Een toenemend aantal apparaten is aan internet verbonden, terwijl de software niet voor langere tijd door leveranciers onderhouden wordt.
Dat is een in het oog springende bevinding van Cybersecuritybeeld Nederland 2014, het rapport dat jaarlijks wordt gepubliceerd door het Nationaal Cyber Security Centrum (NCSC).
Cybercrime en digitale spionage blijven de grootste dreiging op het gebied van cyber security. De potentiële impact van cyberaanvallen en verstoringen neemt door snelle digitalisering alleen maar toe. Maar ook het gebrek aan zogenaamde ICT Duurzaamheid is een risico voor de maatschappelijke veiligheid.
De ontwikkeling dat steeds meer apparatuur (waaronder medische apparatuur, voertuigen, televisies en huishoudelijke apparaten) aan internet verbonden is, zal doorzetten. De software in deze apparatuur zal altijd beveiligingslekken bevatten. Veel apparatuur kan niet eenvoudig worden geüpdatet. Ook zal niet alle software gedurende langere tijd door de leverancier (kunnen) worden onderhouden. De apparatuur wordt kwetsbaar, waardoor een (potentieel) probleem ontstaat met het waarborgen van de maatschappelijke veiligheid.
Dit is een gebrek aan duurzaamheid van ICT. De kwetsbaarheden die het afgelopen jaar in OpenSSL en Java zijn ontdekt zijn hiervoor illustratief. Updaten van alle apparatuur blijkt problematisch.
Daarnaast registreren steeds meer apparaten gegevens over hun omgeving en hun eigenaren. Zij verzamelen en delen deze informatie via internet (het fenomeen Internet der Dingen). Dit biedt grote kansen, maar ook grote uitdagingen op het gebied van cybersecurity en de grip op informatie.
Losgeld
De grootste dreiging gaat uit van beroepscriminelen (vanwege diverse vormen van cybercriminaliteit) en van statelijke actoren (vanwege digitale spionage).
Criminele organisaties worden steeds professioneler. De contouren van een zeer professionele criminele dienstensector op het gebied van cybercrime worden steeds duidelijker. Dit werd in de afgelopen jaren al voorzien. Deze dienstensector is geen incident, maar een structureel onderdeel van cybercrime. Met behulp van deze diensten kunnen ook minder ervaren of geëquipeerde criminelen (complexe) cyberaanvallen uitvoeren of daarmee dreigen.
Illustratief voor de professionalisering is de opkomst van CryptoLocker, een variant van ransomware waarbij het betalen van losgeld lijkt te helpen.
Hiermee lijkt een winstgevend businessmodel te zijn ontstaan.
Dataverzameling
De trends van dataficatie en dataverzameling zullen zich de komende jaren voortzetten. Dit leidt enerzijds tot maatschappelijke vooruitgang en meer mogelijkheden op veiligheidsgebied. Anderzijds brengt dit risico’s met zich mee voor het individuele privacybelang en het belang van vertrouwelijkheid van informatie voor private organisaties en overheden.
Mondiale cases hebben de afgelopen jaren laten zien dat deze risico’s reëel zijn en dat de belangen geschaad kunnen worden.
Het verlies van grip op informatie blijft een reële dreiging. De inlichtingendiensten hebben geen indicaties dat bondgenoten het afgelopen jaar digitale spionageactiviteiten tegen de Nederlandse belangen hebben ontplooid. Vanuit niet-bondgenoten wordt de dreiging echter aanwezig en toenemend geacht.
Grote datadiefstallen en datalekken
In de afgelopen rapportageperiode vonden opvallend veel grote datadiefstallen en datalekken plaats. Vaak werden hier botnets voor ingezet, maar actoren gingen ook gerichter te werk en maakten gebruik van specifieke kwetsbaarheden om zich toegang tot informatie te verschaffen. Misbruik van, maar ook door interne medewerkers of ondernemers is een zeer reële dreiging geworden.
