Tag CSBN

Cybersecuritybeeld Nederland 2025

jjoerlemans

Bron: infographic gegenereerd met Notebook LM op basis van de samenvatting

Op 26 november 2025 is het Cybersecuritybeeld Nederland 2025 (CSBN 2025 .pdf) gepubliceerd. Deze blog bevat een samenvatting van het rapport, waarbij gebruik is gemaakt van Notebook LM.

Het CSBN 2025 is uitgebracht onder de titel “Riskante mix in een onvoorspelbare wereld”. Dit wordt in het rapport meteen aan het begin als volgt verduidelijkt door erop te wijzen dat er Nederland meerdere organisaties doelwit waren van de Chinese statelijke actor Salt Typhoon, de Russische actor Laundry Bear een cyberaanval uitvoer op de Nationale Politie, Noord-Koreaanse hackers digitale valuta buitmaakten bij (onder andere) Nederlandse organisaties en werd Nederland voor het eerst slachtoffer werd van cybersabotage door een Russische staatsgesteunde groepering.

Alhoewel incidenten in Nederland niet hebben geleid tot maatschappelijke ontwrichting of significante impact op de nationale veiligheid, hadden verschillende incidenten wel die potentie, aldus het CSBN.

De toon is gezet!

Voorbeelden van nationale cybersecurity-incidenten

Ik bespreek eerst de cyberaanvallen op de Politie en het OM uit p. 18-23 van het rapport. Daarbij valt op dat er nog steeds relatief weinig informatie wordt gegeven. Daarom heb ik dat zelf maar antwoorden op Kamervragen erbij gezocht.

Had het CSBN de cybersecurity-incidenten bij de Politie en het OM niet centraal moeten zetten in plaats van aanvallen op de telecomsector? En waarom zijn er geen Kamervragen gesteld over het bericht over cybersabotage in Nederland? De begeleidende Kamerbrief bij het rapport bevat met name een opsomming van geplande wet- en regelgeving (deels ter implementatie van EU richtlijnen).

Politie

Eind september 2024 werd de politie slachtoffer van een hack waarbij contactgegevens van politiemedewerkers zijn buitgemaakt. Hierbij verkregen hackers toegang tot de gegevens van alle politiemedewerkers via de global address list en in sommige gevallen werden ook privégegevens buitgemaakt.

In antwoord op Kamervragen over het bericht “Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar” gaf de Minister van Justitie en Veiligheid aan de politie over de hack werd geïnformeerd door de inlichtingen- en veiligheidsdiensten. Daarop werden maatregelen getroffen, die zijn afgestemd op het huidige beeld, namelijk dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is voor het cyberincident bij de politie en dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het betreft onder meer ICT-maatregelen en maatregelen op het vlak van bewustwording, bijvoorbeeld een oproep tot extra waakzaamheid van politiemedewerkers op phishingmails en verdachte telefoontjes en berichten. Tevens monitort de politie of de buitgemaakte gegevens elders verschijnen. Tot slot blijft de politie alert op mogelijk nieuwe aanvallen. Daartoe monitort de politie haar systemen continu.

In mei 2025 maakten de inlichtingendiensten bekend dat de Russische groep ‘Laundry Bear’ verantwoordelijk was voor de aanval. Naast de aanval op de Nationale Politie werden wereldwijd ook andere organisaties door deze groep aangevallen, waaronder in Nederland.

Openbaar Ministerie

Op donderdag 17 juli 2025 ontkoppelde het Openbaar Ministerie de systemen van het internet naar aanleiding van een waarschuwing over kwetsbaarheden in Citrix NetScaler. Hierdoor moest het OM overstappen op noodprocedures om werkzaamheden voort te zetten. In het CSBN staat dit wat eufemistisch vermeld: “Dit zorgde voor hinder in de strafrechtketen, waarbij in sommige zaken ook direct vertraging ontstond.”

In het rapport is alleen te lezen dat “onbevoegden” toegang hebben verkregen tot de Citrix NetScaler-systemen van het OM. Er is tot op heden niet vastgesteld dat er gegevens zijn gemanipuleerd of weggehaald. Vreemd is ook dat er staat: “Ook bij de Dienst Justitiële Inrichtingen vond onderzoek plaats naar aanleiding van misbruik van de kwetsbaarheden”, zonder nadere toelichting. Het NCSC stelde dat meerdere kritieke Nederlandse organisaties succesvol zijn aangevallen via een van de Citrix-kwetsbaarheden en dat één van de kwetsbaarheden al ruim voor publieke bekendmaking werd misbruikt.

In een Kamerbrief uit augustus 2025 staat concreter dat “in de periode dat het OM geheel offline was er geen enkele informatie gedigitaliseerd (en soms geautomatiseerd) van en naar het OM worden gestuurd. Het OM en partners in en rondom de strafrechtketen hebben werkprocessen vastgesteld om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren”. In deze brief staat ook dat erbij DJI en andere organisatie naar aanleiding van nader ondezoek ‘geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen’. In de brief staan ook andere belangrijke nevengevolgen beschreven. Het ontbreken van informatie vanuit het OM voor de Justitiële Informatiedienst (Justid) ten behoeve van het Justitiële Documentatie Systeem (JDS) wordt bijvoorbeeld als “prangend knelpunt” benoemd. Het JDS is het officiële register waarin wordt bijgehouden wie op welk moment werd verdacht van een strafbaar feit en de afloop daarvan (sepot, vrijspraak of veroordeling). Het ontbreken van actuele gegevens van het OM in het JDS heeft tot gevolg dat partners in en rondom de strafrechtketen, burgers, gemeenten en lidstaten geen actuele informatie vanuit het OM ontvangen. Het OM en partners hebben werkafspraken gemaakt om de risico’s hiervan te mitigeren, maar deze risico’s zijn (nog) niet geheel uitgesloten. 

