Cybercriminaliteit vormt een voortdurende bedreiging voor Britse bedrijven. Nu veel organisaties afhankelijk zijn van een digitale toeleveringsketen en cloudgebaseerde platforms gebruiken om hun gegevens op te slaan, nemen de mogelijkheden voor bedreigingsactoren om kwetsbaarheden te misbruiken toe, en moeten bedrijven moeite doen om bij te blijven.
In feite 100% van onze mondiale Rapport over de staat van de informatiebeveiliging respondenten – ruim 1,500 professionals op het gebied van informatiebeveiliging – zeggen dat hun organisatie de afgelopen twaalf maanden te maken heeft gehad met een cyberbeveiligings- of informatiebeveiligingsincident. Naast de mogelijke financiële verliezen als gevolg van deze incidenten heeft 12% van de Britse respondenten boetes gekregen voor een datalek of een overtreding van de regels voor gegevensbescherming.
Met behulp van gegevens gerapporteerd aan Action Fraud en uit ons State of Information Security Report, kijkt Christie Rae naar de financiële impact van cybercriminaliteit op Britse* bedrijven en hoe organisaties hun informatiebeveiligingsverdediging kunnen verbeteren.
De top vijf van cybercriminaliteit die Britse bedrijven treft
Actiefraude somt verschillende misdaden op in de categorie cyberafhankelijke misdaden. Dit zijn:
- NFIB50A – Computervirus/malware/spyware
- NFIB51A – Denial of Service-aanval
- NFIB51B – Denial of Service-aanval – Afpersing
- NFIB52A – Hacken – Server
- NFIB52B – Hacken – Persoonlijk
- NFIB52C – Hacking – Sociale media en e-mail
- NFIB52D – Hacken – PBX/doorbellen
- NFIB52E – Hacken – Afpersing.
Hieronder vindt u de top vijf van cybercriminaliteit die Britse organisaties treft.
| Type fraude (Top 5) | Rapportvolume | Financieel verlies | Gemiddeld verlies per rapport** |
| NFIB50A – Computervirus \ Malware \ Spyware | 274 | £908,196 | £3,315 |
| NFIB52C – Hacking – Sociale media en e-mail | 1,944 | £783,704 | £403 |
| NFIB52E – Hacking-afpersing | 411 | £401,923 | £978 |
| NFIB52B – Hacken – Persoonlijk | 199 | £98,565 | £495 |
| NFIB52A – Hacken – Server | 398 | £0 | £0 |
| Totaal | 3,226 | £2,192,388 | £680 |
1. NFIB50A – Computervirus/malware/spyware
Misdaadbeschrijving van het National Fraud Intelligence Bureau (NFIB).[1]: Misdaden moeten onder deze sectie worden geregistreerd tot het punt waarop de overtreder de malware daadwerkelijk gebruikt. Wanneer de dader de malware gebruikt, wordt het een doelbewuste aanval op die computer.
Wanneer malware wordt gebruikt om details te verkrijgen om fraude of andere overtredingen van computermisbruik te plegen, zijn de overtredingen van fraude of computermisbruik het voornaamste misdrijf en moeten deze worden geregistreerd. De malware is gebruikt om een nieuwe overtreding mogelijk te maken en er mag geen overtreding onder deze sectie worden geregistreerd als deze tegelijkertijd wordt gemeld.
Voorbeeld: De heer A meldt bij Actie Fraude dat hij op een link heeft geklikt waarmee een programma is gedownload. Hij heeft een antispywareprogramma uitgevoerd en kreeg te horen dat het programma een keyloggerprogramma is en met succes is verwijderd. Eén misdrijf: ongeoorloofde wijziging van computermateriaal (klasse NFIB50A). Een week later neemt hij contact op met Action Fraud om te melden dat vandaag onrechtmatig toegang is verkregen tot zijn online bankrekening en dat er £ 2000 van is gestolen door een doorlopende opdracht om zijn hypotheek te betalen te wijzigen. Er moet één extra misdrijf, namelijk Mandaatfraude (NFIB5D), worden geregistreerd.
Totaal rapportvolume: 274
Totaal financieel verlies: £908,196
Gemiddeld verlies per rapport: £3,315
Tussen januari 2023 en juni 2024 verloren Britse bedrijven in slechts 900,000 rapporten meer dan £274 aan computervirussen, malware of spyware. Dit betekent dat een enkel malware-incident bedrijven gemiddeld meer dan £3,300 kost. Malware was het meest gemelde cyberbeveiligingsincident in ons State of Information Security Report, waarbij ruim een derde (35%) van de organisaties in de afgelopen twaalf maanden te maken kreeg met een malware-incident.
