Samenvatting voor Executives
Het 2024 Top 11 Datalekken Rapport biedt een diepgaande analyse van de meest significante datalekken van het afgelopen jaar, waarbij onze eigen Risk Exposure Index wordt gebruikt om hun impact te kwantificeren en te vergelijken.1 Ons onderzoek laat een zorgwekkende ontwikkeling zien in het landschap van datalekken, met een opvallende verschuiving van de zorgsector naar de financiële sector als meest aangevallen branche. De schaal van dataverlies bereikte ongekende hoogten, met meer dan 1,7 miljard mensen die in 2024 alleen al een melding van een datalek ontvingen.2
1,7 miljard mensen ontvingen in 2024 een melding van een datalek.
De Risk Exposure Index-beoordeling van deze datalekken toont aan dat het aantal blootgestelde records, hoewel belangrijk, slechts een deel van het verhaal vertelt. Onze multifactoranalyse omvat gegevensgevoeligheid, financiële impact, gevolgen voor regelgeving en de complexiteit van de aanval om een nauwkeuriger beeld te geven van het risico voor organisaties en consumenten. Tien van de elf datalekken in dit rapport werden uitgebreid beschreven in het Identity Theft Resource Center (ITRC) 2024 Data Breach Report.3 Het National Public Data-datalek, dat niet in het ITRC-rapport stond, behaalde de hoogste risicoscore (8,93) vanwege de ongekende schaal van 2,9 miljard blootgestelde records, terwijl het Change Healthcare-lek, hoewel kleiner qua aantal records, op de tweede plaats stond (8,57) vanwege de catastrofale impact op het zorgproces.
Kwetsbaarheden bij derden waren de oorzaak van 64% van de grote datalekken, wat aantoont dat uw beveiliging slechts zo sterk is als uw zwakste leverancier.
Ransomware speelde opnieuw een grote rol en kwam voor in drie van de top 11 datalekken, waarbij de Change Healthcare-ransomwarebetaling van $22 miljoen het meest opviel. Onze analyse laat verder zien dat risico’s bij derden en kwetsbaarheden in de toeleveringsketen bijdroegen aan 64% van deze grote incidenten, wat het cruciale belang onderstreept van uitgebreide programma’s voor risicobeheer bij leveranciers.
Het National Public Data-datalek stelde 2,9 miljard records bloot en behaalde de hoogste Risk Exposure Index-score van 8,93.
Organisaties moeten prioriteit geven aan de implementatie van zero-trust architectuur, dataminimalisatie toepassen en hun incident response-capaciteiten versterken om soortgelijke risico’s te beperken. Het veranderende dreigingslandschap, vooral met AI-gedreven aanvalsvectoren in het vooruitzicht, vereist voortdurende aanpassing van de beveiligingsstatus en investeringen in geavanceerde verdedigingsoplossingen.
Datalekkenlandschap 2024
Het datalekkenlandschap van 2024 liet een zorgwekkende versnelling zien in zowel frequentie als impact ten opzichte van voorgaande jaren. Organisaties meldden 4.876 datalekken bij toezichthouders, wat een stijging van 22% betekent ten opzichte van de cijfers uit 2023. Nog zorgwekkender was de dramatische toename in de hoeveelheid gecompromitteerde gegevens, die met 178% steeg ten opzichte van het voorgaande jaar en uitkwam op 4,2 miljard blootgestelde records.
Deze ongekende schaal werd grotendeels veroorzaakt door diverse “mega-datalekken”, waaronder het National Public Data-incident waarbij alleen al 2,9 miljard records werden gecompromitteerd. In vergelijking met het vijfjarig historisch gemiddelde vormt 2024 een belangrijk keerpunt, waarbij de impact van datalekken exponentieel in plaats van lineair toeneemt.
Er vond een opvallende verschuiving plaats in de doelwitten per sector: de financiële sector haalde voor het eerst sinds 2018 de zorgprocessen in als meest getroffen sector. Financiële instellingen waren verantwoordelijk voor 27% van de grote datalekken, gevolgd door zorgprocessen (23%), overheid (18%), detailhandel (14%) en technologie (12%). Deze verschuiving weerspiegelt de veranderende prioriteiten van dreigingsactoren, die steeds vaker financiële data aanvallen vanwege de mogelijkheid tot directe winst.
Opkomende dreigingsvectoren geïdentificeerd in 2024 zijn onder andere:
- Het aantal API’s steeg met 167% het afgelopen jaar4
- Cloud-misconfiguratie-exploits, die met 47% toenamen ten opzichte van het voorgaande jaar5
- Identiteitsgebaseerde aanvallen, met name die waarbij gecompromitteerde inloggegevens worden gebruikt
- Zero-day kwetsbaarheden, met een recordaantal van 90 ontdekte en misbruikte zero-days afgelopen jaar6
Risico’s in de toeleveringsketen en door derden kwamen sterk naar voren, waarbij 45% van de grootste datalekken een leverancier- of partnercomponent bevatte.7 Dit onderstreept het cruciale belang van uitgebreid risicobeheer door derden en de uitdagingen bij het beveiligen van complexe digitale ecosystemen.
Het regelgevingslandschap bleef zich ontwikkelen, met de invoering van nieuwe privacywetten in staten als Oregon, Michigan en Pennsylvania, wat zorgde voor een steeds complexere nalevingsomgeving. Ook federale regelgeving werd aangescherpt: de cybersecurity-rapportageregels van de SEC leidden tot aanzienlijke boetes bij gebrekkige rapportage, en de FTC trad streng op tegen organisaties met onvoldoende beveiligingsmaatregelen.
De financiële sector haalde in 2024 de zorgprocessen in als meest getroffen sector en was verantwoordelijk voor 27% van de grote datalekken.
Het datalekkenlandschap groeide exponentieel met 4,2 miljard blootgestelde records—een verbluffende 178% stijging ten opzichte van het voorgaande jaar.
Risk Exposure Index: Een Allesomvattend Meetkader
De Risk Exposure Index (REI) biedt een gestandaardiseerde methodologie voor het beoordelen en vergelijken van de ernst en impact van datalekken. Waar traditionele maatstaven, zoals het aantal blootgestelde records, waardevol inzicht geven, vangen ze niet de multidimensionale aard van de impact van een datalek. De REI pakt deze beperking aan door zeven belangrijke factoren te integreren die samen een vollediger beeld geven van de ernst van een datalek.
Belangrijke Factoren in de Risk Exposure Index
- Aantal blootgestelde records (Weging: 15%) Het ruwe aantal individuele records dat bij het datalek is gecompromitteerd vormt de basis van onze beoordeling. Deze factor kan echter misleidend zijn, omdat het geen rekening houdt met de gevoeligheid van de data of de gevolgen verderop in de keten.
- Inschatting van financiële impact (Weging: 20%) We berekenen de geschatte financiële impact met een eigen model dat directe kosten (herstel, notificatie, juridische kosten) en indirecte kosten (bedrijfsverstoring, klantenverlies, reputatieschade) meeneemt. Het model past sectorspecifieke vermenigvuldigingsfactoren toe op basis van historische data over datalekken.
- Classificatie van datagevoeligheid (Weging: 20%) Niet alle data heeft dezelfde waarde of risico. We categoriseren gecompromitteerde data in niveaus op basis van gevoeligheid:
- Niveau 1: Publiek beschikbare informatie (namen, e-mailadressen)
- Niveau 2: Persoonlijk identificeerbare informatie (geboortedata, adressen)
- Niveau 3: Gevoelige persoonlijke informatie (burgerservicenummers, financiële accountgegevens)
- Niveau 4: Beschermde gezondheidsinformatie of geclassificeerde data
- Gevolgen voor naleving van regelgeving (Weging: 15%) Deze factor beoordeelt het regelgevend landschap dat van toepassing is op het datalek, inclusief het aantal en de strengheid van de betrokken regelgeving (GDPR, CCPA, HIPAA, enz.), mogelijke boetes en meldingsvereisten.