Begin augustus sloot het OM systemen stapsgewijs weer aan op het internet. In november 2025 berichtte de Minister van Justitie en Veiligheid (eindelijk) dat er ‘inmiddels een eerste technisch en forensisch onderzoek uitgevoerd. Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader strafrechtelijk onderzoek gedaan. Over het lopende strafrechtelijke onderzoek kan ik geen mededelingen doen. Er zijn maatregelen genomen om risico’s zoals hernieuwd misbruik van systemen en het risico op datamanipulatie te mitigeren. Inmiddels is het OM weer online.’ Ook wordt er een onafhankelijke commissie ingesteld die de ICT-inbraak onderzoekt, waarbij expliciet gekeken wordt hoe toekomstige beveiligingsincidenten voorkomen kunnen worden.

Hack Clinical Diagnostics (Eurofins):

Nadat Bevolkingsonderzoek Nederland melding maakte van een datalek, maakte Clinical Diagnostics (Eurofins) in augustus 2025 bekend dat gevoelige patiëntgegevens zijn gestolen van zorgverleners die onderzoek hebben laten uitvoeren bij het laboratorium. Dit gebeurde tijdens een ransomware-aanval in juli.

De organisatie Bevolkingsonderzoek Nederland informeerde 941.000 personen dat hun data mogelijk is buitgemaakt. Het datalek reikt echter verder dan deze organisatie: ook gegevens van onderzoeken voor andere zorginstellingen, zoals ziekenhuizen en huisartsen, zijn getroffen. Cybercriminelen claimden 300 GB aan data te hebben gestolen, waarvan een deel online verscheen. Uit een analyse van RTL Nieuws bleek dat het gaat om namen, adressen, geboortedata, burgerservicenummers en informatie over onderzoeksuitslagen. Ook adviezen naar aanleiding van onderzoeken zijn buitgemaakt. Onder de gegevens bevinden zich ook data van politici, gedetineerden, tbs’ers en vrouwen in blijf-van-mijn-lijfhuizen.

De hackersgroep eiste losgeld en dreigde de gestolen gegevens te publiceren. Later volgde een tweede eis, met de dreiging om alle data openbaar te maken omdat afspraken niet zouden zijn nagekomen, maar deze eis werd later ingetrokken. Clinical Diagnostics zou in eerste instantie losgeld hebben betaald om verdere datalekken te voorkomen, maar het bedrag is onbekend. In een Kamerbrief van 1 september 2025 is meer te lezen over de hack. Het advies voor de mensen die een brief van Bevolkingsonderzoek Nederland hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. De Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn inmiddels beide een onderzoek gestart.

Op 19 november 2025 verscheen een antwoord op Kamervragen van staatssecretaris Tielen. In de brief staat dat het Openbaar Ministerie onderzoek doet naar de hack. Ook zijn lab inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan een ‘scanningsdienst’ van Z-CERT, waarmee continu gemonitord wordt op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.

De MIVD stelde vast dat Nederland in 2024 voor het eerst slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit. Dit werd op 22 april 2025 bekend (zie bijv. dit bericht op Nu.nl) gemaakt, maar ik heb daarover geen Kamervragen kunnen vinden.

De MIVD waarschuwde in mei 2025 voor een spionagecampagne van APT28 (waarschijnlijk Russische staatshackers), gericht tegen Oekraïne en NAVO-landen. De Nederlandse krijgsmacht, ministeries en het bedrijfsleven zijn direct en indirect doelwit geweest van deze cyberspionagepogingen.

Ransomware

In 2024 hebben het NCSC, de Politie, het Openbaar Ministerie, Cyberveilig Nederland en cybersecuritybedrijven maandelijks informatie over ransomware-incidenten uitgewisseld in het kader van project ‘Melissa’. Uit die gegevens blijkt dat er in 2024 minimaal 121 unieke ransomware-incidenten in Nederland zijn geweest. Van deze incidenten zijn 76 bekend via aangiften en 20 via incident response bedrijven.

Uit een analyse van de ransomware-aanvallen in 2024 blijkt dat cybercriminelen geen nieuwe technieken gebruiken om ransomware in te zetten.

In 2024 ontving de Autoriteit Persoonsgegevens 1.430 unieke datalekmeldingen van cyberaanvallen, waarvan er 853 zijn onderzocht. Van de onderzochte aanvallen ging het in 112 gevallen (13 procent) om ransomware. Bij minimaal 53 procent van die ransomware-aanvallen werden gegevens gestolen.

Voorbeelden van internationale cybersecurity-incidenten

Hieronder geef ik enkele voorbeelden van aanvallen uit het buitenland, zoals beschreven in het rapport (p. 23-26).

