De Nederlandse overheid en het bedrijfsleven zijn onvoldoende beschermd tegen cyberaanvallen. Dit komt doordat de huidige security-maatregelen verouderd zijn ten opzichte van de steeds professionelere aanvalsmethoden van cybercriminelen. Het opkomende internet of things (IoT) versterkt de kwetsbaarheid. Dat blijkt uit onderzoek van het Rathenau Instituut.
Nederland is één van de meest ict-intensieve economieën ter wereld. Daardoor is het een aantrekkelijk doelwit voor cybercriminelen, stellen de onderzoekers. Volgens hen vormen buitenlandse inlichtingendiensten de grootste dreiging in ons land. Zij verzamelen op grote schaal politieke, militaire en technologische gegevens, die vervolgens gemanipuleerd worden.
Cybercriminelen worden professioneler en zetten geavanceerdere methoden in. Het Rathenau Instituut verwijst specifiek naar de bedreiging van het internet of things. Het stelt dat de beveiliging van ‘slimme’ apparaten vaak niet op orde is. Dit terwijl cybercriminelen deze apparaten kunnen hacken en inzetten voor grootschalige DDoS-aanvallen.
Meer prioriteit voor cybersecurity
Het Rathenau Instituut vindt dat cybersecurity meer prioriteit moet krijgen en geeft een aantal aanbevelingen om de weerbaarheid tegen cyberaanvallen te versterken. Zo pleit het voor een onafhankelijk kennis- en adviescentrum voor het mkb en jaarlijkse hacktesten in vitale sectoren, zoals telecom, transport, drinkwater- en energievoorziening en de zorg.
Het instituut stelt ook dat getoetst moet worden of de bestaande aansprakelijkheidswetgeving wel voldoende is voor ict-producten en -diensten. Daarnaast moeten toezichthouders, zoals de Autoriteit Consument & Markt en het Agentschap Telecom, krachtiger optreden tegen het op de markt brengen van onveilige digitale producten.
Tot slot adviseren de onderzoekers dat de overheid, die in Nederland circa dertig procent van de beveiligingsproducten en -diensten afneemt, nadrukkelijker een voorbeeldrol moeten vervullen als ‘launching customer’.
Rathenau Instituut
Het Rathenau Instituut stimuleert de publieke en politieke meningsvorming over de maatschappelijke aspecten van wetenschap en technologie. Daartoe doet het instituut onderzoek en organiseert het debatten over wetenschap en nieuwe technologieën.
Het onderzoek naar de Nederlandse cyberbedreigingen is uitgevoerd op verzoek van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Het instituut verrichtte hiervoor een literatuurstudie, interviewde ruim 25 deskundigen en belanghebbenden en hield twee workshops. Het onderzoeksrapport ‘Een nooit gelopen race – Over cyberdreigingen en versterking van weerbaarheid’ is online beschikbaar.
Thanks voor de directe link naar het rapport. Vrij uitgebreid. Geeft wel aan dat hier de komende tijd ook veel geld in gestoken wordt. Interessant. Sommige stukken zijn wat algemeen en voor de hand liggend maar er staat zeker veel zinvolle informatie in die weer aangehaald kan worden in onderbouwingen.
Als ik dit soort rapporten lees dan moet ik altijd een beetje zuchten. De situatie is niet wezenlijk anders dan dat die 10 of 15 jaar geleden was. Ook toen was er sprake van buitenlandse entiteiten die op zoek waren naar bedrijfsgeheimen, was er sprake van cybercriminelen die geld verdienden aan een gebrek aan security.
Security stond en staat niet hoog op de prioriteitenlijst. Het moet eerst en vooral werken, en security werd en wordt toch vooral gezien als impediment om iets te laten werken. Ook heerst er bij velen, zeker in het MKB, een gevoel dat “het zo’n vaart niet zal lopen” of dat ze “te klein zijn dus toch geen target”. Ook een gebrek aan geschoolde medewerkers speelt bedrijven (en de overheid) parten. Awareness is een groot issue.
Rob, heb je wel het gevoel dat er nu dan iets ander is of gebeurd dan tien jaar geleden? Persoonlijk heb ik wel het idee dat vijftien jaar geleden het business model voor internet criminaliteit nog niet volwassen is en dat er nu wel degelijk grote wolven op jacht zijn.
Ik heb wel het idee dat steeds meer bedrijven en mensen security serieus nemen, en wij dragen daar ook een steentje aan bij.
Wat zou je graag willen zien dat er gebeurde?
Henri, ook 15 jaar geleden was er sprake van een business model voor internet criminaliteit. Het zat anders in elkaar, er werd met andere illegale zaken geld verdiend, maar ook toen was er een business model. Dus dat “het nu volwassen is” ben ik met je oneens. Het is hoogstens veranderd. Het zelfde geldt voor spionage, ook dat bestond 15 jaar geleden gewoon, daar methoden niet gewijzigd zijn, hoogstens technische mogelijkheden.
Ik zou graag de awareness zien dat iedereen een doelwit kan zijn, dat iedereen collateral kan zijn, en dat iedereen een basale set beschermende maatregelen neemt, en bovenal, nadenkt over security. Ik kom nog steeds te veel mensen tegen die menen dat, omdat ze een firewall hebben, dus “veilig” zijn. Of omdat ze een onderneming van 10 mensen zijn dus geen interessant target zijn.
Rob, thanks, kan me vinden in je reactie. Met volwassen bedoel ik overigens niet dat het professioneel geworden is, maar dat het tot wasdom gekomen is.
Tja, een firewall is vooral outside-in dus per definitie mank en zonder intrusion detection weet je niet eens wat er aan de hand is als er iets aan de hand is.
En zoals je zegt; bewustwording is belangrijk en dit is in mijn ogen ook goed te vergroten. De overheid gaat er in investeren…
Het is echt een kwestie van glas halfvol of glas half leeg, net wat je ziet. Is er veel bereikt? Jazeker! In vrijwel alle sectoren zijn baselines: de BIG, BIR, noem maar op. Informatieveiligheid is een onderwerp op heel veel directietafels geworden . Dat was 15 jaar geleden echt anders, toen zagen bestuurders het alleen als een onderwerp voor nerds en technici.
Moet er nog veel gebeuren? Weer, ja. We zijn er nog niet. De GDPR gaat beslist helpen, nu is het niet meer vrijblijvend: het moet.