‘Groot deel vitale sector kwetsbaar voor cybercriminelen’

RGB-keyboard dat licht geeft

Een groot deel van de bedrijven en organisaties die actief zijn in de vitale infrastructuur, is onnodig kwetsbaar voor hackers en cybercriminelen. 43 van de 100 onderzochte bedrijven hebben hun e-mailsysteem niet optimaal beveiligd tegen phishing, spoofing en ransomware. Het gaat om onder meer banken, energieproducenten en drinkwaterbedrijven.

Dat blijkt uit onderzoek van televisieprogramma Zembla en de Internet Cleanup Foundation, een non-profitorganisatie die de staat van cybersecurity van Nederlandse instanties in kaart brengt.

Nucleaire veiligheid niet in het geding

Eén van de bedrijven die zijn e-mailsysteem niet goed beveiligt, is de kerncentrale in Borssele. Een woordvoerder van de exploitant van de centrale (EPZ) erkent dat het e-mailsysteem niet optimaal is beveiligd, maar zegt “goed weerstand te kunnen bieden aan cybercriminaliteit en dit permanent te monitoren”. Tegelijkertijd zegt hij dat de veiligheidsmaatregelen van de kerncentrale “robuuster” zijn dan uit de screening van Zembla en de Internet Cleanup Foundation blijkt. De beveiliging van het e-mailsysteem is inmiddels aangescherpt.

Verder benadrukt de woordvoerder dat geen enkel vitaal bedieningssysteem van de centrale is aangesloten op het internet. “Het aansturen van het nucleaire proces en de bediening van de reactor gebeurt met analoge techniek, welke ongevoelig is voor digitale verstoringen. Verstoring van ICT-systemen rond de kerncentrale heeft daarom geen invloed op de beschikbaarheid van de bedieningsinstrumenten. Deze staan immers helemaal los van ICT-aansturing”, aldus EPZ. De nucleaire veiligheid van ons land is naar eigen zeggen niet in het geding

Luchtvaartsector in ‘afrondende fase’ om e-mailsysteem te verbeteren

De luchtvaartsector scoort eveneens slecht. Zowel bij KLM, Schiphol als Luchtverkeersleiding Nederland is de cybersecurity niet op orde. En dat terwijl er concrete pogingen door cybercriminelen zijn ondernomen om computersystemen te hacken. “KLM monitort veiligheidsrisico’s continu en probeert bijvoorbeeld cyberaanvallen, (spear)phishing , CEO fraude, spoofing en malware, gericht tegen, of uit naam van KLM, te voorkomen, op te sporen en, waar mogelijk, direct te mitigeren”, aldus een woordvoerder van de luchtvaartmaatschappij.

KLM en Luchtverkeersleiding Nederland zeggen maatregelen te hebben genomen om de beveiliging van de e-mailsystemen te verbeteren. Momenteel worden de laatste stappen gezet om dat te realiseren: zo verkeert de implementatie in de ‘afrondende fase’. Schiphol kijkt of het haar e-mailsysteem verder kan aanscherpen.

Veel werk aan de winkel in de veiligheidsregio’s

Op vragen van Zembla zeggen de veiligheidsregio’s dat ze onderdeel uitmaken van de nationale crisisstructuur, maar dat ze formeel gezien niet tot de vitale sector behoren. Ze zeggen op eigen initiatief prioriteit te geven aan informatiebeveiliging: daarvoor hebben de regio’s de vakgroep informatieveiligheid opgericht. In Brussel wordt momenteel gewerkt aan wetgeving waardoor de veiligheidsregio’s onderdeel gaan uitmaken van de vitale infrastructuur.

De veiligheidsregio’s zeggen al ‘een aantal jaren’ topprioriteit te geven aan cybersecurity, maar dat ze daarbij vaak geconfronteerd worden met ‘een complex ICT-landschap’. Uit onderzoek van Zembla en de Internet Cleanup Foundation blijkt dat er nog veel werk aan de winkel is. Van de 25 veiligheidsregio’s die ons land telt, hebben er 13 hun e-mail niet goed beveiligd tegen phishing en andere digitale dreigingen. “Verbetering kost tijd”, aldus de veiligheidsregio’s. Op korte termijn worden er aanvullende beveiligingsmaatregelen genomen.

Energiesector zet in op trainen van medewerkers

TenneT, de landelijke netbeheerder van het hoogspanningsnet, zegt dat ze haar systemen en het net 24/7 monitoren en controleren op eventuele bedreigingen. Alle 5.000 medewerkers worden actief getraind om het bedrijf weerbaarder te maken tegen cybercriminelen. “Ook wij hebben in de praktijk er wel eens mee te maken dat er op een verkeerde link wordt geklikt of dat er een besmet bestand wordt geopend”, erkent de netbeheerder. Het bedrijf zegt over goed beveiligde systemen, degelijke securityprocessen en goed opgeleide mensen te beschikken, waardoor aanvallen van buitenaf niet tot verdere schade leiden.

Vattenfall erkent dat de beveiliging van haar e-mailsysteem niet optimaal is, maar zegt daarmee druk doende te zijn. Het energiebedrijf laat in een reactie weten ‘geavanceerde systemen en protocollen’ te gebruiken om de organisatie te beschermen tegen phishing-aanvallen.

Over het belang van een goede bescherming van e-mailsystemen

De resultaten van het onderzoek van Zembla en de Internet Cleanup Foundation zijn belangrijk. Het versturen van phishingberichten via de e-mail is een van de voornaamste wapens die hackers en cybercriminelen gebruiken om ransomware te installeren. Aangezien de bedrijven uit het onderzoek deel uitmaken van de vitale infrastructuur, is het van wezenlijk belang dat de bescherming van hun e-mailsystemen op orde is. Zo niet, dan kan de Nederlandse maatschappij ernstig ontwricht worden, zo waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) afgelopen voorjaar in het rapport Cybersecuritybeeld Nederland 2021.

Bedrijven en organisaties kunnen grofweg drie belangrijke maatregelen nemen om hun e-mailsystemen te beschermen. Sender Policy Framework (SPF) wordt gebruikt om de afzender van een e-mail te verifiëren. Het vertelt of een mailserver geautoriseerd is om e-mails te versturen voor een specifiek domein. DomainKeys Indentified Mail (DKIM) is een e-mail authenticatietechniek die voorkomt dat e-mails vervalst kunnen worden. Domain-based Message Authentication, Reporting and Conformance (DMARC) is een verificatieprotocol waarmee e-maildomeinen beschermd worden tegen ongeoorloofd gebruik. Vierendertig van de drieënveertig bedrijven waar de emailbeveiliging niet op orde is, belooft tegenover Zembla en de Internet Cleanup Foundation de bescherming aan te scherpen.

Naast de sector doet ook de overheid haar best om de cyberweerbaarheid van het bedrijfsleven te vergroten. Voormalig staatssecretaris van Economische Zaken en Klimaat Mona Keijzer heeft voor de komende drie jaar een bedrag van drie miljoen euro beschikbaar gesteld. Zowel vitale als niet-vitale bedrijven en organisaties mogen ideeën insturen hoe zij denken de digitale weerbaarheid in hun sector te vergroten. Per plan is een bedrag van 200.000 euro beschikbaar. Het Digital Trust Center (DTC) beheert en verdeelt het geld.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen