Cyber-jaaroverzicht 2021 en een vooruitblik op 2022

2021 was wat cybercriminaliteit betreft een bewogen jaar: grote hacks en gijzelingen leken om de haverklap plaats te vinden. Toch werden er ook stappen gezet in de preventie, met name nieuwe wetgeving en ondersteuning door overheden. 2022 belooft meer criminaliteit én meer bestrijding.

Het jaar 2021 stond wederom in het teken van grootschalige nationale en internationale hacks. In de afgelopen twaalf maanden stond het begrip “ransomware” in talloze krantenkoppen wereldwijd centraal. Van januari tot november 2021 hield bijna de helft van de onderzochte security-incidenten verband met ransomware (gijzelsoftware), hetgeen een stijging van bijna 12% is in vergelijking met 2020.

Her en der hacks bij grote organisaties

Waar het jaar begon met onder andere de nationale hacks bij de Universiteit van Amsterdam, de Hogeschool van Amsterdam en de Nederlandse Organisatie voor Wetenschappelijk Onderzoek, was internationaal sprake van een gigantische hack van de grootste oliepijplijnleidingexploitant in de Verenigde Staten, Colonial Pipeline en de hack op IT-managementsoftwarebedrijf Kaseya, waarbij tientallen miljoenen dollars aan losgeld werd geëist.

Maar ook met het einde van het jaar 2021 in zicht zijn er wederom de nodige cyberaanvallen op grote organisaties te noemen: zo werd Mediamarkt aangevallen en afgeperst voor een bedrag van 50 miljoen dollar, werd Ikea onder vuur genomen door middel van een grote aanhoudende phishingcampagne (FD, betaalmuur) en meldde de Volkskrant dat technologieleverancier Abiom, die onder meer communicatietechnologie levert aan de Nederlandse Defensie en Nationale Politie, slachtoffer is geworden van ransomware. Zorgwekkend is het feit dat bij deze laatstgenoemde hack ondertussen vertrouwelijke informatie en communicatie van en met overheden online is gezet, om de druk tot het betalen van losgeld op te voeren.

Hoog op de agenda

Deze zogenoemde dubbele afpersing is het meest voorkomende type ransomware-aanval, zo blijkt uit een internationaal onderzoek onder IT-professionals in opdracht van cyberbeveiliger Mimecast. De data worden eerst gestolen voordat de versleuteling plaatsvindt, hetgeen in Nederland ruim de helft (54%) van de getroffen bedrijven overkwam. De werkelijkheid is dan ook dat cybercrime niet meer uit het dagelijkse (bedrijfs)leven is weg te denken. Cybersecurity is bij uitstek een strategische uitdaging voor de bestuurskamer op het vlak van governance en risicomanagement en dit onderwerp zou bij iedere onderneming hoog op de agenda moeten staan.

Het jaar 2021 waarin ransomware-aanvallen hoogtij vierden, lijkt het bewustzijn onder bedrijven te hebben verhoogd. Zo blijkt uit een recent onderzoek onder 294 senior executives wereldwijd, dat het topmanagement tegenwoordig de grootste vrees heeft voor de gevolgen van nieuwe ransomware-modellen, nog veel meer dan bijvoorbeeld de zorgen over de gevolgen van Covid-19 en verstoorde supply chains die de gemoederen het afgelopen jaar ook bezig hielden.

Welke cyberontwikkelingen, -trends en -risico’s zijn er voor het komende jaar te melden en waar dient het management zijn bedrijf op voor te bereiden?

Hybride werken

Het is misschien een spreekwoordelijke open deur, maar ook in 2022 zal het hybride werken een blijvertje zijn, met alle digitale risico’s van dien. De afgelopen periode zagen cybercriminelen hun kans schoon door hun pijlen te richten op de gedwongen thuiswerkende werknemers van bedrijven en overheidsorganisatie bij wie de beveiliging (nog) niet altijd op thuiswerken was ingericht.

