Cybersecuritybeeld Nederland 2018: digitale dreiging neemt toe

Vandaag heeft de NCTV het Cybersecuritybeeld Nederland 2018 (CSBN) uitgebracht. Het CSBN 2018 biedt inzicht in de dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid en is mede tot stand gekomen dankzij informatie van de AIVD.

Foto van een bundel netwerkkabels

Wij zien de digitale dreiging als een van de grootste dreigingen waar Nederland op dit moment mee te maken heeft. In het AIVD-jaarverslag 2017 schreven wij dat dreigingen voor de nationale veiligheid die we van oudsher kennen, zoals spionage, heimelijke politieke beïnvloeding, terrorisme en sabotage zich tegenwoordig afspelen in de digitale ruimte. Het Cybersecuritybeeld Nederland 2018 van de NCTV bevestigt dit beeld.

Urgentie

Cyberaanvallen zijn profijtelijk, laagdrempelig en weinig riskant voor aanvallers. Gezien recente geopolitieke ontwikkelingen zullen staten naar verwachting digitale aanvallen blijven inzetten en mogelijk op grotere schaal toepassen.

Daarnaast is er een andere ontwikkeling zichtbaar; het niet voorzien of accepteren door de aanvaller van nevenschade voor andere landen die niet het primaire doelwit zijn. Het bekendste voorbeeld voor Nederland daarvan is NotPetya waarbij ook Nederlandse bedrijven geraakt werden en daarmee onbedoeld (economische) schade leden.

Sabotage en verstoring door landen grootste dreiging

Staten voeren steeds meer aanvallen uit op andere landen vanuit geopolitieke motieven. Het doel is het verwerven van strategische informatie via spionage, beïnvloeding van de publieke opinie of democratische processen of zelfs sabotage van vitale systemen.

Tegelijkertijd wordt het aanwijzen van de dader achter een cyberaanval (attributie) steeds complexer omdat de aanvallers minder goed van elkaar te onderscheiden zijn.

Cybercriminaliteit houdt aan

Ook beroepscriminelen blijven een grote dreiging vormen voor de Nederlandse maatschappij. Cyberaanvallen die een grote maatschappelijke impact hebben, zijn laagdrempelig uit te voeren.

Een aanvaller hoeft zelf lang niet altijd over veel capaciteiten te beschikken, maar kan deze ook inkopen. Dat bleek in januari toen enkele banken langere tijd last hadden van DDoS-aanvallen en het bleek te gaan om een simpele ingekochte aanval.

Basismaatregelen ontbreken

Lang niet alle organisaties in Nederland nemen de nodige basismaatregelen om cyberaanvallen af te weren. De afgelopen periode laat zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkter had kunnen zijn als organisaties hun basisveiligheid op orde hadden.

Het gaat dan om basismaatregelen zoals tijdig installeren van updates of het voorkomen van tekortkomingen in configuraties. Bij bijvoorbeeld WannaCry en BadRabbit werden bekende kwetsbaarheden gebruikt, waarvoor de beveiligingsupdates beschikbaar waren maar in niet altijd toegepast werden. Onveilige producten en diensten werken drempelverlagend voor aanvallers, het toont aan hoe belangrijk het is de basisveiligheid op orde te hebben.