- Betrokkenheid van ransomware (Weging: 10%) Ransomware-aanvallen duiden vaak op een hoger niveau van operationele verstoring en geavanceerde dreigingsactoren. Deze factor kijkt naar de betrokkenheid van ransomware, het geëiste losgeldbedrag, of er betaald is en de duur van de operationele impact.
- Beoordeling van impact op de toeleveringsketen (Weging: 10%) Deze factor evalueert het cascade-effect van het datalek op verbonden organisaties, met name relevant voor incidenten zoals het Change Healthcare-lek dat duizenden zorgverleners downstream heeft verstoord.
- Complexiteit van de aanvalsvector (Weging: 10%) We beoordelen de technische complexiteit van de aanval, waaronder het uitbuiten van zero-day kwetsbaarheden, het gebruik van geavanceerde persistentietechnieken of het toepassen van nieuwe aanvalsmethodologieën.
Normalisatie- en Scoreproces
Om een gestandaardiseerde schaal te creëren, wordt elke factor afzonderlijk gescoord op een schaal van 1-10, gewogen volgens de bovenstaande percentages en vervolgens gecombineerd tot een uiteindelijke REI-score van 1 (minimale impact) tot 10 (catastrofale impact). Dit normalisatieproces maakt zinvolle vergelijkingen mogelijk tussen datalekken van verschillende typen en schaal.
De interpretatie van de score verloopt volgens deze algemene richtlijnen:
- 8,5-10: Catastrofale impact met uitgebreide datacompromittering en ernstige gevolgen
- 7,0-8,4: Ernstige impact met aanzienlijke blootstelling van data en substantiële gevolgen
- 5,5-6,9: Matige tot hoge impact met betekenisvolle blootstelling van data en merkbare gevolgen
- 4,0-5,4: Matige impact met beperkte blootstelling van data en beheersbare gevolgen
- 1,0-3,9: Beperkte impact met minimale blootstelling van data en geringe gevolgen
De REI biedt beveiligingsleiders, bestuurders en risicomanagers een genuanceerder inzicht in de ernst van datalekken dan alleen de kopcijfers. Dit maakt effectievere vergelijking van incidenten mogelijk, zorgt voor nauwkeurigere risicobeoordeling, helderdere communicatie met stakeholders en beter onderbouwde beslissingen over investeringen in beveiliging.
Top 11 Datalekken op basis van Risk Exposure Index
| Datalek | Impact op toeleveringsketen | Complexiteit van aanvalsvector | Risk Exposure Index |
|---|---|---|---|
| National Public Data | 8.5 | 8.4 | 8.93 |
| Change Healthcare | 10.0 | 8.2 | 8.7 |
| Ticketmaster Entertainment | 6.8 | 8.2 | 8.7 |
| AT&T | 5.4 | 6.5 | 8.5 |
| Hot Topic | 8.2 | 7.8 | 7.7 |
| LoanDepot | 4.2 | 7.1 | 7.6 |
| Kaiser Foundation Health Plan | 7.8 | 6.9 | 7.6 |
| Dell Technologies | 5.9 | 7.4 | 7.2 |
| DemandScience by Pure Incubation | 6.9 | 5.4 | 7.14 |
| MC2 Data | 5.2 | 5.7 | 6.9 |
| U.S. EPA | 4.2 | 6.8 | 6.2 |
Tabel 1: Top 11 Datalekken
Samenvatting van de Top 11 Datalekken in 2024
| Rang | Datalek | Aantal getroffen records | Geschatte totale zakelijke impact | Type blootgestelde gegevens | Schendingen van regelgeving | Eis tot ransomware |
|---|---|---|---|---|---|---|
| 1 | National Public Data | 2.900.000.000 | >$10.000.000.000 (geschat) | Persoonsgegevens (PII) | GDPR, Amerikaanse staatswetten voor gegevensprivacy, Canada’s PIPEDA (Bevestigd) | Nee |
| 2 | Change Healthcare | 190.000.000 | $32.110.000.000 | PHI en persoonsgegevens (PII) | HIPAA (Bevestigd) | Ja |
| 3 | Ticketmaster Entertainment | 560.000.000 | $94.640.000.000 | Persoonlijke informatie (afgeleid) | GDPR, CCPA (Bevestigd) | Ja |
| 4 | AT&T | 110.000.000 | $18.590.000.000 | Persoonsgegevens (PII) | Amerikaanse staatswetten voor gegevensprivacy, FTC-richtlijnen (Bevestigd) | Nee |
| 5 | Hot Topic | 56.904.909 | $9.616.929.621 | Persoonsgegevens (PII) | GDPR, Amerikaanse staatswetten voor gegevensprivacy | Geen bewijs |
| 6 | LoanDepot | 16.924.071 | $2.860.168.000 | Persoonsgegevens (PII) | GLBA, Amerikaanse staatswetten voor gegevensprivacy (Bevestigd) | Ja (Gevraagd, niet betaald) |
| 7 | Kaiser Foundation Health Plan | 13.400.000 | $2.262.600.000 | PHI (afgeleid) | HIPAA (Bevestigd) | Nee |
| 8 | Dell Technologies | 49.000.000 | $8.281.000.000 | Persoonsgegevens (PII) en gevoelige IP | GDPR, Amerikaanse staatswetten voor gegevensprivacy, Ierse DPC | Nee (Niet ransomware-gerelateerd) |
| 9 | DemandScience by Pure Incubation | 122.796.165 | $20.752.551.885 | Marketinggegevens | GDPR, Amerikaanse staatswetten voor gegevensprivacy | Nee |
| 10 | MC2 Data | 100.000.000 | $16.900.000.000 | Persoonsgegevens (PII) | Amerikaanse staatswetten voor gegevensprivacy, FCRA | Nee |
| 11 | U.S. EPA | 8.460.182 | $1.429.770.758 | Persoonsgegevens (PII) | FISMA (Bevestigd) | Nee |
Tabel 2: Samenvatting van Datalekken
Analyse van de Top 11 Datalekken van 2024
1. National Public Data – RISICOSCORE: 8,93
Beschrijving van het incident en tijdlijn
Het datalek bij National Public Data, ontdekt op 12 maart 2024, geldt als het grootste datalek in de geschiedenis qua hoeveelheid blootgestelde gegevens. Het lek bleef ongeveer negen maanden onopgemerkt, totdat beveiligingsonderzoeker Marcus Chen verdachte datasamples vond op een darkwebforum. National Public Data, een data-aggregatiebedrijf dat openbare gegevens verzamelt en verwerkt voor zakelijke klanten, bevestigde het datalek op 15 maart en startte het notificatieproces op 2 april 2024.8
Aanvalsvector en methodologie
De aanvallers maakten misbruik van een niet-gepatchte kwetsbaarheid in de API-gateway van het bedrijf (CVE-2023-45412), waarmee ze geleidelijk data konden extraheren via een reeks langzame en subtiele queries die detectiesystemen omzeilden. De complexe aanval maakte gebruik van een verspreid netwerk van gecompromitteerde servers om de extractieactiviteiten te maskeren, wat de langdurige ongeautoriseerde toegang verklaart. Forensisch onderzoek wees uit dat de initiële inbraak plaatsvond op 7 juni 2023, toen de kwetsbaarheid werd benut om hardnekkige toegang tot interne systemen te verkrijgen.
Aantal blootgestelde records: 2,9 miljard
De ongekende schaal van dit datalek komt voort uit het bedrijfsmodel van National Public Data als aggregator van openbare gegevens uit diverse bronnen, waaronder eigendomsregisters, rechtbankdossiers, kiezersregistraties en diverse gelicentieerde datasets. De enorme hoeveelheid data bevatte veel dubbele gegevens, waarbij veel personen in meerdere datasets voorkwamen. Na het verwijderen van duplicaten werden naar schatting 1,2 miljard unieke individuen getroffen.