Tussen januari 2020 en juni 2021, toen het gros van alle landen zich in een lockdown bevond, was er sprake van circa 71 miljard aanvallen op apparaten waarmee op afstand toegang tot bedrijfsnetwerken werd gezocht. Voor het jaar 2022 blijft het risico aanwezig op zowel social engineering om inloggegevens te stelen als op het aanvallen van onbeschermde computers en niet geüpdatete systemen van thuiswerkers die als toegangskanaal fungeren tot bedrijfsnetwerken.

Social engineering is een techniek waarbij cybercriminelen een aanval op computersystemen ondernemen via de mens als gebruiker van het systeem. Social engineering omvat technieken om individuen onder andere hun vertrouwelijke gegevens te laten prijsgeven, malware te installeren op hun computers en het openen van links naar geïnfecteerde sites. Er wordt ingespeeld op de gebrekkige kennis van gebruikers.

Toename supply chain-aanvallen leveranciersketen

Het afgelopen jaar zijn er enkele opmerkelijke en grootschalige cyberaanvallen geweest op organisaties in leveranciersketens. De opvallendste aanvallen waren die op de grootste oliepijplijnleidingexploitant in de Verenigde Staten, Colonial Pipeline, en de hack op het Braziliaanse JBS, ’s werelds grootste vleesleverancier. Maar ook de software supply chain is een gewild doelwit voor cybercriminelen.

Het meest sprekende voorbeeld van een aanval op de ICT-leveranciersketen was de aangebrachte kwetsbaarheid in de software van SolarWinds (FD, betaalmuur). Deze aanvallen op leveranciersketens richten zich niet op één specifieke organisatie, maar op een zwakke plek in de keten. Op deze wijze kunnen cybercriminelen veel organisaties treffen. De aanval op de supply chains is voor cybercriminelen bijzonder waardevol omdat deze een springplank vormen om in een klap veel verschillende doelwitten in beeld te krijgen. De verwachting is dat de supply chain-aanval in 2022 een doorgroeiende trend zal zijn.

Toename aanvallen op clouddiensten

In 2021 stonden de internationale hacks van gigantische omvang centraal die het beeld bevestigen dat de jacht op ‘groot wild’ (big game hunting) door cybercriminelen wordt voorgezet. Ofwel, gerichte aanvallen op grote organisaties waarbij een grondige due diligence wordt uitgevoerd naar de slachtoffers. Bij deze aanvallen is er sprake van maatwerk om tot maximaal financieel gewin te komen. Ook in 2022 zullen cybercriminelen hun eigen verdienmodel weer onder de loep nemen, waarbij cloud security en het uitbesteden van digitale diensten de aandacht trekken.

Steeds meer organisaties integreren cloud computing in hun bedrijfsmodellen en besteden diensten uit die betrekking hebben op onder andere online documentbewerking, bestandsopslag en emailhosting. Deze wijze van digitale uitbesteding en het draaien op de digitale infrastructuur van derden, kan beveiligingsimplicaties en risico’s met zich meebrengen. De verwachting van het Kaspersky Global Research and Analysis Team is dat derden-clouddienstverleners op dit moment zo veel gegevens beheren, dat dit de aandacht zal trekken van cybercriminelen en deze bovenaan de lijst als primaire doelwitten worden gezet. Het is aannemelijk dat big game hunting door middel van geraffineerde aanvallen zal worden voortgezet.

Internet-of-Things-apparatuur als doelwit

In 2022 moet iedere organisatie rekening houden met de gijzeling van Internet-of-Things(IoT)-apparaten, ofwel alle ‘slimme’ apparaten die met het internet verbonden zijn. Deze voorspelling reikt van het hacken van beveiligingscamera’s tot productiemachines en kassasystemen. Volgens cybersecurity-leverancier Venafi wordt dit het nieuwe gezicht van ransomware in het IoT-tijdperk van bedrijven.

