Het dreigingslandschap

Inzicht in wie organisaties aanvalt – en waarom – vormt de basis voor weloverwogen risicobeslissingen op bestuursniveau.

1.2 Actoren op nationaal-staatsniveau

Door de staat gesteunde groeperingen uit Rusland, China, Noord-Korea en Iran voeren aanvallen uit voor geopolitieke inlichtingen, industriële spionage en het ontwrichten van kritieke infrastructuur. Deze actoren opereren met onbeperkte tijd, middelen en juridische straffeloosheid binnen hun eigen rechtsgebied.

• → China's Volt Typhoon: al jarenlang strategisch gepositioneerd in de kritieke infrastructuur van de VS en Europa, wachtend op geopolitieke triggers. Farmaceutische bedrijven, energiebedrijven en halfgeleiderfabrikanten zijn prioritaire doelwitten.
• → De Russische zandworm: verantwoordelijk voor NotPetya (2017) — wereldwijde schade van meer dan $10 miljard, waaronder $300 miljoen voor Maersk en $870 miljoen voor Merck. Door verzekeraars geclassificeerd als een 'oorlogsdaad'.
• → De Lazarus-groep van Noord-Korea: voert ransomware-aanvallen en cryptovalutadiefstal uit om staatsprogramma's te financieren. Verantwoordelijk voor WannaCry (2017) — wereldwijde schade van meer dan $4 miljard, waarbij 80.000 apparaten van de Britse gezondheidsdienst NHS werden versleuteld.

Georganiseerde criminele ransomwaregroepen (RaaS)

Ransomware-as-a-Service heeft cybercriminaliteit geïndustrialiseerd. Groepen zoals LockBit, BlackCat/ALPHV, Cl0p en Royal werken met partnerprogramma's, waarbij ze technische specialisten, onderhandelaars en witwasnetwerken rekruteren.

• → Gemiddelde losgeldeis van bedrijven (2024): $5 miljoen tot meer dan $50 miljoen . Gemiddelde totale kosten van een incident: $4,5 miljoen voor middelgrote bedrijven, meer dan $30 miljoen voor grote ondernemingen.
• → Dubbele afpersing: gegevens worden zowel versleuteld als gestolen. Slachtoffers worden geconfronteerd met zowel een operationele stilstand als de dreiging van openbaarmaking van gevoelige gegevens.
• → Drievoudige afpersing: aanvallers nemen rechtstreeks contact op met klanten, partners, toezichthouders en de media, waardoor er druk ontstaat die onafhankelijk is van de reactie van de organisatie.
• → Het RaaS-model betekent dat aanvallen nu toegankelijk zijn voor minder bekwame personen — elke crimineel kan de infrastructuur huren.