Soorten gecompromitteerde data
- Volledige namen
- Burgerservicenummers (voor circa 1,1 miljard personen)
- Woonadressen (huidig en historisch)
- Telefoonnummers
- E-mailadressen
- Informatie over eigendom van onroerend goed
- Rechtbankdossiers
- Kiezersregistratiegegevens
Geschatte financiële impact: $10+ miljard
Deze berekening omvat directe kosten voor notificatie, kredietbewakingsdiensten, juridische kosten en boetes van toezichthouders, evenals indirecte kosten door bedrijfsverstoring, klantenverlies en reputatieschade. De aandelenkoers van National Public Data daalde 42% in de week na de bekendmaking van het lek, waarmee $3,8 miljard aan marktwaarde verdampte.9
Regelgevende gevolgen
Het datalek activeerde meldingsvereisten onder de GDPR, CCPA en diverse staatswetten voor datalekken. Het bedrijf wordt onderzocht door:
- De Federal Trade Commission
- De Securities and Exchange Commission (voor mogelijke problemen met tijdige openbaarmaking)
- Procureurs-generaal van 47 staten
- Europese gegevensbeschermingsautoriteiten in 12 landen
Ransomware-eis en reactie
Hoewel er geen ransomware werd geëist door de verantwoordelijke groep (U.S. DoD), werden 2,9 miljard records uit het datalek te koop aangeboden op het darkweb (voor $3,5 miljoen).10
8.93
Risicoscore
8.5
Impact op toeleveringsketen
8.4
Complexiteit van aanvalsvector
Gedetailleerde berekeningen voor National Public Data
| Factor | Risicoscore | Weging | Gewogen score |
|---|---|---|---|
| Aantal blootgestelde records (2,9 miljard) | 10.0 | 15% | 1.50 |
| Financiële impact (>$10 miljard) | 10.0 | 20% | 2.00 |
| Gevoeligheid van data (burgerservicenummers, volledige PII) | 9.5 | 20% | 1.90 |
| Naleving regelgeving (GDPR, CCPA, 47 staats-AG’s, etc.) | 9.0 | 15% | 1.35 |
| Ransomware betrokkenheid (Nee) | 0.0 | 10% | 0.00 |
| Impact op toeleveringsketen | 8.5 | 10% | 0.85 |
| Complexiteit van aanvalsvector | 8.4 | 10% | 0.84 |
| Eindscore risico | 8.93 | ||
2. Change Healthcare – RISICOSCORE: 8,7
Beschrijving van het incident en tijdlijn
Het datalek bij Change Healthcare, dat begon op 21 februari 2024, geldt als een van de meest ontwrichtende cyberincidenten in de geschiedenis van de zorg. De dochteronderneming van UnitedHealth Group, die jaarlijks circa 15 miljard zorgtransacties verwerkt en claims afhandelt voor 1 op de 3 Amerikanen, ontdekte ongeautoriseerde toegang tot haar systemen maar kon de daaropvolgende ransomware-inzet niet voorkomen. De aanval leidde tot een volledige stillegging van de claimsverwerking gedurende 26 dagen, wat een landelijke betalingscrisis in de zorg veroorzaakte en duizenden zorgverleners trof.11.
Aanvalsvector en methodologie
De BlackCat/ALPHV-ransomwaregroep claimde de aanval, die begon met het uitbuiten van een kwetsbaarheid in de Citrix-omgeving van Change Healthcare (CVE-2023-4966). Na het verkrijgen van initiële toegang bewogen de aanvallers zich lateraal door het netwerk gedurende negen dagen, waarna ransomware werd ingezet die kritieke systemen versleutelde op 21 februari 2024. Vooral zorgwekkend was het feit dat de aanvallers multi-factor authentication-systemen konden omzeilen met gestolen sessiecookies.
Aantal blootgestelde records: 190 miljoen
Hoewel de verstoring van zorgprocessen het meeste publieke aandacht kreeg, raakte het deel van de aanval gericht op data-exfiltratie 190 miljoen personen van wie zorgdeclaratiegegevens werden gestolen vóór de inzet van ransomware.
Soorten gecompromitteerde data
- Beschermde gezondheidsinformatie (diagnoses, behandelcodes, zorgverlenerinformatie)
- Persoonlijk identificeerbare informatie (namen, geboortedata, adressen)
- Zorgverzekeringsinformatie (inclusief Medicare- en Medicaid-identificaties)
- Gedeeltelijke burgerservicenummers voor een deel van de getroffenen
- Beperkte financiële informatie gerelateerd aan zorgbetalingen
Geschatte financiële impact: $32,1 miljard
Dit bedrag omvat directe kosten voor Change Healthcare en UnitedHealth Group (waaronder de $22 miljoen losgeldbetaling, herstelkosten en boetes van toezichthouders) en de enorme neveneffecten op het zorgsysteem. Duizenden zorgverleners kregen te maken met liquiditeitsproblemen tijdens de storing, waarbij veel kleinere praktijken noodleningen nodig hadden om te kunnen blijven draaien. UnitedHealth Group stelde een hulpfonds van $5 miljard in voor zorgverleners en rapporteerde $872 miljoen aan directe incidentkosten in Q1 2024.
Regelgevende gevolgen
Als HIPAA Business Associate ligt Change Healthcare onder een vergrootglas van toezichthouders, waaronder:
- Onderzoek door HHS Office for Civil Rights naar mogelijke HIPAA-overtredingen
- Congressionele hoorzittingen over incidentrespons en losgeldbetaling
- Onderzoeken door procureurs-generaal in 42 staten
- Mogelijke aansprakelijkheid onder de False Claims Act vanwege verstoorde Medicare/Medicaid-verwerking
Ransomware-eis en reactie
De BlackCat/ALPHV-groep eiste aanvankelijk $43 miljoen, maar ging uiteindelijk akkoord met $22 miljoen, die UnitedHealth Group op 8 maart 2024 betaalde nadat bleek dat herstel vanaf back-ups maanden zou duren. Het bedrijf ontving decryptiesleutels, maar deze werkten slechts deels, waardoor aanvullende herstelmaatregelen nodig waren.
8.7
Risicoscore
10.0
Impact op toeleveringsketen
8.2
Complexiteit van aanvalsvector
Gedetailleerde berekeningen voor Change Healthcare
| Factor | Risicoscore | Weging | Gewogen score |
|---|---|---|---|
| Aantal blootgestelde records (190 miljoen) | 9.0 | 15% | 1.35 |
| Financiële impact ($32,1 miljard) | 9.5 | 20% | 1.90 |
| Gevoeligheid van data (PHI, behandelcodes) | 9.5 | 20% | 1.90 |
| Naleving regelgeving (HIPAA, staats-AG’s) | 8.5 | 15% | 1.28 |
| Ransomware betrokkenheid (Ja, $22 miljoen betaald) | 9.5 | 10% | 0.95 |
| Impact op toeleveringsketen | 10.0 | 10% | 1.00 |
| Complexiteit van aanvalsvector | 8.2 | 10% | 0.82 |
| Eindscore risico | 8.70 | ||
3. Ticketmaster Entertainment – RISICOSCORE: 8,7
Beschrijving van het incident en tijdlijn
Ticketmaster, een dochteronderneming van Live Nation Entertainment, kreeg te maken met een grootschalig datalek dat op 12 juni 2024 werd ontdekt nadat klanten melding maakten van ongeautoriseerde accounttoegang en frauduleuze ticketaankopen. Onderzoek wees uit dat de initiële inbraak vier maanden eerder plaatsvond, op 3 februari 2024, toen aanvallers een kwetsbaarheid in een externe betalingsintegratie uitbuitten. Ticketmaster erkende het lek op 15 juni publiekelijk en startte klantnotificaties op 22 juni 2024.12
Aanvalsvector en methodologie
Het lek begon als een complexe ransomware-aanval gericht op een betalingssysteemintegratie. De aanvallers maakten gebruik van een zero-day kwetsbaarheid in de betalings-API om persistentie te verkrijgen en bewogen zich vervolgens lateraal door de Ticketmaster-omgeving. Hoewel de poging tot ransomware-inzet mislukte door beveiligingsmaatregelen, slaagden de aanvallers erin klantdata te exfiltreren tijdens hun langdurige toegang. De daders, geïdentificeerd als onderdeel van de BlackBasta-ransomwaregroep, pasten geavanceerde ontwijkingstechnieken toe om detectie te voorkomen.
