Cyberstudie: bijna twee derde meer bedrijven getroffen in 2024 dan jaar eerder
Hoewel drie vierde van de schade beperkt bleef tot 20.000 euro, liep 4% van de bedrijven meer dan 1 miljoen euro schade op. Toch blijven veel bedrijven in ons land de risico's nog altijd onderschatten. De nieuwe Europese richtlijnen* om de weerbaarheid van bedrijven tegen cyberaanvallen op te krikken, moeten daar in 2025 verandering in brengen.
Cyber resized
Het risico dat een bedrijf slachtoffer wordt van een cyberaanval is tegenwoordig aanzienlijk groter dan dat van een fysieke inbraak of brand. Cybercriminaliteit staat daarmee, samen met klimaatverandering en geopolitieke conflicten, bovenaan de lijst van grootste systemische risico’s voor verzekeraars. Ook bedrijven in België worden zich hier meer van bewust: het voorbije jaar verzekerde er zich om de twee werkdagen een nieuw bedrijf tegen cyberschade.
Phishing, hacking en ‘single supplier risico’
Phishing en hacking blijven de twee belangrijkste triggers. Bij negen op de tien cyberschadegevallen ligt een menselijke fout aan de basis. Dat blijkt uit een analyse van Vanbreda Risk & Benefits. De grootste Belgische verzekeringsmakelaar, wiens portefeuille representatief is voor de markt, behandelde in de afgelopen tien jaar meer dan 300 cyberschadedossiers. Een aantal dat jaar na jaar blijft toenemen. 2024 springt eruit als uitzonderlijk, met een stevige verhoging (+64% tegenover 2023) van het aantal schadegevallen tot boven de vijftig – gemiddeld één incident per week.
Ook incidenten bij leveranciers kunnen de eigen werking trouwens ernstig verstoren. De foute software-update van cyberbeveiligingsreus CrowdStrike die vorig jaar tot een van de grootste ICT-pannes in jaren leidde, illustreert het belang om alert te zijn voor het ‘single supplier risico’: de kwetsbaarheid wanneer bedrijven te afhankelijk zijn van één leverancier.
“Voor cybercriminelen wereldwijd blijven methoden als phishing en hacking de gemakkelijkste weg naar succes. Bij 16% van de getroffen bedrijven liep de schade ruim boven de 100.000 euro en bij 4% zelfs tot in de miljoenen door het stilleggen van de bedrijfsactiviteiten. Toch bleef 75% van de schadegevallen vorig jaar beperkt tot 20.000 euro, mede dankzij de snelle interventies van het cyber response team die inbegrepen zijn in de cyberpolis. Na een aanval brengen we bedrijven meteen in contact met onze partners in legal, PR en IT om de schade te beperken. Daarnaast werken we preventief met workshops, ondersteuning bij het opstellen van continuïteits- en incident-plannen en phishingtests. Zo verstuurden we het afgelopen jaar maar liefst 130.000 test-phishingmails om medewerkers te trainen en cyberrisico’s te verkleinen.”, Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits.
Elke twee werkdagen sluit nieuw bedrijf cyberpolis af
Vorig jaar sloot de verzekeringsmakelaar om de twee werkdagen een nieuwe cyberpolis af bij een nieuw bedrijf (+16,5%). De totale portefeuille is goed voor 17,1 miljoen euro aan verzekerde premie in cyber. Een stijging van zo’n 10% tegenover 2023. Hoewel het aantal polissen sterk stijgt, stijgen de premies niet in verhouding. Volgens Vanbreda komt dat door een eerste aanzet van een verzachting van de markt: er ontstaat stilaan een evenwicht tussen de premie die verzekeraars jaarlijks ontvangen en de schade die ze uitbetalen voor incidenten.
“Omdat cyberaanvallen steeds frequenter worden, vragen bedrijven spontaan naar cyberpolissen. Meestal nadat ze zelf een schadegeval hebben geleden, er net aan ontsnapt zijn, of een schadegeval bij een gekend bedrijf of in de regio hebben gezien. Toch zijn er nog altijd heel wat bedrijven die zich niet bewust zijn van de potentiële risico’s vandaag. We zien dan ook grote verschillen in sectoren. Sommige sectoren in de B2B-omgeving, zoals transport of productie, voelen zich minder geviseerd door cybercriminelen of denken het financiële verlies zelf te kunnen opvangen. Nochtans zijn er wereldwijd al genoeg gevallen van transportbedrijven die door een cyberaanval geen voedingswaren meer konden leveren in de supermarkt of vaststelden dat bijvoorbeeld de temperatuur van de koelcellen werd gemanipuleerd. Vaak met stilstand en dus bedrijfsschade tot gevolg.”, Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits.
Nieuwe Europese richtlijnen rond cybersecurity
Met de invoering van de NIS2-richtlijn, in regel sinds het afgelopen najaar, en de DORA-regelgeving, sinds januari 2025, worden bedrijven door de Europese Unie verplicht hun inspanningen op vlak van cybersecurity verder aan te scherpen. Bedrijven die niet volgen, riskeren sancties.
Volgens Vanbreda Risk & Benefits is de EU-verplichting een goede zaak.
“We verwachten dat cyberaanvallen zullen blijven stijgen. Want we hebben het laatste zeker nog niet gezien op het vlak van cyberbeveiliging. Cybercriminelen worden ook steeds inventiever, zeker met technologieën als AI. Internationaal duiken al de eerste incidenten op met fakevideo’s en fakestemmen om medewerkers te misleiden.”
