Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) tegenover Security.NL weten.
Recentelijk publiceerde de NCTV het Cybersecuritybeeld Nederland van 2021. Het CSBN moet iedereen die een belang heeft bij cybersecurity, zowel publiek, privaat als wetenschappelijk, handvatten bieden om de aanpak van cybersecurity te versterken. Het CSBN wordt daarnaast vaak genoemd in Kamerbrieven van het kabinet.
Sinds 2011 verschijnt het CSBN, maar de boodschap is de afgelopen tien jaar niet veranderd: basale beveiligingsmaatregelen worden nog altijd niet of onvoldoende getroffen. In dit artikel gaat Security.NL in vogelvlucht langs de CSBN-publicaties van het afgelopen decennium en gaat kort met de NCTV in gesprek hoe het kan dat elementaire beveiligingsmaatregelen niet worden getroffen en wat er nodig is om dit te veranderen.
Cybersecuritybeeld Nederland 2011 – (pdf)
Het eerste CSBN was afkomstig van GovCERT, de voorloper van het Nationaal Cyber Security Centrum (NCSC). Digitale spionage en cybercrime werden als grootste dreiging gezien. Ook werd er gewezen naar onvoldoende aandacht voor cybersecurity bij organisaties. “Het beeld dat nu vooral ontstaat, is dat sommige organisaties, zowel dienstaanbieders als afnemers, pas actie ondernemen als gesignaleerde kwetsbaarheden media-aandacht ontvangen.”
Daarnaast werd er gewezen op het installeren van beveiligingsupdates. “Patchen is een van de belangrijkste maatregelen die individuele organisaties kunnen nemen om de eigen weerbaarheid te verhogen. Dit patchen is vaak nog geen geautomatiseerd proces, waardoor het gevoelig is voor verstoring of simpelweg niet gebeurt. Als gevolg daarvan blijft een deel van de computers kwetsbaar.”
Cybersecuritybeeld Nederland 2012 – (pdf)
In juni 2012 verscheen het tweede CSBN, afkomstig van het NCSC. Digitale spionage en cybercriminaliteit werden wederom als de grootste dreigingen voor overheid en bedrijfsleven bestempeld. En net als bij de eerste editie werd gewezen naar het nemen van basale maatregelen.
Cybersecuritybeeld Nederland 2013 – (pdf)
“Veel organisaties hebben de basismaatregelen, zoals het patchen en updaten van systemen of het wachtwoordenbeleid nog niet op orde. Daarom zijn oude kwetsbaarheden en aanvalsmethoden nog steeds effectief. Een belangrijke kwetsbaarheid is ten slotte dat veel organisaties de juiste kennis, de detectiemiddelen en het vermogen ontberen om incidenten afdoende af te handelen.”
Cybersecuritybeeld Nederland 2014 – (pdf)
“De populairste aanvalsmethode van cybercriminelen blijft het misbruiken van bekende kwetsbaarheden in veelgebruikte software. Omdat zowel beheerorganisaties als particuliere gebruikers software-updates( waarin bekende kwetsbaarheden zijn opgelost) vaak niet of pas laat uitvoeren, kunnen cybercriminelen wetsbaarheden soms langdurig uitbuiten.”
Cybersecuritybeeld Nederland 2015 – (pdf)
“De maatregelen die banken hebben getroffen tegen DDoS-aanvallen tonen aan dat het mogelijk is effectieve maatregelen te treffen om beschikbaarheid van digitale voorzieningen te verhogen. Organisaties treffen dergelijke maatregelen echter vaak pas als de ICT-systemen al beschikbaarheidsproblemen hebben gekend.”
Cybersecuritybeeld Nederland 2016 – (pdf)
“Het mkb neemt, ten opzichte van grotere bedrijven, relatief weinig maatregelen op het gebied van cybersecurity. Dit terwijl een groot deel van de Nederlandse economie wordt gevormd door bedrijven uit het mkb. Lage weerbaarheid van het mkb op het gebied van cybersecurity kan negatieve impact hebben op de Nederlandse economie.”
“Het up-to-date houden van apparaten en software blijft een uitdaging. Organisaties zijn kwetsbaar omdat updates niet tijdig op systemen worden geïnstalleerd.”
“Er is in Nederland verbetering mogelijk op het gebied van beschermingsmaatregelen: bedrijven hebben vaak geen goed beeld van benodigde maatregelen.”
Cybersecuritybeeld Nederland 2017 – (pdf)
“Grote organisaties hebben hun aandeel in DDoS-aanvallen en ransomware voor de kiezen gehad en zijn daardoor noodgedwongen naar een hoger volwassenheidsniveau geklommen. Toch worden basale maatregelen als het installeren van beveiligingsupdates vaak niet getroffen. Zowel grote als kleine organisaties doen dit vaak niet tijdig, waardoor malwarebesmettingen mogelijk worden.”