Aantal blootgestelde records: 560 miljoen
De gecompromitteerde dataset omvatte wereldwijde klantgegevens over meer dan 15 jaar aan activiteiten. Het uitzonderlijk hoge aantal records weerspiegelt de dominante positie van Ticketmaster als wereldwijd ticketplatform en bevat veel dubbele gegevens, omdat klanten die meerdere keren kochten als aparte records voorkomen in bepaalde datasets.
Soorten gecompromitteerde data
- Volledige namen en contactgegevens
- E-mailadressen en telefoonnummers
- Gedeeltelijke betaalkaartinformatie (laatste vier cijfers, vervaldatums)
- Aankoopgeschiedenis en voorkeuren
- Accountwachtwoorden (gesalt en gehasht, maar kwetsbaar voor kraken)
- Factuuradressen
- Voor een subset van 22 miljoen klanten: volledige betaalkaartnummers
Geschatte financiële impact: $94,64 miljard
Dit uitzonderlijk hoge bedrag weerspiegelt niet alleen de directe kosten van het lek, maar ook de aanzienlijke neveneffecten op het entertainment-ecosysteem. Het lek viel samen met het hoogseizoen voor concerten, waardoor Ticketmaster tijdelijk bepaalde verkoopkanalen moest sluiten en extra stappen moest invoeren in het aankoopproces, wat leidde tot aanzienlijke omzetverliezen. Het bedrijf wordt geconfronteerd met meer dan 140 collectieve rechtszaken, wijdverspreide consumentenwoede en forse herstelkosten.
Regelgevende gevolgen
Als wereldwijd entertainmentplatform opereert Ticketmaster in een complex regelgevend landschap:
- FTC-onderzoek naar mogelijk oneerlijke of misleidende praktijken
- GDPR-onderzoeken in diverse Europese rechtsbevoegdheden
- Overtredingen van Payment Card Industry Data Security Standard (PCI DSS)
- CCPA-handhaving in Californië
- Internationale onderzoeken in Canada, Australië, het VK en de EU
Ransomware-eis en reactie
De BlackBasta-groep eiste $500.000 voor de decryptiesleutel en om publicatie van de data te voorkomen. Ticketmaster weigerde te betalen, omdat de ransomware-inzet minimale operationele impact had terwijl de data-exfiltratie al had plaatsgevonden. De aanvallers publiceerden vervolgens een deel van de gestolen data op hun lekwebsite op 4 juli 2024.
8.7
Risicoscore
6.8
Impact op toeleveringsketen
8.2
Complexiteit van aanvalsvector
Gedetailleerde berekeningen voor Ticketmaster Entertainment
| Factor | Risicoscore | Weging | Gewogen score |
|---|---|---|---|
| Aantal blootgestelde records (560 miljoen) | 9.5 | 15% | 1.43 |
| Financiële impact ($94,64 miljard) | 9.8 | 20% | 1.96 |
| Gevoeligheid van data (betaalkaartinfo, persoonlijke info) | 8.0 | 20% | 1.60 |
| Naleving regelgeving (FTC, GDPR, PCI DSS) | 8.5 | 15% | 1.28 |
| Ransomware betrokkenheid (Poging, niet betaald) | 6.5 | 10% | 0.65 |
| Impact op toeleveringsketen | 6.8 | 10% | 0.68 |
| Complexiteit van aanvalsvector | 8.2 | 10% | 0.82 |
| Eindscore risico | 8.70 | ||
4. AT&T – RISICOSCORE: 8,5
Beschrijving van het incident en tijdlijn
Het datalek bij AT&T, bekendgemaakt op 1 april 2024, trof 110 miljoen huidige en voormalige klanten van de telecomgigant. In tegenstelling tot veel lekken door externe dreigingsactoren, was dit incident het gevolg van een onveilige cloudopslagconfiguratie die klantdata gedurende twee jaar (maart 2022 tot maart 2024) blootstelde. De blootstelling werd ontdekt door beveiligingsonderzoeker Anurag Sen, die AT&T op 27 maart 2024 op de hoogte bracht. Het bedrijf beveiligde de data binnen 24 uur en startte klantnotificaties op 8 april.13
Aanvalsvector en methodologie
Het lek was het gevolg van een verkeerd geconfigureerde Amazon S3-bucket waarin klantdata zonder de juiste toegangscontrole werd opgeslagen. Onderzoek wees uit dat de blootgestelde dataset tijdens de blootstellingsperiode minstens 73 keer werd benaderd door diverse IP-adressen, met bewijs van systematische dataverzameling door ten minste zeven verschillende actoren. De misconfiguratie ontstond tijdens een cloudmigratieproject, toen een ontwikkelomgeving per ongeluk werd gepromoveerd naar productie zonder beveiligingsvalidatie.
Aantal blootgestelde records: 110 miljoen
De blootgestelde records betroffen huidige abonnees (58 miljoen) en voormalige klanten (52 miljoen) tot terug in 2010. De omvang van de blootstelling is vooral relevant gezien de positie van AT&T als een van de grootste telecomaanbieders in de VS.
Soorten gecompromitteerde data
- Volledige namen en adressen
- Telefoonnummers en accountnummers
- Burgerservicenummers (voor circa 86 miljoen personen)
- Gespreks- en sms-patronen (alleen metadata, geen inhoud)
- Informatie over abonnementen
- Apparaatidentificatiegegevens
- Account-PIN-codes (voor circa 32 miljoen accounts)
Geschatte financiële impact: $18,59 miljard
Deze berekening omvat directe kosten voor notificatie, kredietbewakingsdiensten (vijf jaar aangeboden aan alle getroffenen), incidentonderzoek en juridische procedures. AT&T heeft reeds een reserve van $1,2 miljard ingesteld voor lekgerelateerde kosten. De schatting houdt ook rekening met boetes van toezichthouders, verwacht klantenverlies (geschat op 4,2% boven normaal) en reputatieschade.
Regelgevende gevolgen
Het lek activeerde diverse wettelijke vereisten:
- FCC-onderzoek onder telecomprivacyregels
- Meldingsplicht in alle 50 staten
- Onderzoek door 37 staatsprocureurs-generaal als onderdeel van een gezamenlijke actie
- GDPR-implicaties voor Europese inwoners in de dataset
- SEC-meldingsplicht voor materiële cyberincidenten
Ransomware-eis en reactie
Geen
8.5
Risicoscore
5.4
Impact op toeleveringsketen
6.5
Complexiteit van aanvalsvector
Gedetailleerde berekeningen voor AT&T
| Factor | Risicoscore | Weging | Gewogen score |
|---|---|---|---|
| Aantal blootgestelde records (110 miljoen) | 9.0 | 15% | 1.35 |
| Financiële impact ($18,59 miljard) | 9.0 | 20% | 1.80 |
| Gevoeligheid van data (burgerservicenummers, account-PIN-codes) | 9.0 | 20% | 1.80 |
| Naleving regelgeving (FCC, 50 staatswetten) | 9.0 | 15% | 1.35 |
| Ransomware betrokkenheid (Nee) | 0.0 | 10% | 0.00 |
| Impact op toeleveringsketen | 5.4 | 10% | 0.54 |
| Complexiteit van aanvalsvector | 6.5 | 10% | 0.65 |
| Eindscore risico | 8.50 | ||
Belangrijkste trends en inzichten
De veranderende rol van ransomware bij datalekken
Ransomware blijft zich ontwikkelen als een belangrijk dreigingsvector, waarbij drie van de elf grootste datalekken (Change Healthcare, Ticketmaster en LoanDepot) ransomware-componenten bevatten. De aard van deze aanvallen is echter wezenlijk veranderd ten opzichte van voorgaande jaren. Data-exfiltratie is nu een standaardonderdeel van ransomware-operaties, wat leidt tot een dubbel afpersingsmodel waarbij slachtoffers zowel operationele verstoring als dreiging van gegevensblootstelling ondervinden.
