De digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen. Overheid, bedrijfsleven en burgers nemen veel stappen om de digitale weerbaarheid te vergroten, maar dit gaat niet snel genoeg. Dat blijkt uit het Cybersecuritybeeld Nederland 2017 (CSBN 2017).
Het CSBN 2017 biedt inzicht in belangen, dreigingen, weerbaarheid en manifestaties op het gebied van cybersecurity en daarmee samenhangende ontwikkelingen. Er wordt zowel een feitelijk overzicht als een duiding gegeven over de periode mei 2016 tot en met april 2017. Het CSBN is tot stand gekomen op basis van de inzichten en de expertise van overheidsdiensten en organisaties in vitale processen.
Hoofdvragen
Het CSBN 207 is onderverdeeld in beschrijvingen van manifestaties, dreigingen, weerbaarheid en belangen. De hoofdvragen zijn:
- Welke gebeurtenissen of welke activiteiten van welke actoren kunnen ict-belangen aantasten, welke middelen gebruiken zij en welke ontwikkelingen doen zich daarbij voor? (dreigingen)
- In hoeverre is Nederland weerbaar tegen kwetsbaarheden in ict, kunnen die leiden tot aantasting van ict-belangen en welke ontwikkelingen doen zich daarbij voor? (weerbaarheid)
- Welke Nederlandse belangen worden in welke mate geschaad door beperkingen van de beschikbaarheid en betrouwbaarheid van ict, schending van de vertrouwelijkheid van in ict opgeslagen informatie of schade aan de integriteit van die informatie en welke ontwikkelingen doen zich daarbij voor? (belangen)
Manifestaties
Het CSBN 2017 begint met een beschrijving van manifestaties die zich tijdens de rapportageperiode hebben voorgedaan binnen de driehoek belangen, dreigingen en weerbaarheid.
Er is volop aandacht voor digitale beïnvloeding van democratische instituties in meerdere westerse landen. Zo zijn de Duitse politieke partij CDU, de beweging En Marche! van de Franse president Emmanuel Macron en de Amerikaanse Democratische Partij slachtoffer geweest van digitale aanvallen. Maar ook in de aanloop naar de Tweede Kamerverkiezingen in Nederland waren bijvoorbeeld de websites van Stemwijzer en Kieskompas de dag voor de verkiezingen door DDoS aanvallen beperkt beschikbaar.
Andere opvallende incidenten zijn het Botnet Mirai dat in de zomer van 2016 tienduizenden (consumenten)apparaten uit het internet of things (IoT) overnam. En dat ook de fysieke infrastructuur kwetsbaar is, bleek in de nacht van 17 op 18 december 2016 toen de stroom uitviel in diverse districten van Kiev. Het Oekraïense energiebedrijf Ukrenergo meldde dat een cyberaanval de uitval heeft veroorzaakt.
Actoren
Ten opzichte van de voorgaande jaren is het dreigingsniveau dat van diverse actorengroepen uitgaat, grotendeels stabiel; statelijke en criminele actoren vormen nog altijd de grootste dreiging voor de Nederlandse digitale veiligheid en ontwikkelen zich sneller dan andere actoren.
- Beroepscriminelen: De dreiging die criminele actoren vormen voor de Nederlandse digitale veiligheid, ontwikkelt zich nog steeds in een hoog tempo. Succesvolle verdienmodellen worden verder uitgediept, nieuwe scenario’s worden ontwikkeld en aanvallen worden op minder traditionele doelwitten uitgevoerd.
- Statelijke actoren: De professionaliteit van landen om digitaal te spioneren groeit en het aantal landen dat dit doet neemt toe. Nederlandse overheidsinstellingen waren het afgelopen jaar herhaaldelijk het slachtoffer van digitale spionageaanvallen door andere landen, ook door landen die niet eerder zijn geïdentificeerd als dreiging voor Nederlandse overheidsnetwerken.
- Terroristen: In de rapportageperiode hebben vooral ISIS en ISIS-sympathisanten zich op digitaal vlak gemanifesteerd. Hoewel jihadisten de afgelopen rapportageperiode nog niet in staat zijn gebleken tot het uitvoeren van geavanceerde digitale aanvallen, is de intentie voor het uitvoeren van cyberaanvallen bij jihadisten en zeker bij ISIS aanwezig.
- Hacktivisten, cybervandalen en scriptkiddies: Hoewel er zich het afgelopen jaar geen noemenswaardige ontwikkelingen hebben gemanifesteerd op het gebied van hacktivisme, neemt de voorstelbare dreiging vanuit deze actoren toe. Dit komt doordat digitale aanvallen die een grote maatschappelijke impact kunnen hebben, eenvoudiger zijn uit te voeren door de groeiende beschikbaarheid van laagdrempelige producten, diensten en hulpmiddelen om deze aanvallen te plegen.
