Jarenlang was 10.5 biljoen dollar hét bedrag dat de gesprekken in directiekamers en tijdens veiligheidsbriefings stillegde. Cybersecurity-ondernemingenDe prognose van de jaarlijkse kosten van wereldwijde cybercriminaliteit voor 2025 deed zijn werk als een wake-up call. Organisaties haalden het aan in risicoanalyses, toezichthouders verwezen ernaar in beleidskaders en CISO's gebruikten het om budgetaanvragen te rechtvaardigen. Het cijfer was alarmerend genoeg om de aandacht te vestigen op de datalekcrisis.
Het meest recente rapport over cybercriminaliteit van Cybersecurity Ventures bevestigt dat de wereldwijde kosten van cybercriminaliteit in 2025 $10.5 biljoen bedroegen. Hun eigen groeimodel, dat een jaarlijkse groei van ongeveer 2.5% voorspelt, schat de kosten in 2026 nog hoger in en op een traject richting $12.2 biljoen in 2031. Op basis van de huidige cijfers van 2025 zouden cybercriminelen naar schatting $333,000 aan schade per seconde hebben aangericht.
De FBI's Internet Crime Complaint CenterHet FBI-systeem, dat alleen al vrijwillige meldingen van Amerikaanse slachtoffers ontvangt, registreerde in 2025 een gerapporteerd verlies van $ 20.877 miljard als gevolg van cybercriminaliteit. Dit is de eerste keer dat dit bedrag de $ 20 miljard overschrijdt en een stijging van 26% ten opzichte van de $ 16.6 miljard die in 2024 werd gerapporteerd. Dit cijfer vertegenwoordigt alleen wat slachtoffers melden. Aangezien slechts 26% van de mensen die geld verliezen door online criminaliteit aangifte doen bij de politie, is het FBI-cijfer een bevestigde ondergrens, geen bovengrens.
Achter deze cijfers gaan organisaties, patiënten, werknemers en klanten schuil van wie de gegevens, het geld en het vertrouwen zijn geschaad. In deze blog onderzoeken we wat de cybercriminaliteit in 2026 naar recordhoogtes drijft, welke sectoren en aanvalsvectoren verantwoordelijk zijn voor de meeste schade en wat de organisaties die dit risico het meest effectief beheersen, anders doen.
Wat cybercriminaliteit daadwerkelijk kost
Het wereldwijde bedrag van 10.8 biljoen dollar is geen op zichzelf staande kostenpost. Het is een optelsom van verschillende economische schades die organisaties op uiteenlopende manieren treffen, afhankelijk van hun sector, geografische locatie en beveiligingsniveau.
Directe financiële diefstal Dit omvat geld dat is gestolen via zakelijke e-mailfraude (BEC), beleggingsfraude en fraude met bankoverschrijvingen. Volgens het FBI IC3 jaarverslag 2025, dat in april 2026 werd gepubliceerd, was beleggingsfraude de grootste categorie met $ 8.64 miljard aan gerapporteerde verliezen in de VS, een aanzienlijke stijging ten opzichte van $ 6.57 miljard het jaar ervoor.
Kosten voor operationele verstoringen dekt de downtime, het productiviteitsverlies en de bedrijfsonderbreking die volgen op een succesvolle aanval. Uit een rapport van IBM uit 2025 bleek dat 31% van de organisaties te maken krijgt met een AI-gerelateerde aanval. overtreding Er werd melding gemaakt van directe operationele verstoringen, waaronder verstoringen in de orderverwerking, klantenservice en toeleveringsketen. Voor grote ondernemingen kunnen zelfs enkele dagen operationele verstoring al verliezen opleveren die vergelijkbaar zijn met de bedragen die worden genoemd bij directe diefstal.
Herstel- en saneringskosten Dit omvat incidentrespons, forensisch onderzoek, systeemherstel, meldingsverplichtingen, kredietbewakingsdiensten voor getroffen personen en juridische kosten. IBM constateerde dat de herstelkosten alleen al wereldwijd gemiddeld $ 1.2 miljoen per datalek bedroegen in 2025, terwijl de kosten voor detectie en escalatie nog eens $ 1.47 miljoen bedroegen.
