De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft het Cybersecuritybeeld Nederland (CSBN) 2023 gepubliceerd. Het CSBN geeft de trends, incidenten, dreigingen en uitdagingen weer op het gebied van cybersecurity binnen de nationale veiligheid. Het Digital Trust Center (DTC) van het ministerie van Economische Zaken en Klimaat vat de voor bedrijven relevante punten samen.
Digitale dreiging voor Nederland onverminderd groot
Het geopolitieke speelveld, met de Russische oorlog tegen Oekraïne als prominent voorbeeld, verhardt. De complexiteit van verweven processen, systemen en netwerken in combinatie met verouderde informatiesystemen zorgt voor het ontstaan van kwetsbaarheden die cybercriminelen kunnen misbruiken. Nieuwe technologie zoals ‘Generatieve AI’ die kansen maar zeker ook bedreigingen met zich meebrengen. Het zijn enkele van de ontwikkelingen in het CSBN 2023 beschreven om aan te duiden dat de digitale dreiging voor Nederland onverminderd groot is.
Scheefgroei tussen digitale dreiging en weerbaarheid
Het verkleinen van de scheefgroei tussen de digitale dreiging en de weerbaarheid blijft een opgave. Terwijl de bedreigingen blijven groeien is de digitale weerbaarheid nog niet overal op orde. Deze cyberweerbaarheidskloof is mede te verklaren doordat basismaatregelen nog altijd niet voldoende doorgevoerd worden. Zo is er bijvoorbeeld het gebruik van multifactorauthenticatie en het maken en testen van back-ups. Het treffen van veiligheidsmaatregelen wordt gezien als kostenpost en vaak reactief toegepast. Dat kan anders. Ondernemers kunnen bijvoorbeeld gebruikmaken van de 5 basisprincipes van digitaal veilig ondernemen van het DTC om te zien wat ze concreet kunnen doen om de basis op orde te krijgen.
Crimineel verdienmodel aantrekkelijk
Cybercriminaliteit is een aantrekkelijk verdienmodel voor cybercriminelen. Dat geldt zeker voor het versleutelen van bestanden en/of door het dreigen met publicatie van buitgemaakte informatie. De professionalisering en commercialisering van criminele tools en diensten neemt verder toe, met als gevolg dat ook technisch minder onderlegde criminelen gemakkelijk cyberaanvallen kunnen plegen. De kernboodschap van dit CSBN luidt ‘verwacht het onverwachte’. Door de verwevenheid van ons digitale ecosysteem is vrijwel iedere organisatie – al dan niet toevallig – potentieel doelwit.
Operationele technologie (OT) is een kwetsbare bouwsteen voor vitale processen
OT speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Veiligheid van OT is van vitaal belang, maar kent belangrijke uitdagingen. Als een onderneming gebruikmaakt van OT-apparaten, kan de Security Check Procesautomatisering inzicht geven in de veiligheid van de procesautomatisering. Ook het Industrial Internet of Things (IIoT) speelt een steeds belangrijker rol in industriële omgevingen. Deze ‘slimme’ aan het internet gekoppelde apparaten zijn erg functioneel maar vormen ook kwetsbaarheden. Het is als ondernemer cruciaal om deze IoT-apparaten goed te beveiligen.
Onderdeel zijn van breder ecosysteem compliceert risicobeheersing
Vrijwel alle organisaties zijn onderdeel van een breder ecosysteem. Zo is er bijvoorbeeld outsourcing van onderdelen van de bedrijfsvoering, zoals de salarisadministratie, toegangspasbeheer of marktonderzoek. Het is lastig grip te krijgen op de afhankelijkheden en kwetsbaarheden binnen dit ecosysteem. Maar deze afhankelijkheden en kwetsbaarheden vormen wel degelijk een substantieel onderdeel van de digitale risico’s. Voor ondernemers is het belangrijk deze risico’s beheersbaar te maken door bijvoorbeeld na te denken over een risicoanalyse en een uitwijk- en herstelplan.
Verzekerbaarheid digitale risico’s onder druk
Hoewel organisaties veel kunnen doen aan digitale weerbaarheid, kunnen cyberincidenten zich toch voordoen en/of is schade niet altijd te voorkomen. De verzekerbaarheid van digitale risico’s staat onder druk. Het resultaat van deze druk is, of kan zijn dat organisaties met een verhoogd risicoprofiel worden uitgesloten en premies worden verhoogd. Dit alles kan er uiteindelijk toe leiden dat financieel gezonde organisaties ten onder gaan aan de schade die zij lijden door cyberincidenten.
Extra eisen voor digitale veiligheid uit nieuwe Europese wet- en regelgeving
De EU vergroot de eisen voor digitale veiligheid met verschillende wet- en regelgeving. Zo bepaalt de NIS2-richtlijn welke bedrijven aan welke verplichte security-eisen moeten voldoen. Door de NIS2-richtlijn gaan meer organisaties onder de werking van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen dan nu. De NIS2-richtlijn heeft implicaties op eisen voor risicomanagement, het gebruik van encryptie, een verplichting voor het afhandelen van datalekken en het melden van cybersecurity-incidenten. Ook organisaties die ketenpartner zijn van NIS2-organisaties zullen te maken krijgen met de effecten van de implementatie. De NIS2-richtlijn zal in 2024 via de Wbni in Nederland worden geïmplementeerd.