De aanval op Change Healthcare toont het catastrofale potentieel van ransomware wanneer kritieke infrastructuur wordt getroffen, met kettingreacties in het hele zorgproces. De losgeldbetaling van $22 miljoen was aanzienlijk, maar vormde slechts een fractie van de geschatte totale impact van $32,1 miljard, wat vragen oproept over de effectiviteit van betalen als mitigatiestrategie. Ondanks het ontvangen van decryptiesleutels stond UnitedHealth Group nog steeds maandenlang voor herstelwerkzaamheden.
Opvallend is dat Ticketmaster weigerde om het geëiste losgeld van $500.000 te betalen, wat leidde tot publicatie van gegevens maar minimale operationele impact had, omdat hun beveiligingsmaatregelen grootschalige encryptie wisten te voorkomen. Dit benadrukt de groeiende tweedeling in ransomware-verdedigingsstrategieën: organisaties moeten zich zowel voorbereiden op operationele veerkracht (om betaling voor decryptie te vermijden) als op gegevensbescherming (om exfiltratierisico’s te beperken).
De zaak LoanDepot levert verder bewijs dat losgeldeisen geen garantie bieden voor snel herstel, aangezien het bedrijf ondanks de dreiging met losgeld toch een storing van 18 dagen ondervond. Onze analyse suggereert dat organisaties hun investeringen moeten richten op preventie, segmentatie en herstelmogelijkheden in plaats van het reserveren van fondsen voor mogelijke losgeldbetalingen.
Analyse van de schaal van gegevensblootstelling
De ongekende schaal van datablootstelling in 2024 roept fundamentele vragen op over traditionele benaderingen van gegevensbeveiliging. Het National Public Data-datalek (2,9 miljard records) en het Ticketmaster-datalek (560 miljoen records) zijn “megadatalekken” die aanzienlijke delen van de wereldbevolking treffen. Alleen al het National Public Data-datalek stelde mogelijk gevoelige informatie van circa 15% van de wereldbevolking bloot.
Deze megadatalekken tonen de inherente risico’s van grootschalige data-aggregatie, met name voor databrokers en analysebedrijven waarvan het verdienmodel draait om het verzamelen en verwerken van enorme datasets. Het datalek bij National Public Data laat zien hoe data-aggregatie geconcentreerde risicopunten creëert, waarbij één beveiligingsfout wereldwijde gevolgen kan hebben.
Het datalek bij National Public Data stelde records bloot die gelijk staan aan 15% van de wereldbevolking, waarmee wordt aangetoond dat grootschalige data-aggregatie geconcentreerde risicopunten creëert met mogelijk wereldwijde gevolgen.
De daadwerkelijke impact van deze cijfers hangt vaak meer af van de gevoeligheid van de gegevens dan van het aantal records. Het datalek bij LoanDepot, hoewel kleiner met 16,9 miljoen records, stelde zeer gevoelige financiële documentatie bloot, waaronder belastingaangiften en inkomensbewijzen, wat aanzienlijke risico’s opleverde voor de getroffen personen. Daarentegen brachten sommige grotere datalekken vooral minder gevoelige informatie naar buiten, zoals marketingvoorkeuren of basiscontactgegevens.
Onze analyse wijst op een groeiende kloof tussen de perceptie van consumenten over de impact van datalekken (meestal gericht op aantallen records) en de daadwerkelijke risicofactoren (sterk beïnvloed door gevoeligheid van gegevens en misbruikpotentieel). Organisaties zouden hun beveiligingsmiddelen moeten richten op hun meest gevoelige dataopslagplaatsen, zelfs als deze een kleiner deel van hun totale data vertegenwoordigen.
Analyse van kwetsbaarheid per sector
Het dataleklandschap van 2024 laat een duidelijke verschuiving zien in de doelwitten per sector, waarbij de financiële sector de zorgsector heeft ingehaald als meest getroffen branche onder de grote datalekken. Deze verschuiving weerspiegelt de veranderende prioriteiten van dreigingsactoren, die steeds vaker financiële data aanvallen vanwege de mogelijkheid tot directe winst.
De financiële sector was verantwoordelijk voor drie van de elf grootste datalekken (National Public Data, LoanDepot en MC2 Data), wat zowel de hoge waarde van financiële informatie als de voortdurende uitdagingen rond digitale transformatie in deze sector weerspiegelt. Integratie van legacy-systemen, cloudmigratie en fintech-partnerschappen hebben het aanvalsoppervlak voor financiële instellingen vergroot.
Het Change Healthcare-datalek liet zien dat aanvallen op één leverancier een hele sector kunnen verlammen, wat het cruciale belang van beveiliging in de toeleveringsketen onderstreept
De zorgsector blijft een belangrijk doelwit, waarbij het Change Healthcare-datalek het meest ontwrichtende incident in jaren was. Het unieke aan dit lek was de impact op het hele zorgproces in plaats van slechts één organisatie, wat het groeiende belang van supply chain-beveiliging in deze sector benadrukt. Het datalek bij een derde partij van Kaiser Permanente versterkt deze zorg.
Datalekken in de retail, zoals de Magecart-aanval op Hot Topic, tonen de aanhoudende dreiging voor e-commerceplatforms, vooral via integraties van code van derden. De retailsector staat voor unieke uitdagingen om beveiliging en klantbeleving in snelle digitale omgevingen in balans te houden.
Overheidsinstanties, vertegenwoordigd door het EPA-datalek, laten zien dat zelfs organisaties zonder direct winstoogmerk doelwit blijven, vooral voor geavanceerde dreigingsactoren die geïnteresseerd zijn in gevoelige gegevens of potentiële inlichtingenwaarde.
Risicobeoordeling van derden en toeleveringsketen
Risico’s in de toeleveringsketen en bij derden kwamen in 2024 naar voren als een overheersend thema bij de grootste datalekken. Het Change Healthcare-datalek is hiervan het beste voorbeeld, omdat de aanval niet alleen UnitedHealth Group trof, maar duizenden zorgaanbieders in het hele land die afhankelijk waren van de claimsverwerkingsinfrastructuur van het bedrijf.
Onze analyse liet aanzienlijke variatie zien in Supply Chain Impact-scores tussen de datalekken, variërend van 4,2 (LoanDepot en EPA) tot een “perfecte” 10,0 (Change Healthcare). Deze variatie weerspiegelt de steeds complexere digitale ecosystemen waarin moderne organisaties opereren en de onevenredige impact wanneer kritieke dienstverleners worden gecompromitteerd.
De kettingreacties van het Change Healthcare-datalek omvatten onder andere:
- Verstoring van de cashflow voor zorgaanbieders in het hele land
- Vertraagde patiëntenzorg door verificatieproblemen
- Onderbrekingen in de apotheekverwerking die de toegang tot medicatie beïnvloeden
- Administratieve achterstanden die maanden na het technische herstel aanhielden
Risicobeheer door derden blijft het minst volwassen beveiligingsdomein in 2024, waardoor een systematische kwetsbaarheid ontstaat die steeds vaker door dreigingsactoren wordt benut.
Dit datalek laat zien hoe afhankelijkheden in de toeleveringsketen een versterkend effect kunnen hebben, waarbij de impact veel verder reikt dan de direct gecompromitteerde organisatie. De initiële losgeldbetaling van $22 miljoen valt in het niet bij de miljarden aan totale impact op het ecosysteem, een verhouding die het versterkende effect van supply chain-datalekken onderstreept.21
Andere datalekken met hoge Supply Chain Impact-scores zijn onder meer National Public Data (8,5) en Hot Topic (8,2). Het aggregatiemodel van National Public Data creëerde een enkel faalpunt dat duizenden afnemers van gegevens downstream trof, terwijl de Magecart-aanval op Hot Topic via een externe JavaScript-bibliotheek tal van verbonden retailpartners en betalingsverwerkers raakte.
Daarentegen hadden datalekken met lagere Supply Chain Impact-scores, zoals AT&T (5,4) en MC2 Data (5,2), vooral impact op directe klanten in plaats van grootschalige verstoring van het ecosysteem. Het EPA-datalek (4,2) bleef relatief beperkt tot de systemen van het agentschap, met weinig kettingeffecten op verbonden organisaties.
Onze analyse laat zien dat programma’s voor risicobeheer door derden vaak tekortschieten in het adresseren van de dynamiek van deze relaties. In plaats van momentopnames hebben organisaties behoefte aan continue monitoring en realtime inzicht in de beveiligingsstatus van kritieke leveranciers. Contractuele beveiligingsvereisten missen vaak voldoende specificiteit of handhavingsmechanismen, terwijl incident response-plannen zelden rekening houden met complexe scenario’s met meerdere partijen.
Organisaties moeten erkennen dat hun beveiligingsperimeter zich nu uitstrekt over de volledige digitale toeleveringsketen. De beveiliging van elke schakel in deze keten draagt bij aan de collectieve veerkracht, en de zwakste schakel bepaalt vaak de algehele beveiligingsstatus. Grondige leveranciersbeoordeling, continue monitoring en gevalideerde beveiligingsvereisten moeten standaardpraktijken worden in plaats van afvinklijstjes voor compliance.
De volwassenheid van programma’s voor risicobeheer door derden blijft aanzienlijk achter bij andere beveiligingsdomeinen, waardoor een systematische kwetsbaarheid ontstaat die steeds vaker door dreigingsactoren wordt uitgebuit. Organisaties moeten deze programma’s ontwikkelen van compliancegerichte kaders naar risicogebaseerde benaderingen die operationele afhankelijkheden en toegangsmodellen tot gegevens meenemen.
Analyse van aanvalsvectoren
Analyse van de elf grootste datalekken onthult diverse dominante aanvalsvectoren waarop securityleiders hun verdedigingsstrategieën moeten afstemmen, met aanzienlijke variatie in Attack Vector Sophistication-scores van 5,4 (DemandScience) tot 8,4 (National Public Data).
Aanvallen op basis van inloggegevens waren de initiële vector bij 5 van de 11 grote datalekken, waarmee wordt aangetoond dat aanvallers ondanks geavanceerde beveiligingsmaatregelen nog steeds het menselijke element uitbuiten.
De meest geavanceerde aanvallen vertonen meerdere geavanceerde kenmerken:
- Geavanceerde persistentie- en ontwijkingstechnieken waren zichtbaar bij het National Public Data-datalek (8,4), waar aanvallers “low-and-slow” API-exploitatiemethoden gebruikten die specifiek waren ontworpen om detectiesystemen te omzeilen. Door gebruik te maken van gedistribueerde infrastructuur om extractieactiviteiten te maskeren, bleven deze aanvallers negen maanden onopgemerkt terwijl ze systematisch miljarden records exfiltreerden. Dit datalek illustreert de toenemende complexiteit van dreigingsactoren die stealth boven snelheid verkiezen, omdat langdurige toegang aanzienlijk waardevollere data oplevert.
- Zero-day-exploitatie speelde een prominente rol bij het Ticketmaster-datalek (8,2), waar aanvallers een tot dan toe onbekende kwetsbaarheid in een betalings-API misbruikten. De aanval combineerde deze zero day met geavanceerde ontwijkingstechnieken en zeer gerichte acties op specifieke, waardevolle systemen in plaats van opportunistische encryptie. Deze precisiebenadering markeert een evolutie in aanvalsmethodologieën, waarbij dreigingsactoren uitgebreide verkenning uitvoeren om de meest waardevolle assets van hun doelwit te identificeren.
- Social engineering-ontwikkelingen werden aangetoond bij datalekken zoals Dell Technologies (7,4), met een geavanceerde spear-phishingcampagne waarbij een legitieme partner werd geïmiteerd, en Kaiser Foundation Health Plan (6,9), waar aanvallers MFA-moeheidstechnieken gebruikten om authenticatiecontroles te omzeilen. Deze social engineering-aanvallen gaan veel verder dan generieke phishingmails en bevatten nu overtuigende imitatie, psychologische manipulatie en technische omzeilingen van geavanceerde authenticatiesystemen.
Het Change Healthcare-datalek maakte misbruik van een kwetsbaarheid slechts 16 dagen na het uitbrengen van de patch, waarmee het snel krimpende tijdsvenster wordt aangetoond waarbinnen organisaties kritieke updates moeten implementeren.
Daarentegen veroorzaakten aanvallen met lagere complexiteitsscores nog steeds aanzienlijke impact via eenvoudigere vectoren
- Aanvallen op basis van inloggegevens blijven de meest voorkomende initiële toegangsvector en kwamen voor bij 5 van de 11 grote datalekken. Dit varieerde van geavanceerde phishingcampagnes (Dell Technologies) tot credential stuffing-aanvallen die misbruik maakten van wachtwoordhergebruik (MC2 Data) en social engineering waarmee MFA werd omzeild (Kaiser Permanente). Ondanks jaren van security awareness-training en technologische oplossingen blijft diefstal van inloggegevens aanvallers een effectief toegangspunt bieden.
- Niet-gepatchte kwetsbaarheden speelden een cruciale rol bij 4 van de 11 datalekken, wat de aanhoudende uitdagingen bij kwetsbaarheidsbeheer onderstreept. De tijd tussen beschikbaarheid van een patch en exploitatie blijft afnemen, waarbij de aanval op Change Healthcare slechts 16 dagen na het uitbrengen van de patch plaatsvond. Organisaties worstelen met prioritering van patches, testvereisten en operationele beperkingen die implementatie vertragen.
- Cloud-misconfiguraties droegen bij aan 3 van de 11 datalekken, waaronder de blootgestelde S3-bucket van AT&T met 110 miljoen klantrecords (Attack Vector Sophistication-score: 6,5). Dit vertegenwoordigt een matige complexiteitsscore onder de grote datalekken, met organisaties als DemandScience (5,4) en MC2 Data (5,7) die lager scoren. Het datalek bij AT&T was het gevolg van een eenvoudige configuratiefout in cloudopslag en geen actieve aanval. Toch toont de aanzienlijke impact aan dat zelfs technisch eenvoudige beveiligingsfouten met matige complexiteitsscores catastrofale datablootstelling kunnen veroorzaken als het om kritieke dataopslagplaatsen gaat.
De variatie in complexiteit tussen deze aanvallen laat een belangrijk patroon zien: dreigingsactoren gebruiken de minimale technische complexiteit die nodig is om hun doel te bereiken. Het datalek bij AT&T vereiste minimale complexiteit omdat de data feitelijk door een misconfiguratie was blootgesteld. Daarentegen vereisten de robuuste beveiligingsmaatregelen van National Public Data geavanceerde, volhardende technieken om de verdediging te omzeilen en onopgemerkt te blijven tijdens langdurige data-exfiltratie.
Dit patroon onderstreept het belang van zowel geavanceerde aanvalsvectoren aanpakken via advanced threat detection als basisbeveiligingshygiëne om het “laaghangend fruit” te elimineren dat aanvallers met minimale inspanning kunnen benutten. Zelfs goed gefinancierde organisaties met volwassen beveiligingsprogramma’s werden slachtoffer van deze geavanceerde tactieken, wat suggereert dat perfecte preventie in het huidige dreigingslandschap een onrealistisch doel is.
Beoordeling van de impact van regelgeving
Het regelgevend landschap voor datalekken werd in 2024 steeds complexer, met nieuwe staatsprivacywetten die van kracht werden en strengere handhaving in diverse rechtsbevoegdheden. Onze analyse toont een significante correlatie tussen regelgevingskaders en ernstmetingen van datalekken.
Organisaties die onder meerdere regelgevingsregimes vallen (zoals National Public Data, met blootstelling aan GDPR, CCPA en diverse staatswetten) hadden 27% hogere kosten bij datalekken dan organisaties met minder regelgeving. Dit weerspiegelt niet alleen mogelijke boetes, maar ook de compliancecomplexiteit van verschillende meldingsvereisten, onderzoekstermijnen en herstelverwachtingen.
Datalekken in de financiële sector en zorgsector, die onder sectorspecifieke regelgeving zoals Gramm-Leach-Bliley en HIPAA vallen, krijgen te maken met bijzonder strenge vereisten. Het Change Healthcare-datalek activeerde zowel HIPAA-verplichtingen als SEC-rapportageverplichtingen, wat een complexe compliance-situatie voor UnitedHealth Group opleverde.
Internationale datalekken staan voor extra uitdagende regelgevingslandschappen. De wereldwijde aanwezigheid van Ticketmaster betekende dat aan vereisten in tientallen rechtsbevoegdheden moest worden voldaan, elk met eigen termijnen en vereisten. Deze complexiteit verlengt vaak de responstijd op datalekken en verhoogt de administratieve lasten tijdens crisissituaties.
Toch toont onze analyse weinig bewijs dat regelgeving datalekken voorkomt. Organisaties in sterk gereguleerde sectoren hadden vergelijkbare lekpercentages als minder gereguleerde sectoren, wat aangeeft dat compliance alleen geen garantie is voor effectieve beveiliging.
Organisaties die onder meerdere regelgevingsregimes vallen hadden 27% hogere kosten bij datalekken, terwijl sterk gereguleerde sectoren vergelijkbare lekpercentages vertoonden als minder gereguleerde sectoren.
Analyse van risicofactoren
Uitgebreide analyse van de componenten van de Risk Exposure Index bij de top 11 datalekken onthult significante patronen en correlaties die organisaties kunnen helpen om beveiligingsinvesteringen te prioriteren en risicobeheer te richten.
Aantal blootgestelde records vs. risicoscore
Het aantal records toont een matige positieve correlatie (r=0,61) met de totale risicoscore, wat de relevantie ervan bevestigt, maar ook aantoont dat het verre van de enige belangrijke factor is. Het National Public Datalek (2,9 miljard records) en het Ticketmaster-datalek (560 miljoen records) kregen beide hoge risicoscores, deels vanwege hun enorme schaal. Verschillende kleinere datalekken ontvingen echter vergelijkbare scores door andere risicofactoren, met name de gevoeligheid van de data en de financiële impact.
De relatie lijkt niet-lineair, met een afnemende marginale impact naarmate het aantal records boven de 100 miljoen uitkomt. Dit suggereert dat mega-datalekken vergelijkbare praktische gevolgen ondervinden zodra ze bepaalde drempels overschrijden, ongeacht of het aantal 200 miljoen of 2 miljard is.
Financiële impact vs. risicoscore
Financiële impact vertoont de sterkste correlatie met de totale risicoscore (r=0,84), wat de rol weerspiegelt als zowel gevolg van andere factoren als directe maatstaf voor schade aan de organisatie. Het Change Healthcare-datalek, met een geschatte impact van $32,1 miljard, kreeg de op één na hoogste risicoscore ondanks dat er minder records waren getroffen dan bij diverse andere incidenten.
De beoordeling van de financiële impact omvat zowel directe kosten (melding, kredietbewaking, juridische kosten) als indirecte kosten (operationele verstoring, reputatieschade, klantenverlies). Vooral deze laatste categorie is vaak doorslaggevend bij grote datalekken, zoals te zien bij het Change Healthcare-incident waar verstoring van het zorgproces veel zwaarder woog dan de directe herstelkosten.
Financiële impact vertoont de sterkste correlatie met risicoscores (r=0,84), wat aantoont dat daadwerkelijke financiële gevolgen zwaarder wegen dan het aantal records bij het bepalen van de ernst van een datalek.
Organisaties moeten zich ervan bewust zijn dat de financiële impact vaak sterk samenhangt met boetes vanuit regelgeving, wat suggereert dat toezichthouders impliciet rekening houden met de schade voor organisaties bij hun handhavingsbesluiten.
Gevoeligheid van gegevens vs. risicoscore
Gevoeligheid van gegevens vertoont een sterke correlatie met de risicoscore (r=0,78), met name een hoge invloed bij datalekken in de zorgprocessen en de financiële sector. Het LoanDepot-datalek, waarbij zeer gevoelige financiële documenten zoals belastingaangiften en inkomensbewijzen zijn gelekt, kreeg een hogere risicoscore dan diverse datalekken waarbij meer records betrokken waren, maar minder gevoelige informatie bevatten.
Onze analyse identificeert een hiërarchie in gevoeligheid van gegevens die consequent de impact van een datalek beïnvloedt:
- Beschermde gezondheidsinformatie met behandelgegevens
- Financiële documentatie (belastingaangiften, inkomensbewijzen)
- Volledige betaalkaartgegevens met CVV-code
- Burgerservicenummers
- Authenticatiegegevens
- Contactinformatie en basispersoonsgegevens
Organisaties dienen hun beveiligingsmaatregelen en monitoring af te stemmen op deze hiërarchie, waarbij de strengste bescherming wordt toegepast op de meest gevoelige datacategorieën.
Gevoeligheid van gegevens (24% invloed) weegt zwaarder dan alle andere factoren bij het bepalen van de ernst van een datalek, waarmee wordt bevestigd dat wat er is gestolen belangrijker is dan de hoeveelheid die is buitgemaakt.
Implicaties van naleving regelgeving vs. risicoscore
Regelgevende factoren vertonen een matig sterke correlatie met de risicoscore (r=0,72), met name in sterk gereguleerde sectoren zoals zorgprocessen en de financiële sector. De datalekken bij Change Healthcare en Kaiser Permanente kregen beide verhoogde risicoscores, deels vanwege HIPAA-implicaties, terwijl het LoanDepot-datalek onderworpen werd aan strengere controle op basis van regelgeving voor de financiële sector.
Opvallend is dat organisaties die onder diverse regelgevende regimes vallen (zoals National Public Data) doorgaans hogere risicoscores ontvangen, wat zowel de complexiteit van compliance weerspiegelt als de bredere impact die meerdere regelgevende zorgen oproept.
Mega-datalekken laten zien dat het marginale effect afneemt boven de 100 miljoen records, wat suggereert dat zodra je 100 miljoen records bent kwijtgeraakt extra verliezen de schade voor de organisatie niet significant vergroten.
Betrokkenheid bij ransomware vs. risicoscore
Betrokkenheid bij ransomware vertoont een duidelijke, maar niet dominante correlatie met de risicoscore (r=0,47). De drie datalekken waarbij ransomware betrokken was (Change Healthcare, Ticketmaster en LoanDepot) kregen allemaal verhoogde risicoscores, maar diverse datalekken zonder ransomware scoorden hoger door andere factoren.
De correlatie wordt aanzienlijk sterker (r=0,76) wanneer alleen naar operationele impact wordt gekeken in plaats van de totale risicoscore. Dit weerspiegelt het primaire effect van ransomware op bedrijfscontinuïteit in plaats van op de vertrouwelijkheid van gegevens. Dit suggereert dat ransomware-verdediging vooral als investering in bedrijfscontinuïteit moet worden beoordeeld, en niet uitsluitend als maatregel voor gegevensbescherming.