Regelgevingsboetes en sancties wegens niet-naleving Dit is een groeiende kostenpost, zoals de gegevens van 2025 duidelijk aantonen. De toenemende kloof tussen de gemiddelde kosten van een datalek wereldwijd ($4.44 miljoen) en het Amerikaanse gemiddelde ($10.22 miljoen) wordt grotendeels verklaard door sancties van toezichthouders, met name door de openbaarmakingsregels van de SEC, meldingsplicht op staatsniveau binnen 50 verschillende rechtsstelsels en sectorspecifieke sancties in de gezondheidszorg en financiële dienstverlening.
Reputatieschade en verlies van klanten Deze kosten zijn het moeilijkst te kwantificeren, maar hebben vaak de meest langdurige gevolgen. IBM's onderzoek definieert "verloren omzet" als een aparte kostenpost, met een gemiddelde van $ 1.38 miljoen per datalek in 2025. Klantenverlies, verloren partnerschappen en reputatieschade in concurrerende markten kunnen nog lang na het financiële jaar waarin het datalek plaatsvond aanhouden.
Sectoren die het meest betalen
Sommige industrieën hebben structurele kenmerken. kwetsbaarheden, waaronder grote hoeveelheden waardevolle persoonsgegevens, cruciale operationele afhankelijkheden of complexe toeleveringsketens, waardoor ze onevenredig aantrekkelijke doelwitten zijn en duur om te hacken.
De onderstaande sectorspecifieke gegevens over het aantal aanvallen zijn afkomstig uit het FBI IC3 jaarverslag 2025, dat in april 2026 is gepubliceerd en het meest actuele federale beeld geeft van hoe de dreiging verdeeld is over de kritieke infrastructuursectoren.
| Industrie | Gemiddelde kosten van een inbreuk | Cyberevenementen | Opvallende factor |
|---|---|---|---|
| Gezondheidszorg | $7.42 miljoen (IBM 2025) | Totaal 642: 460 ransomware-aanvallen + 182 datalekken | Meest getroffen sector binnen alle 16 categorieën van kritieke infrastructuur |
| Financiële diensten | $5.56 miljoen (IBM 2025) | In totaal 447 evenementen (op één na hoogste aantal) | Waardevolle data, complexe regelgeving, boetes van SEC/CFPB |
| Industriële fabricage | $5.00 miljoen (IBM 2025) | Een stijging van 61% op jaarbasis in het aantal aanvallen (Cyble, 2025) | OT/IT-convergentie; productieuitval vergroot het verlies. |
| Energie | $4.83 miljoen (IBM 2025) | 80 ransomware-incidenten (FBI IC3 2025) | Status van kritieke infrastructuur; operationele impact |
| Technologie | $4.79 miljoen (IBM 2025) | Top 5 van de meest getroffen kritieke sectoren | Diefstal van intellectueel eigendom; blootstelling aan aanvallen op de toeleveringsketen |
| Overheidsvoorzieningen | $2.86 miljoen (IBM 2025) | Top 5 van de meest getroffen kritieke sectoren | Lagere kosten, maar maximale maatschappelijke impact |
Aanvalsvectoren die de crisis in 2026 aanjagen
Inzicht in welke aanvalsvectoren in 2026 de meeste schade aanrichten, is belangrijk voor het prioriteren van defensieve investeringen.
Phishing In 2025 werd het stelen van inloggegevens de meest voorkomende initiële aanvalsvector, verantwoordelijk voor 16% van de datalekken met een gemiddelde kostprijs van... $ 4.8 miljoen per incidentDe reden waarom phishing na jaren van dominantie door inloggegevensdiefstal de toppositie heeft heroverd, houdt rechtstreeks verband met AI: 82.6% van de phishingmails die eind 2024 en begin 2025 werden geanalyseerd, maakte in zekere mate gebruik van AI, volgens de ENISA-dreigingsanalyse van 2025. Door AI gegenereerde phishingberichten zijn aanzienlijk overtuigender dan de slecht geschreven, grammaticaal onjuiste berichten die gebruikers door middel van bewustwordingstraining hebben leren herkennen.
