Hacker die een cyberaanval uitvoert op zijn laptop

‘Digitale weerbaarheid Nederlandse bedrijfsleven is niet overal op orde’

Laatst bijgewerkt: 8 oktober 2020
Leestijd: 5 minuten, 51 seconden

Veel Nederlandse ondernemers zijn zich bewust van de gevaren van cyberaanvallen. Samen met de overheid hebben ze de afgelopen jaren maatregelen genomen om hun digitale weerbaarheid te vergroten. Ondanks deze inzet is dat nog niet overal op orde. Deels heeft te maken met bewustzijn, anderzijds met de kosten die hiermee gemoeid zijn.

Dat schrijven minister van Justitie en Veiligheid Ferd Grapperhaus en staatssecretaris van Economische Zaken en Klimaat Mona Keijzer aan de Tweede Kamer. In de brief geven de bewindslieden antwoord op schriftelijke vragen van Joba van den Berg en Mustafa Amhaouch (beiden CDA) over de hackaanval die eind juli plaatsvond bij Apollo Vredestein.

Hoe kwetsbaar zijn Nederlandse ondernemers voor cyberdreigingen?

De cyberaanval was een gerichte actie tegen de autofabrikant. De Nederlandse vestiging in Enschede kwam daardoor nagenoeg plat te liggen. Om wat voor aanval het precies ging is nooit bekendgemaakt. We weten ook niet of er data is gestolen, of er losgeld is betaald en wie er verantwoordelijk is voor de aanval. Het gerucht gaat dat Apollo Vredestein de dupe is geworden van een conflict tussen China en India. Het hoofdkantoor van het bedrijf zit in India.

Het voorval was voor Van den Berg en Amhaouch aanleiding om Grapperhaus en Keijzer schriftelijke vragen te stellen over de informatiebeveiliging en cybersecurity bij Nederlandse bedrijven. Een van de dingen die de CDA’ers van de bewindslieden wilden horen, is of Nederlandse bedrijven voldoende zijn beschermd tegen cybercriminaliteit. En of ze kwetsbaar zijn voor hacks, gijzelsoftware of andere malware. En of er een verschil tussen grote, middelgrote en kleine bedrijven.

‘Grotere bedrijven lopen groter risico voor cyberaanvallen’

Daarop antwoorden Grapperhaus en Keijzer dat cybersecurity een hoge prioriteit is van het kabinet en dat de maatregelen van de overheid zijn gericht op preventie en incidentrespons. Ook het bedrijfsleven in ons land is zich terdege bewust van de risico’s op het gebied van digitale dreigingen. “De digitale weerbaarheid is ondanks die inzet nog niet overal op orde”, zo schrijven ze in de brief.

De bewindspersonen stellen dat grote bedrijven met meer incidenten te maken hebben dan kleinere ondernemers. “Een groter werknemersbestand en complexere ICT-infrastructuur spelen hierbij een belangrijke rol. Dit vergroot het aanvalsoppervlak.” Dat wil niet zeggen dat kleine(re) bedrijven op lauweren kunnen rusten. “Voor elk bedrijf zijn, ongeacht de grootte, goede beveiligingsmaatregelen en preventie van belang”, aldus de minister en staatssecretaris.

‘Cybercriminelen doen het voor het geld’

De bewindslieden benadrukken dat cybercriminelen een breed scala aan technieken inzetten om slachtoffers te maken. Specifiek noemen ze phishing en het plaatsen van gijzelsoftware en malware. Ondernemers kunnen zich het beste weren tegen dit soort digitale dreigingen door kwetsbaarheden te inventariseren, tijdig updates uit te voeren, toegangsmanagement toe te passen, veilige instellingen te gebruiken of in zee te gaan met een extern cybersecuritybedrijf.

Op de vraag of specifieke bedrijfsbranches en sectoren een grotere kans hebben om getroffen te worden door cybercriminelen, stellen de minister en staatssecretaris dat hier geen bewijs voor is. “Vaak is financieel gewin een beweegreden om een (cyber)delict te plegen. Bij maximaal financieel gewin als beweegreden kan de kwetsbaarheid van een bedrijf (bij het personeel, technologie of netwerk) een groter risico vormen om slachtoffer te worden dan de branche waarin het bedrijf opereert. De karakteristieken van het internet geven criminelen immers de mogelijkheid om vele potentiële slachtoffers tegelijkertijd te benaderen.”

Geld is een belangrijk motief voor cybercriminelen, maar niet het enige. Het verkrijgen van bedrijfsgevoelige gegevens kan ook een doel op zich zijn, al dan niet met de intentie om losgeld te vragen. In dat geval is de branche waarin een bedrijf opereert wel degelijk van belang.