2. NFIB52C – Hacking – Sociale media en e-mail
NFIB-misdaadbeschrijving: Deze misdaad omvat alle vormen van individuele e-mailaccounts en alle vormen van individuele sociale media, bijvoorbeeld X en Facebook. Het omvat zowel persoonlijke accounts als de individuele accounts van bedrijven of organisaties. Deze fraude mag niet worden gezien als beperkt tot desktop- of laptopcomputers. Het kan elk apparaat omvatten dat gebruikmaakt van besturingssoftware die online toegankelijk is, bijvoorbeeld gameconsoles en smartphones.
Totaal rapportvolume: 1,944
Totaal financieel verlies: £783,704
Gemiddeld verlies per rapport: £403
Het hacken van sociale media en e-mail heeft bedrijven de afgelopen 780,000 maanden meer dan £ 18 gekost. Uit ons State of Information Security Report blijkt dat social engineering het op één na meest voorkomende cyberbeveiligingsincident is, waar 32% van de respondenten mee te maken krijgt.
3. NFIB52E – Hacken – Afpersing
NFIB-misdaadbeschrijving: Dit gebeurt wanneer er sprake is van een ongegronde eis met bedreigingen (chantage) die verbonden zijn aan computerhacking of de dreiging van computerhacking. De afpersing kan betrekking hebben op elke NFIB-klasse onder NFIB52 Computer Hacking.
Voorbeeld: ABC Ltd meldt dat ze een verzoek hebben ontvangen om £ 100,000 te betalen, anders wordt een kopie van de code voor hun nieuwe computerspel op het world wide web geplaatst. Ze maken zich grote zorgen, want vorige week hebben ze een memorystick ontvangen met een deel van de code van hun server erop gekopieerd. Eén misdaadcomputer Hacking (afpersing) (klasse NFIB52E).
Totaal rapportvolume: 411
Totaal financieel verlies: £401,923
Gemiddeld verlies per rapport: £978
Uit ons rapport blijkt dat 12% van de organisaties (bijna één op de drie) de afgelopen twaalf maanden te maken heeft gehad met een ransomware-aanval. Afpersingszaken door hacking hebben de afgelopen twaalf maanden ruim £29 aan verliezen veroorzaakt bij Britse bedrijven, waarbij £400,000 van deze verliezen in 12 werd geleden, ondanks aanzienlijk minder meldingen.
4. NFIB52B – Hacken – Persoonlijk
NFIB-misdaadbeschrijving: Ongeoorloofde toegang tot computermateriaal met de bedoeling verdere overtredingen te begaan of te vergemakkelijken. Als de acties van de hacker slechts voorbereidend zijn en er geen inhoudelijke overtreding is begaan op grond van een ander fraudemisdrijf, dan moet een overtreding worden geregistreerd onder deze sectie.
Rapportvolume: 199
Financieel verlies: £98,565
Gemiddeld verlies per rapport: £495
Organisaties zijn bijna £100,000 kwijtgeraakt door het hacken van persoonlijke apparaten, zoals een laptop of mobiele telefoon. Robuuste beveiligingsmaatregelen voor werkapparatuur en training en bewustwording van medewerkers zijn van cruciaal belang voor de bestrijding van dit soort aanvallen. In ons rapport zegt 35% van de organisaties dat hun werknemers persoonlijke apparaten voor werkdoeleinden hebben gebruikt zonder de juiste beveiligingsmaatregelen. Daarmee is dit de grootste cyberveiligheidsfout die werknemers maken.
5. NFIB52A-hacking – Server
NFIB-misdaadbeschrijving: Om misdrijven op grond van deze sectie te kunnen registreren, moeten de gewijzigde bestanden of services zich op de server bevinden en niet op de lokale harde schijf van een computer.
Voorbeeld: Een medewerker laat zijn desktopcomputer ingelogd achter wanneer hij het kantoor verlaat. Een collega krijgt dan toegang tot zijn arbeidsgegevens die op de server worden bewaard en wijzigt een aantal gegevens in zijn dossier met behulp van de ingelogde computer. Eén misdaad van Hacking-Server (klasse NFIB52A).
Totaal rapportvolume: 398
Financieel verlies: £0
Gemiddeld verlies per rapport: £0
Organisaties hebben de afgelopen 18 maanden geen financiële verliezen geleden als gevolg van serverhacking. Dit is echter waarschijnlijk te wijten aan de regels voor de registratie van misdaden van de NFIB, die stellen dat “wanneer de ongeoorloofde toegang direct het plegen van een ander fraudemisdrijf mogelijk heeft gemaakt, het hoofdmisdrijf het andere fraudemisdrijf zal zijn.”
