Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.
Recentelijk publiceerde de NCTV het Cybersecuritybeeld Nederland van 2021. Het CSBN moet iedereen die een belang heeft bij cybersecurity, zowel publiek, privaat als wetenschappelijk, handvatten bieden om de aanpak van cybersecurity te versterken. Het CSBN wordt daarnaast vaak genoemd in Kamerbrieven van het kabinet.
Sinds 2011 verschijnt het CSBN, maar de boodschap is de afgelopen tien jaar niet veranderd: basale beveiligingsmaatregelen worden nog altijd niet of onvoldoende getroffen. In dit artikeleen een beeld in vogelvlucht van CSBN-publicaties van het afgelopen decennium.
Cybersecuritybeeld Nederland 2011
Het eerste CSBN was afkomstig van GovCERT, de voorloper van het Nationaal Cyber Security Centrum (NCSC). Digitale spionage en cybercrime werden als grootste dreiging gezien. Ook werd er gewezen naar onvoldoende aandacht voor cybersecurity bij organisaties. "Het beeld dat nu vooral ontstaat, is dat sommige organisaties, zowel dienstaanbieders als afnemers, pas actie ondernemen als gesignaleerde kwetsbaarheden media-aandacht ontvangen."
Daarnaast werd er gewezen op het installeren van beveiligingsupdates. "Patchen is een van de belangrijkste maatregelen die individuele organisaties kunnen nemen om de eigen weerbaarheid te verhogen. Dit patchen is vaak nog geen geautomatiseerd proces, waardoor het gevoelig is voor verstoring of simpelweg niet gebeurt. Als gevolg daarvan blijft een deel van de computers kwetsbaar."
Cybersecuritybeeld Nederland 2012
In juni 2012 verscheen het tweede CSBN, afkomstig van het NCSC. Digitale spionage en cybercriminaliteit werden wederom als de grootste dreigingen voor overheid en bedrijfsleven bestempeld. En net als bij de eerste editie werd gewezen naar het nemen van basale maatregelen.
Cybersecuritybeeld Nederland 2013
"Veel organisaties hebben de basismaatregelen, zoals het patchen en updaten van systemen of het wachtwoordenbeleid nog niet op orde. Daarom zijn oude kwetsbaarheden en aanvalsmethoden nog steeds effectief. Een belangrijke kwetsbaarheid is ten slotte dat veel organisaties de juiste kennis, de detectiemiddelen en het vermogen ontberen om incidenten afdoende af te handelen."
Cybersecuritybeeld Nederland 2014
"De populairste aanvalsmethode van cybercriminelen blijft het misbruiken van bekende kwetsbaarheden in veelgebruikte software. Omdat zowel beheerorganisaties als particuliere gebruikers software-updates( waarin bekende kwetsbaarheden zijn opgelost) vaak niet of pas laat uitvoeren, kunnen cybercriminelen wetsbaarheden soms langdurig uitbuiten."
Cybersecuritybeeld Nederland 2015
"De maatregelen die banken hebben getroffen tegen DDoS-aanvallen tonen aan dat het mogelijk is effectieve maatregelen te treffen om beschikbaarheid van digitale voorzieningen te verhogen. Organisaties treffen dergelijke maatregelen echter vaak pas als de ICT-systemen al beschikbaarheidsproblemen hebben gekend."
Cybersecuritybeeld Nederland 2016
"Het mkb neemt, ten opzichte van grotere bedrijven, relatief weinig maatregelen op het gebied van cybersecurity. Dit terwijl een groot deel van de Nederlandse economie wordt gevormd door bedrijven uit het mkb. Lage weerbaarheid van het mkb op het gebied van cybersecurity kan negatieve impact hebben op de Nederlandse economie."
"Het up-to-date houden van apparaten en software blijft een uitdaging. Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd."
"Er is in Nederland verbetering mogelijk op het gebied van beschermingsmaatregelen: bedrijven hebben vaak geen goed beeld van benodigde maatregelen."
Cybersecuritybeeld Nederland 2017
"Grote organisaties hebben hun aandeel in DDoS-aanvallen en ransomware voor de kiezen gehad en zijn daardoor noodgedwongen naar een hoger volwassenheidsniveau geklommen. Toch worden basale maatregelen als het installeren van beveiligingsupdates vaak niet getroffen. Zowel grote als kleine organisaties doen dit vaak niet tijdig, waardoor malware besmettingen mogelijk worden."
Cybersecuritybeeld Nederland 2018
Het CSBN van 2018 had zelfs een aparte pagina met alleen de tekst "Aanvallers succesvol door ontbreken basismaatregelen". Volgens de opstellers kende de rapportageperiode veel incidenten waar basismaatregelen de schade hadden kunnen beperken of het incident hadden kunnen voorkomen.
Cybersecuritybeeld Nederland 2019
"Organisaties worden succesvol aangevallen met eenvoudige methoden. De afgelopen periode laat wederom zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkt had kunnen worden met behulp van basismaatregelen. Die worden door lang niet alle organisaties getroffen."
Cybersecuritybeeld Nederland 2020
"Digitale weerbaarheid is echter nog niet overal op orde. Daardoor zijn partijen extra kwetsbaar voor cyberincidenten. Dat geldt zeker wanneer er onvoldoende basismaatregelen zijn getroffen, om eerste barrières op te werpen tegen cyberaanvallen, schade te beperken en herstel eenvoudiger te maken wanneer incidenten zich toch voordoen."
"Bij veruit de meeste cyberaanvallen wordt nog steeds gebruik gemaakt van eenvoudige methoden. Deze blijven effectief doordat basismaatregelen onvoldoende zijn geïmplementeerd. Basismaatregelen kunnen ook tegen geavanceerde aanvallen helpen."
