Phishing en cryptoware blijven bedreiging voor heel Nederland

Cybercrime en digitale spionage blijven de grootste bedreigingen voor de digitale veiligheid in Nederland. Geopolitieke ontwikkelingen, zoals internationale conflicten of politieke gevoeligheden, hebben daarop een grote invloed. Dat blijkt uit het Cyber Security Beeld Nederland (CSBN), dat staatssecretaris Dijkhoff vandaag naar de Tweede Kamer stuurde. Hij pleit voor een grensoverschrijdende aanpak. Een eerste greep uit de inhoud.

Criminelen ontwikkelen hun digitale vaardigheden steeds verder. Het afgelopen jaar stond bijvoorbeeld in het teken van enkele digitale aanvallen door criminelen die opvielen door hun goede organisatie, nauwkeurige uitvoering en technische geavanceerdheid, aldus de samenstellers van het rapport. Daarnaast voeren er meer landen digitale aanvallen op of via de infrastructuur van Nederlandse organisaties uit.

De grootste digitale spionagedreiging komt van buitenlandse inlichtingendiensten. Het afgelopen jaar kreeg Nederland veel vaker te maken met digitale spionageaanvallen die een dreiging voor de nationale veiligheid en economische belangen vormen. Uit onderzoek van de AIVD en de MIVD bleek dat Nederlandse overheidsinstellingen in 2014 veelvuldig doelwit waren van geavanceerde digitale spionageaanvallen. Het merendeel van deze aanvallen is uitgevoerd met spearphishing­e­mails die met malware besmette bijlagen of links naar websites met malware bevatten.

Hoewel de potentie op digitaal gebied van terroristische actoren groeit, vormen ze nog geen grote dreiging vanwege hun beperkte technische capaciteiten, aldus het rapport. Er zijn geen aanwijzingen voor een concrete dreiging richting Nederland. Tot nu toe bleven digitale aanvallen met jihadistische motieven in Nederland beperkt tot kleinschalige aanvallen waar weinig kennis en menskracht voor nodig was.

Dat betekent niet dat er geen andere dreigingen zijn. Criminelen zetten cryptoware (gijzelvirussen) bijvoorbeeld steeds vaker in om hun doeleinden te bereiken. In tegenstelling tot andere veelvoorkomende malware, zoals Remote Access Tools (RAT’s), blokkeren de criminelen met cryptoware de toegang tot gegevens met behulp van encryptie. De komende jaren neemt de populariteit van het gebruik van ransomware en (vooral) cryptoware naar verwachting verder toe.

In Nederland blijven DDoS­aanvallen een punt van aandacht. Na de golf van DDoS­aanvallen begin 2013 investeerden dienstaanbieders in maatregelen om deze af te wenden. Er worden nog steeds frequente en zware DDoS­aanvallen op sites van overheden en private organisaties gedetecteerd, zoals recentelijk op die van Ziggo.

Phishing (het ‘vissen’ naar inlog­ en andere gegevens van gebruikers) speelt nog altijd een sleutelrol bij het uitvoeren van gerichte digitale aanvallen. Phishing­e­mails in gerichte aanvallen zijn voor gebruikers vaak nauwelijks te herkennen. Middelen om authentieke e­-mail als zodanig herkenbaar te maken (zoals digitale handtekeningen, Sender Policy Framework) worden in de praktijk slechts beperkt toegepast. Dit zorgt ervoor dat phishing een laagdrempelige en effectieve aanvalsmethode blijft voor aanvallers.

De kwaliteit van de phishingteksten is steeds beter geworden. Het is gebruikers bijna niet meer kwalijk te nemen dat ze hierin trappen. Technische maatregelen om phishing tegen te gaan worden echter nog maar beperkt gebruikt. Minder dan tien procent van de domeinnamen van de overheid is bijvoorbeeld beschermd tegen phishingaanvallen met behulp van de open standaarden DKIM, SPF en DMARC.

De aanpak is niet eenvoudig. Het verdwijnen van analoge alternatieven voor ICT­systemen maakt de beschikbaarheid van systemen nog belangrijker. De maatregelen die banken hebben getroffen tegen DDoS ­aanvallen tonen aan dat het mogelijk is effectieve maatregelen te treffen om beschikbaarheid van digitale voorzieningen te verhogen. Organisaties treffen dergelijke maatregelen echter vaak pas als de ICT­systemen al beschikbaarheidsproblemen hebben gekend.

Ook dit jaar brachten softwareleveranciers duizenden updates uit om kwetsbaarheden in hun software te repareren. De belemmeringen die organisaties ervaren bij het installeren van updates, zorgen ervoor dat ze het installeren ervan soms achterwege laten. Zolang de updates niet geïnstalleerd zijn, blijven delen van hun netwerk kwetsbaar.

De Heartbleed­ kwetsbaarheid maakte duidelijk dat opensource software niet automatisch veiliger is, zelfs als die veel gebruikt wordt. De publiciteit rond deze softwarefout leidde er in april 2014 toe dat grote internetbedrijven de handen ineensloegen in het Core Infrastructure Initiative. Binnen deze structuur wordt geïnvesteerd in de opensource­basisinfrastructuur van het internet. Dit initiatief verbetert de basisbeveiliging van het internet. Het bestrijkt echter momenteel slechts een klein deel van de opensourceprojecten die de infrastructuur van het internet dragen. Voor andere projecten is financiering niet in deze mate beschikbaar.

De arbeidsmarkt voor cybersecurityprofessionals kenmerkt zich helaas al langer door een groot verschil tussen de vraag naar en het aanbod van (technische) cybersecurityprofessionals. Organisaties hebben regelmatig moeite om vacatures te vervullen. Dat geldt in het bijzonder voor technische cybersecurityfuncties.

Het volledige rapport is hier te downloaden