Na twee jaar van hoge maar stabiele schadeactiviteit is er in 2023 een zorgwekkende heropleving van ransomware- en afpersingsclaims, omdat het cyberdreigingslandschap zich blijft ontwikkelen, waarschuwt Allianz Commercial in een nieuw rapport.
Hackers richten zich steeds meer op IT en fysieke toeleveringsketens, lanceren massale cyberaanvallen en vinden nieuwe manieren om geld af te persen van grote en kleine bedrijven. Bij de meeste ransomware-aanvallen worden nu persoonlijke of gevoelige commerciële gegevens gestolen met als doel afpersing, waardoor de kosten en complexiteit van incidenten toenemen en er meer kans is op reputatieschade. De analyse van Allianz Commercial van grote cyberschade laat zien dat het aantal gevallen waarin gegevens worden geëxfiltreerd elk jaar toeneemt – een verdubbeling van 40% in 2019 tot bijna 80% in 2022, met een aanzienlijk hoger percentage in 2023.
“De frequentie van cyberschadeclaims is dit jaar weer gestegen doordat ransomware-groepen hun tactieken blijven ontwikkelen”, zegt Scott Sayce, Global Head van Cyber, Allianz Commercial. “Op basis van de schadeactiviteit in de eerste helft van 2023 verwachten we tegen het einde van het jaar een stijging van het aantal schadeclaims met ongeveer 25% per jaar. De aanvallers zijn terug en richten zich opnieuw op westerse economieën, met krachtigere tools, verbeterde processen en aanvalsmechanismen. Gezien deze dynamiek is een goed beschermd bedrijf noodzakelijk om de dreiging het hoofd te kunnen bieden en het belangrijkste element hiervoor is in toenemende mate het ontwikkelen van sterke detectie- en snelle reactiemogelijkheden.”
Hoe evolueert het ransomware risico?
Volgens het Allianz Commercial rapport Cyber security trends 2023: The latest threats and risk mitigation best practice – before, during and after a hack, stabiliseerde de frequentie van cyberclaims in 2022, als gevolg van verbeterde cybersecurityacties en risicomanagementacties bij verzekerde bedrijven. Wetshandhavingsinstanties die bendes aanpakken, hielpen samen met het Oekraïne-Rusland-conflict ook de ransomware-activiteit te beperken. De ransomware-activiteit alleen al steeg echter met 50% jaar op jaar in de eerste helft van 2023. Zogenaamde Ransomware-as-a-Service (Raas) kits, met prijzen vanaf slechts US$40, blijven een belangrijke factor in de frequentie van aanvallen. Ransomware-bendes voeren ook meer aanvallen sneller uit, waarbij het gemiddelde aantal dagen dat nodig is om een aanval uit te voeren daalt van ongeveer 60 dagen in 2019 naar vier.
“Dubbele en drievoudige afpersingsincidenten – waarbij gebruik wordt gemaakt van een combinatie van encryptie, data exfiltratie en Distributed Denial of Service-aanvallen – om geld te verkrijgen zijn niet nieuw, maar ze komen nu vaker voor”, zegt Michael Daum, Global Head of Cyber Claims, Allianz Commercial. “Verschillende factoren zorgen er samen voor dat exfiltratie van gegevens aantrekkelijker wordt voor dreigers. De omvang en hoeveelheid van persoonlijke informatie die wordt verzameld neemt toe, terwijl de regelgeving op het gebied van privacy en datalekken wereldwijd strenger wordt. Tegelijkertijd leiden de trends naar uitbesteding en toegang op afstand tot meer interfaces voor bedreigingsactoren om te exploiteren.”
Exfiltratie van gegevens kan de kosten van een verlies of cyberclaim aanzienlijk verhogen. Het kan langer duren om dergelijke incidenten op te lossen, terwijl juridisch en IT-forensisch onderzoek extreem duur kunnen zijn. Als er gegevens zijn gestolen, moeten bedrijven precies weten welke gegevens zijn geëxfiltreerd en zullen ze waarschijnlijk klanten op de hoogte moeten stellen, die een schadevergoeding kunnen eisen of kunnen dreigen met een rechtszaak.
Dit jaar zijn er ook verschillende grote massale ransomware-aanvallen geweest, waarbij bedreigers misbruik maakten van exploits in software en zwakke plekken in IT-toeleveringsketens om meerdere bedrijven aan te vallen. De MOVEit massale cyberaanval bijvoorbeeld, waarbij misbruik werd gemaakt van een softwareproduct voor gegevensoverdracht en waarbij miljoenen personen en duizenden bedrijven werden getroffen, droeg bij aan de toename van de frequentie van schadeclaims in 2023 tot nu toe, waarbij meerdere polishouders tegelijk werden getroffen.
“In de toekomst kunnen meer massale cyberaanvallen worden verwacht”, zegt Daum. “Bedrijven en hun verzekeraars moeten de interconnectiviteit en afhankelijkheden tussen organisaties en binnen digitale toeleveringsketens beter begrijpen.”