Cybersecuritybeeld Nederland 2021
Tien jaar na de eerste editie van het Cybersecuritybeeld Nederland blijken basale maatregelen nog altijd niet te worden genomen. Iets wat de opstellers van de editie van 2021 zelf ook zien.
Om dit te veranderen pleit de NCTV voor meer kennis. "Investeren in mensen vormt het fundament", staat in het CSBN 2021. "Naast de experts op het gebied van cybersecurity risicomanagement moet ook de rest van de organisatie een minimale kennisbasis hebben om goed met elkaar in gesprek te kunnen gaan over belangrijke risico’s voor de organisatie en hoe hiermee om te gaan."
Bewustwording
"Vanuit de overheid wordt op meerdere manieren ingezet op voorlichting aan bedrijven om hun digitale weerbaarheid te verbeteren. De bewustwording groeit, mede door cyberincidenten die plaatsvinden, maar je merkt dat het thema te vaak bij de technische afdeling blijft in plaats van dat het onderwerp van gesprek is in de boardroom. We zien cybersecurity nog te weinig als business risico en te veel als puur technische aangelegenheid", laat een woordvoerder van de NCTV aan Security weten.
Die stelt dat er overal het besef moet zijn dat de digitale veiligheid net zo cruciaal is als de fysieke veiligheid van bijvoorbeeld het wegverkeer, luchtwegen en waterwegen. "Digitale veiligheid is onlosmakelijk verbonden met het functioneren van onze vitale infrastructuur."
Kloof
De NCTV ziet ook een kloof ontstaan tussen bedrijven die wel en niet weerbaar zijn. "Dat heeft te maken met bewustzijn en of er voldoende kennis en kunde aanwezig is. Er zijn bedrijven die kunnen investeren in kennis en kunde op het gebied van cybersecurity, terwijl andere (veelal kleine) bedrijven niet de middelen hebben om de weerbaarheid naar een hoger plan te tillen", laat de woordvoerder weten.
Wel merkt de NCTV op dat grote bedrijven steeds vaker kleine bedrijven helpen om hun cyberveiligheid op orde te krijgen. "Kleine bedrijven hebben soms de middelen niet om alle advies zelf in te winnen of dingen aan te passen om hun veiligheid te verhogen. Dan is het mooi dat grotere bedrijven die die kennis al in huis hebben hen daarbij helpen en kennis delen."
Informatie delen
De overheid is van plan om zelf ook meer informatie met niet-vitale organisaties te gaan delen. Daarvoor wil demissionair minister Grapperhaus van Justitie en Veiligheid de Wet beveiliging netwerk- en informatiesystemen (Wbni) aanpassen, zodat het NCSC de mogelijkheid krijgt om dreigings- en incidentinformatie te delen met zogeheten OKTT's (organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten), die als schakelorganisaties van andere aanbieders fungeren. Daarnaast maakt het wetsvoorstel het mogelijk voor het NCSC om in bijzondere gevallen dreigings- of incidentinformatie direct met andere aanbieders zelf te delen.
Verder is onlangs het wetsvoorstel bevordering digitale weerbaarheid bedrijven gepresenteerd om het niet-vitale bedrijfsleven over kwetsbaarheden, dreigingen en incidenten te informeren en adviseren. Een tweede taak van dit wetsvoorstel is het stimuleren van de ontwikkeling van samenwerkingsverbanden tussen bedrijven op het gebied van digitale weerbaarheid.
Bron: nctv.nl, security.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
INTERPOL-rapport toont een alarmerend aantal cyberaanvallen tijdens COVID-19
Een INTERPOL-beoordeling van de impact van COVID-19 op cybercriminaliteit heeft aangetoond dat er een aanzienlijke verschuiving van het doelwit is van individuen en kleine bedrijven naar grote bedrijven, overheden en kritieke infrastructuur.
"Ik los het zelf op" en "Het heeft geen zin, de politie zal er niets aan doen"
Slachtoffers van online criminaliteit doen zelden aangifte bij de politie en wanneer zij dit wel doen, leidt dit vaak tot ontevredenheid.
Menselijke fouten grootste oorzaak cyberincidenten
Bijna alle bedrijven maken vandaag gebruik van clouddiensten. De cloud is schaalbaar, efficiënt en mobiel, perfect voor de groeiende datastromen en het toenemende thuiswerk van vandaag. Maar zonder gespecialiseerde kennis is de cloud niet zonder risico. Configuratie fouten door medewerkers zouden de grootste oorzaak zijn van cyberincidenten in de cloud. Dat wijzen twee studies van veiligheidsbedrijven uit.
Opnieuw slachtoffer: "Schijnbaar houden deze daders een goede boekhouding bij"
De laatste tijd worden vooral oudere Zeeuwse mensen voor de tweede of derde keer voor duizenden euro's opgelicht. De politie waarschuwt alert te zijn en oplichtingspraktijken bij de politie en uw bank te melden.
Apollo Vredestein weerloos tegenover cybercriminelen als een van de vele Nederlandse bedrijven
Apollo Vredestein blijkt, als een van de vele Nederlandse bedrijven, weerloos te zijn geweest tegenover cybercriminelen. De Twentse bandenfabriek, die ruim een week geleden door hackers werd platgelegd, gebruikte apparatuur die al meer dan tien jaar niet was bijgewerkt. De gebruiksaanwijzing waardoor hackers konden binnenkomen stond bovendien gewoon op internet.
'11 Zerodays' ontdekt in de eerste zes maanden van 2020
Volgens gegevens verzameld door het beveiligingsteam van Project Zero van Google, zijn er in de eerste helft van het jaar '11 zero-day kwetsbaarheden' misbruikt.