Bewustzijn en kosten medebepalend waarom cybersecurity niet overal op orde is

Van den Berg en Amhaouch vragen aan Grapperhaus en Keijzer of bekend is hoeveel cyberincidenten er zich dit jaar hebben voorgedaan bij Nederlandse bedrijven. Daar moeten de regeringsleden het antwoord op verschuldigd blijven. Wel benadrukken ze dat bedrijven die als aanbieder van essentiële diensten (AED) bestempeld zijn door de Wet beveiliging netwerk- en informatiesystemen (Wbni) een wettelijke meldplicht hebben als hun dienstverlening mogelijk in gevaar komt door een cyberaanval. In dat geval moeten zij zich wenden tot het Nationaal Cyber Security Centrum (NCSC) en de sectorale toezichthouder. De Autoriteit Persoonsgegevens en AVG worden in dit verband, opmerkelijke genoeg, nergens genoemd in de brief van de bewindslieden.

Waarom zijn veel bedrijven onvoldoende beschermd tegen cybercriminelen? Volgens de minister en staatssecretaris heeft dat voor een deel te maken met bewustzijn. “Een deel van de ondernemers weet onvoldoende van het onderwerp af of weten niet waar ze de informatie kunnen halen en welke tools ze goed kunnen inzetten”, merken ze op. Voor anderen is het een bewuste (bedrijfseconomische) keuze. “Cybersecurity vergt capaciteit en investeringen en dergelijke investeringsbeslissingen moeten bedrijven afwegen tegen de eventuele risico’s en schade die een incident kan veroorzaken”, aldus de bewindslieden.

Kabinet lanceert bewustwordingscampagnes voor betere cybersecurity

Ook willen de Kamerleden weten welke maatregelen de regering neemt om de cybersecurity bij Nederlandse bedrijven te vergroten. Grapperhaus en Keijzer stellen dat het NCSC daarin het voortouw neemt door aanbieders en organisaties uit de vitale sector te adviseren over digitale dreigingen en voorzorgsmaatregelen. Niet-vitale bedrijven kunnen een beroep doen op het Digital Trust Center (DTC). Het opvolgen van deze adviezen gebeurt op vrijwillige basis. Het is dus de verantwoordelijkheid van de betreffende bedrijven om hier al dan niet iets mee te doen.

Om het bewustzijn van cyberdreigingen te verhogen en de actiebereidheid van bedrijven om extra beveiligingsmaatregelen tegen cybercriminelen te nemen, lanceren het ministerie van Justitie en Veiligheid en Economische Zaken en Klimaat doelgroepgerichte bewustwordingscampagnes. Het Actieplan MKB en actieprogramma ‘Veilig Ondernemen 2019 – 2022’ zijn daar onderdeel van.

Overheid blijft maatregelen nemen om cyberbeveiliging op te schroeven

De CDA’ers willen tekst en uitleg van de bewindslieden over het bericht dat de wachtwoorden van honderden Nederlandse bedrijven op straat zijn beland, omdat het NCSC niet mocht ingrijpen. Grapperhaus en Keijzer stellen dat dit niet tot de wettelijke taak van het NCSC behoort. Dat is om aanbieders van vitale diensten en onderdelen van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen, en hen daarin bij te staan.

Ten tijde van het incident (half augustus) waren er volgens Grapperhaus en Keijzer geen mogelijkheden om de betreffende dreigingsinformatie rechtmatig via het Landelijk Dekkend Stelsel met schakelorganisaties te delen. Dat is nu wel het geval. “Inmiddels zijn bijvoorbeeld verschillende computercrisisteams bij ministeriële regeling aangewezen, waaraan voor hun achterbannen relevante dreigingsinformatie, met inbegrip ook van persoonsgegevens, kan worden gedeeld”, zo zeggen de minister en staatssecretaris.

Ze eindigen hun brief met de belofte dat het kabinet zich blijft inzetten om de digitale weerbaarheid, informatiebeveiliging en cybersecurity bij Nederlandse bedrijven en overheidsinstanties. “De overheid treft continu maatregelen om haar digitale dienstverlening blijvend veilig aan te bieden en investeert in de digitale weerbaarheid en herstelvermogen van de openbare sector. Dat betekent aandacht voor preventieve maatregelen, goede detectie van aanvallen en een adequate respons. Het vergroten van de feitelijke veiligheid en oefenen met herstel na een mogelijk ontwrichtende incident hebben daarbij de nadruk.”

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen