Cyberveiligheid in een veranderende wereld

Veiligheid in Nederland is niet meer vanzelfsprekend

Beide inlichtingendiensten spreken over de grey-zone: het gebied tussen vrede en oorlog in, waarin niet-conventionele wapens worden ingezet. Voorbeelden van zulke wapens zijn spionage, cyberaanvallen, maar ook het verspreiden van desinformatie. Hiermee jagen landen hun belangen na, zo nodig ten koste van anderen. 

Volgens de inlichtingendiensten is een scherpe stijging te zien in het aantal landen die in de grey-zone steeds brutaler cyberaanvallen uitvoeren, ook in Nederland. Zij richten zich op:

• sabotage van militaire en logistieke doelen (bijv. zeekabels en energievoorziening);
• bedrijven met geavanceerde technologie;
• wetenschappelijk onderzoek en intellectueel eigendom;
• beïnvloeding publiek met desinformatie of hack-and-leakoperaties (het stelen van gevoelige informatie en die publiek maken om iemand te schaden);
• EU- en NAVO-partners (dus ook Nederland).

Cyberaanvallen zijn makkelijk

Het is volgens de diensten om meerdere redenen niet moeilijk voor landen en voor criminele organisaties om aanvallen uit te voeren.

De eerste reden is dat het makkelijk is om op onze netwerken en apparaten mee te kijken. We monitoren deze systemen niet genoeg en laten kwetsbaarheden (soms jarenlang) zitten in:

• mobiele apparaten (laptop, tablet, telefoon)
• toegangspunten tot netwerken (routers)
• online opslag (cloud).

De tweede reden is dat tools en persoonsgegevens gewoon te koop zijn bij commerciële IT-bedrijven. Die bieden apparatuur, technische hulpprogramma’s en anonimiseren het dataverkeer. Ook kopen zij data van van handelaren in persoonlijke data, onder meer over wat mensen op online platforms delen.  

Ten slotte hebben de aanvallers veel mensen, werken ze sneller dan wij en hebben ze goede kennis van onze samenleving. Ook zijn ze vaak verder met het toepasbaar maken van AI om hun werk te ondersteunen. Wanneer bijvoorbeeld nieuwe kwetsbaarheden worden gepubliceerd zijn zij veel sneller in staat het te misbruiken dan dat wij kunnen patchen. Concrete voorbeelden van hoe ze misbruik maken zijn:

• Binnenkomen via VPNs, firewalls of besturings- en controlesystemen.
• Binnenkomen met gestolen inloggegevens, verkregen via phishing en infostealer-malware. 
• Uitvoeren DDoS-aanvallen.

Cyberdreigingen komen samen met andere veiligheidsdreigingen

Aanvallen in het digitale domeinen hebben vaak een relatie met andere veiligheidsthema's. Aanvallers worden steeds brutaler en het lijkt ze steeds minder te kunnen schelen wat de gevolgen van hun acties zijn. Dit uit zich bijvoorbeeld in de vorm van zowel fysieke als digitale spionage, (heimelijke) beïnvloeding van het publiek debat en bestuur, offensieve cyberaanvallen en campagnes, en sabotage. Enkele concrete voorbeelden van gecombineerde (hybride) dreigingen die in de jaarverslagen worden beschreven is zijn activisme, whole-of-society benadering, dual-use goederen, en omkoping en intimidatie. 

Activisme

De AIVD besteedt in het jaarverslag aandacht aan activisme op universiteiten. De meeste demonstraties in 2024 verliepen vreedzaam, maar er waren enkele uitspattingen met geweld, vernieling, intimidatie en doxing – het delen van iemands persoonsgegevens om hem of haar te intimideren.

Hacktivisten (hacktivisme is een samenvoeging van activisme en hacken) gaan vaak nog verder. In het jaarverslag van de MIVD wordt melding gemaakt van hacktivisten die DDoS-aanvallen uitvoeren tegen onder meer websites van politieke partijen en openbaarvervoersbedrijven in Nederland, in een poging het Nederlanders moeilijk te maken hun stem uit te brengen tijdens de Europese verkiezingen.

Whole-of-society

Statelijke actoren zetten in in op whole-of-society: een aanpak waarbij de gehele samenleving betrokken is (overheid, bedrijfsleven, kennisinstituten en burgers). Iedere staatsburger, ook in het buitenland, kan worden gedwongen samen te werken met de overheid. Met name bij bedrijven en kennisinstellingen met strategisch belangrijke kennis en technologie kan dit spelen. De whole-of-society-benadering zorgt ervoor dat het onderscheid tussen normale academische uitwisseling en spionageactiviteiten vervaagt. Ongewenste kennisoverdracht bestrijkt ook die activiteiten die openlijk en legaal zijn – denk aan investeringen en het financieren van studenten en wetenschappelijk onderzoek – maar die desondanks een bedreiging vormen voor onze economische veiligheidsbelangen.

Dual-use

Ook apparatuur vereist aandacht. Sommige landen weten de westerse sancties op export van dual-use-goederen te omzeilen. Dual-use-goederen zijn apparatuur, grondstoffen, software of technologie die vreedzaam kan worden gebruikt (voor onderzoek bijvoorbeeld), maar die een land ook militair kan gebruiken. De export ervan is daarom aan regels gebonden. In enkele gevallen zagen de diensten dat het ging om dual-use-goederen die uit Nederland kwamen.

Omkoping en intimidatie

Criminele netwerken worden steeds professioneler en hebben soms zelfs hun inlichtingenteams. Deze volgen personen en sociale netwerken, of ze halen informatie uit overheids- en bedrijfsdatabanken. Daarvoor kopen ze medewerkers om of zetten die onder druk. 

Wat kunnen wij doen?

De waarschuwingen van de inlichtingendiensten moeten we serieus nemen. Onderwijs- en onderzoeksinstellingen zijn namelijk zowel doelwit als tussenstap naar organisaties in de keten. 

Instellingen in de sector onderwijs zijn al jarenlang hard bezig om de weerbaarheid te vergroten. Toch herhalen we hier nogmaals de essentie: 

1. Richt basismaatregelen  in: breng risico's in kaart, bevorder veilig gedrag, bescherm systemen, apparaten en applicaties, beheer toegang en bereid je voor op crisis. 
2. Besef dat informatiebeveiliging tegenwoordig niet meer alleen gaat om de informatiesystemen, maar dat de nadruk steeds meer ligt bij de zijpaden: digitale assets die buiten het zicht van it-afdeling worden ingekocht (smart screens, beveiligingscamera's, sensoren, lab apparatuur etc.) en bij edge devices (firewalls, VPN-servers, routers en e-mailserververs). 
3. Versterk de capaciteit op monitoring en cyber threat intelligence.
4. Stimuleer samenwerking tussen enterprise (of business) risicomanagers, informatiebeveiligers en integrale veiligheidsmanagers om elkaars capaciteit te benutten. 
5. Neem deel aan de communities voor privacy, security, of integrale veiligheid om kennis op te doen en te delen.