De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft het Cybersecuritybeeld Nederland (CSBN) 2023 gepubliceerd. Dit rapport geeft een beeld van de trends, incidenten, dreigingen en uitdagingen op het gebied van cybersecurity. Het Digital Trust Center komt vandaag met onderstaande samenvatting voor ondernemers.
Het geopolitieke speelveld, met de Russische oorlog tegen Oekraïne als prominent voorbeeld, verhardt. De complexiteit van verweven processen, systemen en netwerken in combinatie met verouderde informatiesystemen zorgt voor het ontstaan van kwetsbaarheden die cybercriminelen kunnen misbruiken. Nieuwe technologie zoals ‘Generatieve AI’ die kansen maar zeker ook bedreigingen met zich meebrengen. Het zijn enkele van de ontwikkelingen in het CSBN 2023 beschreven om aan te duiden dat de digitale dreiging voor Nederland onverminderd groot is.
Scheefgroei tussen digitale dreiging en weerbaarheid
Het verkleinen van de scheefgroei tussen de digitale dreiging en de weerbaarheid blijft een opgave. Terwijl de bedreigingen blijven groeien is de digitale weerbaarheid nog niet overal op orde. Deze cyberweerbaarheidskloof is mede te verklaren doordat basismaatregelen nog altijd niet voldoende doorgevoerd worden. Denk hierbij bijvoorbeeld aan het gebruik van multifactorauthenticatie en het maken en testen van back-ups. Het treffen van veiligheidsmaatregelen wordt gezien als kostenpost en vaak reactief toegepast.
Crimineel verdienmodel aantrekkelijk
Cybercriminaliteit is een aantrekkelijk verdienmodel voor cybercriminelen. Dat geldt zeker voor het versleutelen van bestanden en/of door het dreigen met publicatie van buitgemaakte informatie. De professionalisering en commercialisering van criminele tools en diensten neemt verder toe, met als gevolg dat ook technisch minder onderlegde criminelen gemakkelijk cyberaanvallen kunnen plegen. De kernboodschap van dit CSBN luidt ‘verwacht het onverwachte’.Door de verwevenheid van ons digitale ecosysteem is vrijwel iedere organisatie – al dan niet toevallig – potentieel doelwit.
Operationele technologie is kwetsbaar
OT speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Veiligheid van OT is van vitaal belang, maar kent belangrijke uitdagingen. Ook het Industrial Internet of Things (IIoT) speelt een steeds belangrijkere rol in industriële omgevingen. Deze vormen ook kwetsbaarheden. Het is als ondernemer cruciaal om deze IoT-apparaten goed te beveiligen.
Breder ecosysteem compliceert risicobeheersing
Vrijwel alle organisaties zijn onderdeel van een breder ecosysteem. Denk daarbij aan outsourcing van onderdelen van de bedrijfsvoering, zoals de salarisadministratie, toegangspasbeheer of marktonderzoek. Het is lastig grip te krijgen op de afhankelijkheden en kwetsbaarheden binnen dit ecosysteem. Maar deze afhankelijkheden en kwetsbaarheden vormen wel degelijk een substantieel onderdeel van de digitale risico’s.
Verzekerbaarheid digitale risico’s onder druk
Hoewel organisaties veel kunnen doen aan digitale weerbaarheid, kunnen cyberincidenten zich toch voordoen en/of is schade niet altijd te voorkomen. De verzekerbaarheid van digitale risico’s staat onder druk. Het resultaat van deze druk is, of kan zijn dat organisaties met een verhoogd risicoprofiel worden uitgesloten en premies worden verhoogd. Dit alles kan er uiteindelijk toe leiden dat financieel gezonde organisaties ten onder gaan aan de schade die zij lijden door cyberincidenten.
NIS2-richtlijn
De EU vergroot de eisen voor digitale veiligheid met verschillende wet- en regelgeving. Zo bepaalt de NIS2-richtlijn welke bedrijven aan welke verplichte security-eisen moeten voldoen. Door de NIS2-richtlijn gaan meer organisaties onder de werking van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen dan nu. De NIS2-richtlijn heeft implicaties op eisen voor risicomanagement, het gebruik van encryptie, een verplichting voor het afhandelen van datalekken en het melden van cybersecurity-incidenten. Ook organisaties die ketenpartner zijn van NIS2-organisaties zullen te maken krijgen met de effecten van de implementatie. De NIS2-richtlijn zal in 2024 via de Wbni in Nederland worden geïmplementeerd.
Het complete rapport is hier te vinden.