In oktober 2024 zijn Europese overheden en militaire organisaties doelwit geweest van phishingaanvallen die door Google worden toegeschreven aan een aan Rusland gelieerde actor, aangeduid als UNC5837. De campagne maakte gebruik van ondertekende .rdp-bestandsbijlagen om Remote Desktop Protocol (RDP)-verbindingen tot stand te brengen vanaf de computers van de slachtoffers.

In 2024 werd bekend dat Chinese hackers van de groep Salt Typhoon minimaal een jaar lang toegang hebben gehad tot de netwerken van diverse telecomproviders. Volgens Amerikaanse autoriteiten zou het om meerdere Amerikaanse telecombedrijven gaan, waaronder T-Mobile, Verizon, AT&T en Lumen Technologies. De hackers zouden zo bij gespreksgegevens van prominente politici zijn gekomen. CISA en de FBI hebben bevestigd dat de hackers toegang hebben gehad tot privécommunicatie van een ‘gelimiteerd aantal’ mensen. Daarnaast stellen media op basis van anonieme bronnen dat de hackers toegang hebben gehad tot het afluisterplatform van de Amerikaanse overheid en verzoekgegevens van wetshandhavingsinstanties en telefoongesprekken van klanten gestolen. De campagne zou mogelijk al 1 tot 2 jaar lopen. Er is niet met zekerheid vastgesteld of de hackers uit het systeem zijn verwijderd.

Eind december 2024 heeft Denemarken gemeld dat pro-Russische hackers een Deens waterzuiveringsbedrijf hebben aangevallen, waardoor klanten enkele uren zonder water zaten. Een van de pijpleidingen is gebarsten door een verhoogde waterdruk.

In januari 2025 werd bekend dat na een hack bij Gravy Analytics (een commerciële datahandelaar) locatiegegevens van mogelijk miljoenen mensen zijn gelekt. Online claimde iemand bij de inbraak een dataset van 17TB aan data te hebben gestolen. In de dataset zouden locatiegegevens van gebruikers van honderden populaire apps (zoals Candy Crush, FlightRadar, Grindr en Tinder) verzameld zijn. De hacker dreigde de data openbaar te maken als het bedrijf het gevraagde losgeld niet zou betalen.

In februari 2025 meldde het Canadese Centrum voor Cybersecurity dat er bij meerdere Canadese telecommunicatiebedrijven activiteit van kwaadwillenden is geweest, specifiek van de Chinese cyberactor Salt Typhoon. De Canadese overheid meldde dat de systemen zijn gecompromitteerd via een bekende Cisco-kwetsbaarheid. Om welke telecommunicatiebedrijven het precies gaat, werd niet gespecificeerd.

In maart 2025 is bij een hack op de cryptobeurs Bybit bijna 1,5 miljard dollar aan digitale munten gestolen. Dit maakt het de grootste cryptodiefstal ooit. De aanval is door verschillende onderzoekers en de Amerikaanse autoriteiten toegeschreven aan Noord-Koreaanse hackers. Experts van verschillende bedrijven stelden al snel dat de Lazarus-hackers minstens 300 miljoen dollar wit hebben weten te wassen.

In april 2025 heeft de Waalse overheid zichzelf losgekoppeld van het internet nadat ze een grootschalige “gesofisticeerde en gerichte inbraak” hadden vastgesteld in het IT-systeem. De aanvaller, een onbekende partij, zou zich hebben gericht op een kwetsbare plek in de systemen van de Waalse overheid. Om te voorkomen dat de aanval tot (verdere) impact zou leiden, is besloten om de systemen los te koppelen van het internet, waardoor meerdere administratieve diensten offline waren.

Pro-Russische hackers zitten volgens de Noorse autoriteiten waarschijnlijk achter de vermoedelijke sabotage bij een dam in het Noorse Bremanger. Bij die sabotage-aanval werd de waterstroom beïnvloed. De hackers kregen toegang tot een digitaal systeem dat op afstand een van de kleppen van de dam bestuurt en openden deze om de waterstroom te vergroten. De klep stond ongeveer vier uur open en in totaal liepen er miljoenen liters water weg, maar dit vormde geen gevaar voor de omgeving.

Op 23 juli 2025 waren de mobiele 4G- en 5G-netwerken van Luxemburg meer dan drie uur onbereikbaar. Grote delen van de bevolking konden de hulpdiensten niet bellen omdat het 2G-noodsysteem overbelast raakte. Ook internettoegang en elektronisch bankieren waren niet mogelijk. Volgens overheidsverklaringen aan het parlement werd de uitval veroorzaakt door een cyberaanval. Deze aanval zou opzettelijk verstorend zijn geweest en niet een poging om het telecomnetwerk te compromitteren.

Verwevenheid tussen staten en georganiseerde criminaliteit

Het CSBN stelt dat statelijke actoren cyberaanvallen inzetten om hun politieke, militaire en/of economische doelen te bereiken. Door een offensief cyberprogramma op te zetten, kunnen statelijke actoren (heimelijk) hun belangen behartigen zonder de juridische drempel van gewapend conflict te overschrijden. Ten aanzien van pro-Russische hacktivisten zien de MIVD en AIVD dat vanaf eind 2023 de risicobereidheid van deze groeperingen toeneemt bij het ontplooien van offensieve cybercapaciteiten tegen westerse landen. Alle door hen onderzochte pro-Russische hacktivistische groeperingen worden in zekere mate gesteund door de Russische overheid.

Voor China geldt dat er een nauwe verwevenheid bestaat tussen inlichtingen- en veiligheidsdiensten, kennisinstellingen en bedrijven. Chinese bedrijven leveren bijvoorbeeld aanvalsinfrastructuur of malware, en kennisinstellingen doen onderzoek naar kwetsbaarheden in edge devices. Hierdoor zijn Chinese actoren structureel succesvol in het hacken van onder meer westerse overheden en bedrijven.

In de afgelopen rapportageperiode werd voor het eerst bekend dat een middelgroot beursgenoteerd Chinees bedrijf direct betrokken is geweest bij het uitvoeren van cyberoperaties. Voorheen waren weliswaar diverse andere Chinese bedrijven geïdentificeerd die zelf offensieve cyberoperaties uitvoeren, maar daarbij ging het om frontorganisaties van Chinese inlichtingen- en veiligheidsdiensten of relatief kleine en obscure bedrijven.

Noord-Korea is een voorbeeld van een statelijke actor die technieken en aanvallen inzet die normaliter worden geassocieerd met niet-statelijke actoren. Alhoewel een gedeelte van Noord-Koreaanse cyberaanvallen gericht is op spionage, is een groot deel ook gericht op financieel gewin. Een financieel motief wordt over het algemeen geassocieerd met criminele cyberactoren, waarbij de cryptosector een geliefd doelwit is.

In de afgelopen rapportageperiode is gebleken dat zowel Rusland als China voorbereidingshandelingen voor digitale sabotage hebben ondernomen. Deze handelingen hebben tot op heden geen ontwrichtende impact gehad in Nederland.

De MIVD stelt dat Rusland inmiddels een grotere risicobereidheid toont, die zich manifesteert via meer brutale, agressieve of provocatieve activiteiten in zowel het fysieke als het cyberdomein.

Infographic dreigingen CSBN 2025

Met Notebook LM is deze infographic gegeneerd over de dreigingen uit het CSBN 2025 ten aanzien van Nederland en omringende landen.

De originele tabel met de verwevenheid tussen statelijke en niet-statelijke actoren staat hieronder:

Bron: CSBN 2025, p. 31.

Bijzondere aandacht voor de Telecomsector

Hieronder volgen enkele interessante passages uit het CSBN ten aanzien van de telecomsector (p. 35-37).

De grootschalige en vergaande cybercampagne in de Verenigde Staten laat zien dat de dreiging richting de telecomsector reëel is. Ook een aantal kleine Nederlandse internet service- en hosting providers was doelwit van Salt Typhoon. Volgens de AIVD en de MIVD is toegang verkregen tot routers van deze aanbieders, maar dat de aanvallers voor zover bekend niet verder zijn doorgedrongen in de interne netwerken. Een mogelijke verklaring daarvoor is dat de Nederlandse doelwitten niet dezelfde mate van aandacht kregen van de hackers. De FBI heeft aangegeven dat Salt Typhoon meer dan 200 bedrijven in 80 landen heeft aangevallen.

Het CSBN nuanceert dat de situatie in de VS niet één-op-één te vertalen is naar de situatie in Nederland. De infrastructuur van de telecomsector in de VS is, in tegenstelling tot veel Europese landen en zeker tot Nederland, verouderd en bestaat volgens de voorzitter van de Senaatscommissie van inlichtingen uit een “brei van aan elkaar geplakte netwerken”. Maar hoewel de Nederlandse situatie niet overeenkomt met die in de VS, kennen ook vitale sectoren in Nederland risico’s door een grote afhankelijkheid van buitenlandse leveranciers en een toenemende complexiteit van de infrastructuur.

Voor zowel criminele als statelijke actoren is de telecomsector onder andere interessant omdat de sector enorme hoeveelheden persoonsgegevens verwerkt, waaronder gespreksgegevens, locatiegegevens, klantgegevens en internetverkeer. Toegang tot deze gegevens kan door statelijke actoren misbruikt worden om personen te volgen, te monitoren en te beïnvloeden, zoals leden van diasporagemeenschappen, activisten of dissidenten. De sector is ook interessant voor statelijke actoren vanwege de opties voor spionage. Hacks op telecommunicatieproviders behoren volgens de AIVD tot de meest waardevolle inlichtingenposities voor hen.

Door spionage kan data worden verworven en kennis worden opgedaan over de infrastructuur, wat enerzijds een spionagedoel kan dienen, maar anderzijds ook gebruikt kan worden als verkenning van de netwerken. Een dergelijke verkenning kan onderdeel zijn van (voorbereidingshandelingen voor latere) sabotage. Voorbereidingshandelingen stellen actoren in staat om sabotageacties met weinig tot geen waarschuwing uit te voeren.

Voor cybercriminelen zijn vooral de grote hoeveelheden persoonsgegevens die in de sector worden verwerkt interessant. Deze gegevens kunnen gestolen en doorverkocht worden, of gebruikt (als opstap) voor een toekomstige aanval. Zoals voor alle vitale sectoren geldt, is de telecomsector een aantrekkelijk doelwit voor cybercriminelen omdat continuïteit van groot belang is.

