Security
Bekijk alle channels
  • Home
  • Security
  • Cyberupdate 2022: de geëvolueerde cyberdreiging en maatregelen

Nosh van der Voort

NautaDutilh
54,6K

Channel

Security

Achtergrond -

Cyberupdate 2022: de geëvolueerde cyberdreiging en maatregelen

Vier juli verscheen het Cybersecuritybeeld 2022, waarin inzicht wordt geboden in de digitale dreiging, de belangen die daardoor kunnen worden aangetast, de weerbaarheid en tot slot de bijkomende risico’s.

Volgens het Cybersecuritybeeld is er, ondanks de inspanningen om de weerbaarheid te verhogen, sprake van schreefgroei met de toenemende dreiging. Die scheefgroei vergroot, volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cybersecurity Centrum (NCSC), het risico op ontwrichting van onze samenleving. In het bijzonder gaat het om risico’s in de bankensector, het openbaar vervoer en drinkwater (de zogenoemde vitale aanbieders). De opmerkelijke en grootschalige cyberaanvallen op organisaties in de leveranciersketens, met de daaropvolgende ontwrichtende effecten op de samenleving (zoals lege schappen in de winkels of uitval van industriële productie), tonen aan dat de cyberdreiging overal aanwezig is.

Het afgelopen jaar en het eerste half jaar van 2022 toont aan dat het niet zozeer de vraag is of bedrijven worden aangevallen, maar wanneer. Welke cyberontwikkelingen en risico’s zijn er te melden en waar dient het management zijn bedrijf op voor te bereiden?

Dreigingsbeeld geëvolueerd

Ransomware is geen nieuw begrip, in talloze krantenkoppen wereldwijd stond én staat het centraal. Zo werd Dierentuin Artis zeer recentelijk getroffen door een Ransomware aanval, waarbij een miljoen euro aan losgeld werd geëist. Inmiddels is er weer een nieuwe ontwikkeling. Aanvallen met gijzelsoftware worden steeds vaker ingezet met dubbele of zelfs drievoudige afpersing. In deze variant wordt niet alleen de primair getroffen organisatie afgeperst maar ook de klanten, partners of leveranciers daarvan. Cybercriminelen hebben hun eigen verdienmodel onder de loep genomen, waarbij Cloud security en het uitbesteden van digitale diensten de aandacht trekken. Dit beeld wordt bevestigd in de Datalekkenrapportage 2021 van het Autoriteit Persoonsgegevens: het aantal meldingen van datalekken door cyberaanvallen (hacking, malware of phishing) is in 2021 88% gestegen, waarbij vooral IT-leveranciers het doelwit zijn. Op basis van datalekmeldingen schat de Autoriteit Persoonsgegevens in dat cyberaanvallen bij IT-leveranciers het afgelopen jaar minimaal 7 miljoen slachtoffers hebben gemaakt.

Deze toenemende afhankelijkheid van clouddiensten voor bedrijfsprocessen vormt een risico voor Nederlandse organisaties in het geval van uitval of verstoring. Het uitvoeren van risk assessments op het gebied van cybersecurity (in de leveranciersketen) is derhalve een pré voor ieder bedrijf dat gebruik maakt van de cloud.

Een andere ontwikkeling is de geopolitieke rol die cybercriminelen hebben. Cybercriminelen worden in toenemende mate ingezet door statelijke actoren voor activiteiten van nationaal belang. Om dit beeldend te maken: Russische hackers hebben sinds het begin van de oorlog in Oekraïne cyberaanvallen uitgevoerd op minstens 128 organisaties in 42 landen buiten de Oekraïne. Dit verduidelijkt het beeld dat cybercriminaliteit uiterst transnationaal is. Daders, dienstverleners, slachtoffers en gebruikte of misbruikte infrastructuren kunnen zich verspreid over de hele wereld bevinden, wat uitdagingen met zich meebrengt. Cyberaanvallen door statelijke actoren zijn volgens het Cybersecuritybeeld 2022 niet meer zeldzaam te noemen; ze zijn eerder het nieuwe normaal. De voornaamste risico’s die genoemd worden zijn:

  • beïnvloeding en inmenging (inclusief het verspreiden van desinformatie)
  • (economische of politieke) spionage
  • voorbereidingshandelingen voor en daadwerkelijke verstoring en sabotage.

