Het Cybersecurity Assessment
Verwacht het onverwachte
Op 3 juli 2023 heeft het NCSC het ‘Cybersecurity Assessment Netherlands 2023’ (CSAN 2023) gepubliceerd, dat inzicht biedt in de digitale dreigingen, belangen, veerkracht en risico’s waar Nederland mee te maken heeft. Wat zijn de belangrijkste uitkomsten? Je leest het in deze blog
Aanleiding
Als het gaat om digitale beveiliging, bieden ervaringen uit het verleden geen enkele garantie voor de toekomst. Het omgaan met en beheren van digitale dreigingen en risico’s in verband met cybersecurity en het vergroten van de digitale weerbaarheid is een continu en complex proces. Dagelijks zetten veel organisaties zich in om zichzelf en anderen te wapenen tegen potentiële cyberaanvallen en om hun algehele digitale weerbaarheid te vergroten. Want, het is niet de vraag óf, maar eerder wanneer je organisatie hiermee te maken krijgt. Cyberincidenten gebeuren vaak onverwachts en kunnen grote impact en gevolgen hebben.
Om inzicht te bieden in de huidige stand van zaken met betrekking tot cybersecurity in Nederland voert het Nationaal Cyber Security Centrum (NCSC) jaarlijks het Cybersecurity Assessment Netherlands (CSAN) uit. Het doel is om Nederland beter voor te bereiden op en te beschermen tegen digitale dreigingen door actuele informatie en analyses op het gebied van cybersecurity aan te bieden. Daarnaast wordt er gekeken naar veranderingen in strategische thema’s sinds het CSAN 2022, die de basis vormden voor de Nederlandse Cybersecurity Strategie 2022-2028.
Het Cybersecurity Assessment Netherlands (CSAN)
Het CSAN is een jaarlijks rapport dat wordt uitgebracht door het Nationaal Cyber Security Centrum (NCSC) in Nederland. Het rapport biedt inzicht in de huidige digitale dreigingen, trends en ontwikkelingen op het gebied van cybersecurity, met de nadruk op nationale veiligheid en verstoringen in kritieke processen met een digitale component. Dit betekent dat het rapport zich richt op situaties waarbij digitale technologieën en infrastructuren een essentiële rol spelen en waarbij dreigingen of incidenten de normale werking kunnen verstoren. Bijvoorbeeld, een aanval op het betalingssysteem van een bank die transacties verstoort of financiële gegevens compromitteert, kan ernstige gevolgen hebben voor de financiële stabiliteit, en dit wordt beschouwd als een verstoring in een cruciaal financieel proces met een digitale component.
In het CSAN komen onderwerpen aan bod zoals cyberincidenten, trends in aanvallen, kwetsbaarheden, digitale veerkracht, en de gevolgen van cyberaanvallen voor de nationale veiligheid en de samenleving. Het is bedoeld om overheidsinstanties, bedrijven en andere belanghebbenden te informeren en te helpen bij het versterken van hun cybersecuritymaatregelen.
Naast het CSAN brengt het NCSC ook het Cyber Security Beeld Nederland (CSBN) uit. Het verschil tussen beide rapporten ligt in de focus. Het CSBN heeft een bredere focus, waarbij niet alleen wordt gekeken naar de negatieve aspecten (dreigingen en risico’s), maar ook naar de positieve aspecten van cybersecurity en de bredere impact ervan op de samenleving. Beide rapporten dragen echter bij aan het vergroten van cybersecuritykennis en dragen bij aan de digitale veiligheid in Nederland.
Belangrijkste bevindingen
Mét handige linkjes naar artikelen in de media
In het eerste deel van het CSAN-rapport wordt een actueel beeld geschetst van de digitale dreigingen en uitdagingen waarmee Nederland wordt geconfronteerd. Hieronder de belangrijkste bevindingen:
- De digitale dreiging voor Nederland blijft hoog en verandert constant van aard.
Zo resulteren o.a. geopolitieke spanningen, zoals de Russische oorlog tegen Oekraïne, in het gebruik van cyberaanvallen door statelijke actoren, met mogelijke kettingreacties. Als de oorlog verder escaleert, kunnen ook Nederlandse belangen worden getroffen (zie pagina 6 van het rapport voor meer informatie).
- De strategische thema’s uit de CSAN 2022 zorgen nog steeds voor complicaties bij risicobeheersing.
In het CSAN 2022 zijn zes strategische thema’s opgenomen die relevant zijn voor de digitale veiligheid van Nederland de komende jaren. Deze thema’s blijven van toepassing. Er zijn enkele veranderingen opgemerkt, zoals aanvullende vereisten voor digitale beveiliging, druk op de verzekerbaarheid van digitale risico’s, uitdagingen bij het beheren van risico’s binnen bredere ecosystemen, en kansen voor cyberaanvallen binnen digitale ecosystemen (zie pagina 7 van het rapport voor meer informatie).
- Operationele technologie (OT) is kwetsbaar in vitale processen.
OT speelt een centrale rol bij de controle, monitoring en beheer van fysieke processen binnen (vitale) organisaties. De beveiliging van OT is van groot belang, maar staat voor grote uitdagingen. Ondanks groeiende aandacht voor de veerkracht van OT is er ruimte voor verbetering, evenals in andere aspecten van risicobeheer in de digitale wereld, die specifieke kennis, vaardigheden en samenwerking vereisen (zie pagina 7 van het rapport voor meer informatie).
- Het herstellen van het evenwicht tussen de digitale dreiging en veerkracht, zoals beschreven in de CSAN 2022, blijft een grote uitdaging.
Dit komt doordat de digitale dreiging onverminderd is en de complicaties voor risicobeheer nog steeds volledig van toepassing zijn. De aard van de digitale risico’s is fundamenteel niet veranderd in vergelijking met CSAN 2022 (zie pagina 8 van het rapport voor meer informatie).
- Digitale risico’s hebben specifieke kenmerken die vragen om een bredere aanpak van risicobeheer.
Zo maken digitale risico’s deel uit van een breder, dynamisch en complex scala aan risico’s, en cyberspace is een ingewikkeld systeem dat moeilijk te begrijpen is voor veel mensen die hier niet dagelijks mee te maken hebben. Digitale risico’s maken integraal deel uit van een breder scala aan risico’s en vereisen daarom integraal risicobeheer. Bovendien kan de ‘assume breach’-benadering (waarbij je aanneemt dat er een cyberincident kan plaatsvinden) nuttig zijn (zie pagina 8 van het rapport voor meer informatie).
Praktijkvoorbeelden cyberincidenten
In het tweede deel van het rapport worden de cyberincidenten beschreven die hebben plaatsgevonden in de periode van maart 2022 tot en met februari 2023. Deze komen overeen met de beoordeling van de digitale dreiging in voorgaande jaren. Zo waren er incidenten in Nederland en andere EU-landen die problemen hebben veroorzaakt in de samenleving. De meeste cyberaanvallen werden uitgevoerd door statelijke- en criminele actoren. Wat opvalt in vergelijking met voorgaande jaren, zijn de cyberaanvallen uitgevoerd door hacktivisten, voornamelijk vanuit het buitenland maar soms ook binnen Nederland. Tot slot hebben verschillende cyberincidenten duidelijk gemaakt dat organisaties deel uitmaken van een breder ecosysteem en kwetsbaar kunnen zijn voor aanvallen binnen dat ecosysteem. De aanval hoeft dus niet altijd gericht te zijn op de eigen organisatie. In het rapport worden meerdere incidenten beschreven, waarvan ik er een aantal uitlicht:
- De bestanden van de gemeenten Buren en Neder-Betuwe in Gelderland werden gepubliceerd op het dark web na een ransomware-aanval
De twee gemeenten werden slachtoffer van een datalek nadat aanvallers bestanden hadden gestolen met behulp van SunCrypt-ransomware. De aanvallers wisten 130 GB aan gegevens te bemachtigen, waaronder identiteitsdocumenten, en hebben deze gepubliceerd op de SunCrypt-lekwebsite. Uit forensisch onderzoek bleek dat de aanvallers waren binnengedrongen door misbruik te maken van gestolen inloggegevens van een leverancier. - Vertrouwelijke documenten en persoonlijke gegevens van de gemeente Veenendaal werden per ongeluk gelekt als gevolg van een menselijke fout bij een softwareleverancier
Een technische fout van de softwareleverancier van de gemeente Veenendaal heeft ervoor gezorgd dat vertrouwelijke documenten en documenten met persoonlijke gegevens per ongeluk kort online werden geplaatst. De leverancier heeft het beveiligingslek snel herteld nadat een oplettende burger dit had gemeld. - ICT-systemen van dierentuin ARTIS werden versleuteld door ransomware
Cybercriminelen hebben weten door te dringen tot het netwerk van dierentuin ARTIS, waardoor ICT-weigerde de eis van de hackers om één miljoen euro in cryptovaluta te betalen en herstelde in plaats daarvan de systemen met behulp van back-ups. Volgens de ICT-partners van ARTIS zijn er geen persoonlijke gegevens of andere gegevens gestolen of toegankelijk gemaakt. - Onderbreking van activiteiten in het sociale domein van de gemeente Noordenveld als gevolg van een ransomware-aanval
De gemeente Noordenveld was het doelwit van een ransomware-aanval waarbij verschillende servers en administratieve systemen werden versleuteld. De ICT-leverancier van het systeem heeft gegevens kunnen herstellen op basis van een back-up, waardoor slechts enkele dagen aan verlies van gegevensproductie ontstond. De ransomware-aanval heeft niet geleid tot het verlies van persoonlijke gegevens of een onderbreking van uitkeringen. - Ontregeling van het treinverkeer door een defect ProRail back-upsysteem
Door een grote ICT-storing bij het ProRail-verkeersleidingscentrum moest het treinverkeer rond Rotterdam enkele uren worden stilgelegd op 31 juli 2022. De storing heeft ervoor gezorgd dat de verkeersleiding de locaties van treinen niet kon volgen. ProRail zou normaal gesproken terug moeten kunnen vallen op een back-upsysteem, maar dit was onmogelijk vanwege een softwarefout.
Bedreigingsscenarios
In het eerste deel van het rapport wordt aandacht besteed aan digitale bedreigingen, veerkracht en de belangen die gevaar lopen bij cyberincidenten, inclusief de risico’s die ontstaan doordat organisaties deel uitmaken van een breder ecosysteem. Het laatste hoofdstuk (6) bevat drie fictieve scenario’s. Hierin leidt een cyberincident niet alleen tot problemen binnen de getroffen organisatie, maar ook tot schade voor de samenleving en andere organisaties in hetzelfde ecosysteem. Deze schade omvat niet alleen financiële verliezen, maar kan ook de veiligheid van werknemers en de omgeving in gevaar brengen. De gevolgen van dergelijke incidenten zijn vaak langdurig, vooral als het vertrouwen in een organisatie is geschaad. Je kunt deze scenario’s gebruiken om de digitale veerkracht van jouw organisatie, klanten en/of leveranciers te beoordelen. Het gaat om de volgende drie fictieve scenario’s:
- Geen melk in de schappen: een transportbedrijf, Negotium BV, kampt met problemen in de planning en levering van melk vanwege verouderde software en een softwarefout. Dit leidt tot lege schappen in de winkels, zorgen over waterkwaliteit en een tijdelijke stopzetting van de zuivelproductie. Klanten, waaronder Negotium BV, schakelen uiteindelijk over naar een nieuw planningssysteem, maar het duurt langer dan verwacht om het probleem op te lossen en de normale levering te hervatten.
- Toch niet zo slim, die apparaten: een cliënt meldt een dreiging van criminelen die hem dwingen om betrokken te raken bij illegale activiteiten met betrekking tot de aankoop van een magazijn. Het notariskantoor waarbij de afspraak plaatsvindt, ontdekt dat er een beveiligingsinbreuk heeft plaatsgevonden, waarbij criminelen toegang hebben gekregen tot vertrouwelijke informatie en bestanden. De inbreuk begon met een slimme thermostaat die was verbonden met het internet. De notaris doet aangifte bij de politie en waarschuwt collega’s voor mogelijke risico’s.
- Hack door hacktivisten tijdens een staking: Een staking bij BIV Plastics leidt tot acties van een werknemer, genaamd Devon, die zich aansluit bij milieuactivisten en besluit BIV Plastics te hacken uit protest tegen het bedrijf. Hij weet binnen te dringen tot het Content Management System (CMS) van de website van het bedrijf en plaatst op de website de slogan van zijn groep. Deze actie verspreidt zich snel via sociale media en leidt tot een beveiligingsincident.
Kortom, het CSAN is een belangrijk instrument voor het begrijpen en beheersen van digitale dreigingen en risico’s. Het bevordert de bewustwording van cybersecurity in Nederland en helpt organisaties bij het proactief verhogen van hun digitale weerbaarheid en het verminderen van de gevolgen van cyberaanvallen.
Ben je benieuwd naar de volledige scenario’s en de overige resultaten? Lees dan hier het hele rapport.
