Het Cybersecuritybeeld Nederland 2024 (CSBN 2024) biedt inzicht in de digitale dreiging, de belangen die daardoor kunnen worden aangetast, de digitale weerbaarheid en digitale risico’s. Uit het rapport blijkt dat Nederland niet alleen steeds vaker doelwit is van cyberaanvallen binnen de eigen landsgrenzen, maar ook wordt geraakt door cyberaanvallen elders die vervolgens doorwerken binnen het digitale ecosysteem.
Bovendien constateert de NCTV in deze turbulente geopolitieke tijden een intensivering van de activiteiten en een verbreding van de capaciteiten van statelijke actoren. Hierbij wordt gebruik gemaakt van steeds meer verschillende middelen en tools. Criminele actoren voeren op grote schaal aanvallen uit en handelen daarbij opportunistisch. Onze vitale infrastructuur, zoals de Rotterdamse haven, ziekenhuizen, windmolenparken, banken of ons elektriciteitsnetwerk, kunnen zo doelwit worden van digitale spionage of sabotage.
Grootschalige uitval
Enkele voorbeelden van aanvallen in het afgelopen jaar zijn het gecompromitteerde computersysteem van Defensie door Chinese hackers (februari 2024), Russische propaganda op een kinderzender na opzettelijke verstoring en gegevensdiefstal bij chipmaker Nexperia (beide in april 2024).
Uitval van digitale processen vormt eveneens een dreiging. In augustus van dit jaar waren verschillende overheidsdiensten en het vliegverkeer Eindhoven verstoord door een softwarefout op het besloten telecommunicatienetwerk Defensier. Doordat digitale risico’s complex zijn en in hoge mate met elkaar verbonden, hebben storingen ook al gezorgd voor grootschalige uitval van systemen. Dit kan vergaande gevolgen hebben, zoals het stil komen te liggen van openbaar vervoer, vliegverkeer of medische zorg. Een voorbeeld hiervan is de computerstoring die cybersecuritybedrijf CrowdStrike in juli 2024 veroorzaakte, waarbij wereldwijd 8,5 miljoen computers niet meer opstartten. In Nederland waren onder meer het vliegverkeer en de gezondheidszorg ontregeld door de wereldwijde computerstoring als gevolg van een foutieve update.
Brede blik risicobeheersing
Digitale risico’s zijn dynamisch en worden beïnvloed door vele verschillende factoren. Het bredere digitale ecosysteem, met daarbinnen monoculturen, en de hoge mate van digitalisering zorgen ervoor dat risico’s met elkaar verbonden raken. De NCTV stelt in het CSBN-rapport dan ook dat het van belang is om met een brede blik naar risicobeheersing te kijken, en dat dit verder gaat dan normeringen en basismaatregelen.
“Het tempo en de complexiteit van statelijke cybercampagnes wordt opgevoerd. Ook zetten staten bedrijven of hacktivisten in om digitale aanvallen uit te kunnen voeren, waardoor de scheidslijnen tussen verschillende organisaties in toenemende mate onduidelijk zijn. Personen vervullen bijvoorbeeld soms een wetenschappelijke rol of een rol in het bedrijfsleven, maar zijn tegelijkertijd verbonden aan een inlichtingendienst”, zegt Pieter-Jaap Aalbersberg, Nationaal Coördinator Terrorismebestrijding en Veiligheid. Cyberaanvallen staan vaak niet op zichzelf. Steeds vaker worden meerdere cyberaanvallen in combinatie met elkaar ingezet, of met andere middelen, zoals desinformatiecampagnes. Bij risicobeheersing is het volgens de NCTV dus belangrijk om te kijken naar de samenhang van deze cyberaanvallen en de bredere dreiging die uitgaat van de optelsom van deze risico’s.
Ook waarschuwt de NCTV voor de wereldwijde handel in persoonsgevoelige data en de schaarste aan capaciteit en personeel op het gebied van cybersecurity. Het tekort aan cybersecuritydeskundigen in Nederland kan volgens de NCTV uiteindelijk zijn weerslag hebben op de digitale weerbaarheid van Nederland. Daarnaast kan het voor kwaadwillenden interessant worden om te bezien bij welke organisaties de grootste tekorten bestaan – en daarmee mogelijk de zwakste verdediging.
Voortgang Nederlandse Cybersecuritystrategie
In 2022 heeft het kabinet de Nederlandse Cybersecuritystrategie (NLCS) gepresenteerd met als doel een digitaal veilig en weerbaar Nederland te creëren. Het CSBN 2024 vormt een inhoudelijke basis voor de evaluatie van het daarvan afgeleide actieplan. De voortgangsrapportage van de NLCS is gelijktijdig met het CSBN 2024 naar de Tweede Kamer verzonden.
Zo wil het kabinet de dreiging afkomstig van landen met een offensief cyberprogramma gericht tegen Nederlandse belangen zoveel mogelijk tegengaan, en waar mogelijk aan de voorkant ontmoedigen. Dat heeft het afgelopen jaar onder andere geleid tot een publicatie over geavanceerdere malware die door China werd gebruikt om te spioneren op computernetwerken van het Ministerie van Defensie.
Ook wordt er gewerkt aan één nieuwe centrale cybersecurityorganisatie waar het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC) en het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) in opgaan. Zo ontstaat één organisatie die alle organisaties in Nederland informeert over dreigingen en beveiligingsmaatregelen.
Structurele uitdagingen
Concluderend kan worden gesteld dat verschillende factoren al langere tijd een uitdaging vormen voor digitale veiligheid. Bij aanvallen door statelijke en criminele actoren kan de nationale veiligheid worden geraakt. Daarnaast kunnen ontwikkelingen die op het eerste gezicht niets met cybersecurity te maken hebben, toch blijvend van invloed zijn op de dreiging en de weerbaarheid. Dat geldt zeker voor geopolitieke en technologische ontwikkelingen. Verder geldt dat iedere organisatie kan worden geraakt door een cyberincident. Digitale risico’s vragen dan ook om een bredere manier van beheersing. De veiligheid van digitale processen is essentieel in onze gedigitaliseerde samenleving, maar het belang van die veiligheid concurreert soms met andere belangen. Wel raakt het belang van digitale veiligheid steeds verder verankerd in wet- en regelgeving. Denk hierbij aan de implementatie van de herziene Europese Netwerk en Informatiebeveiligingsrichtlijn (NIS2) die momenteel gaande is in de Cyberbeveiligingswet (Cbw).
Daarnaast is een goede voorbereiding op grootschalige uitval of digitale incidenten essentieel. Dit doet het kabinet onder meer door te oefenen. Zo zijn in het afgelopen jaar met de publiek-private oefening ISIDOOR IV waardevolle inzichten opgedaan op het gebied van crisispreparatie.