Totale financiële verliezen van bedrijven als gevolg van cybergerelateerde misdaden
Tussen januari 2023 en juni 2024 meldden bedrijven bijna 3,500 cybercriminaliteit met financiële verliezen van £ 2,234,788 aan Action Fraud. 2,377 van de meldingen en £1,367,477 aan verliezen zijn gemaakt in de afgelopen twaalf maanden.
Januari 2023 kende de grootste financiële verliezen, met 179 meldingen, £580,734 financiële verliezen en £3,244 geschat gemiddeld verlies per melding. In juni 2023 waren de financiële verliezen het laagst, met 191 meldingen maar geen financiële verliezen.
| Maand | Rapportvolume | Financieel verlies | Gemiddeld verlies per rapport |
| Jan-23 | 179 | £580,734 | £3,244 |
| Februari-23 | 194 | £196,743 | £1,014 |
| Mar-23 | 216 | £40,862 | £189 |
| Apr-23 | 176 | £30,067 | £170 |
| Mei-23 | 166 | £18,905 | £113 |
| Juni-23 | 191 | £0 | £0 |
| Juli-23 | 196 | £95,963 | £489 |
| Augustus-23 | 208 | £160,237 | £770 |
| September-23 | 215 | £254,252 | £1,182 |
| Oktober-23 | 214 | £2,956 | £13 |
| November-23 | 222 | £74,249 | £334 |
| Dec-23 | 177 | £114,920 | £649 |
| Jan-24 | 196 | £423,500 | £2,160 |
| Februari-24 | 200 | £89,000 | £445 |
| Mar-24 | 191 | £2,200 | £11 |
| Apr-24 | 179 | £24,000 | £134 |
| Mei-24 | 173 | £120,400 | £695 |
| Juni-24 | 206 | £5,800 | £28 |
| Totaal | 3,499 | £2,234,788 | £638 |
De onderstaande tabel toont het totale aantal cyberafhankelijke misdaden en financiële verliezen gerapporteerd door bedrijven en individuen tussen januari 2023 en juni 2024. Slechts 5.7% van de gerapporteerde cyberafhankelijke misdaden werd gemeld door bedrijven, maar zij vormden 30% van de totale financiële verliezen.
| Totaal cyberafhankelijke misdaden januari 2023 - juni 2024 | ||
| Datum | Rapportvolume | Financieel verlies |
| Jan-23 | 2,176 | £670,752 |
| Februari-23 | 1,972 | £442,071 |
| Mar-23 | 2,517 | £659,304 |
| Apr-23 | 2,267 | £253,575 |
| Mei-23 | 2,965 | £547,045 |
| Juni-23 | 2,874 | £310,386 |
| Juli-23 | 3,952 | £718,226 |
| Augustus-23 | 3,313 | £332,210 |
| September-23 | 3,224 | £500,528 |
| Oktober-23 | 3,670 | £363,292 |
| November-23 | 3,957 | £264,566 |
| Dec-23 | 3,439 | £490,098 |
| Jan-24 | 4,028 | £890,500 |
| Februari-24 | 3,777 | £215,300 |
| Mar-24 | 4,101 | £242,700 |
| Apr-24 | 3,849 | £187,100 |
| Mei-24 | 4,461 | £257,600 |
| Juni-24 | 4,436 | £219,400 |
| Totaal | 60,978 | £7,564,652 |
Hoeveel verliest het gemiddelde Britse bedrijf per jaar?
Uit ons State of Information Security Report blijkt dat 99% van de Britse bedrijven in de afgelopen twaalf maanden boetes heeft ontvangen voor een datalek of overtreding van de regels voor gegevensbescherming. Respondenten maakten het totale bedrag aan boetes bekend dat hun organisaties hadden ontvangen:
| Fijn bedrag | Aantal respondenten |
| Tot £ 50,000 | 36 |
| £ 50,001- 100,000 £ | 101 |
| £ 101,000- 250,000 £ | 177 |
| £ 250,001- 500,000 £ | 133 |
| £ 500,001- 1,000,000 £ | 51 |
| Meer dan £ 1,000,000, gelieve te specificeren | 0 |
| We hebben de afgelopen 12 maanden geen boete ontvangen voor een datalek of schending van de regels voor gegevensbescherming | 4 |
De gemiddelde totale boete die bedrijven ontvangen is £366,475***, terwijl het gemiddelde financiële verlies als gevolg van een enkele cyberafhankelijke misdaadrapportage door organisaties als gevolg van fraudebestrijding in dezelfde periode (april 2023-maart 2024) £538.37 bedroeg. Organisaties hadden door één enkel incident maar liefst £367,013 kunnen verliezen.
