NCTV: Veel organisaties doen te weinig tegen cyberaanvallen

Nederland moet meer doen om zich beter te beschermen tegen digitale aanvallen. Lang niet alle organisaties in Nederland nemen de nodige basismaatregelen om cyberaanvallen af te weren. Er is zelfs sprake van een continue digitale dreiging voor de nationale veiligheid.

Dat staat in het woensdag gepubliceerde Cybersecuritybeeld Nederland (CSBN) van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

De Nederlandse maatschappij en economie zijn volledig afhankelijk geworden van digitale middelen. De gevolgen van aanvallen en uitval kunnen groot en zelfs maatschappij ontwrichtend zijn, zo wordt in het rapport geconstateerd.
Hiermee bevestigt het rapport de in de afgelopen jaren gesignaleerde noodzaak om te investeren in onze digitale veiligheid. Het toont de urgentie aan voor de uitvoering van de maatregelen en investeringen uit de Nederlandse Cybersecurity Agenda (NCSA).

Basismaatregelen

Lang niet alle organisaties in Nederland nemen de nodige basismaatregelen om cyberaanvallen af te weren, aldus de NCTV. Het gaat dan om basismaatregelen zoals tijdig installeren van updates of het voorkomen van tekortkomingen in configuraties. Bij bijvoorbeeld WannaCry en BadRabbit werden bekende kwetsbaarheden gebruikt, waarvoor de beveiligingsupdates beschikbaar waren maar in niet altijd toegepast werden. Onveilige producten en diensten werken drempelverlagend voor aanvallers. De afgelopen periode laat zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkter had kunnen zijn als organisaties hun basisveiligheid op orde hadden.

Kwetsbare supply chain

Cyberaanvallen zijn profijtelijk, laagdrempelig en weinig riskant voor aanvallers, aldus de NCTV. “Het afgelopen jaar is er bij verschillende aanvallen gebruik gemaakt van een leveranciersketen (supply chain) om schadelijke software te verspreiden. Een van de meest prominente voorbeelden is NotPetya dat zich verspreidde via een update van Oekraïense boekhoudsoftware.”

Volgens de NCTV zijn Nederlandse organisaties sterk afhankelijk van een beperkt aantal buitenlandse leveranciers van producten en diensten. Hoewel deze bedrijven meer middelen hebben om zich tegen aanvallen te wapenen, kan de maatschappelijke impact bij verstoringen groot zijn, omdat veel verschillende diensten afhankelijk zijn van een klein aantal aanbieders.

Laagdrempelig

Ook beroepscriminelen blijven een grote dreiging vormen voor de Nederlandse maatschappij. Cyberaanvallen die een grote maatschappelijke impact hebben, zijn laagdrempelig uit te voeren. Een aanvaller hoeft zelf lang niet altijd over veel capaciteiten te beschikken, maar kan deze ook inkopen. Dat bleek in januari toen enkele banken langere tijd last hadden van DDoS-aanvallen en het bleek te gaan om een simpele ingekochte aanval.