Cybercriminaliteit vormt een groeiende bedreiging voor zowel bedrijven als individuen over de hele wereld, aangezien dreigingsactoren proberen toegang te krijgen tot gevoelige gegevens of financiën op vrijwel alle mogelijke manieren. In het Verenigd Koninkrijk laten gegevens van Action Fraud zien dat bedrijven meer dan 1,600 cybercriminaliteiten hebben gemeld – fraude niet meegerekend – tussen januari en september 2024.
In de geest van Halloween en griezelige statistieken kijken we naar de regio's met het huiveringwekkend hoogste aantal cybercriminaliteitsrapporten door organisaties in 2024 en hoe u uw bedrijf kunt beschermen tegen cyberincidenten.
Hoeveel hebben bedrijven in totaal verloren aan cybercriminaliteit?
Uit gegevens van Action Fraud blijkt dat organisaties tussen januari en september 1,613 in totaal 932,200 gevallen van cybercriminaliteit en verliezen van £ 2024 hebben gemeld.
| Maand | Rapporten over cybercriminaliteit | Gerapporteerde verliezen door cybercriminaliteit |
| Januari 2024 | 196 | £423,500 |
| februari 2024 | 200 | £89,000 |
| Maart 2024 | 191 | £2,200 |
| April 2024 | 179 | £24,000 |
| mei 2024 | 173 | £120,400 |
| Juni 2024 | 206 | £5,800 |
| Juli 2024 | 182 | £63,000 |
| Augustus 2024 | 149 | £190,000 |
| 2024 september | 137 | £14,300 |
| Totaal | 1613 | £932,200 |
Januari 2024 was de slechtste maand voor financiële verliezen met £423,500, goed voor 45% van de totale economische verliezen gedurende de negen geregistreerde maanden. Het hoogste aantal cybercriminaliteiten werd geregistreerd in juni, met 206 meldingen en £5,800 aan gerapporteerde verliezen. Ondertussen werden de minste cybercriminaliteitsmeldingen gedaan in september, met 137 meldingen en £14,300 aan gerapporteerde verliezen.
Waar rapporteren bedrijven de meeste cybercriminaliteit?
Deze gegevens worden geregistreerd door de politie en niet regionaal. Het is misschien niet verrassend dat de London Metropolitan Police het hoogste aantal cybercrime-rapporten van organisaties ontving, met 325 rapporten tussen januari en september en een totaal van £ 69,100 aan financiële verliezen. De rest van de top vijf plekken werd geclaimd door Greater Manchester (97 rapporten), Thames Valley (82 rapporten), West Yorkshire (54 rapporten) en West Midlands (47 rapporten).
| Rang | Politie | Aantal rapporten | Gerapporteerde financiële verliezen |
| 1 | Metropoliet | 325 | £69,100 |
| 2 | Greater Manchester | 97 | £891 |
| 3 | Thames-vallei | 82 | £400 |
| 4 | West Yorkshire | 54 | £50,000 |
| 5 | West Midlands | 47 | £565 |
De data laat zien dat een hoog aantal meldingen niet altijd leidt tot hogere financiële verliezen. Terwijl Greater Manchester op de tweede plaats staat, verloren organisaties slechts £891 in de afgelopen negen maanden, en Thames Valley-bedrijven verloren £400 aan 82 incidenten.
Cybercriminaliteit: een kansspel met hoge inzetten
Wanneer we regio's rangschikken op basis van gerapporteerde financiële verliezen in plaats van op basis van het aantal meldingen, zien we opnieuw dat het aantal cybercriminaliteit niet noodzakelijkerwijs leidt tot een toename van de economische verliezen van bedrijven:
| Rang | Politie | Aantal rapporten | Gerapporteerde financiële verliezen |
| 1 | Surrey | 31 | £442,000 |
| 2 | Onbekend | 101 | £109,200 |
| 3 | Hampshire | 46 | £105,000 |
| 4 | City of London | 35 | £98,700 |
| 5 | Metropoliet | 325 | £69,100 |
Organisaties in Surrey hebben in negen maanden tijd slechts 31 rapporten ingediend, maar een verbijsterende £ 442,000 aan financiële verliezen - bijna de helft (47%) van de totale financiële verliezen door cybercriminaliteit die door bedrijven in 2024 zijn gemeld. Van de vorige lijst van politiekorpsen met het hoogste aantal rapporten, staat alleen London Metropolitan op deze lijst, op de vijfde plaats met 325 rapporten en £ 69,100 aan verliezen.
Het ontbreken van correlatie tussen het aantal meldingen bij een politiemacht en de gerapporteerde financiële verliezen toont de willekeurige aard van cybercriminaliteit aan. Slechts één slim uitgevoerde aanval kan een bedrijf duizenden of zelfs honderdduizenden ponden kosten. Het gemiddelde financiële verlies per gerapporteerde cybercriminaliteit in Surrey in 2024 bedraagt £ 14,258, vergeleken met het gemiddelde van £ 213 in London Metropolitan, ondanks dat Metropolitan meer dan tien keer zoveel gerapporteerde cybercriminaliteit heeft.
Incidentenrapportage en naleving van regelgeving
De Action Fraud-statistieken geven alleen gerapporteerde gegevens weer. Veel cybercriminaliteit wordt waarschijnlijk niet gerapporteerd omdat bedrijven proberen incidenten te beheren zonder politie-interventie en de impact op hun verzekering en reputatie te verminderen.
