De digitale weerbaarheid van Nederland is nog lang niet overal op orde, zo blijkt uit het Cybersecuritybeeld Nederland 2020 (CSBN). KPN Security voelt een grote verantwoordelijkheid om hier verandering in te brengen. In dit artikel leest u onze visie op het jaarlijkse dreigingsbeeld van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Het CSBN beschrijft hoe ons land ervoor staat op het gebied van cybersecurity. Het geeft een gedetailleerd beeld van het dreigingslandschap en signaleert relevante ontwikkelingen. Bovendien creëert de overheid hiermee extra bewustwording, wat ook nodig blijkt te zijn. Veel organisaties lijken de digitale risico’s immers te onderschatten, zo constateert de NCTV in deze editie van het CSBN.
KPN Security ziet het als zijn missie om de digitale weerbaarheid van Nederland te verhogen. Als de grootste managed security service provider (MSSP) van Nederland helpen we meer dan 1.200 klanten bij het beveiligen van hun kritieke infrastructuur. Dit doen we in nauwe samenwerking met onze partners en de overheid. Samen stellen we organisaties in staat om de kansen van nieuwe technologieën te benutten, zonder de risico’s uit het oog te verliezen.
Marcel van Oirschot, Executive Vice President van KPN Security, neemt u graag mee in zijn bevindingen en conclusies en de visie van KPN:
1. Dreiging van ransomware en phishing neemt toe
In het CSBN 2020 is terecht veel aandacht voor ransomware: schadelijke software die bestanden gijzelt en om losgeld vraagt. Steeds vaker wordt ransomware ingezet voor afpersing van Nederlandse organisaties. Dit overkwam onder andere de Universiteit Maastricht. De onderwijsinstelling betaalde bijna twee ton aan de cybercriminelen om weer toegang te krijgen tot versleutelde bestanden. Het is daarmee voor criminelen een zeer effectief businessmodel.
Deze ransomwarebesmetting begon overigens bij een phishingmail. Phishing wordt uitgelicht als de meest gebruikte aanvalsmethode. Organisaties zijn hier niet tegen opgewassen, aldus het rapport. Dat terwijl er wel basismaatregelen zijn om barrières op te werpen of de schade te beperken, zoals bewustwordingscampagnes voor het personeel. Uit incidenten blijkt verder een toename van phishing via sms (smishing) of via WhatsApp.
Zowel ransomware als phishing berokkent de Nederlandse economie veel schade. Van downtime tot reputatieschade: een geslaagde aanval kan een enorme impact hebben. Deze problematiek vraagt volgens mij om een totaalaanpak waarin overheid en bedrijfsleven nauw samenwerken. Daarom participeren wij actief in projecten zoals No More Ransom. Dit is een initiatief van de politie en Europol om slachtoffers van ransomware te helpen.
2. Basisniveau van cybersecurity ontbreekt vaak
Bij de meeste cyberaanvallen maken criminelen gebruik van eenvoudige methoden. Basismaatregelen zoals het tijdig implementeren van beveiligingsupdates en het maken van online en offline back-ups zijn cruciaal om aanvallen te voorkomen of de impact te beperken. In het rapport concluderen geraadpleegde experts echter dat het basisniveau voor cybersecurity bij veel organisaties niet gehaald wordt. Wel zou de bewustwording rondom het belang van basisbeveiliging zijn toegenomen.
Cybersecurity is een complex vakgebied. Zeker voor kleinere organisaties zonder IT-expertise kan het lastig zijn om te bepalen welke securitymaatregelen prioriteit hebben. Daardoor wordt nog weleens gekozen voor kostbare en zeer specifieke maatregelen, terwijl de basismaatregelen vaak niet op orde zijn. Zo slagen organisaties er lang niet altijd in om beveiligingsupdates tijdig te installeren. Uit onderzoek blijkt dat nog niet de helft van de kwetsbaarheden binnen 90 dagen wordt gepatcht. Soms zijn systemen zelfs jarenlang kwetsbaar.
Ik ben dan ook blij dat het CSBN 2020 de nadruk legt op deze zogeheten basishygiëne. We adviseren altijd om daarmee te beginnen en de beveiliging dan via een gedegen plan verder uit te breiden. Ik beveel dan ook het whitepaper 'Basisbeveiliging' van harte aan.
3. Technologische ontwikkelingen introduceren nieuwe risico’s
Het rapport bevat ook een interessante vooruitblik. Daarin wordt onder andere ingezoomd op cyberrisico’s rondom nieuwe technologieën. Zo bevatten Internet of Things (IoT)-producten zoals slimme camera’s regelmatig kwetsbaarheden die moeilijk te patchen zijn. Ook kunnen deze apparaten worden gehackt voor spionagedoeleinden. Verder vergroot de verspreiding van autonome systemen het aanvalsoppervlak voor kwaadwillenden.
Technologieën zoals het IoT, kunstmatige intelligentie en bigdata-analyse bieden prachtige innovatiekansen voor het Nederlandse bedrijfsleven. Kansen die we niet mogen laten liggen omdat er risico’s aan verbonden zijn. Maar een innovatief product heeft uiteindelijk weinig waarde als het niet veilig werkt. Daarom ben ik een groot voorstander van ‘security by design’. Cybersecurity moet altijd vanaf het begin onderdeel zijn van het ontwikkelproces.
4. Informatievoorziening naar niet-vitale bedrijven
De ontwikkelingen die worden geschetst in het CSBN 2020 maken duidelijk dat de informatievoorziening over dreigingen naar niet-vitale bedrijven beter moet. Het ongelimiteerd uitbreiden van de lijst van vitale bedrijven is daarbij niet de oplossing. Ieder bedrijf is immers vitaal in de eigen keten. Gelukkig komt hier nu meer aandacht voor.
Daarnaast is het essentieel dat de aanpak van ransomware structureel hoog op de agenda blijft staan. We vechten hier tegen een vijand die leunt op een voor hem zeer lucratief businessmodel en die daardoor ook niet zal verslappen. Een gezamenlijke inspanning is nodig om deze dreiging het hoofd te bieden.
'Vooruitkijkend naar de komende maanden vertrouw ik erop dat we de aandacht blijven richten op basishygiëne, ook in het securitydomein. Met daarbij een streven naar optimale samenwerking en transparantie in de publiek-private sector', aldus Marcel van Oirschot.
