Een nooit gelopen race

Over cyberdreiging en versterking van weerbaarheid

Digitalisering

Rapport

Downloads

Omslagfoto gelopen race maart 2017.jpg

Het rapport ‘Een nooit gelopen race’ van het Rathenau Instituut laat zien dat de huidige maatregelen van overheid en bedrijfsleven tegen cyberdreigingen niet volstaan. In de strijd tegen de steeds professionelere methoden van statelijke actoren, cybercriminelen en andere kwaadwillende hackers zijn extra maatregelen nodig.

Auteurs

De huidige maatregelen van overheid en bedrijfsleven tegen cyberdreigingen volstaan niet meer. In de strijd tegen de steeds professionelere methoden van cybercriminelen, cyberspionnen en hackers zijn extra maatregelen nodig. De rijksoverheid en bedrijven met hoogwaardige technologie zijn inmiddels structureel doelwit van digitale spionage-aanvallen. Volgens de onderzoekers moet het versterken van cybersecurity in Nederland meer prioriteit krijgen.

Het rapport maakt duidelijk dat Nederland, als een van de meest ICT-intensieve economieën ter wereld, een aantrekkelijk doelwit is voor cybercriminelen, cyberspionnen en hackers. De grootste dreiging vormen buitenlandse inlichtingendiensten die in ons land op grote schaal politieke, militaire en technologische informatie verzamelen en manipuleren. Cybercriminelen worden professioneler, de gebruikte methoden zijn geavanceerder en het verdienmodel winstgevender. Ook steeds meer mkb-bedrijven worden slachtoffer van cybercriminaliteit. De ontwikkeling van het Internet of Things versterkt die kwetsbaarheid. De beveiliging van ‘slimme’ apparaten is vaak niet op orde waardoor ze kunnen worden gehackt en ingezet voor grootschalige DDoS-aanvallen. Cyberdreigingen ondergraven het innovatie- en concurrentievermogen van het Nederlandse bedrijfsleven en het vertrouwen in de digitale samenleving.

 

Bij voorkeur citeren als:
Geert Munnichs, Matthijs Kouw & Linda Kool, Een nooit gelopen race - Over cyberdreigingen en versterking van weerbaarheid. Den Haag, Rathenau Instituut 2017

De Tweede Kamer nam eerder al wetten aan die de bevoegdheden voor opsporingsdiensten en inlichtingen- en veiligheidsdiensten verruimen. Het Rathenau Instituut doet een aantal aanbevelingen om de weerbaarheid tegen cyberdreigingen verder te versterken.

Zo zou er een onafhankelijk kennis- en adviescentrum voor mkb-bedrijven moeten komen. Vitale sectoren, zoals telecom, transport, drinkwater- en energievoorziening en ook de zorg, zouden een jaarlijkse hacktest moeten uitvoeren.

Ook zou getoetst moeten worden of de bestaande aansprakelijkheidswetgeving wel voldoende is voor ICT-producten en -diensten. Toezichthouders als de Autoriteit Consument en Markt en het Agentschap Telecom zouden krachtiger moeten optreden tegen het op de markt brengen van onveilige digitale producten.

Tot slot zou de overheid, die in Nederland circa 30% van de beveiligingsproducten en -diensten afneemt, nadrukkelijker een voorbeeldrol moeten vervullen als ‘launching customer’.

Veelgestelde vragen

Scriptkiddies

Cybervandalen en scriptkiddies zijn vaak minderjarig en plegen aanvallen uit baldadigheid of om de eigen vaardigheden aan te tonen. Volgens het Cybersecuritybeeld Nederland 2016 neemt de dreiging die van hen uitgaat toe. Deze wordt veroorzaakt door de groeiende beschikbaarheid van laagdrempelige middelen voor digitale aanvallen. Zo voeren cybervandalen en scriptkiddies steeds gemakkelijker destributed denial of service (DDoS)-aanvallen uit, waarmee een website kan worden platgelegd. Zij kunnen daarvoor gebruikmaken van diensten die op ondergrondse marktplaatsen worden aangeboden (DDoS-as-a-service).

Terroristen

Terroristische groeperingen lijken nog onvoldoende ICT-vaardigheden in huis te hebben om serieuze cyberaanvallen te kunnen plegen, maar dit lijkt slechts een kwestie van tijd. De digitale activiteiten van de islamitische terreurgroep ISIS worden wel meer offensief en gericht van aard. Zo publiceert ISIS vaker persoonsgegevens van westerse militairen en overheidspersoneel (doxing), met als doel hen als potentiële doelwitten van aanslagen te benoemen. Daarnaast slaagt ISIS – of slagen sympathisanten ervan – er vaker in websites te hacken en de tekst van de originele webpagina te vervangen door een ideologische boodschap (defacing). Dergelijke aanvallen worden gezien als propaganda.

Cybercriminelen

Cybercriminelen worden professioneler, de door hen gebruikte methoden complexer en hun verdienmodel winstgevender. Malware infecties nemen in aantal toe, botnets worden beter verhuld en steeds vaker wordt gebruikgemaakt van spear phishing. Deze geavanceerde vorm van phishing richt zich op individuele internetgebruikers en maakt gebruik van persoonlijke informatie, die bijvoorbeeld door het doelwit zelf op Facebook of LinkedIn is geplaatst. Zo kan een op het oog onschuldig attachment bij een e-mail die afkomstig lijkt te zijn van een bekende, tot nare verrassingen leiden.

Vooral het gebruik van ransomware heeft de afgelopen jaren een grote vlucht genomen. Zowel burgers en bedrijven, maar ook ziekenhuizen, krijgen steeds vaker te maken met malware die computerbestanden versleutelt en daarmee ontoegankelijk maakt, waarbij voor ontsleuteling van de bestanden losgeld wordt gevraagd.

Cyberspionage door statelijke actoren

Ook statelijke actoren – buitenlandse inlichtingendiensten en daaraan gelieerde groeperingen – zijn buitengewoon actief in het digitale domein. Vooral Russische en Chinese inlichtingendiensten verzamelen in westerse landen informatie over politieke, militaire, wetenschappelijke en technologische onderwerpen. Nederlandse overheidsinstellingen zijn structureel doelwit van omvangrijke en geavanceerde digitale spionage-aanvallen.

Behalve op politieke doelen vindt omvangrijke spionage plaats op economische doelen. Vooral de Chinese inlichtingendiensten richten zich op bedrijven met economisch gevoelige informatie, om daarmee economisch voordeel te behalen. Daarbij gaat het onder andere om bedrijven die deel uitmaken van de Nederlandse topsectoren.

 

Volgens cijfers van het CBS is in 2015 ongeveer 11 % van de Nederlanders slachtoffer geweest van cybercrime. En uit onderzoek van PwC en de Vrije Universiteit Amsterdam kwam naar voren dat meer dan 20 % van de Nederlandse bedrijven en instellingen rapporteerde de laatste twee jaar last te hebben gehad van cybercrime. De daadwerkelijke cijfers liggen volgens de onderzoekers ‘zeer waarschijnlijk’ hoger.

Het is moeilijk om harde uitspraken te doen over de daadwerkelijke schade door cybercriminaliteit. Schattingen lopen uiteen van 10 tot 15 miljard euro, maar lang niet alle schade als gevolg van cybercrime is bekend. Voor cyberspionage gericht op economische doelen is nog moeilijker vast te stellen wat daarvan de schade is, omdat die mogelijk pas op langere termijn duidelijk wordt.

Statelijke actoren kunnen digitale middelen ook inzetten om de publieke opinie, de politieke stabiliteit of het politieke besluitvormingsproces van een ander land te beïnvloeden. Manipulatie van informatie vormt daarmee een bedreiging voor het functioneren van het democratisch bestel.

Ook cybersabotage vormt een groot risico. Een doelbewuste verstoring van vitale sectoren, zoals energiecentrales, de drinkwatervoorziening of het betalingsverkeer kan tot grote economische schade en maatschappelijke ontwrichting leiden.

  1. De overheid, het bedrijfsleven en andere partijen, zoals de Consumentenbond, kunnen samen optrekken in het onderwijs en in voorlichtingscampagnes. Ze kunnen meer aandacht besteden aan cybersecurity en aan de digitale vaardigheden die daarvoor nodig zijn.
  2. De overheid en bedrijven kunnen investeren in een onafhankelijk kennis- en adviescentrum voor mkb-bedrijven en grotere bedrijven die geen deel uitmaken van de vitale sectoren.
  3. De overheid kan het goede voorbeeld geven als ‘launching customer’ en binnen haar eigen organisatie meer aansturen op adequate beveiligingsmaatregelen.
  4. De overheid kan de vitale sectoren meer aanspreken op hun verantwoordelijkheid voor een veilige bedrijfsvoering, bijvoorbeeld door afspraken te maken over een jaarlijkse hacktest.

  1. Bedrijven kunnen zich op de hoogte stellen van bestaande zorgplichten en zich daar ook aan houden.
  2. De overheid kan meer werk maken van het aangiftebeleid op regionaal niveau en van vervolging van cybercrime.
  3. De overheid kan monitoren of de voorwaarden die zijn opgenomen in het wetsvoorstel Computercriminaliteit III voor het gebruik van zero-day kwetsbaarheden door opsporingsdiensten in de praktijk afdoende zijn.
  4. De overheid kan de capaciteit van de AIVD uitbreiden, zodat ze beter in staat is om cyberspionage en manipulatie van informatie door statelijke actoren te signaleren en passende maatregelen te (laten) treffen.
  5. De overheid kan monitoren of de ‘checks and balances’ in het wetsvoorstel modernisering van de Wet op de inlichtingen- en veiligheidsdiensten in de praktijk afdoende zijn.
  6. De overheid kan ‘open normen’ in wetgeving vastleggen om te kunnen toezien op de beveiliging van slimme apparaten. En ze kan toezichthouders op basis hiervan actief laten optreden tegen onveilige ICT-producten.
  7. De overheid kan nagaan of de toezichthouders (AP, ACM, Telecom) voldoende mandaat hebben om op te treden tegen onveilige ICT-producten, en of aanpassing van hun mandaat nodig is. En ze kan toezichthouders uitrusten met voldoende expertise en capaciteit.
  8. De overheid kan toezien op naleving van zorgplichten voor veilige producten door fabrikanten en leveranciers, en nagaan of de zorgplichten en aansprakelijkheidswetgeving hiervoor aanpassing behoeven.

  1. De overheid en bedrijven kunnen investeren in cybersecurity-opleidingen.
  2. De overheid en bedrijven kunnen investeren in capaciteitsuitbreiding, zoals:
    • in een onafhankelijk kennis- en adviescentrum voor het MKB en overig bedrijfsleven (niet-vitale sectoren);
    • in voldoende expertise en capaciteit binnen de overheid, betrokken toezichthouders en de AIVD.