder dan alleen het aantal records.

  3. Waarom was het National Public Data-datalek zo ernstig?

    Hoewel er een recordaantal van 2,9 miljard records werd blootgesteld, kwam de ernst voort uit de gevoelige aard van de gestolen data en de complexe, negen maanden onopgemerkte aanval. Het scoorde het hoogst op de Risk Exposure Index door de combinatie van datagevoeligheid, financiële impact en effecten op de toeleveringsketen.

  4. Hoe is het dreigingslandschap in 2024 veranderd?

    In 2024 werd de financiële sector het meest aangevallen. Aanvallers maakten steeds vaker misbruik van zero-day kwetsbaarheden, API’s, verkeerde cloudconfiguraties en identiteitsgebaseerde vectoren, waarbij aanvallen op basis van inloggegevens bijna de helft van de grote datalekken veroorzaakten.

  5. Waarop moeten organisaties zich richten om de impact van datalekken te verkleinen?

    Zij moeten zich richten op het beschermen van de meest gevoelige data, het versterken van risicobeheer door derden en het implementeren van zero-trust beveiligingsmodellen. Ransomware-verdediging moet zowel operationele continuïteit als gegevensbescherming ondersteunen.

De Risk Exposure Index begrijpen

De Risk Exposure Index (REI) biedt een gestandaardiseerde methodologie voor het beoordelen en vergelijken van de ernst en impact van datalekken. Hoewel traditionele maatstaven zoals het aantal blootgestelde records waardevol inzicht bieden, vangen ze niet de multidimensionale aard van de impact van een datalek. De REI ondervangt deze beperking door zeven kernfactoren te integreren die samen een meer volledige beoordeling van de ernst van een datalek geven.

Deze kernfactoren zijn onder andere:

  1. Aantal blootgestelde records (Weging: 15%): Het ruwe aantal gecompromitteerde individuele records vormt de basis van de beoordeling.
  2. Inschatting van financiële impact (Weging: 20%): Berekend met een eigen model dat directe en indirecte kosten meeneemt.
  3. Classificatie van datagevoeligheid (Weging: 20%): Niet alle data heeft dezelfde waarde of risico. Gecompromitteerde data wordt ingedeeld op gevoeligheid, van basiscontactgegevens tot beschermde gezondheidsinformatie.
  4. Gevolgen voor naleving van regelgeving (Weging: 15%): Beoordeelt het relevante regelgevingslandschap, inclusief mogelijke boetes en meldingsvereiste.
  5. Ransomware-betrokkenheid (Weging: 10%): Kijkt of ransomware betrokken was en de duur van de operationele impact.
  6. Impact op de toeleveringsketen (Weging: 10%): Evalueert het cascade-effect van het datalek op verbonden organisaties.
  7. Complexiteit van de aanvalsvector (Weging: 10%): Beoordeelt de technische complexiteit van de aanval.

Elke factor wordt afzonderlijk gescoord op een schaal van 1-10, naar verhouding gewogen en gecombineerd tot een uiteindelijke REI-score van 1 (minimale impact) tot 10 (catastrofale impact).

National Public Data: Anatomie van het datalek met het hoogste risico

Het National Public Data-datalek is het grootste datalek in de geschiedenis qua hoeveelheid blootgestelde records. Het lek bleef ongeveer negen maanden onopgemerkt voordat het werd ontdekt. De aanvallers maakten misbruik van een niet-gepatchte kwetsbaarheid in de API-gateway van het bedrijf, waardoor ze geleidelijk data konden onttrekken via een reeks langzame, subtiele queries die detectiesystemen omzeilden.

Na het verwijderen van duplicaten werden naar schatting 1,2 miljard unieke personen getroffen. Gecompromitteerde gegevens omvatten volledige namen, burgerservicenummers, woonadressen, telefoonnummers, e-mailadressen, informatie over eigendom van onroerend goed, rechtbankgegevens en gegevens over kiezersregistratie.

De geschatte financiële impact bedraagt meer dan $10 miljard, inclusief directe kosten voor melding, kredietbewakingsdiensten, juridische kosten en boetes van toezichthouders, evenals indirecte kosten door bedrijfsverstoring, klantenverlies en reputatieschade. De aandelenkoers van National Public Data daalde met 42% in de week na de bekendmaking van het datalek, waarmee $3,8 miljard aan marktwaarde verdween.

Dit datalek kreeg de hoogste risicoscore (8,93) van alle geanalyseerde incidenten, met bijzonder hoge scores voor Complexiteit van de aanvalsvector (8,4) en Impact op de toeleveringsketen (8,5).

Change Healthcare: De perfecte storm in de toeleveringsketen

Het Change Healthcare-datalek is een van de meest ontwrichtende cybersecurity-incidenten in de geschiedenis van de zorg. De aanval leidde tot een volledige stillegging van de claimsverwerkingsinfrastructuur van het bedrijf gedurende 26 dagen, waardoor een landelijke betalingscrisis in de zorg ontstond die duizenden zorgverleners trof.

Hoewel de verstoring van zorgprocessen de meeste publieke aandacht kreeg, raakte het datadiefstalcomponent 190 miljoen mensen van wie de zorgdeclaratiegegevens werden gestolen vóór de inzet van ransomware.

De geschatte financiële impact bedraagt $32,1 miljard, inclusief directe kosten voor Change Healthcare en UnitedHealth Group (waaronder de $22 miljoen losgeldbetaling) en de enorme gevolgen voor de hele zorgketen. Duizenden zorgverleners kregen te maken met liquiditeitsproblemen tijdens de storing, waarbij veel kleinere praktijken noodleningen moesten afsluiten om te kunnen blijven functioneren.

