In 2018 hebben meer dan 2 miljoen cyberincidenten een minimum van 45 miljard dollar aan verliezen veroorzaakt, volgens een onlangs gepubliceerd rapport gebaseerd op statistieken van organisaties die datalekken opsporen.

Jeff Wilbur, technisch directeur van de Online Trust Alliance (OTA) van de Internet Society - die onlangs het Cyber Incident & Breach Trends Report 2018 publiceerde - zegt dat het moeilijk is om de volledige omvang van het aantal cyberincidenten in beeld te krijgen. "Iedereen bekijkt het vanuit zijn eigen lens", zegt hij.

De OTA publiceerde 11 jaar geleden haar eerste editie van dit rapport. In eerste instantie ging de aandacht alleen uit naar datalekken, zegt Wilbur. Maar het steeds veranderende dreigingslandschap maakte het logisch om de reikwijdte van het jaarverslag, waarvan de laatste editie onlangs verscheen, te verbreden.

"Een paar jaar geleden realiseerden we ons dat dit het aantal cyberincidenten ondervertegenwoordigde", legt Wilbur uit. "We begonnen te kijken naar het toevoegen van gecompromitteerde zakelijke e-mail, ransomware en DDoS-aanvallen, omdat dat van een grotere orde is dan de gemelde inbreuken."

"Wat interessant is," voegt hij eraan toe, "is dat veel van de technieken die cybercriminelen gebruiken om in te breken in systemen grotendeels hetzelfde zijn gebleven: ze maken bijvoorbeeld gebruik van de referenties van werknemers of maken gebruik van een bekende kwetsbaarheid in een organisatie die haar software niet heeft bijgewerkt. De manieren om binnen te komen zijn al een tijdje relatief constant."

Gecompromitteerde e-mail blijft de grootste bedreiging

Maar sommige dingen zijn zeker veranderd. Apparaten die zijn aangesloten op het Internet of Things, bijvoorbeeld, hebben nieuwe manieren om in te breken in organisaties in de spotlight gezet, evenals de groeiende afhankelijkheid van bedrijven van externe leveranciers. "De slimme manier om in systemen te komen is via derden die misschien minder veilig zijn", zegt Wilbur. Steeds vaker hacken online slechteriken online organisaties door gebruik te maken van malware op of ongeautoriseerde toegang te krijgen tot systemen van leveranciers.

Aanvallen via de toeleveringsketen en het internet of things mogen dan wel toenemen, maar aanvallen via e-mail en het misbruiken van kwetsbaarheden zijn nog steeds de favoriete technieken van de aanvallers om binnen te dringen in bedrijfsnetwerken. Maar wat cybercriminelen doen als ze daar eenmaal zijn, is aan het verschuiven.

"De financiële impact van ransomware steeg met 60 procent, het verlies van gecompromitteerde zakelijke e-mail werd verdubbeld, crypto-jacking incidenten (het ongeoorloofde gebruik van andermans computers om crypto-mining uit te voeren) werden meer dan verdrievoudigd en er bleef een gestage stroom van opvallende datalekken bestaan", schrijven de auteurs van het rapport.

DDoS-aanvallen gaan maar door

De DDoS-aanvallen (Distributed Denial of Service) zijn in 2018 licht gedaald, hoewel ze in bepaalde sectoren nog steeds voor problemen zorgen. Het lastige van DDoS-aanvallen is het uitzoeken hoeveel aanvallen succesvol zijn, omdat er geen geaggregeerde rapportage bestaat en de meeste organisaties er voor terugschrikken om hun kwetsbaarheid te erkennen.

Veel organisaties gebruiken ouderwetse implementatiemodellen zonder veel automatisering, waardoor ze IP-verkeer moeten omleiden wanneer een aanval toeslaat. Succesvolle aanvallen hebben sectoren getroffen die uiteenlopen van banken (ABN AMRO) tot onderwijs (Infinite Campus), e-maildiensten (ProtonMail) en softwarediensten (GitHub, de grootste geregistreerde DDoS-aanval tot nu toe).

Wat de situatie nog erger maakt, zijn multivector-aanvallen - die een organisatie vanuit meerdere invalshoeken tegelijk treffen - die nu aan de orde van de dag zijn. Omdat ze zo gemakkelijk te verkrijgen zijn op het darknet, worden DDoS-aanvallen vaak gebruikt om IT-teams af te leiden en bezig te houden, terwijl het echte doelwit van de aanval wordt weggekaapt. Soms kan het enkele maanden of zelfs jaren duren voordat bedrijven zich realiseren wat voor digitale buit de slechteriken in werkelijkheid hebben nagejaagd.

Onbekende aantal blijft hoog

In het rapport staat dat het schijnbare aantal datalekken dat persoonlijke gegevens blootlegde, in 2018 zelfs is afgenomen, met 5 miljard blootgestelde gegevens. Dat is een daling van 35,9 procent ten opzichte van het jaar ervoor. Maar men moet dit cijfer met een korreltje zout nemen, want de meeste inbreuken worden niet gemeld.

"Hoewel het verleidelijk is om een dalend aantal inbreuken te vieren, zijn de bevindingen van ons rapport grimmig," merkt Wilbur op. "Dus, hoewel er misschien minder datalekken zijn, is het aantal cyberincidenten en de financiële impact ervan veel groter dan we in het verleden hebben gezien."

Hoewel de financiële klap van deze kwaadaardige activiteit moeilijk te meten is, worden de kosten van ransomware op 8 miljard dollar geraamd en wordt misbruik van credentials op 5 miljard dollar geschat. Er zijn andere schattingen: het Ponemon Institute zegt dat de gemiddelde kosten van een datalek groeide tot 3,86 miljoen dollar, of ongeveer 9.000 dollar per minuut, in het geval van een platgegooide datacenter.

Het rapport kwam ook tot de conclusie dat de overgrote meerderheid - 95 procent - van de inbreuken voorkomen kon worden als bedrijven aandacht hadden besteed aan "eenvoudige en verstandige benaderingen om de veiligheid te verbeteren", zoals het trainen van personeel op het gebied van gegevensbeveiliging en privacy en het aangaan van relaties met gegevensbeschermingsautoriteiten.