Elke organisatie moet rekening houden met onverwachte aanvallen, zo waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), die begin deze maand het Cybersecuritybeeld Nederland (CSBN) 2023 heeft gepubliceerd. Het CSBN geeft de trends, incidenten, dreigingen en uitdagingen weer op het gebied van cybersecurity binnen onze nationale veiligheid.
Er is sprake van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid. Verkleinen daarvan blijft een opgave, alsdus de auteurs van het rapport. Terwijl de bedreigingen blijven groeien is de digitale weerbaarheid nog niet overal op orde. Deze cyberweerbaarheidskloof is deels te verklaren doordat basismaatregelen nog altijd niet voldoende doorgevoerd worden. Denk hierbij aan het gebruik van MFA en het maken en testen van back-ups. Het treffen van veiligheidsmaatregelen wordt vaak gezien als kostenpost en reactief toegepast.
Cybercriminaliteit is een aantrekkelijk verdienmodel. Dat geldt zeker voor het versleutelen van bestanden en dreigen met publicatie van buitgemaakte informatie. De professionalisering en commercialisering van criminele tools en diensten neemt toe, met als gevolg dat ook technisch minder onderlegde criminelen gemakkelijk aanvallen kunnen plegen. Door de verwevenheid van ons digitale ecosysteem is vrijwel iedere organisatie – al dan niet toevallig – potentieel doelwit.
Operationele technologie speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. De veiligheid ervan is cruciaal maar staat voor grote opgaven. Ook het industriële internet of things (IIoT) speelt een steeds belangrijker rol en is daardoor ook kwetsbaar.
Vrijwel alle organisaties maken op de een of andere manier deel uit van een groter ecosysteem, waarop het lastig grip krijgen is op de afhankelijkheden en kwetsbaarheden. Maar deze vormen wel degelijk een substantieel onderdeel van de digitale risico’s.
Hoewel organisaties veel kunnen doen aan digitale weerbaarheid, kunnen cyberincidenten zich toch voordoen en is schade niet altijd te voorkomen. Maar de verzekerbaarheid van digitale risico’s staat onder druk waardoor organisaties met een verhoogd risicoprofiel kunnen worden uitgesloten of premies kunnen worden verhoogd. Daardoor kunnen zelfs financieel gezonde organisaties ten onder gaan aan de schade die zij lijden door cyberincidenten.
De EU vergroot de eisen voor digitale veiligheid met nieuwe wet- en regelgeving. Zo bepaalt de NIS2-richtlijn welke bedrijven aan welke verplichte security-eisen moeten voldoen. Door deze richtlijn gaan meer organisaties onder de werking van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen dan nu. De NIS2-richtlijn heeft implicaties op eisen voor risicomanagement, het gebruik van encryptie, een verplichting voor het afhandelen van datalekken en het melden van cybersecurity-incidenten.
Ook organisaties die ketenpartner zijn van NIS2-organisaties zullen te maken krijgen met de effecten van de implementatie. De NIS2-richtlijn zal in 2024 via de Wbni in Nederland worden geïmplementeerd.