Verschillen tussen het CSBN 2025 en voorgaande rapporten

Met Notebook LM zijn de verschillen met voorgaande rapporten nagegaan. Ik heb daaruit drie geselecteerd (de analyse ten aanzien van specifiek de telecomsector is ook nieuw en hierboven te lezen).

1. Eerste waargenomen cybersabotage door statelijke actoren

Het CSBN 2025 onderscheidt zich nadrukkelijk door de constatering van de eerste succesvolle moedwillige cybersabotage op Nederlands grondgebied door een statelijke actor.

  • CSBN 2025: De MIVD bevestigde dat Nederland in 2024 slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit.
  • Voorgaande jaren (bijv. CSBN 2021/2022): in eerdere rapporten was sabotage door statelijke actoren vooral een risico of een waargenomen activiteit in het buitenland. Zo vermeldde het CSBN 2021 expliciet dat gerichte aanvallen op vitale processen nog niet in Nederland waren waargenomen, hoewel ze wel elders voorkwamen. In CSBN 2022 werd gesproken over Nederland als doelwit van voorbereidingshandelingen voor sabotage. Het constateren van daadwerkelijke, succesvolle en opzettelijke sabotage binnen Nederland is een fundamentele en serieuze verschuiving.

2. Formele opname en duiding van Generatieve AI

Hoofdstuk 5 beschrijft dat generatieve AI de bestaande dreigingen voor digitale veiligheid versterkt en gaat in op hoe Large Language Models (LLM’s) zowel offensief als defensief kunnen worden ingezet.

  • Voorgaande jaren: hoewel eerdere rapporten wel melding maakten van nieuwe technologische invloeden (zoals kwantumtechnologie in CSBN 2023), was een concrete en uitgewerkte analyse van de bedreiging door Generatieve AI/LLM’s nog niet zo prominent aanwezig. Het CSBN 2023 vermeldde kort een NCSC-publicatie (maart 2023) over de risico’s van ChatGPT, maar de formalisering tot een strategisch hoofdstuk in 2025 benadrukt de verhoogde urgentie en invloed van deze technologie.

3. Directe benoeming van het langdurige falen van de rijksoverheid

Het CSBN 2025 geeft een bijzonder scherpe en expliciete kritiek op de langdurige ontoereikendheid van cybersecuritymaatregelen binnen de Rijksoverheid.

  • CSBN 2025: het rapport stelt dat maatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn en niet voldoen aan de zelf voorgeschreven informatiebeveiligingsrichtlijnen. Dit leidt tot een vals gevoel van veiligheid en maakt het onmogelijk om te concluderen dat overheidsorganisaties niet gecompromitteerd zijn.
  • Voorgaande jaren: hoewel eerdere rapporten ook kritisch waren over de Rijksoverheid (bijv. CSBN 2019 en CSBN 2020 over onvoldoende weerbaarheid en het niet op orde hebben van beveiliging), toonde CSBN 2022 nog een lichte opgaande lijn in de informatiebeveiliging, ondanks overblijvende tekortkomingen. De nadruk in CSBN 2025 op de langdurige ontoereikendheid en de daaruit voortvloeiende onzekerheid over de integriteit van de systemen is een zware waarschuwing.

Cybersecuritybeeld Nederland 2024

jjoerlemans

Op 28 oktober 2024 is het nieuwe Cybersecuritybeeld Nederland gepubliceerd. Deze blogpost betreft een samenvatting van de dingen die ik opvallend en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Af en toe plaats ik daar een observatie bij.

Ook heb ik voor deze blog post gebruik gemaakt van Notebook LM en de verschenen cybersecuritybeelden van 2012-2024. De resultaten met betrekking tot ransomware en de rol van statelijke actoren als dreiging voor cybersecurity vond ik leuk om in deze blog op te nemen. Je kan ook deze automatisch gegenereerde podcast luisteren over dit bericht.

Cybercrime (ransomware)

Ransomware krijgt weer nadrukkelijk de aandacht in het Cybersecuritybeeld Nederland 2024. Ik kan daarbij natuurlijk een opsomming geven van incidenten en hoe de dreiging misschien wel nog ernstiger is dan voorgaande jaren. In plaats daarvan vind ik het leuk eerst een indruk van de ontwikkelingen tussen 2012 en 2024 te geven.

Zoals hierboven vermeld heb ik daarvoor gebruikt gemaakt van Notebook LM van Google. Daarbij heb ik de rapporten van 2012-2024 bevraagd met volgende prompts: “sinds welk rapport en hoe vaak ransomware wordt genoemd als een bedreiging tot cybercriminaliteit?” “Wat is de ontwikkeling van ransomware op basis van de CBSN-rapporten?” en “Noem 10 incidenten tussen de jaren 2015-2024 op basis van de CSBN-rapporten”. Een combinatie van de antwoorden (voorlopig nog in het Engels) levert het volgende interessante resultaat op:

Early Mentions and Growing Concern (2012-2015):