- Interne actoren: De drijfveer van interne actoren is veelal persoonlijk van aard. Zij handelen uit financiële, politieke of persoonlijke motieven zoals wraak bij ontslag. Dreiging door interne actoren kan echter ook afkomstig zijn van onbewuste acties en onzorgvuldigheid.
- Private organisaties: Dreiging door legale private organisaties kan drie vormen aannemen: organisaties kunnen de vertrouwelijkheid van systemen aantasten voor financieel gewin, om de concurrentiepositie te verbeteren, of om de verzamelde data commercieel te gebruiken zonder dat daarvoor expliciet toestemming is gegeven.
Middelen
De middelen die deze actoren gebruiken zijn vaak bekende, zoals ransomware, CxO-fraude en phishing. Daarnaast wijst het CSBN 2017 erop dat het internet of things het afgelopen jaar vaker is ingezet voor cyberaanvallen. Een van de oorzaken is dat er weinig aandacht is voor de beveiliging van IoT-apparaten. Hierdoor kunnen IoT-botnets makkelijk ontstaan en voor lange tijd onopgemerkt blijven voor de eigenaar van een IoT-apparaat.
Het Persirai-botnet dat zich in mei 2017 manifesteerde en dat in staat was om 100 verschillende ip-cameramodellen aan te vallen en daarmee DDoS-aanvallen uit te voeren, mag in dit overzicht niet onvermeld blijven. Op dat moment liepen naar schatting 120.000 camera’s risico om onderdeel te worden van het botnet als gevolg van een kwetsbaarheid in de camera.
>> Lees ook Fysieke beveiliging en cybersecurity: integrale aanpak vereist
Weerbaarheid Nederland
Overheid, bedrijfsleven, wetenschap en burgers in Nederland verrichten veel inspanningen om de digitale weerbaarheid te vergroten. Toch blijft het bijhouden van de groeiende kwetsbaarheid van de maatschappij als geheel een grote uitdaging. Vooralsnog lijkt dit gat eerder groter te worden dan kleiner. Als oorzaken noemt het CSBN 2017:
- Mensen blijven gebruiksgemak het belangrijkst vinden in hun digitale activiteiten. Zowel privé als op het werk verkiezen zij de snelste en makkelijkste oplossing boven de veiligste.
- De kwetsbaarheid van het internet of things heeft zich ongekend sterk gemanifesteerd. De productverantwoordelijkheid en -aansprakelijkheid is op dat gebied nog niet helder en de slachtoffers van misbruik zijn vooralsnog niet de producteigenaren zelf. Hierdoor voelt uiteindelijk niemand zich verantwoordelijk en is er sprake van marktfalen. Er lijkt vooralsnog weinig verandering te komen in deze situatie, terwijl de hoeveelheid apparaten die met het internet wordt verbonden gestaag toeneemt.
- Organisaties worden steeds bewuster, mede door wet- en regelgeving. Toch worden basale maatregelen als het installeren van beveiligingsupdates vaak niet getroffen. Zowel grote als kleine organisaties doen dit vaak niet tijdig, waardoor malwarebesmettingen mogelijk worden.
> Wilt u weten hoe u de digitale weerbaarheid van uw organisatie kunt vergroten, download dan hier de whitepaper Trends in cybersecurity.
Kernbevindingen
- Beroepscriminelen en statelijke actoren vormen nog altijd de grootste dreiging en richten de meeste schade aan.
- Digitale aanvallen worden gebruikt om democratische processen te beïnvloeden.
- De kwetsbaarheid van het internet of things heeft tot verstorende aanvallen geleid die de noodzaak tot het versterken van de digitale weerbaarheid onderschrijven.
- Veel organisaties zijn afhankelijk van een beperkt aantal buitenlandse aanbieders van digitale infrastructuurdiensten waardoor de maatschappelijke impact bij verstoring groot is.
- Weerbaarheid van individuen en organisaties blijft achter bij de groei van de dreiging.
Dit artikel is gebaseerd op het Cybersecuritybeeld Nederland 2017 (juni 2017). Het CSBN wordt jaarlijks door de Nationaal Coördinator Terrorismebestrijding en Veiligheid gepubliceerd en komt tot stand in samenwerking met publieke en private partners. Meer informatie: www.nctv.nl.
>> Dit artikel verschijnt binnenkort in Security Management Magazine nummer 9