Ontwikkelingen handhaving en samenwerking

Naast de rol die is weggelegd voor bedrijven en hun management om de cybersecurity zo gedegen mogelijk op orde te krijgen is er in het nieuwe jaar ook een rol weggelegd voor de overheid in de strijd tegen cybercriminaliteit. Recentelijk was er al een hoopvolle ontwikkeling op het gebied van de internationale samenwerking bij handhaving en vervolging door justitiële autoriteiten toen een Russisch kopstuk van gijzelsoftware werd gearresteerd op Schiphol (FD, betaalmuur). Deze berichtgeving kwam vlak na de melding van de Amerikaanse autoriteiten dat een verdachte was gearresteerd die deel zou uitmaken van de beruchte hackersgroep REvil, de uitvoerder van de grootschalige cyberaanval op het Amerikaanse softwarebedrijf Kaseya. De grote vraag is of er ook daadwerkelijk een succesvolle vervolging gaat komen, maar een eerste klap is uitgedeeld door de autoriteiten, hetgeen hoe dan ook als een overwinning voor de internationale opsporingsdiensten zal voelen.

De Nederlandse overheid

Nationaal heeft de overheid in 2021 een actievere rol op zich genomen bij het versterken van de cybersecurity van bedrijven in de strijd tegen cybercriminaliteit. Zo startte het Digital Trust Centrum (DTC) van de overheid vanaf 13 september van het afgelopen jaar met het waarschuwen van niet-gereguleerde bedrijven over cyberdreigingen. Het DTC krijgt hierbij specifieke dreigingsinformatie van het Nationaal Cyber Security Centrum (NCSC) en kan bedrijven waarschuwen voor ernstige dreigingen, zodat die bedrijven maatregelen kunnen nemen om mogelijke schade te voorkomen of te beperken. Het DTC geeft daarbij waar mogelijk advies over te nemen maatregelen, zoals het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist.

Ondertussen heeft het DTC al bijna 300 bedrijven direct gewaarschuwd voor een ernstige cyberdreiging. De waarschuwingen van de overheid (die ook via een wet zullen worden gereguleerd) zijn een goede stap in het op een systematische manier aanpakken en identificeren van digitale risico’s en het vergroten van digitale weerbaarheid van bedrijven. Het jaar 2022 zal uitwijzen of er door deze waarschuwingen ook daadwerkelijk cyberaanvallen zijn of worden voorkomen.

Internationale stappen

Naast nationale initiatieven wordt er ook vanuit Brussel in 2022 gesleuteld aan de wetgeving, in het bijzonder geldt dit voor de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB). In Nederland is deze richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), die beoogt de digitale weerbaarheid van Nederland te bevorderen. Op dit moment vallen aanbieders van essentiële diensten (zoals banken, drinkwater, energiesector) en digitale dienstverleners, zoals clouddiensten en online marktplaatsen, onder de huidige richtlijn. Deze aanbieders moeten maatregelen nemen voor hun digitale veiligheid en hebben een meldplicht voor ernstige cyberincidenten.

Een herziening van de richtlijn (de zogenoemde NIB2) zal moeten zorgen voor een uitbreiding van het aantal sectoren dat verplicht wordt om passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen en dat ernstige cyberincidenten moet melden. Het gaat bijvoorbeeld om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. Over de precieze uitwerking van de herziening wordt in het nieuwe jaar onderhandeld met het Europees Parlement en de Europese Commissie, waarbij het streven is een definitief akkoord te bereiken in 2022, waarna lidstaten de wetgeving in eigen land kunnen aanpassen.

Het nieuwe jaar

Het jaar 2022 zal tegen deze achtergrond ongetwijfeld weer een bewogen jaar gaan worden, met toenemende druk door cybercrime aan de ene kant en het zoeken naar adequate bescherming aan de andere kant. Bedrijven zullen waakzaam dienen te zijn op de bovenstaande trends en moeten zich blijven inspannen om de cybersecurity op het noodzakelijke niveau te houden. De overheid heeft ondertussen de digitale veiligheid als prioriteit gemarkeerd en de tijd zal leren of de investeringen in handhaving en wetgeving het gewenste resultaat zullen opleveren.

Over de auteur: Nosh van der Voort is advocaat bij Simmons & Simmons.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.