  • 2012 CSBN: Ransomware is mentioned as a relevant threat to both citizens and private organisations, particularly highlighting the use of malware that falsely claims to be from the police to extort money. A specific incident is where malware impersonated the Dutch National Police Corps (KLPD) and demanded a €100 ransom from users.
  • The 2013 CSBN reports a significant increase in ransomware incidents and its adoption of encryption to complicate investigations.
  • 2014 CSBN: The report dedicates a specific section to ransomware and cryptoware, acknowledging a “major rise” in ransomware in recent years. It describes ransomware as increasingly innovative and aggressive, using sophisticated methods to target users and employing advanced payment methods like voucher codes and cryptocurrencies. The report also notes the emergence of cryptoware, a particularly concerning form of ransomware that encrypts user files.
  • 2015 CSBN: Ransomware and cryptoware are identified as the “cybercriminal business model par excellence”. The report highlights their increasing use by criminals to achieve their goals, emphasizing the high average returns per target due to the willingness of individuals and organisations to pay the ransom. The report anticipates further growth in the use of ransomware, particularly cryptoware, in the coming years. It mentions that Cryptolocker, CryptoFortress, Cryptowall and CTB-Locker are the main ransomware variants that were responsible for a significant number of infections in the Netherlands in 2015.

Ransomware as a Common Threat (2016-2017):

  • 2016 CSBN: Ransomware is described as “commonplace” and affecting all sectors of society. This report sheds light on the evolution of attackers’ tactics, from untargeted infections to more sophisticated and targeted phishing emails aimed at installing ransomware. It also notes a shift towards encrypting backups and network drives, expanding the impact of attacks beyond individual users’ computers. Two individuals in the Netherlands were arrested for developing and distributing the Coinvault ransomware (JJO: en het resultaat daarvan is hier te lezen).
  • 2017 CSBN: The report highlights the expansion of ransomware attacks, moving beyond traditional email-based attacks on workstations to include exploiting servers and holding information in poorly secured online databases hostage. The report also mentions the emergence of ransomware-as-a-service, making it easier for criminals to launch attacks. The 2017 report further emphasizes the pervasiveness of ransomware, stating that DDoS attacks and ransomware infections have become “daily fare” for large organisations. In March 2017, the Dutch Parliament (Tweede Kamer) experienced a ransomware infection that spread via email to several members of parliament. It also mentions the WannaCry attack from 2017.

Shifting Trends and Continued Relevance (2018-2024):

  • 2018 CSBN: While acknowledging a potential shift towards cryptojacking, the report indicates that both ransomware and cryptojacking attacks have likely increased in this reporting period. It reports on NotPetya, initially thought to be ransomware and later identified as a wiper, which was designed to destroy data rather than hold it hostage. The report emphasizes the destructive impact of NotPetya, noting its widespread disruption to businesses and critical infrastructure.
  • 2019 CSBN: The report observes a decline in ransomware infections in the second half of 2017, potentially due to improved recovery practices and the decreasing value of cryptocurrencies. However, the report anticipates that ransomware will continue to cause problems in the future.
  • 2020 CSBN: Ransomware is identified as a threat to critical infrastructure, highlighting its potential to disrupt essential services and systems.
  • 2021 CSBN: The report describes ransomware as a risk to national security, emphasizing its evolution into a sophisticated threat with a solid business model.
  • 2022 CSBN: Despite a decrease in reported cybercrime cases, the report underscores the continued impact and damage caused by ransomware attacks.
  • 2024 CSBN: While the report focuses on other emerging threats, it still acknowledges the persistent threat of ransomware, particularly in the context of state-sponsored attacks. The report makes use of mandatory data breach notifications about ransomware, received by the Dutch Data Protection Authority (AP). It found that approximately 50% of the attacks reported and investigated (178) by the AP, data exfiltration occurred alongside encryption. The report also references the Melissa project, a public-private partnership that identified at least 147 ransomware attacks targeting larger organisations (over 100 employees) in the Netherlands in 2023.

Key Observations:

  • The sources demonstrate a clear and consistent recognition of ransomware as a significant cybersecurity threat to the Netherlands, dating back to at least 2012.
  • The perceived threat from ransomware appears to escalate over time, with the sources progressively highlighting its growing sophistication, expanding attack vectors, and potential to disrupt critical infrastructure and national security.
  • While the frequency of ransomware attacks might fluctuate, the sources suggest that it remains a persistent and evolving threat that requires ongoing attention and mitigation efforts.

JJO: Het bovenstaande resultaat is uiteraard niet perfect en volledig, maar het biedt denk ik een mooi (geautomatiseerd) overzicht van de ontwikkeling van ransomware in Nederland!

En wil je toch het overzicht van cyberincidenten in 2023 en 2024 lezen (en je een hoedje schrikken), zie dan deze tijdlijn (.pdf) op p. 17-19 van het rapport.

Bron: Tijdlijn cybersecurityincidenten in binnen en buitenland, CSBN 2024.