A Onderzoek uit 2021 van Van de Weijer et al. toonde 529 deelnemers drie vignetten over fictieve cybercrime-incidenten en vroeg hen hoe ze in deze situatie zouden reageren. De studie stelt dat "de grote meerderheid van de MKB-eigenaren zei dat ze de incidenten uit de vignetten bij de politie zouden melden, maar na daadwerkelijke victimisatie werd slechts 14.1 procent van de cybercriminaliteit bij de politie gemeld."
Het melden van cybercriminaliteit is nu een vereiste voor organisaties die actief zijn in de Europese Unie onder de onlangs bijgewerkte Netwerk- en informatiebeveiliging (NIS 2) Richtlijn, die deze maand van kracht werd. Organisaties die niet-conform blijken te zijn, waaronder organisaties die cyberincidenten niet melden, riskeren mogelijke financiële sancties of zelfs uitsluiting van zakendoen in een gebied. Het melden van cyberincidenten zal ook een vereiste zijn onder de European Cyber Resilience Act wanneer deze van kracht wordt.
Gelukkig is er de internationaal erkende standaard voor informatiebeveiliging ISO 27001 kan een kader bieden voor NIS 2-naleving en u helpen uw bedrijf te beschermen tegen cyberdreigingen.
Gebruik ISO 27001 om cyberincidenten te voorkomen en af te stemmen op NIS 2
ISO 27001-certificering helpt bedrijven hun beveiligingshouding te verbeteren en het risico op cyberincidenten effectief te verminderen. Om dit te bereiken ISO 27001-certificeringeen organisatie moet een ISO 27001-conforme organisatie opbouwen, onderhouden en voortdurend verbeteren informatiebeveiligingsbeheersysteem (ISMS) en een externe audit door een geaccrediteerde auditinstantie met succes afronden.
Een ISO 27001-gecertificeerd ISMS kan de informatiebeveiliging van uw organisatie verbeteren en op de volgende manieren voldoen aan NIS 2:
RISICO BEHEER
Risicobeheer en -behandeling zijn vereisten van ISO 27001 clausule 6.1, acties om risico's en kansen aan te pakken, en NIS 2 artikel 21. Uw organisatie moet de risico's identificeren die verband houden met elk informatie-activum binnen de reikwijdte van uw ISMS en de juiste risicobehandeling voor elk risico selecteren: behandelen, overdragen, tolereren of beëindigen.
ISO 27001 Annex A schetst de 93 controles die uw organisatie moet overwegen in het risicomanagementproces. In uw Statement of Applicability (SoA) moet u de beslissing om een controle wel of niet toe te passen, rechtvaardigen. Deze grondige aanpak van risicomanagement en -behandeling stelt uw organisatie in staat om risico's gedurende hun levenscyclus te identificeren, behandelen en beperken, waardoor de kans op een incident wordt verkleind en de impact wordt verminderd als er een incident optreedt.
Reactie op incidenten
Uw organisatie moet incident managementprocessen en incident logs implementeren die zijn afgestemd op ISO 27001 Annex A.5.24, A.5.25 en A.5.26, die zich richten op planning, voorbereiding, beslissingen en reacties op informatiebeveiligingsincident management. Een incident management procedure en respons log zijn ook vereist door NIS 2 Artikel 21. Dit zorgt ervoor dat uw organisatie een proces heeft om de impact van incidenten te beheren en minimaliseren.
Training en bewustwording van medewerkers
Het bevorderen van een cultuur van informatiebeveiligingsbewustzijn is een cruciaal onderdeel van ISO 27001 en is net zo essentieel voor NIS 2-naleving, wat vereist is door ISO 27001 Annex A.6.3, informatiebeveiligingsbewustzijn, -educatie en -training, en NIS 2 Artikel 21. Door een trainings- en bewustwordingsplan te implementeren, kunt u werknemers voorlichten over cyberrisico's. Het is ook cruciaal om ervoor te zorgen dat werknemers het belang van sterke wachtwoorden kennen in overeenstemming met uw ISO 27001-wachtwoordbeleid.
Dreigingsactoren maken vaak misbruik van menselijke fouten in hun pogingen om toegang te krijgen tot gevoelige informatie, en overtuigen werknemers zelfs om financiële transacties te doen via phishing-e-mails of geavanceerde AI-aangedreven deepfakes. Van de 1,613 cybercriminaliteiten die dit jaar door Britse bedrijven aan Action Fraud zijn gemeld, werden er 919 (56%) geregistreerd onder de code voor sociale media en e-mailhacking. Het hebben van een trainings- en bewustwordingsplan en het opleiden van werknemers is van vitaal belang om het risico op deze incidenten te verkleinen.
Verbeter uw informatiebeveiligingshouding vandaag nog
Nu er nieuwe cyberregelgevingen zoals de Cyber Resilience Act en de Digital Operational Resilience Act (DORA) in aantocht zijn, is het tijd om vooruit te kijken. Boek uw demo om te leren hoe u risico's kunt beperken, uw reputatie kunt versterken, door het complexe regelgevingslandschap kunt navigeren en ISO 27001-naleving kunt bereiken met behulp van ISMS.online. U kunt ook praktische richtlijnen vinden voor NIS 2-naleving beheersen met behulp van ISO 27001 in ons webinar met experts van A-LIGN, Cybercontrols.io en ISMS.online.