Zo werden in het eerste kwartaal van dit jaar tientallen Nederlandse routers van particulieren en bedrijven gehackt door een Russische militaire hackgroep. De dreiging is derhalve dichterbij dan men soms denkt en het treffen van minimale beveiligingsmaatregelen is van belang.

Beslaglegging Bitcoins

Gelukkig zijn er ook positieve ontwikkelingen te melden. Op het gebied van handhaving en opvolging door justitiële autoriteiten springt met name de berichtgeving over de Universiteit Maastricht in het oog. In 2020 werd de Universiteit getroffen door een aanval met gijzelsoftware en betaalde als gevolg van deze hack €197.000 in Bitcoins aan de hackers. Op 2 juli werd publiekelijk bekend dat het cybercrime team van de politie en het Openbaar Ministerie een deel van het losgeld hebben teruggevonden en in beslag hebben genomen. Van de destijds betaalde 30 Bitcoins leidden 4,54 Bitcoins naar het account van een Oekraïense witwasser. Op dat account stonden andere cryptomunten met, ten tijde van de beslaglegging, een waarde van 40.000 euro. In de tussenliggende periode steeg de waarde van deze inbeslaggenomen cryptomunten naar een half miljoen euro.

Nieuwe, bredere wet

Het kabinet werkt verder aan het wetsvoorstel Bevordering Digitale Weerbaarheid Bedrijven, ter verbetering van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland. De strekking van de wet is om voortaan het niet-vitale bedrijfsleven, ofwel alle ondernemers, te informeren over actuele IT-dreigingen, kwetsbaarheden en incidenten, zodat deze sneller kunnen handelen. De ministerraad heeft op 8 april ingestemd met het wetsvoorstel om deze informatie- en adviestaak in te richten. De volgende stap is dat de Raad van State advies geeft op het wetsvoorstel. Vervolgens wordt het wetsvoorstel ingediend bij de Tweede Kamer. Met deze wet wordt gehoor gegeven aan de al langer bestaande sterke roep van het bedrijfsleven om richtlijnen en kaders van de overheid te krijgen bij een adequate digitale beveiliging en de wens om geïnformeerd te worden over nieuwe methodes van cybercriminelen.

EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2)

Nationaal is de overheid bezig met het zetten van een adequate stap om te zorgen dat de gehele digitale bedrijfsketen beter op de hoogte raakt van dreigingen, maar ook Europees wordt druk gesleuteld aan nieuwe regelgeving. Op 13 mei hebben de EU-lidstaten en het Europees Parlement een politiek akkoord bereikt over de herziening van de zogenoemde EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2), in Europa ook wel de NIS2 (Network- and Information Systems) Directive genoemd. Het doel? Het cyberbeveiligingsniveau in Europa verhogen. Dit moet bewerkstelligd worden door ondernemingen in meer sectoren te verplichten maatregelen te nemen om cyberbeveiligingsrisico’s te beheersen. De digitale zorgplicht zal dus uitgebreid worden naar een grotere kring van bedrijven.

Waar onder de huidige richtlijn (NIB1) enkel vitale aanbieders (bijvoorbeeld energiebedrijven, drinkwaterbedrijven en banken) en digitale dienstverleners (onder andere aanbieders van clouddiensten, online zoekmachines en online marktplaatsen) verplicht zijn om maatregelen te nemen om de digitale weerbaarheid te vergroten, zal dit onder de NIB2 worden uitgebreid naar ondernemingen die van cruciaal belang zijn voor de economie en samenleving. Het gaat hier onder andere om de levensmiddelensector (industriële voedselproductie en distributie zoals grotere supermarktketens), partijen in de chemische- en maakindustrie, afvalverwerking, post- en koeriersdiensten, maar ook meer algemeen de gezondheidszorg, bijvoorbeeld fabrikanten van medische hulpmiddelen, gezien de toenemende veiligheidsdreigingen die zich tijdens de coronapandemie hebben voorgedaan.