Over ransomware wordt in het Cybersecuritybeeld Nederland 2024 verder benadrukt dat het “opvallend” is dat sommige ransomware-actoren zich enkel focusten op het exfiltreren van data. In plaats van het versleutelen van data en slachtoffers daarmee afpersen, deden zij dit door te dreigen met publicatie. Illustratief in dat kader is bijvoorbeeld de grootschalige data-exfiltratie bij het MOVEit-incident in 2023. Bij deze aanval werd er door de ransomware-actoren geen gebruik gemaakt van versleuteling van bestanden, maar werd een grote hoeveelheid gegevens gestolen waarna organisaties werden afgeperst. Een aantal Nederlandse bedrijven werd hier ook het slachtoffer van. Ook wordt benadrukt dat aanvallen op toeleveranciers voor problemen zorgen. Zo zijn een aantal Nederlandse zorginstellingen direct geraakt door cyberaanvallen, maar volgens ‘Z-CERT’ vaker de toeleveranciers van zorginstellingen. In Nederland hebben deze voor zover bekend geen impact gehad op de te verlenen zorg. Wel werden organisaties afgeperst met gestolen gegevens en werden gegevens gelekt. Daarbij gaat het veelal om gevoelige persoonsinformatie. Interessant is nog om te noemen dat ‘van de 147 ransomware-aanvallen er 81 alleen bij de politie bekend waren en 40 alleen bij de getroffen bedrijven. 26 aanvallen waren zowel bekend bij de getroffen bedrijven als bij de politie. Hieruit blijkt dat 40 aanvallen niet zijn gemeld bij de politie. Hoewel dat niet verplicht is, is dat wel wenselijk’.

Dit keer wordt in het Cybersecuritybeeld íets concreter uitgelegd op welke wijze ransomware ook de nationale veiligheid kan raken (op p. 44). De inzet van ransomware vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. De nationale veiligheid is in het geding wanneer het doelwit van zo’n aanval onderdeel is van de vitale infrastructuur (waaronder de Rijksoverheid en alle vastgestelde vitale processen) en de aanval de continuïteit van vitale processen verstoort, aldus de NCTV.

Overzicht internationale verstoringsacties

Ook het overzicht van internationale verstoringsacties is interessant om te lezen. Zo is te lezen dat in 2024 Europol en verschillende politiediensten met ‘Operatie Cronos’ de activiteiten van hackersgroep LockBit vestoorden. De Nederlandse politie speelde hierbij een belangrijke rol, zij haalde dertien belangrijke servers offline. Later dat jaar vond ‘Operation Endgame’ plaats, waarbij meer dan 100 computerservers offline gehaald en werden er meer dan 2.000 domeinnamen overgenomen. In Nederlandse datacentra heeft de politie tientallen servers in beslag genomen (JJO: dat zou een schat aan intelligence (en mogelijk bewijs?) moeten hebben opgeleverd). Verder werd met de door Europol gecoördineerde ‘Operation MORPHEUS’ crimineel gebruik van de legitieme tool Cobalt Strike aangepakt. Toen werden bijna 600 IP-adressen offline gehaald. Ook zijn een handvol personen naar aanleiding van deze operaties gearresteerd.

Voor het eerst, en op initiatief van Nederland, zijn cybercriminelen door de EU op de sanctielijst geplaatst. In totaal gaat het om zes hackers, waaronder twee cybercrime kopstukken. Zij zijn verantwoordelijk voor cyberoperaties die in de EU en in Oekraïne veel schade hebben veroorzaakt. Als gevolg van de sanctionering worden hun Europese tegoeden bevroren en ze mogen de EU niet meer in. Daarnaast mogen Europese burgers en organisaties deze mensen of groepen geen geld sturen of zaken met hen doen.

Volgens het Openbaar Ministerie, de Nationale Politie en Buitenlandse Zaken betekent dit dat partijen die digitale infrastructuur aanbieden dat niet meer kunnen en mogen aanbieden aan deze cybercriminelen en dat er ook een onderzoeksplicht geldt voor deze bedrijven. Daarmee wordt voorkomen dat deze cybercriminelen nog misbruik kunnen maken van digitale infrastructuur binnen de EU. De Verenigde Staten en het Verenigd Koninkrijk hebben vaker cybercriminelen op een sanctielijst geplaatst. De Verenigde Staten sanctioneerde in 2024 bijvoorbeeld vermeende leden van de LockBit-ransomwaregroep.

Ten slotte is het interessant te benoemen dat de Nederlandse inlichtingendiensten en Nationale Politie in 2024 samen met de VS een online beïnvloedingscampagne hebben verstoord. Samen met de Amerikaanse en Canadese autoriteiten, hebben de AIVD en MIVD de resultaten van het gezamenlijk onderzoek in de openbaarheid gebracht. De campagne was gericht op het beïnvloeden van het Amerikaanse publieke debat, er is geen indicatie dat deze ook is ingezet om het publieke debat in Nederland of Europa te beïnvloeden. De Nederlandse digitale infrastructuur werd misbruikt voor de campagne, zo stond een gebruikte server in Nederland. De AIVD en de MIVD achten het ‘zeer waarschijnlijk’ dat de Russische overheid betrokken is bij de ontwikkeling van de software die werd gebruikt in deze campagne (JJO: een fascinerende actie, wat mij betreft, waarbij het mij onduidelijk is op welke grondslag in welke wetgeving deze verstoring plaatsvond).

Statelijke actoren en cybersecurity

Net als voorgaande jaren identificeert het NCTV de dreiging van statelijke actoren en criminelen als de grootste bedreigingen op het gebied van cybercrime. Aan Notebook LM heb ik het volgende gevraagd: “vanaf wanneer worden statelijke actoren geïdentificeerd als bedreiging voor cybersecurity en vanaf wanneer als de grootste bedreiging?”

Daarop kreeg ik het volgende (wat mij betreft fascinerende) antwoord:

Early Recognition (2012-2014): The sources reveal an early awareness of state actors as a cybersecurity threat.