Cyberaanvallen voorkomen met ISO 27001
De belangrijkste cybergerelateerde misdaden die aan Action Fraud worden gemeld, laten zien dat het profiteren van menselijke fouten een belangrijk doelwit is voor dreigingsactoren. Als reactie daarop richten organisaties zich op het opleiden van werknemers op het gebied van informatiebeveiliging. Bijna de helft (45%) van de respondenten in ons State of Information Security Report zegt dat hun organisatie meer aandacht heeft besteed aan de opleiding en bewustwording van medewerkers, en 35% zegt dat leermanagementplatforms de meest effectieve methode zijn gebleken.
Certificering volgens informatiebeveiligingsnormen zoals ISO 27001 helpt bedrijven een grondige aanpak te hanteren bij het versterken van hun veiligheidsverdediging, waardoor het risico op cyberincidenten wordt verminderd. Om de ISO 27001-certificering te behalen, moeten bedrijven een ISO 27001-conform informatiebeveiligingsbeheersysteem (ISMS) bouwen, onderhouden en voortdurend verbeteren en met succes een externe audit voltooien.
RISICO BEHEER
Continu informatiebeveiligingsrisicobeheer is een vereiste van ISO 27001-standaardclausule 6.1, acties om risico's en kansen aan te pakken. Uw organisatie moet de risico's identificeren die verbonden zijn aan elk informatiemiddel dat binnen de reikwijdte van uw ISMS valt, en voor elk risico de juiste risicobehandeling selecteren: behandelen, overdragen, tolereren of beëindigen.
ISO 27001 bijlage A schetst de 93 controles waarmee uw organisatie rekening moet houden bij het uitvoeren van risicobeheer. In uw Statement of Applicability (SoA) moet de beslissing om een controle wel of niet toe te passen worden gemotiveerd. Deze grondige aanpak van risicobeheer en -behandeling stelt uw organisatie in staat risico's gedurende hun gehele levenscyclus te identificeren, behandelen en beperken, waardoor de kans op een incident wordt verkleind en de impact wordt verminderd als zich een incident voordoet.
CONTINUE VERBETERING
De ISO 27001-norm bevordert een voortdurende verbetering van de informatiebeveiliging, inclusief een voortdurend organisatiebreed bewustzijn op het gebied van informatiebeveiliging. Bewustzijn speelt een sleutelrol bij het voldoen aan ISO 27001; Bijlage A.6.3 Informatiebeveiliging en privacybewustzijn, opleiding en training is een van de 93 controles van de standaard. De controle zorgt ervoor dat medewerkers zich bewust zijn van en voldoen aan hun verantwoordelijkheden op het gebied van informatiebeveiliging.
Neem een standpunt in tegen kostbare cybercriminaliteit
Uit de statistieken van Action Fraud en het State of Information Security Report van ISMS.online blijkt dat cybercriminaliteit een voortdurende en groeiende uitdaging vormt voor Britse bedrijven. Het aantal meldingen van cybergerelateerde misdaden neemt jaar na jaar toe en organisaties die het slachtoffer worden van datalekken of die niet voldoen aan de wettelijke vereisten, worden geconfronteerd met aanzienlijke boetes.
Dit is het moment voor bedrijven om hun inspanningen op het gebied van informatiebeveiliging op te voeren.
Het verbeteren van het bewustzijn bij personeel en belanghebbenden is van cruciaal belang om het risico op incidenten als gevolg van menselijke fouten te verminderen. Het bouwen van een robuust ISMS dat aansluit bij de eisen van ISO 27001 zal extra verdedigingslagen toevoegen. ISO 27001-certificering vergroot de veerkracht van de organisatie en biedt een concurrentievoordeel ten opzichte van bedrijven die minder aandacht besteden aan hun beveiligingspositie.
-
Data bronnen:
- ISMS.online State of Information Security 2024-gegevens, onderzoek uitgevoerd door onafhankelijk marktonderzoeksbureau Censuswide.
- Actiefraudegegevens uit 2023 van verzoek om vrijheid van informatie FOI2024/00990, politie van City of London, ontvangen op 25/7/2024.
- Fraudegegevens uit 2024 van het National Fraud Intelligence Bureau Dashboard, verzameld op 25/7/24.
*Deze gegevens bevatten geen informatie van Police Scotland, die verantwoordelijk is voor het verzamelen en handhaven van frauduleuze activiteiten waarbij Schotse slachtoffers betrokken zijn. De door Action Fraud verstrekte gegevens hebben betrekking op frauduleuze activiteiten in Engeland, Wales, Noord-Ierland en frauduleuze activiteiten die rechtstreeks aan Action Fraud zijn gemeld door Schotse organisaties en individuen.
**Gemiddeld verlies per rapport berekend door het financiële verlies te delen door het rapportvolume
***Gemiddelde boete berekend door de gemiddelde boete te delen door het aantal respondenten
[1] https://assets.publishing.service.gov.uk/media/645b7b87479612000fc29318/nfib-fraud-april-2023.pdf