De richtlijn dient te zorgen voor strengere beveiligingsvoorschriften die aan ondernemingen worden opgelegd, focust op de beveiliging van toeleveringsketens en betrekkingen tussen leveranciers en legt een grotere verantwoordingsplicht bij het management van bedrijven, in geval van niet-naleving van de cyberbeveiligingsverplichtingen. De focus op de toeleveringsketen is niet verassend, gezien het in potentie grote bereik van een cyberaanval. Deze aanvallen op leveranciersketens richten zich niet op één specifieke organisatie, maar op een zwakke plek in de keten. Op deze wijze kunnen cybercriminelen veel organisaties treffen. De aanval op de supply chains is voor cybercriminelen bijzonder waardevol omdat deze een springplank vormen om in één klap veel verschillende doelwitten in beeld te krijgen.

De richtlijn is nog niet definitief. Na stemming in het Europees Parlement wordt de richtlijn naar verwachting in de herfst van dit jaar gepubliceerd en dient deze daarna voor medio 2024 te worden omgezet in nationale wetgeving. Reden te meer voor bedrijven om al de nodige voorbereidende acties te treffen om binnen afzienbare tijd de digitale weerbaarheid verder op orde te brengen.

Digitale zenuwstelsel

Het Cybersecuritybeeld 2022 verwoord de huidige situatie in Nederland pakkend dat “Digitale processen het ‘zenuwstelsel’ vormen van de maatschappij en economie, nu deze onmisbaar zijn voor het ongestoord functioneren daarvan.” Burgers, bedrijven en de overheid zijn allen op een eigen manier verantwoordelijk voor het beschermen van dit zenuwstelsel. Hierbij is het een illusie dat volledige weerbaarheid tegen digitale dreigingen mogelijk is. Toch is het een goed teken dat de overheid haar verantwoordelijkheid (op Europees) niveau pakt en verdergaande maatregelen en handhaving introduceert. Binnen het bedrijfsleven wordt men steeds bewuster van de risico’s en zorgplichten die bestaan in het kader van de digitale veiligheid. Zo kondigde het bedrijfsleven samen met verschillende branche- en non-profitorganisaties al eerder aan zelf een waarschuwingssysteem te introduceren dat organisaties en ondernemingen waarschuwt voor kwetsbaarheden binnen hun systemen en netwerken. Op deze manier hoopt het bedrijfsleven zelf de leemte op te vullen die nu nog bestaat bij urgente informatieverstrekking in het kader van cyberdreigingen.

De toegenomen cyberdreiging die zich voordoet in verschillende verschijningsvormen en minder sectorspecifiek is geworden, noopt de overheid en het bedrijfsleven dus tot samenwerking en uitwisseling van informatie. Zorgplicht en samenwerking zijn de twee kernwoorden in het blijvend evoluerend cyberlandschap. Wanneer zowel het bedrijfsleven als de overheid blijft anticiperen op ontwikkelingen sterkt dat de weerbaarheid tegen cyberrisico’s in de huidige markt. Samenwerking is essentieel om (ondernemend) Nederland, voor nu en in de toekomst, voldoende draaiende te houden.

Over de auteur: Nosh van der Voort is advocaat bij NautaDutilh.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Gerelateerde opleiding

Masterclass Omnichannel Retail

Van denken vanuit één kanaal, naar omnichannel-denken / Emerce Academy

Bekijk masterclass
  • Trainer: Alex Bloemendal (Manager E-commerce | Zeeman)
  • Datum: 28 mei 2024
  • Locatie: Online classroom
Bekijk masterclass

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond

Gerelateerde items
Security

Weet jij of er een hacker in je cloud zit?

De cloud speelt een steeds meer prominente rol. Cyberdreigingen richten zich steeds meer op de cloud. Het belang van cloud security neemt toe.
Security

Cyber-jaaroverzicht 2021 en een vooruitblik op 2022

2021 was wat cybercriminaliteit betreft een bewogen jaar: hacks en gijzelingen maar ook stappen in de preventie. 2022 belooft meer van hetzelfde.
Security

Beveilig applicaties beter tegen cyberaanvallen met DevSecOps

Bij softwareontwikkeling moet veiligheid voorop staan. Door de snelle technologische ontwikkelingen moeten de security tools daarom realtime mee veranderen.