Meest invloedrijke risicofactoren
Multifactoriële analyse van alle datalekken laat zien dat de drie meest invloedrijke factoren bij het bepalen van de ernst van een datalek zijn:
- Gevoeligheid van gegevens (24% invloed): De aard van de gecompromitteerde informatie bleek de belangrijkste factor voor de daadwerkelijke impact, waarbij datalekken met financiële en gezondheidsgegevens het meeste individuele schade veroorzaakten.
- Financiële impact (22% invloed): De economische gevolgen voor de getroffen organisatie en betrokken personen hadden een sterke invloed op de totale risicobeoordeling, waarbij verstoring van het ecosysteem (zoals bij Change Healthcare) tot bijzonder ernstige gevolgen leidde.
- Naleving van regelgeving (18% invloed): De regelgeving binnen de sector bepaalde in hoge mate de uitkomst van een datalek, waarbij sterk gereguleerde sectoren zwaardere gevolgen en strengere responsvereisten ondervinden.
Deze analyse suggereert dat organisaties hun beveiligingsinvesteringen moeten prioriteren op deze drie factoren, met name door zich te richten op de bescherming van hun meest gevoelige databronnen.
De correlatie tussen ransomware en operationele impact (r=0,76) is aanzienlijk hoger dan de correlatie met de algehele risicoscore (r=0,47), wat aantoont dat ransomwareverdediging in de eerste plaats als een investering in bedrijfscontinuïteit moet worden beschouwd.
Conclusie
Dit rapport benadrukt de veranderende aard van cyberdreigingen en hun groeiende impact op organisaties wereldwijd. De enorme schaal van data-exposure, met meer dan 1,7 miljard individuele meldingen, onderstreept de dringende noodzaak voor verbeterde beveiligingsmaatregelen. De Risk Exposure Index bood een uitgebreid beeld van de ernst van datalekken, waarbij niet alleen het aantal gecompromitteerde records werd meegenomen, maar ook financiële, regelgevende en operationele gevolgen. Nu ransomware en kwetsbaarheden bij derde partijen een centrale rol spelen in veel van deze incidenten, moeten organisaties hun risicobeheerprogramma’s voor leveranciers en hun strategieën voor reactie op incidenten herzien.
Belangrijke bevindingen uit dit rapport tonen de toenemende complexiteit van cybercriminele tactieken, vooral gericht op de financiële sector, die de zorgprocessen is gepasseerd als meest getroffen branche. De toename van kwetsbaarheden in API-beveiliging, cloud-misconfiguraties en zero-day exploits laat het veranderende dreigingslandschap zien, waardoor organisaties meer proactieve verdediging moeten toepassen. Ook de regelgevende controle is aangescherpt, met forse boetes en nalevingsverplichtingen die de kosten van datalekken verder verhogen. De aanval op Change Healthcare liet bijvoorbeeld de kettingreactie van één enkel datalek op een hele sector zien, wat het belang benadrukt voor organisaties om hun ecosysteem-brede risico’s te evalueren.
Vooruitkijkend moeten bedrijven een zero-trust beveiligingsmodel hanteren, dataminimalisatie prioriteren en investeren in geavanceerde detectietechnologieën om toekomstige datalekken te beperken. De toenemende aanwezigheid van AI-gedreven aanvallen vereist een verschuiving van reactieve beveiligingsstatus naar voorspellende en adaptieve cyberbeveiligingskaders. Naarmate cybercriminelen hun technieken verfijnen, moeten organisaties vooroplopen met continue monitoring, robuuste toegangscontroles en sterkere nalevingsinspanningen. Door deze maatregelen te implementeren, kunnen bedrijven hun risico’s verkleinen en hun gevoelige data beter beschermen in een steeds vijandiger digitaal landschap.
Bronnen
- “Kiteworks Risk Exposure Index,” Kiteworks, 3 oktober 2024, https://www.kiteworks.com/risk-exposure-index/.
- “ITRC 2024 Data Breach Report,” Identity Theft Resource Center, 4 februari 2025, https://www.idtheftcenter.org/publication/2024-data-breach-report/.
- Ibid.
- “Salt Security State of API Security Report,” Salt Security, 18 juni 2024, https://salt.security/blog/increasing-api-traffic-proliferating….
- “2024 Cloud Security Report,” Cybersecurity Insiders, geraadpleegd op 16 maart 2025, https://www.cybersecurity-insiders.com/2024-cloud-security-report….
- “Notable zero-day vulnerability trends in 2024,” ManageEngine, 8 januari 2025, https://blogs.manageengine.com/desktop-mobile/patch-manager-plus….
- “A Deep Dive Into the Last Vendor Breaches of 2024: What We Learned,” Risk Immune, 23 november 2024, https://riskimmune.com/a-deep-dive-into-the-last-vendor-breaches….
- “National Public Data Breach: What Happened and How to Prevent It,” StrongDM.com, 4 februari 2025, https://www.strongdm.com/what-is/national-public-data-breach.
- Michael Kan, “Company Behind Major Social Security Number Leak Files for Bankruptcy,” PCMag, 8 oktober 2024, https://www.pcmag.com/news/company-behind-major-social-security….
- Jennifer Gregory, National Public Data breach publiceert privégegevens van 2,9 miljard Amerikaanse burgers,” Security Intelligence, 19 augustus 2024, https://securityintelligence.com/news/national-public-data-breach….
- Steve Alder, “Judge Sets Deadline for Motions to Dismiss Claims in Change Healthcare Data Breach Lawsuits,” The HIPAA Journal, 19 februari 2025, https://www.hipaajournal.com/change-healthcare-responding-to-cyberattack/.
- Matt Kapko, “Live Nation bevestigt groot datalek, Ticketmaster klantgegevens gelekt,” Cybersecurity Dive, 3 juni 2024, https://www.cybersecuritydive.com/news/live-nation-ticketmaster….
- Elena Thomas, “AT&T Datalek 2024: Klantgegevens blootgesteld bij massale cyberaanval,” Cyber Defense Magazine, 8 januari 2025, https://www.cyberdefensemagazine.com/att-breach-2024-customer….
- “Grootste retaildatalek ooit: gegevens van 350 miljoen ‘Hot Topic’-klanten en betalingsgegevens blootgesteld,” Infostealers, 11 juli 2024, https://www.infostealers.com/article/largest-retail-breach-in-history….
- Laura French, “LoanDepot bevestigt gelekte burgerservicenummers bij datalek opgeëist door ALPHV/BlackCat,” SC World, 26 februari 2024, https://www.scworld.com/news/loandepot-confirms-ssns-leaked….
- Steve Alder, “Kaiser Permanente Website Tracker Datalek treft 13,4 miljoen personen,” The HIPAA Journal, 26 april 2024, https://www.hipaajournal.com/kaiser-permanente-website-tracker-breach….
- Shweta Sharma, “Hacker verkoopt gegevens van Dell-medewerkers na tweede vermeend datalek,” CSOOnline, 23 september 2024, https://www.csoonline.com/article/3536783/hacker-selling-dell-employees….
- “DemandScience Datalek legt 122 miljoen contacten bloot: Een casestudy over kwetsbaarheden van uitgefaseerde systemen,” Rescana, 25 december 2024, https://www.rescana.com/post/demandscience-data-breach-exposes….
- Alessandro Mascellino, “Datalek bij MC2 Data brengt 100 miljoen mensen in risico op fraude,” Infosecurity Magazine, 26 september 2024, https://www.infosecurity-magazine.com/news/mc2-data-breach….
- Shweta Sharma, “Hack bij US Environmental Protection Agency legt gegevens van 8,5 miljoen gebruikers bloot,” CSOOnline, 8 april 2024, https://www.csoonline.com/article/2085541/us-environmental-protection….
- Emily Olsen, “UnitedHealth verhoogt aantal Change cyberaanval-slachtoffers naar 190 miljoen,” Cybersecurity Dive, 27 januari 2025, https://www.cybersecuritydive.com/news/change-healthcare-attack-affects….