Dit datalek kreeg een perfecte 10,0 voor Impact op de toeleveringsketen—de hoogst mogelijke score—wat de catastrofale gevolgen voor duizenden zorgverleners in het hele land weerspiegelt.

Belangrijkste inzichten uit de Top 11 Datalekken

Analyse van de top 11 datalekken laat diverse dominante aanvalsvectoren zien. Aanvallen op basis van inloggegevens waren het initiële toegangspunt bij 5 van de 11 grote datalekken, wat aantoont dat aanvallers ondanks geavanceerde beveiligingsmaatregelen nog steeds het menselijke element benutten.

De meest complexe aanvallen tonen meerdere geavanceerde kenmerken, waaronder geavanceerde persistentietechnieken, zero-day-exploits en sociale engineering. Daarentegen veroorzaakten datalekken met lagere complexiteit nog steeds aanzienlijke schade via eenvoudigere vectoren, zoals het AT&T-lek dat ontstond door een verkeerd geconfigureerde Amazon S3-bucket.

Het Change Healthcare-datalek maakte misbruik van een kwetsbaarheid slechts 16 dagen na het uitbrengen van de patch, wat het steeds kleiner wordende venster benadrukt waarbinnen organisaties kritieke updates moeten doorvoeren.

Wat bepaalt nu echt de ernst van een datalek?

Het aantal records toont een matige positieve correlatie (r=0,61) met de totale risicoscore, wat het belang bevestigt maar ook aantoont dat het verre van de enige belangrijke factor is. De relatie lijkt niet-lineair, met een afnemende marginale impact naarmate het aantal records boven de 100 miljoen uitkomt.

Financiële impact vertoont de sterkste correlatie met de totale risicoscore (r=0,84), wat de rol weerspiegelt als zowel gevolg van andere factoren als directe maatstaf voor schade aan organisaties.

Datagevoeligheid laat een sterke correlatie zien met de risicoscore (r=0,78), met name bij datalekken in de zorg en de financiële sector. De analyse identificeert een hiërarchie in datagevoeligheid die consequent de impact van een datalek beïnvloedt, van beschermde gezondheidsinformatie aan de top tot basiscontactgegevens onderaan.

Hiërarchie van datagevoeligheid bij datalekken

De analyse van de Top 11 Datalekken toont een duidelijke hiërarchie in datagevoeligheid die consequent de impact van een datalek bepaalt:

  1. Beschermde gezondheidsinformatie met behandelgegevens
  2. Financiële documentatie (belastingaangiften, inkomensbewijs)
  3. Volledige betaalkaartgegevens met CVV-code
  4. Burgerservicenummers
  5. Authenticatiegegevens
  6. Contactinformatie en basispersoonlijke gegevens

Organisaties moeten hun beveiligingsmaatregelen en monitoring afstemmen op deze hiërarchie, waarbij de strengste bescherming wordt toegepast op de meest gevoelige datacategorieën.

Multifactoraanalyse over alle datalekken laat zien dat de drie meest invloedrijke factoren voor de ernst van een datalek zijn:

  1. Datagevoeligheid (24% invloed)
  2. Financiële impact (22% invloed)
  3. Naleving van regelgeving (18% invloed)

Het dubbele impactpatroon van ransomware

Ransomware-betrokkenheid toont een duidelijke, maar niet dominante correlatie met de risicoscore (r=0,47). De correlatie wordt echter aanzienlijk sterker (r=0,76) wanneer alleen naar operationele impact wordt gekeken in plaats van de totale risicoscore, wat weerspiegelt dat ransomware vooral de bedrijfscontinuïteit raakt en minder de vertrouwelijkheid van data.

Dit suggereert dat organisaties dubbele verdedigingsstrategieën moeten ontwikkelen die zich richten op zowel bedrijfscontinuïteit als gegevensbescherming.

Risico’s in de toeleveringsketen en door derden

Kwetsbaarheden bij derden waren de toegangspoort voor 64% van de grote datalekken, wat bewijst dat uw beveiliging slechts zo sterk is als uw zwakste leverancier. De volwassenheid van programma’s voor risicobeheer door derden blijft aanzienlijk achter bij andere beveiligingsdomeinen, waardoor een systematische kwetsbaarheid ontstaat die dreigingsactoren steeds vaker benutten.

Organisaties moeten erkennen dat hun beveiligingsperimeter zich nu uitstrekt tot de volledige digitale toeleveringsketen. Grondige leveranciersbeoordeling, continue monitoring en gevalideerde beveiligingsvereiste moeten standaardpraktijken worden in plaats van afvinkvakjes voor naleving.

Strategische beveiligingsimplicaties

De bevindingen uit de Risk Exposure Index-analyse bieden duidelijke strategische implicaties voor organisaties:

  • Prioriteer beveiligingsmaatregelen op basis van datagevoeligheid in plaats van hoeveelheid
  • Implementeer zero-trust architectuur gezien de dominante rol van aanvallen op basis van inloggegevens
  • Ontwikkel dataminimalisatiestrategieën om de potentiële impact van datalekken te verkleinen
  • Stel geavanceerde monitoring in voor risico’s door derden
  • Maak incident response plannen die rekening houden met impact op het hele ecosysteem
  • Behandel ransomware-verdediging als investering in zowel bedrijfscontinuïteit als gegevensbescherming
  • Integreer naleving van regelgeving in beveiligingsprogramma’s in plaats van het als aparte functie te behandelen

Nu dreigingsactoren hun technieken blijven verfijnen, moeten organisaties vooroplopen met continue monitoring, robuuste toegangscontroles en sterkere naleving van regelgeving. Door deze maatregelen te implementeren en te focussen op beveiligingsmodellen op basis van datagevoeligheid, kunnen bedrijven hun risico verkleinen en hun gevoelige data beter beschermen in een steeds vijandiger digitaal landschap.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks