BLOG – We leven alweer 25 jaar in de 21ste eeuw. Er is veel gebeurd: de opkomst van sociale media en smartphones maken dat alles zich vandaag de dag online afspeelt. Ook op het vlak van cybersecurity is genoeg veranderd. Zo is er sinds tien jaar een explosie aan ransomware-aanvallen, heeft elk geopolitiek geschil een cybercomponent en is er wet- en regelgeving ingevoerd, zoals de AVG, de Cybersecurity Act en NIS2. In deze blog vier ontwikkelingen op het vlak van cybersecurity van de afgelopen 25 jaar. Hamvraag: zijn we iets opgeschoten?
- Afhankelijkheid van it en internet
Het is een cliché: we zijn als maatschappij volledig afhankelijk geworden van it en internet. Dat waren we 25 jaar geleden een stuk minder. Als je het platslaat, zijn de meeste bedrijven it-bedrijven. Dus met de afhankelijkheid van it is ook de directe afhankelijkheid van andere bedrijven gegroeid, omdat systemen onderling verbonden zijn. Door die onderlinge afhankelijkheden kan een technische fout in het ene systeem grote gevolgen hebben voor het andere.
Een voorbeeld hiervan is de fout in het Nafin-netwerk in augustus 2024, waardoor onder andere Eindhoven Airport tijdelijk werd stilgelegd. De storing legde de complexe samenhang van systemen bloot. Zaken die, zeker voor buitenstaanders, op het eerste gezicht ongerelateerd zijn, bleken als gevolg van dezelfde oorzaak verstoord te raken. Daarom is het belangrijk om inzicht te hebben in afhankelijkheden, een responseplan te hebben en dit te testen. NIS2 erkent deze complexiteit en dwingt bedrijven om beter inzicht te krijgen in hun it-keten en afhankelijkheden.
Heb geen illusies dat je in al deze afhankelijkheden inzicht moet hebben, maar focus op de afhankelijkheden die de grootste risico’s met zich meebrengen. Hoewel we niet alles kunnen voorspellen, kunnen we ons wel voorbereiden door bepaalde technieken te oefenen. Zo kunnen we effectief handelen op het moment dat deze zich voordoen.
- Criminaliteit: it ain’t stupid if it works
Online criminaliteit is in 25 jaar uitgegroeid tot een groot en divers probleem. Ransomware is hier de grootste disrupter voor vrijwel elke organisatie. Wat opvalt, is dat cybercriminelen hun werkwijze door de tijd heen niet veel hebben veranderd. Voor ransomwaregroeperingen geldt al jaren dat ze binnenkomen via phishing, kwetsbare systemen of hergebruikte wachtwoorden. Vervolgens stelen ze informatie, leggen ze systemen plat en persen ze organisaties af.
Wat wel sterk is veranderd, is ceo-/cfo-fraude, een vorm van oplichting die ruim tien jaar bestaat. En hoewel de werkwijze op hoofdlijnen nog steeds hetzelfde is, is de kans op succes voor criminelen met name door het gebruik van generatieve ai vergoot. Niet alleen teksten, maar vooral beeld en geluid zijn realistischer dan ooit. Videocalls met directeuren die niet van echt zijn te onderscheiden, komen steeds vaker voor. Zo ontving een medewerker van een multinational in Hong Kong begin 2024 een e-mail die afkomstig leek van de cfo van het bedrijf. De medewerker vertrouwde het in eerste instantie niet, maar na een videocall ‘met de cfo’ voerde hij vijftien transacties uit naar criminelen met een totale waarde van 25 miljoen dollar.
Zijn criminelen dus innovatief? Zeker, maar wel alleen als het moet. Bijvoorbeeld als hun trucjes bekend zijn, of als het hun aanvalsmethoden versterkt.
- Statelijke actoren zijn een (slecht zichtbare) rode draad
Een derde ontwikkeling vinden we op het gebied van statelijke actoren. De usual suspects, zoals de five eyes-landen, China, Israël en Rusland, zijn al heel lang online actief. Over het algemeen houden zij zich bezig met het vergaren (en soms ook lekken) van informatie. In de afgelopen 25 jaar zijn daar ook andere landen bij gekomen, waaronder Noord-Korea en Iran. Noord-Korea richt zich daarbij ook op het stelen van geld.
Een van de bekendste voorbeelden van wat statelijke actoren aan kunnen richten, is Stuxnet uit 2007. Hierbij werd het Iraanse nucleaire programma verstoord. Formeel is niet bekend wie hierachter zat, maar vermoedelijk werd deze aanval ontwikkeld en uitgevoerd door de VS en Israël. Een andere mijlpaal is het APT1-rapport van het Amerikaanse Mandiant uit 2013. Dit rapport onderbouwt uitgebreid de link tussen online-spionageactiviteiten en de Chinese overheid.
De rode draad in de ontwikkeling van statelijke actoren is dat er meer landen online actiever zijn. Het zijn over het algemeen slecht zichtbare activiteiten, waar je je moeilijk tegen kunt beschermen en die grote impact kunnen hebben. Met de huidige oplopende geopolitieke spanningen is dit zorgelijker dan ooit.
- Beter laat dan nooit
Als je als bedrijf twintig jaar geleden werd gehackt, kon je alles onder het tapijt vegen en gewoon verdergaan; je was niet verplicht om dit te melden. Vandaag de dag kan dit (gelukkig) niet meer.
De eerste wetgeving hiervoor, de California Security Breach Information Act (SB 1386), ging in 2003 van kracht. Het duurde nog een aantal jaar voor soortgelijke wetgeving ook in Nederland kwam. Sinds 2018 moeten Nederlandse bedrijven volgens de AVG melding maken bij de Autoriteit Persoonsgegevens als er via hen persoonsgegevens worden gelekt. Nieuwere wetgeving zoals NIS2 en de Cyber Resilience Act gaan verder en verplichten meer organisaties om risico-gebaseerd maatregelen te nemen, waaronder ook aanbieders van software. Dit creëert meer vertrouwen in digitale diensten en producten en sterkere bescherming tegen kwaadwillenden.
Blik op de toekomst
Oké, maar zijn we de afgelopen 25 jaar beter geworden in onszelf weren tegen cyberincidenten? Samengevat is it belangrijker dan ooit, en is er zowel meer criminele als statelijke activiteit online. Er vinden dan ook nog steeds heel veel cyberincidenten plaats. En sommige daarvan waren echt te voorkomen.
Toch zijn we zeker iets opgeschoten. Er is bewustzijn van online-risico’s en er is wet- en regelgeving om het gebrek aan intrinsieke motivatie op het gebied van cybersecurity te compenseren. Noem het optimisme, maar rockbottom hebben we gehad.
Erik de Jong is chief research officer bij Tesorion