Compromissen in de toeleveringsketen was de op één na meest voorkomende aanvalsvector bij bijna 15% van de inbreuken, met een gemiddelde kostprijs van $ 4.91 miljoen en de langste gemiddelde resolutietijd bij 267 dagen. Aanvallen in de toeleveringsketen Deze zijn bijzonder kostbaar omdat ze het moeilijkst te detecteren en te beheersen zijn: de eerste inbreuk vindt plaats in een omgeving van een derde partij, en de schade verspreidt zich door elke organisatie die afhankelijk is van de software of diensten van die leverancier.
Gestolen of gecompromitteerde inloggegevens Wachtwoordaanvallen blijven de op twee na grootste methode voor initiële toegang en vormen de basis van het ecosysteem voor misbruik van inloggegevens. Microsoft verwerkt meer dan 600 miljoen wachtwoordaanvallen per dag. Infostealers, malware die specifiek is ontworpen om op grote schaal inloggegevens te verzamelen, waren in 2025 verantwoordelijk voor een groeiend aandeel van de initiële toegang. Verschillende grote ransomware-as-a-service (RaaS)-groepen noemden ze als hun primaire methode voor het verkrijgen van inloggegevens, volgens het CrowdStrike 2025 Global Threat Report.
Misbruik van niet-gepatchte kwetsbaarheden Het aantal datalekken neemt toe en het Verizon Data Breach Investigations Report 2026 toonde aan dat het misbruik van kwetsbaarheden steeg naar 31% van de datalekken als de meest voorkomende initiële toegangsmethode in de onderzochte dataset, waarmee het voor het eerst misbruik van inloggegevens overtrof. Van de kwetsbaarheden die in de CISA-catalogus met bekende misbruikte kwetsbaarheden staan vermeld, werd in 2025 slechts 26% volledig verholpen door organisaties, waarbij de mediane hersteltijd opliep tot 43 dagen.
Wat organisaties nog steeds verkeerd doen
De meest bruikbare inzichten uit de datalekken van 2025 en 2026 betreffen niet het aantal aanvallen of de kosten, maar het consistente patroon van vermijdbare fouten dat zich voordoet bij datalekken van elk type en elke omvang.
Detectiesnelheid: Dit blijft de grootste kostenfactor.. De gegevens van IBM tonen een direct en meetbaar verband aan tussen de tijd die nodig is om een datalek te detecteren en de kosten ervan. Datalekken die binnen 200 dagen worden ontdekt, kosten gemiddeld $ 3.87 miljoen. Datalekken die na 200 dagen worden ontdekt, kosten $ 5.01 miljoen, een meerprijs van $ 1.14 miljoen. De grens van 200 dagen markeert het punt waarop laterale verplaatsing, grootschalige data-exfiltratie en permanente toegang volledig zijn gevestigd.
Beveiliging van de toeleveringsketen: Een inbreuk op de toeleveringsketen, met bijna 15% van de initiële aanvalsvectoren en een gemiddelde kostprijs van $ 4.91 miljoen per inbreuk, is het op één na duurste en meest tijdrovende aanvalspatroon in de dataset van IBM. De bevinding van het Verizon 2026 DBIR-rapport dat 48% van alle inbreuken nu een derde partij betreft, een stijging van 60% ten opzichte van vorig jaar, bevestigt dat de toeleveringsketen de snelstgroeiende toegangsweg is. Organisaties die hun eigen beveiliging rigoureus controleren, maar deze controle niet opleggen aan hun softwareleveranciers, managed service providers en code-ondertekeningsinfrastructuur, laten een grote en groeiende kloof open.
AI-governance en -implementatie: IBM ontdekte dat 63% van de getroffen organisaties geen formeel beleid voor AI-governance had. Slechts 34% voerde regelmatig audits uit om verborgen AI te detecteren. Gezien het feit dat verborgen AI een rol speelde bij 20% van de datalekken en de gemiddelde kosten met $670,000 verhoogde, is dit geen theoretisch risico. Organisaties die AI-tools inzetten zonder bijbehorende governancekaders vergroten hun kwetsbaarheid voor aanvallen op manieren die hun beveiligingsprogramma's nog niet kunnen detecteren.