Cybersecuritybeeld Nederland 2018 – (pdf)
Het CSBN van 2018 had zelfs een aparte pagina met alleen de tekst “Aanvallers succesvol door ontbreken basismaatregelen”. Volgens de opstellers kende de rapportageperiode veel incidenten waar basismaatregelen de schade hadden kunnen beperken of het incident hadden kunnen voorkomen.
Cybersecuritybeeld Nederland 2019 – (pdf)
“Organisaties worden succesvol aangevallen met eenvoudige methoden. De afgelopen periode laat wederom zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkt had kunnen worden met behulp van basismaatregelen. Die worden door lang niet alle organisaties getroffen.”
Cybersecuritybeeld Nederland 2020 – (pdf)
“Digitale weerbaarheid is echter nog niet overal op orde. Daardoor zijn partijen extra kwetsbaar voor cyberincidenten. Dat geldt zeker wanneer er onvoldoende basismaatregelen zijn getroffen, om eerste barrières op te werpen tegen cyberaanvallen, schade te beperken en herstel eenvoudiger te maken wanneer incidenten zich toch voordoen.”
“Bij veruit de meeste cyberaanvallen wordt nog steeds gebruik gemaakt van eenvoudige methoden. Deze blijven effectief doordat basismaatregelen onvoldoende zijn geïmplementeerd. Basismaatregelen kunnen ook tegen geavanceerde aanvallen helpen.”
Cybersecuritybeeld Nederland 2021 – (pdf)
Tien jaar na de eerste editie van het Cybersecuritybeeld Nederland blijken basale maatregelen nog altijd niet te worden genomen. Iets wat de opstellers van de editie van 2021 zelf ook zien.
Om dit te veranderen pleit de NCTV voor meer kennis. “Investeren in mensen vormt het fundament”, staat in het CSBN 2021. “Naast de experts op het gebied van cybersecurity risicomanagement moet ook de rest van de organisatie een minimale kennisbasis hebben om goed met elkaar in gesprek te kunnen gaan over belangrijke risico’s voor de organisatie en hoe hiermee om te gaan.”
Bewustwording
“Vanuit de overheid wordt op meerdere manieren ingezet op voorlichting aan bedrijven om hun digitale weerbaarheid te verbeteren. De bewustwording groeit, mede door cyberincidenten die plaatsvinden, maar je merkt dat het thema te vaak bij de technische afdeling blijft in plaats van dat het onderwerp van gesprek is in de boardroom. We zien cybersecurity nog te weinig als business risico en te veel als puur technische aangelegenheid”, laat een woordvoerder van de NCTV aan Security.NL weten.
Die stelt dat er overal het besef moet zijn dat de digitale veiligheid net zo cruciaal is als de fysieke veiligheid van bijvoorbeeld het wegverkeer, luchtwegen en waterwegen. “Digitale veiligheid is onlosmakelijk verbonden met het functioneren van onze vitale infrastructuur.”
Kloof
De NCTV ziet ook een kloof ontstaan tussen bedrijven die wel en niet weerbaar zijn. “Dat heeft te maken met bewustzijn en of er voldoende kennis en kunde aanwezig is. Er zijn bedrijven die kunnen investeren in kennis en kunde op het gebied van cybersecurity, terwijl andere (veelal kleine) bedrijven niet de middelen hebben om de weerbaarheid naar een hoger plan te tillen”, laat de woordvoerder weten.
Wel merkt de NCTV op dat grote bedrijven steeds vaker kleine bedrijven helpen om hun cyberveiligheid op orde te krijgen. “Kleine bedrijven hebben soms de middelen niet om alle advies zelf in te winnen of dingen aan te passen om hun veiligheid te verhogen. Dan is het mooi dat grotere bedrijven die die kennis al in huis hebben hen daarbij helpen en kennis delen.”
Informatie delen
De overheid is van plan om zelf ook meer informatie met niet-vitale organisaties te gaan delen. Daarvoor wil demissionair minister Grapperhaus van Justitie en Veiligheid de Wet beveiliging netwerk- en informatiesystemen (Wbni) aanpassen, zodat het NCSC de mogelijkheid krijgt om dreigings- en incidentinformatie te delen met zogeheten OKTT’s (organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten), die als schakelorganisaties van andere aanbieders fungeren. Daarnaast maakt het wetsvoorstel het mogelijk voor het NCSC om in bijzondere gevallen dreigings- of incidentinformatie direct met andere aanbieders zelf te delen.
Verder is onlangs het wetsvoorstel bevordering digitale weerbaarheid bedrijven gepresenteerd om het niet-vitale bedrijfsleven over kwetsbaarheden, dreigingen en incidenten te informeren en adviseren. Een tweede taak van dit wetsvoorstel is het stimuleren van de ontwikkeling van samenwerkingsverbanden tussen bedrijven op het gebied van digitale weerbaarheid.