De weerbaarheid van Nederland tegen digitale ontwrichting is nog altijd onvoldoende. Volgens het jaarlijkse Cybersecuritybeeld worden basismaatregelen vaak niet of onvoldoende getroffen en zijn bestuurders aan zet om daar verandering in te brengen.
In de afgelopen jaren zijn er stappen gezet om de weerbaarheid te verhogen, maar door de groeiende dreiging blijft de weerbaarheid tegen digitale aanvallen onvoldoende. Dat staat in het jaarlijkse Cybersecuritybeeld Nederland, dat door de Nationaal Coördinator Terrorismebestrijding en Veiligheid is opgesteld in samenwerking met het Nationaal Cyber Security Centrum.
Het rapport haalt veel incidenten aan van vorig jaar, waaronder ransomewareaanvallen en misbruik van kwetsbaarheden in hardware en software. Geen van deze incidenten heeft geleid tot maatschappelijke ontwrichting, staat in het rapport, maar het risico daarop is onverminderd groot. Ook in de afgelopen jaren had het Cybersecuritybeeld Nederland een soortgelijke strekking.
Veel van de incidenten komen voort uit het niet naleven van basisregels, zoals het gebruik van sterke wachtwoorden en het tijdig patchen van kwetsbaarheden, aldus het rapport. Het NCSC verwijst daarbij onder andere naar de Citrix- en Microsoft Exchange-kwetsbaarheden, die vorig jaar actief misbruikt werden en waar ook Nederlandse organisaties kwetsbaar voor waren.
Volgens het NCSC zijn er positieve ontwikkelingen zoals een toename in het gebruik van multifactorauthenticatie, het uitfaseren van onveilige technologieën en een verbeterde detectie en respons op cyberaanvallen. Ook is er een 'breed scala' aan initiatieven om de weerbaarheid van organisaties te verbeteren.
Ondanks die positieve punten is de weerbaarheid nog niet voldoende. Het NCSC verwijst naar het rapport van de Algemene Rekenkamer, die in mei concludeerde dat de informatiebeveiliging bij veel overheidsorganisaties nog niet op orde is. Volgens dat rapport was er over de gehele linie geen verbetering ten opzichte van een jaar eerder. Het NCSC verwijst ook naar het adviesrapport van de Cyber Security Raad, die stelt dat Nederland 833 miljoen euro extra moet investeren in cyberweerbaarheid.
Het NCSC heeft een Handreiking Cybersecuritymaatregelen geschreven, die is bedoeld voor organisaties om hun digitale weerbaarheid te verhogen. Hierin staan basismaatregelen die elke organisatie zou moeten treffen, zoals loggen, wachtwoordbeleid, back-ups maken en het versleutelen van informatie.
Bij het treffen van dergelijke maatregelen zijn bestuurders aan zet volgens het rapport. 'Risicomanagement zonder buy-in van bestuurders zal hoogstwaarschijnlijk mislukken: CISO's die beveiliging op eigen houtje proberen te regelen komen er vroeg of laat achter dat de organisatie zich geen eigenaar voelt van het probleem', schrijft het NCSC. Datzelfde geldt niet alleen voor organisaties, maar ook voor landen, aldus het rapport.