Groeiend aantal openbare gevallen
In het verleden was het aantal cyberincidenten dat openbaar werd laag. Tegenwoordig is het een ander verhaal, want bij data exfiltratie dreigen hackers gestolen gegevens online te publiceren. Uit een analyse van Allianz Commercial van grote cyberverliezen (€1mn+) blijkt dat het percentage gevallen dat openbaar wordt, is gestegen van ongeveer 60% in 2019 naar 85% in 2022, en in 2023 zelfs nog hoger. “Vandaag de dag zal een exfiltratie van gegevens waarschijnlijk openbaar worden en elk bedrijf moet hierop voorbereid zijn”, zegt Rishi Baviskar, Global Head of Cyber Risk Consulting, Allianz Commercial.
Met mogelijk kostbare financiële gevolgen en gevolgen voor de reputatie, kunnen bedrijven zich meer onder druk gezet voelen om losgeld te betalen wanneer er gegevens zijn gestolen. Het aantal bedrijven dat losgeld betaalt, is jaar na jaar gestegen – van slechts 10% in 2019 naar 54% in 2022, wederom gebaseerd op een analyse van alleen grote verliezen (€1mn+). Bedrijven zijn tweeënhalf keer meer geneigd om losgeld te betalen als er gegevens zijn ge-exfiltreerd, bovenop de versleuteling.
Het betalen van losgeld voor ge-exfiltreerde gegevens lost het probleem echter niet noodzakelijkerwijs op. Het bedrijf kan nog steeds te maken krijgen met rechtszaken van derden voor de inbreuk op gegevens, vooral in de VS. Er zijn maar weinig gevallen waarin een bedrijf moet denken dat er geen andere oplossing is dan het betalen van losgeld om weer toegang te krijgen tot zijn systemen of gegevens. Een getroffen partij moet altijd de autoriteiten informeren en met hen samenwerken.
Het belang van vroegtijdige detectie en snelle reactie
Het beschermen van een organisatie tegen inbraak blijft een kat-en-muisspel, waarbij cybercriminelen in het voordeel zijn. Een Allianz analyse van meer dan 3.000 cyberclaims in de afgelopen vijf jaar laat zien dat externe manipulatie van systemen de oorzaak is van meer dan 80% van alle incidenten. Bedreigers onderzoeken nu manieren om kunstmatige intelligentie (AI) te gebruiken om aanvallen te automatiseren en te versnellen, waardoor effectievere AI-aangedreven malware, phishing en spraaksimulaties ontstaan. In combinatie met de explosieve toename van het aantal verbonden mobiele apparaten – Allianz Commercial heeft een groeiend aantal incidenten gezien die werden veroorzaakt door slechte cyberbeveiliging op dit gebied – lijkt het erop dat het aantal aanvalsmogelijkheden alleen maar zal toenemen.
Het voorkomen van een cyberaanval wordt daarom moeilijker en de inzet hoger. Daarom worden mogelijkheden en tools voor vroegtijdige detectie en respons steeds belangrijker. Ongeveer 90% van de incidenten wordt vroegtijdig onder controle gebracht. Als een aanval echter niet in een vroeg stadium wordt gestopt, neemt de kans om te voorkomen dat het iets veel ernstigers en kostbaarders wordt sterk af.
“Traditionele cybersecurity heeft zich gericht op preventie met als doel aanvallers buiten een netwerk te houden,” zegt Baviskar. “Hoewel investeringen in preventie het aantal succesvolle cyberaanvallen verminderen, zal er altijd een ‘gat’ overblijven waardoor aanvallen toch door kunnen dringen. Het is bijvoorbeeld niet mogelijk om alle werknemers ervan te weerhouden op steeds geavanceerdere phishing e‑mails te klikken.”
Bedrijven zouden extra uitgaven voor cyberbeveiliging moeten richten op detectie en respons, in plaats van alleen maar meer beschermings- en preventielagen toe te voegen. Slechts een derde van de bedrijven ontdekt een datalek via hun eigen beveiligingsteams. Technologie voor vroegtijdige detectie is echter gemakkelijk beschikbaar en effectief.
“Detectiesystemen worden voortdurend verbeterd en kunnen veel pijn besparen door de detectie- en responstijden te verkorten. Dit is iets waar we naar kijken bij onze cyberrisicobeoordelingen en acceptatie,” voegt Baviskar toe.
Cyberinbreuken die niet in een vroeg stadium worden gedetecteerd en onder controle worden gehouden, kunnen tot wel 1000 keer duurder uitvallen dan inbreuken die wel in een vroeg stadium worden gedetecteerd, zo blijkt uit het rapport. Uit de analyse van Allianz Commercial blijkt dat vroegtijdige detectie en reactie kunnen voorkomen dat een verlies van €20.000 uitgroeit tot een verlies van €20 miljoen.
“Preventie bepaalt de frequentie van aanvallen en respons is verantwoordelijk voor de omvang van het verlies – of het nu gaat om een klein IT-incident of een bedrijfscrisis”, zegt Daum. “Wij geloven dat bedrijven zich goed kunnen voorbereiden en dat er ruimte is voor verbetering in hoe ze reageren op deze aanvalsdreigingen. Uiteindelijk zullen vroegtijdige detectie en reactievermogen de sleutel zijn tot het beperken van de impact van cyberaanvallen en het waarborgen van een duurzame cyberverzekeringsmarkt in de toekomst.”
