De digitale dreiging voor de nationale veiligheid is permanent. Vrijwel alle vitale processen en systemen in Nederland zijn deels of volledig gedigitaliseerd, waarbij er nauwelijks terugvalopties of analoge alternatieven zijn. Deze factoren gecombineerd met het achterblijven van de weerbaarheid, maken Nederland kwetsbaar voor digitale aanvallen. Dit blijkt uit het Cybersecuritybeeld Nederland (CSBN) 2019.
Het Cybersecuritybeeld Nederland biedt inzicht in dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. Het CSBN wordt jaarlijks door de Nationaal Coördinator Terrorismebestrijding en Veiligheid vastgesteld.
Landen vormen blijvende dreiging
De grootste digitale dreiging voor de nationale veiligheid gaat uit van landen zoals China, Iran en Rusland, in de vorm van spionage, verstoring en sabotage. Verreweg de grootste dreiging van economische spionage komt uit China. Voor Rusland is ons land een interessant doelwit van spionage vanwege onder andere MH17.
Nederland is afhankelijk van een beperkt aantal aanbieders en landen, dit maakt ons land kwetsbaar voor hun (veranderende) intenties. Zo wordt het overgrote deel van de hard- en software ontworpen dan wel geproduceerd in China en de Verenigde Staten. Ook kunnen andere landen bepaalde wetgeving hanteren die afwijken van onze privacy-eisen of leiden tot het verkrijgen van toegang tot data van Nederlandse gebruikers of bedrijven.
Analoge alternatieven en terugvalopties ontbreken
De vrijwel volledige afhankelijkheid van digitalisering heeft digitale veiligheid essentieel gemaakt voor het functioneren van de maatschappij en economie. Een incident in een netwerk kan leiden tot een keten van incidenten en uiteindelijk uitval van bijvoorbeeld gas, water of elektra. Door het bijna volledig verdwijnen van analoge alternatieven en de afwezigheid van terugvalopties is de afhankelijkheid zo groot geworden dat aantasting kan leiden tot maatschappij ontwrichtende schade.
Weerbaarheid nog altijd niet op orde
De digitale weerbaarheid is niet overal op orde. Organisaties worden nog steeds succesvol aangevallen met eenvoudige methoden. Incidenten hadden voorkomen kunnen worden en schade had beperkter kunnen zijn door het nemen van basismaatregelen.
En de weerbaarheid staat verder onder druk door een toenemende complexiteit en connectiviteit in het ict-landschap. Het vergroten van de weerbaarheid is het belangrijkste instrument voor burgers, bedrijven en overheid om risico’s te verminderen, aangezien het beïnvloeden van dreiging en afhankelijkheid te complex is.
Artificial Intelligence
In het CSBN 2019 wordt ook vooruitgekeken naar dreigingen in de komende jaren. Zo zullen geopolitieke ontwikkelingen de dreiging vanuit statelijke actoren verder vergroten. Veel aandacht is er verder voor de toekomstige effecten van digitalisering, met name voor de toepassing van kunstmatige intelligentie of Artificial Intelligence (AI). AI kan een aantrekkelijk doelwit zijn voor kwaadwillenden en dat zal alleen maar toenemen. Actoren kunnen proberen algoritmen te beïnvloeden of de data waar die mee werken. Dat zal ook de uitkomsten beïnvloeden. Ontdekking van manipulatie is complex en tijdrovend. Illustratief is het voorbeeld van onderzoekers die de digitale assistenten Alexa, Siri en Google Assistant wisten te manipuleren door in een audio- of videobestand onopgemerkt een commando op te nemen. Zo kan een kwaadwillende ongemerkt een deur openen of een telefoonnummer bellen.
Wapenwedloop tussen aanvallers en verdedigers
Naast doelwit, kan AI ook worden ingezet voor het uitvoeren van cyberaanvallen of juist ter verdediging ertegen. Zo kunnen kwaadwillenden algoritmen ontwikkelen om te ontdekken welke typen malware onder welke omstandigheden de grootste kans van slagen hebben. Experts verwachten een wapenwedloop tussen de ontwikkeling en inzet van AI door aanvallers en verdedigers, al lijkt AI in de praktijk nog niet ingezet te worden door aanvallers.
Conclusies
- Het belang van digitale veiligheid voor het functioneren van de samenleving en economie blijft substantieel toenemen. Gezien de geopolitieke ontwikkelingen is het aannemelijk dat de dreiging groter zal worden. Op deze geopolitieke ontwikkelingen alsook op de toenemende digitalisering en afhankelijkheid is door individuele organisaties relatief weinig invloed uit te oefenen.
- Vanuit consumenten en toezichthouders ontstaan prikkels om cybersecurity – en als onderdeel daarvan privacy – serieuzer te nemen. Sommigen verwachten dat overheidsregulering en het publieke sentiment over privacy, drijvende krachten worden voor dataprotectie. Voor aanbieders van essentiële diensten en digitale dienstverleners geldt op grond van de Wbni ook een zorgplicht: een organisatie moet passende en evenredige organisatorische en technische maatregelen nemen om risico’s voor de beveiliging van haar ict-systemen te beheersen, incidenten te voorkomen en de gevolgen van incidenten zo veel mogelijk te beperken.
- Vanuit het kabinet komen daarnaast ook prikkels om cybersecurity een hogere prioriteit te (laten) geven en bijvoorbeeld prikkels tegen onveilige hard- en software. Het kabinet stelt dat onder andere versterking van de weerbaarheid van burgers en organisaties nodig is om de kansen van digitalisering te benutten.
Het complete CSBN 2019 is te vinden op: nctv.nl
Nieuwe wetgeving
In 2018 is er nieuwe dan wel aanvullende wetgeving van kracht geworden in relatie tot of met effect op cybersecurity.
Wet Computercriminaliteit
Op 1 maart 2019 is de wet computercriminaliteit in werking getreden. Deze wet geeft politie en justitie nieuwe bevoegdheden om computercriminaliteit te bestrijden. Politie en justitie hebben met deze wet de bevoegdheid gekregen heimelijk en op afstand(online) onderzoek doen in computers, de zogeheten hackbevoegdheid. Daarnaast worden heling van digitale gegevens en online handelsfraude strafbaar gesteld.
Algemene verordening gegevensbescherming
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. De AVG vervangt de Wet bescherming persoonsgegevens. Hij heeft directe werking in alle lidstaten van de EU. Met de AVG worden twee belangen gewaarborgd: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens, en het vrije verkeer van persoonsgegevens binnen de Europese Unie. Burgers krijgen onder de AVG nieuwe privacy rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en moeten aantoonbaar aan de regels voldoen.
Wet op de Inlichtingen- en Veiligheidsdiensten 2017
Op 1 mei 2018 trad de nieuwe Wet op de inlichtingen- en veiligheidsdiensten 2017 in werking. Deze wet geeft de inlichtingen- en veiligheidsdiensten een aantal nieuwe bevoegdheden en er zijn waarborgen toegevoegd. Zo bevat de wet striktere termijnen voor het bewaren van gegevens en wordt de inzet van bijzondere inlichtingen middelen vooraf door een onafhankelijke commissie getoetst, de Toetsingscommissie Inzet Bevoegdheden (TIB).
– Hoe beveiligen we ons tegen het IoT?
– 10 trends in slimme apparaten
– Hoe wordt de smart city veilig
Volg Security Management op LinkedIn