CSBN 2023: Digitale dreiging voor Nederland onverminderd groot

Redactie

10 juli 2023

Elke organisatie moet rekening houden met onverwachte aanvallen, zo waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), die begin deze maand het Cybersecuritybeeld Nederland (CSBN) 2023 heeft gepubliceerd. Het CSBN geeft de trends, incidenten, dreigingen en uitdagingen weer op het gebied van cybersecurity binnen onze nationale veiligheid.

Er is sprake van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid. Verkleinen daarvan blijft een opgave, alsdus de auteurs van het rapport. Terwijl de bedreigingen blijven groeien is de digitale weerbaarheid nog niet overal op orde. Deze cyberweerbaarheidskloof is deels te verklaren doordat basismaatregelen nog altijd niet voldoende doorgevoerd worden. Denk hierbij aan het gebruik van MFA en het maken en testen van back-ups. Het treffen van veiligheidsmaatregelen wordt vaak gezien als kostenpost en reactief toegepast.

Cybercriminaliteit is een aantrekkelijk verdienmodel. Dat geldt zeker voor het versleutelen van bestanden en dreigen met publicatie van buitgemaakte informatie. De professionalisering en commercialisering van criminele tools en diensten neemt toe, met als gevolg dat ook technisch minder onderlegde criminelen gemakkelijk aanvallen kunnen plegen. Door de verwevenheid van ons digitale ecosysteem is vrijwel iedere organisatie – al dan niet toevallig – potentieel doelwit.

Operationele technologie speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. De veiligheid ervan is cruciaal maar staat voor grote opgaven. Ook het industriële internet of things (IIoT) speelt een steeds belangrijker rol en is daardoor ook kwetsbaar.

Vrijwel alle organisaties maken op de een of andere manier deel uit van een groter ecosysteem, waarop het lastig grip krijgen is op de afhankelijkheden en kwetsbaarheden. Maar deze vormen wel degelijk een substantieel onderdeel van de digitale risico’s.

Hoewel organisaties veel kunnen doen aan digitale weerbaarheid, kunnen cyberincidenten zich toch voordoen en is schade niet altijd te voorkomen. Maar de verzekerbaarheid van digitale risico’s staat onder druk waardoor organisaties met een verhoogd risicoprofiel kunnen worden uitgesloten of premies kunnen worden verhoogd. Daardoor kunnen zelfs financieel gezonde organisaties ten onder gaan aan de schade die zij lijden door cyberincidenten.

De EU vergroot de eisen voor digitale veiligheid met nieuwe wet- en regelgeving. Zo bepaalt de NIS2-richtlijn welke bedrijven aan welke verplichte security-eisen moeten voldoen. Door deze richtlijn gaan meer organisaties onder de werking van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen dan nu. De NIS2-richtlijn heeft implicaties op eisen voor risicomanagement, het gebruik van encryptie, een verplich­ting voor het afhandelen van datalekken en het melden van cybersecurity-incidenten.

Ook organisaties die ketenpartner zijn van NIS2-organisaties zullen te maken krijgen met de effecten van de implementatie. De NIS2-richtlijn zal in 2024 via de Wbni in Nederland worden geïmplementeerd.

Gerelateerde artikelen

NIST standaardiseert kwantumveilige cryptografiemethoden

NIST standaardiseert kwantumveilige cryptografiemethoden

Deze maand heeft het NIST drie kwantumveilige cryptografiemethoden gestandaardiseerd voor wereldwijd gebruik. Kwantumveilige cryptografie, ook wel post-quantum cryptografie (PQC) genoemd, is nodig in een toekomst waarin kwantumcomputing zodanig toegankelijk is dat deze door kwaadwillenden gebruikt kan worden om gangbare versleuteling te ontcijferen.

Rapport: kwart cyberaanvallen gericht op OT-systemen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Ofschoon bedrijven met OT vorderingen maken op het gebied van cybervolwassenheid, hebben ze met een snel groeiende hoeveelheid aanvallen te maken. Bijna een kwart van alle cyberaanvallen is nu op OT-ststemen gericht.

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.