Nederland loopt nog steeds veel risico op digitale ontwrichting van de maatschappij. Belangrijke bedrijven en vitale infrastructuren zijn kwetsbaar voor grote schadelijke aanvallen zoals met ransomware, zelfs als die binnenkomen via eenvoudige en te voorkomen methodes.
De dreiging voor Nederland komt grotendeels vanuit twee kampen; 'statelijke actoren' zoals aan landen gelieerde hackersgroepen die uit zijn op sabotage en spionage, en steeds geavanceerdere cybercrime. "De AIVD en MIVD beschouwen de mogelijke digitale verstoring en sabotage van de vitale infrastructuur als een van de grootste cyberdreigingen voor Nederland en zijn bondgenoten", schrijft de Nationaal Coördinator Terrorismebestrijding en Veiligheid in zijn jaarlijkse Cybersecuritybeeld. In dat jaarlijkse rapport beschrijft de NCTV de grootste digitale bedreigingen voor Nederland.
Veel van de zaken die de NCTV in het rapport beschrijft zijn hetzelfde als het rapport van vorig jaar. Net als toen schrijft de NCTV ook nu over de risico's van 'ketenafhankelijkheid' waar het bijvoorbeeld gaat om supply-chain-aanvallen, al noemt de toezichthouder ook de 112-storing van vorig jaar als voorbeeld van de afhankelijkheid van grote netwerken en de schade die kan ontstaan door een storing of aanval daarop. In een ander voorbeeld toont de NCTV hoe hackers infiltreren via updatesoftware. Actoren gaan meer op zoek naar de zwakke schakel in ketens waar het beoogde doelwit van afhankelijk is.
Sabotage is volgens de NCTV en de inlichtingendiensten een groot risico. Nog steeds zien de instanties dat sommige staten zich 'innestelen in ict-systemen van vitale infrastructuur', met het doel daar mogelijk op een later moment op toe te slaan.
Ook schrijft de NCTV dat Nederland nog steeds een aantrekkelijk doelwit voor spionage is. De Nederlandse economie is 'hoogontwikkeld, innovatief en internationaal georiënteerd'. "Spionageactiviteiten zijn gericht op het verbeteren van de eigen economische ontwikkeling of om kennis te bemachtigen door landen die te maken hebben met sancties", staat in het rapport.
Een ander groot probleem is cybercrime. Dat neemt steeds professionelere vormen aan en gaat daarom op steeds geavanceerdere wijze. Doordat bedrijven het losgeld blijven betalen blijft die vorm van criminaliteit actueel.
Makkelijk te voorkomen
Volgens de NCTV zijn veel digitale aanvallen in Nederland te voorkomen, maar is de digitale weerbaarheid desondanks niet op orde. Een van de problemen is dat de risico's structureel worden onderschat. Daarbij speelt ironisch genoeg mee dat er nog geen grote ontwrichtende incidenten zijn geweest, concludeert de NCTV. "Het ontbreken van echt ontwrichtende gebeurtenissen maakt het lastig om verstoring te agenderen, laat staan om de urgentie daarvan te onderstrepen en breed geaccepteerd te krijgen."
Phishing is een ander probleem. Voor organisaties is het 'complex' om zich daartegen te wapenen. Wel zijn bewustzijncampagnes volgens de NCTV actief. De NCTV raadt ook het verplichten van fysieke securitysleutels aan als mogelijke oplossing. Ook hebben organisaties moeite met het updaten van hun systemen. Veel systemen worden soms maanden of zelfs jaren niet gepatcht, ondanks dat dat wel kan en mogelijk is. "Een combinatie van basismaatregelen, zoals segmentatie van het netwerk, en goede monitoring en detectie kan de impact van een aanval reduceren."
Uiteindelijk blijkt dat het voor de meeste vitale infrastructuur alsnog te moeilijk is. Dat komt omdat systemen en processen onderling teveel van elkaar afhankelijk zijn en verweven met elkaar zijn. Het rapport raadt aan om in te zetten op meer technische en organisatorische maatregelen, en dat er via voorlichtingscampagnes en wetgeving manieren moeten komen om het gedrag van gebruikers en systeembeheerders bij te sturen.
Minister wil verplichtingen
Als reactie op het rapport wil minister Grapperhaus van Justitie en Veiligheid aanbieders van vitale infrastructuur verplichten om kwetsbaarheden in hun systemen te verhelpen. Ook de Rijksoverheid krijgt die verantwoordelijkheid, schrijft hij in een brief aan de Tweede Kamer. "Het kabinet werkt aan een ‘pas toe of leg uit-systematiek’", schrijft Grapperhaus. "Dat betekent dat bij ernstige kwetsbaarheden deze organisaties maatregelen moeten nemen, en moeten onderbouwen als ze er voor kiezen dit niet te doen."
Hij verwijst daarbij naar een groot lek in Citrix dat eind vorig jaar bekend werd. Er kwam al snel een patch uit, maar veel instanties waaronder Nederlandse overheidsinstellingen installeerden die niet. "Als er een soortgelijke situatie plaatsvindt is de vrijblijvendheid van het nemen van maatregelen voorbij", schrijft de minister.
Grapperhaus is niet de eerste die zoiets voorstelt. De Wetenschappelijke Raad voor het Regeringsbeleid opperde al een soortgelijk plan, en het Centraal Planbureau raadde dat aan voor de markt voor iot-apparaten. De Cybersecurity Raad volgde dat advies ook op het gebied van industriële controlesystemen. Het is ook niet de eerste keer dat Grapperhaus met een dergelijk plan komt. Hij pleitte eerder al voor een set veiligheidseisen voor alle soorten vitale infrastructuur.