“Cyberaanvallen tasten zenuwstelsel maatschappij aan”
De bal ligt primair bij bedrijven en organisaties zelf
Niet bepaald een vrolijke noot; de bovenstaande kernconclusie van het CyberSecurity Beeld Nederland 2021 (CSBN). Jaarlijks publiceren de Nationaal Coördinator Terrorisme en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC) het Cyber Security Beeld Nederland, waarin zij schetsen hoe ons land ervoor staat met betrekking tot cybersecuritydreigingen, onze digitale weerbaarheid en hoe een discrepantie tussen deze twee een bedreiging kan vormen voor onze samenleving.
Eveneens jaarlijks heeft de belangrijkste conclusie van het CSBN de vorm van een dreigende waarschuwing die precies die discrepantie betreft. En de toon van die waarschuwing wordt zeker de afgelopen jaren steeds ernstiger en de beschrijving van de bedreigingen steeds concreter. Dit jaar is die waarschuwing in de vorm van een conclusie gegoten: wat een dreiging was, is ondertussen een feit.
Zijn zij nou zo slim, of wij zo dom?
De aard en de omvang van cyberdreigingen nemen jaar op jaar toe. En, concluderen NCTV en NCSC, onze weerbaarheid blijft achter. Mijn indruk is: steeds verder achter. “Cybercriminelen worden steeds slimmer” is een veelgehoorde uitspraak. Wellicht is de trend eerder dat steeds slimmere (of steeds meer slimme) mensen cybercrimineel worden. En dat ze toegang hebben en gebruik maken van steeds geavanceerdere technologieën en steeds professionelere ondersteunende processen. Maar soms lijkt het ook welhaast eenvoudig: met Ransomware-as-a-Service en niet-traceerbare betalingen van losgeld via cryptovaluta als Bitcoin, kan een ‘beginner’ een vliegende start maken. Al eerder concludeerden de AIVD en NCTV dat statelijke actoren die het niet zo nauw nemen, steeds vaker gebruikmaken van het feit dat meer en meer vitale diensten afhankelijk worden van onze digitale infrastructuur. Strategisch gelegen kennisland dat we zijn, maakt dit digitale spionage en -sabotage zeer interessant voor dergelijke landen. Dit kán toch eigenlijk op ‘boardroomniveau’ allemaal geen nieuws meer zijn. En toch is blijkbaar óók in die boards, groot en klein, de kennis van en aandacht voor cyberdreigingen en cybersecurity ondermaats. De Chief Financial & Risk Officer en de Chief Risk Officer zijn in opmars in de boards van grotere organisaties, maar zelfs dan is het geen gegeven dat digitale risico’s ‘top-of-mind’ zijn.
Het is vijf voor twaalf geweest
De combinatie van jaar op jaar toenemende aard en omvang van cyberdreigingen en achterblijvende weerbaarheid is, evenals de conclusie van het CSBN ‘21, ronduit alarmerend. En dat het later dan vijf voor twaalf is, blijkt uit “een breed scala aan cyberincidenten” waarover we horen en lezen tijdens journaals en in de kranten en uit de rapporten van diverse onderzoeken. Alleen al de laatste weken: gelijktijdig met alle berichten over een van de grootste internationale ransomware aanvallen ooit, die van de Russische bende REvil via het VSA-systeem van Kaseya, waarbij in totaal 70 miljoen aan losgeld werd geëist, lezen we dat een kwart van alle ziekenhuizen en GGD’s in Nederland (zelfs) de basis onlinebeveiliging niet voor elkaar heeft. “Websites en e-mails zijn niet goed beveiligd en de zorginstellingen gebruiken verouderde, niet-beveiligde techniek voor het versturen en ontvangen van bestanden” luidt de berichtgeving. En dan moet je echt ook denken aan het gebruik van ‘Welkom2021’ als wachtwoord en het geheel ontbreken van wachtwoordbeveiliging.
Slimme misdaad loont
Zonder internet en het enorme scala aan online diensten waar we toegang toe hebben, waren de consequenties van de COVID-19 crisis desastreus geweest. De positieve kant van de hyperdigitalisering van 2020, die ook in 2021 nog doorzet, beschouw ik als een zegen voor onze economie en maatschappij. Maar er is een duidelijke keerzijde: kwaadwillenden maakten dankbaar gebruik van de toename van onze kwetsbaarheid als gevolg van onze toevlucht tot online tools en diensten. En dat zullen ze blijven doen, want slimme misdaad loont helaas te vaak. “Betaal nóóit losgeld in het geval van een ransomware hack” is een gedegen advies. Want betalen maakt de ‘businesscase’ en een deel van het geld wordt geïnvesteerd in nieuwe, grotere aanvallen. Maar ik begrijp de ondernemer die tóch betaalt omdat zijn of haar bedrijf anders over de kop gaat en alle medewerkers op straat staan.
