Tijdens presentaties en gesprekken krijg ik regelmatig de vraag: “Wie wil mij nou hacken?”. Het antwoord is simpel: iedereen is een doelwit voor iemand. Een betere vraag is dus: “Voor wie ben ik interessant?”.
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) doet jaarlijks onderzoek naar de dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. Haar bevindingen publiceert zij in het Cybersecuritybeeld Nederland (CSBN), daarin is ook een dreigingsmatrix opgenomen.
De dreigingsmatrix geeft een inzicht in de dreigingen die uitgaan van verschillende actoren tegen verschillende doelwitten. De dreigingsmatrix heeft enkele conceptuele veranderingen ondergaan ten opzichte van voorgaande jaren. Enerzijds zijn vitale processen en aanbieders toegevoegd als aparte doelwitcategorie. Anderzijds is de actortypologie aangepast.
Dreigingen binnen de dreigingsmatrix
De volgende dreigingen worden onderscheiden:
- Verstoring: het opzettelijk tijdelijk aantasten van de beschikbaarheid van informatie, informatiesystemen of-diensten.
- Sabotage: het opzettelijk, zeer langdurig, aantasten van de beschikbaarheid van informatie, informatiesystemen of-diensten, mogelijk leidend tot vernietiging.
- Informatiemanipulatie: het opzettelijk wijzigen van informatie; aantasting van de integriteit van informatie.
- Informatiediefstal: aantasting van de vertrouwelijkheid van informatie door het kopiëren of wegnemen van informatie.
- Spionage: aantasting van de vertrouwelijkheid van informatie door het kopiëren of wegnemen van informatie door statelijke of staatsgelieerde actoren.
- Systeemmanipulatie: het aantasten van informatiesystemen of-diensten; gericht op de vertrouwelijkheid of integriteit van informatiesystemen of-diensten. Deze systemen of diensten worden daarna ingezet om andere aanvallen uit te voeren.
- Storing/uitval: aantasting van de integriteit of beschikbaarheid als gevolg van natuurlijk, technisch of menselijk falen.
- Lek: aantasting van de vertrouwelijkheid als gevolg van natuurlijk, technisch of menselijk falen.
Actoren binnen de dreigingsmatrix
De volgende actoren worden onderscheiden:
- Staten/staatsgelieerd: staten voeren digitale aanvallen uit op andere landen, organisaties of individuen uit primair geopolitieke motieven. Zij hebben als doel de verwerving van strategische informatie (spionage), beïnvloeding van de publieke opinie of democratische processen (beïnvloeding) of verstoring van vitale systemen (verstoring) of zelfs de vernietiging daarvan (sabotage).
- Criminelen: actorem die aanvallen plegen met economische of financiële motieven.
- Terroristen: actor met ideologische motieven die maatschappelijke veranderingen probeert te bewerkstelligen, bevolkingsgroepen angstwil aanjagen of politieke besluitvorming probeert te beïnvloeden, door geweld tegen mensen te gebruiken of ontwrichtende schade aan te richten.
- Hacktivisten: samentrekking van hacker en activist: actor die uit ideologische motieven digitale aanvallen van activistische aard pleegt.
- Cybervandal en scriptkiddies: Actor met beperkte kennis die hulpmiddelen gebruikt die door anderen zijn bedacht en ontwikkeld, voor digitale aanvallen, om kwetsbaarheden aan te tonen of voor de eigen uitdaging.
- Insiders: Een interne actor die met toegang totsystemen of netwerken van binnenuit een dreiging vormt, met als motiefwraak, geldelijk gewin of ideologie. Een insider kan ookworden ingehuurd of opgedragen van buitenaf.
- Niet opzettelijk handelen
Private partijen krijgen nauwelijks aandacht
Opvallend is dat staten gezien worden als grootste bedreiging voor de nationale veiligheid. Vanuit overheidsperspectief klopt dat zeker, maar voor private ondernemingen eigenlijk niet. Het dreigingsbeeld laat zien dat criminelen een veel grotere bedreiging vormen. Weliswaar zijn er ook private partijen die interessant zijn voor statelijke actoren, denk aan toeleveranciers van defensie en partijen die kostbaar intellectueel eigendom bezitten. Hier geldt echter dat het percentage private partijen dat zich hiermee bezig houdt klein is.
Criminelen hebben vooral informatiediefstal, informatiemanipulatie en verstoring tot doel. Hoewel zij zich richten op private partijen, de motor achter de Nederlandse economie, krijgen zij nauwelijks aandacht van het NCTV. Een gemiste kans wat mij betreft. Deze partijen zijn juist extra kwetsbaar omdat zij de afgelopen jaren te weinig geïnvesteerd hebben in informatiebeveiliging, niet alleen vanuit IT-perspectief, ook opleidingen en procedures zijn achter gebleven bij overheden en vitale sectoren.
Foutje, bedankt!
Een andere opvallende bevinding is dat de NCTV ook ‘Niet opzettelijk handelen’ als actor introduceert. “Naast aanvallen door actoren vinden er incidenten plaats die per ongeluk gebeuren, maar wel een dreiging vormen voor systemen en de informatie die zij bevatten: uitval en storingen. Deze dreigingen kunnen een significante impact hebben. Zo was er begin april 2018 een grote storing bij Eurocontrol, de organisatie verantwoordelijk voor het coördineren van routes van passagiersvluchten in Europa. Door de storing liep ten minste 10 procent van de vluchten vertraging op. Volgens een rapport uit maart 2018 van de US Federal Communications Commission (FCC) werd de grootste Amerikaanse telefoonstoring ooit veroorzaakt door een softwarefout. Op 4 oktober 2016 heeft het Amerikaanse telefoonnetwerk te kampen gehad met een 84 minuten durende storing. Meer dan 100 miljoen telefoongesprekken werden geblokkeerd. Op 29 april onstond door een verstoring op Schiphol grote drukte op de luchthaven en op toegangswegen. Vluchten liepen vertraging op of werden geannuleerd.
Om met de vraag “Voor wie ben ik interessant?” te beantwoorden zul je dus moeten kijken naar welke actor in jouw organisatie geinteresseerd is. In sommige gevallen zal dat een statelijke actor zijn, maar in veel meer gevallen zullen het criminelen zijn met financiële of economische motieven.
Bronnen