Trage aanpak van kwetsbaarheden: Met slechts 26% van de door CISA bekende, misbruikte kwetsbaarheden die in 2025 volledig verholpen zullen zijn en een mediane hersteltijd die oploopt tot 43 dagen, wordt een aanzienlijk deel van de misbruiken van kwetsbaarheden – goed voor 31% van de initiële toegang – misbruikt van bekende, patchbare kwetsbaarheden die organisaties simpelweg nog niet hebben gedicht. Prioritair, risicogebaseerd patchbeheer heeft een hoger rendement op investering (ROI) dan vrijwel elke andere beveiligingsinvestering bij de huidige misbruikpercentages.
Hoe encryptieconsultancy kan helpen
Bij Encryption Consulting bevinden we ons op het snijvlak van de patronen die het dataleklandschap van 2026 kenmerken. De rode draad door de duurste datalekken is een compromis in de toeleveringsketen, ontoereikend beheer van encryptie en slecht beheerde systemen. het ondertekenen van Infrastructuur is een kloof tussen de beveiligingsmaatregelen die organisaties denken te hebben en de maatregelen die daadwerkelijk standhouden onder vijandige omstandigheden.
Advies over encryptie en sleutelbeheer
Het Encryptie Adviesdiensten We helpen organisaties de overstap te maken van encryptie als een afvinklijstje bij de implementatie naar encryptie als een beheersbare, controleerbare discipline. We beoordelen de huidige encryptiedekking voor data in rust, data in transit en data in gebruik; evalueren de sleutelbeheerpraktijken aan de hand van de huidige standaarden; en identificeren de specifieke hiaten, of het nu gaat om sleutelopslag, rotatiebeleid, toegangscontrole of auditregistratie, die ervoor zorgen dat versleutelde data kwetsbaar blijft, ondanks dat de encryptie technisch gezien aanwezig is.
Nalevingsadviesdiensten
Het Nalevingsadviesdiensten Organisaties helpen inzicht te krijgen in hun verplichtingen binnen het steeds complexere landschap van regelgeving inzake gegevensbescherming, waaronder GDPR, HIPAA, de EU CRA, Amerikaanse wetten inzake melding van datalekken op staatsniveau en de openbaarmakingsvereisten van de SEC. Daarnaast helpen we organisaties de benodigde controles en documentatie op te zetten om naleving aan te tonen vóórdat een incident zich voordoet, in plaats van achteraf te moeten reconstrueren wat er is gebeurd.
Advies over cryptografie na het kwantumtijdperk
Zowel de encryptie die gevoelige gegevens beschermt als de digitale handtekeningen die software voor authenticatie gebruiken, zijn kwetsbaar voor kwantumcomputeraanvallen. PQC Adviesdiensten Organisaties helpen bij het plannen en uitvoeren van de migratie naar NIST-gestandaardiseerde post-kwantumalgoritmen vóórdat het risico op een bedreiging zich voordoet, in plaats van nadat deze al is benut.
Conclusie
Met een verwachte schade van 10.5 biljoen dollar in 2025 en een verwachte stijging volgens Cybersecurity Ventures tot 12.2 biljoen dollar in 2031, is cybercriminaliteit geen probleem dat een piek zal bereiken en dan vanzelf zal verdwijnen. Het is een structureel kenmerk van de digitale economie, die sneller groeit dan het wereldwijde bbp en over meer middelen beschikt dan de meeste organisaties die zich ertegen verdedigen.
Aanvallen op de toeleveringsketen nemen sneller toe dan de meeste andere aanvalsmethoden en richten zich op de vertrouwensrelaties tussen organisaties in plaats van op hun fysieke grenzen. Door de sancties van de regelgevende instanties worden de kosten van ontoereikend bestuur steeds concreter.
Dit bedrag van 10 biljoen dollar is op zichzelf al zo overweldigend dat het je kan verlammen. Het wordt pas concreet als je het opsplitst in de verschillende onderdelen: de specifieke aanvalsvectoren waaraan je organisatie het meest is blootgesteld, de specifieke datacategorieën die de hoogste kosten per record met zich meebrengen, en de specifieke lacunes in je encryptiebeheer, sleutelbeheer en digitale handtekeninginfrastructuur die een aanvaller als eerste zou aanvallen.
Dat zijn precies de lacunes die Encryption Consulting met haar adviesdiensten en productportfolio probeert op te vullen.