Het is tijd, de hoogste tijd
Denken “mij overkomt het niet”, levert de garantie dat dit op enig moment (en sneller dan je denkt) welzeker het geval zal zijn. Aannemen dat de laatste cybercrimineel binnenkort in de cel belandt of dat de combinatie AIVD/NCTV/NCSC/THTC ons wel beschermen, is evident nergens op gestoeld. De laatste doen echt hun best om dat eerste te bereiken, maar weten dat dit niet gaat lukken. Het is de hoogste tijd dat óók ondernemers en boards steeds slimmer worden. En, al dan niet geholpen door de eigen CISO en/of het scala aan cybersecurityexperts, steeds nét iets slimmer dan die cybercriminelen. Want de verdediging moet nu écht op orde. Allereerst de basis en dan door naar een aanzienlijk hoger niveau. Als we nu niet snel grote stappen maken met onze digitale weerbaarheid, is het wachten op een hack met consequenties vergeleken waarbij die van de hack van de Colonial Pipeline in de VS ‘spielerei’ is en waarvan de impact –dankbaar gebruikmakend van wereldwijde leveranciersketens- wereldwijd zal zijn. En dan kan echt niemand zeggen dat we niet gewaarschuwd waren.
Geen hinderlijke kostenpost
Zeker, er komt steeds meer regulering en toezicht vanuit de overheid, maar dat is bij gebrek aan beter en niet wat we zouden moeten willen. De bal ligt primair bij bedrijven en organisaties zelf. Cybersecurity moet top-of-mind zijn bij elke raad van bestuur en elk managementteam, cruciaal voor de bedrijfsvoering en -continuïteit, níet een hinderlijke kostenpost. De cybersecurityspecialist is geen onderdeel van de ICT-organisatie en rapporteert direct aan de directie. Allereerst moet de basis op orde zijn, met zaken als waar de link hieronder naar verwijst en het gebruik van veilige internetstandaarden. Breng risico's in kaart en neem mitigerende maatregelen. Zorg voor bewustzijn, overal in de organisatie, van de risico's en het nut en de noodzaak van dergelijke maatregelen. Leer van en deel met je netwerk, veel bracheorganisaties kunnen op dit gebied nog aan waarde winnen.
Gemakkelijk gezegd?
Als beheerder van het .nl-domein leveren we een dienst waarvan de uitval disruptief voor onze economie en maatschappij zou zijn. Cybersecurity is dan ook iets wat ons letterlijk dag en nacht bezighoudt en de investeringen in onze digitale weerbaarheid, in de vorm van expertise, geld en tijd zijn omvangrijk en nemen jaar op jaar toe. Maar daar blijft het niet bij. In lijn met onze missie, zetten wij ons in voor een kansrijk en zorgeloos digitaal bestaan voor iedereen. En dat doen we allereerst door ervoor te zorgen dat het .nl-domein één van de allerveiligste domeinen ter wereld is. Maar bijvoorbeeld ook door onderzoek, door bij te dragen aan de bestrijding van cybercriminaliteit, door het gebruik van veilige internetstandaarden actief te stimuleren en door de uitvoer en financiering van allerlei projecten die bijdragen aan een zorgeloos digitaal bestaan. En dat is hard nodig, want zorgeloos is ons online leven nog geenszins. Roelof Meijer algemeen directeur SIDN
Lees de belangrijkste conclusies van het CSBN 2021 op de website van de NCTV. En lees de drie dreigingsscenario’s en probeer, waar relevant voor jouw organisatie/bedrijf, de kernvragen te beantwoorden. Trek je conclusies en handel als nodig!
Controleer ook of je deze zaken op orde hebt: https://www.ncsc.nl/onderwerpen/basismaatregelen. Niet? Geen tijd te verliezen!
Wil je weten hoe jouw website of mailadres scoort op moderne internetstandaarden, zoals IPv6, DNSSEC, HTTPS, DMARC, STARTTLS en DANE? Doe de test op Internet.nl.