  • The 2012 CSBN already acknowledges state-sponsored espionage as a threat.
  • The 2013 CSBN explicitly states that the most significant threat in cyberspace to national security comes from state actors, particularly foreign intelligence services. This report emphasises that digital attacks have become a viable alternative to traditional espionage methods due to their low cost, limited risk of exposure, and high returns in terms of information gathering.
  • The 2014 CSBN describes state actors as the primary threat to Dutch interests, highlighting the growth in digital espionage activities, their increasing complexity, and impact. The report stresses that nearly every foreign intelligence service has invested in digital capabilities, making digital espionage accessible to more than just large and sophisticated agencies.

State Actors as a Dominant Threat (2016 onwards): From 2016 onwards, the sources consistently portray state actors as the most significant cybersecurity threat to the Netherlands.

  • The 2016 CSBN states that the greatest threat in the digital domain to national security comes from state actors, particularly foreign intelligence services. This assessment is repeated in subsequent reports, solidifying the view of state actors as the primary source of cyber threats to Dutch interests.
  • The 2018 CSBN declares that “states form the greatest digital threat” underscoring the growing concern regarding state-sponsored cyber activity. This report expands on the motives of state actors, indicating that their attacks aim at espionage, influence, disruption, and sabotage.
  • The 2019 CSBN reiterates the increasing threat posed by state actors, highlighting that countries like China, Iran, and Russia have offensive cyber programmes targeting the Netherlands. These countries use digital means to achieve geopolitical and economic objectives at the expense of Dutch interests.
  • The 2020 CSBN maintains that the most significant risk to national security stems from espionage and potential sabotage by state actors, along with the risk of large-scale outages in digital services.
  • The 2021 CSBN further emphasises the sophisticated capabilities of state actors, stating that “virtually every country with basic capabilities and the intention to digitally penetrate will be able to do so successfully at various organisations in the Netherlands“.
  • The 2022 CSBN asserts that cyberattacks by state actors have become the “new normal“, highlighting their routine use to gain geopolitical advantage.
  • The 2024 CSBN acknowledges the significant impact of state-sponsored cyber operations, particularly in the context of geopolitical tensions. The report notes that state actors are leveraging a broader “toolbox”, combining cyberattacks with other means to achieve their objectives.

Key Observations:

  • The sources demonstrate a clear and consistent recognition of state actors as a major cybersecurity threat to the Netherlands, starting as early as 2012.
  • The perceived threat from state actors appears to escalate over time, with the sources progressively highlighting their growing capabilities, evolving tactics, and the potential for significant disruption and damage.
  • While cybercriminals remain a persistent threat, the sources suggest that state actors have become the dominant cybersecurity concern, particularly due to their potential to threaten national security.
  • Note: It’s important to consider that these reports provide a Dutch perspective on the cyber threat landscape. Other countries or organisations might have different assessments or priorities regarding the relative threat posed by state actors and cybercriminals.

Over statelijke actoren wordt in het Cybersecuritybeeld Nederland 2024 wordt verder nog het volgende vermeld.

Meerdere statelijke actoren, zoals Rusland en China, intensiveren hun cyberactiviteiten. Voor een aantal landen is ook sprake van verbreding van de capaciteiten: ze voegen nieuwe methoden toe aan hun bestaande arsenaal of gebruiken andere, ook niet-digitale, middelen. Bovenop het gebruik van andere middelen uit een bredere gereedschapskist, is de inzet of betrokkenheid van niet-statelijke actoren onderdeel van die verbreding. Zo werd in 2023 een groter deel van de Russische digitale spionage-, sabotage- en beïnvloedingsactiviteiten uitgevoerd door ‘hacktivistische’ collectieven. Soms waren dit zogenoemde cover-operaties, soms waren het daadwerkelijk hacktivistische groeperingen die handelden in het verlengde van de Russische staat.

Een deel van de cybersecurityincidenten kunnen worden geplaatst in de context van geopolitieke spanningen. Het gaat dan vooral om de oorlog tegen Oekraïne, de strijd tussen Israël en Hamas en de spanningen tussen het westen en China. Wereldwijd ondervonden aanbieders van vitale processen hinder van cyberaanvallen. Als voorbeeld van digitale sabotage worden de voorbereidingshandelingen genoemd van de Chinese APT ‘Volt Typhoon’ in tegen de militaire en civiele infrastructuur van de VS.

De Chinese cyberdreiging bestond tot nu toe vooral uit mogelijke spionage, maar opvallend aan de campagne van Volt Typhoon is dat Chinese hackers mogelijk ook voorbereidingen troffen voor sabotage, en niet (enkel) voor spioneren. Vooralsnog zijn geen activiteiten uit dit programma tegen Europa bekend. De Chinese capaciteit op dit gebied groeit echter hard en zou binnen betrekkelijk korte tijd overal ter wereld ingezet kunnen worden. Dit maakt het Chinese cybersabotageprogramma de komende jaren in potentie een dreiging voor onder andere Nederland. Het Chinese offensieve cyberprogramma is mede gestoeld op samenwerking tussen bedrijfsleven, universiteiten en Chinese inlichtingendiensten. De scheidslijnen tussen organisaties zijn daarbij onduidelijk: personen vervullen soms zowel een wetenschappelijke rol als een rol in het Chinese veiligheidsapparaat en werken daarbij samen met Chinese (staats)bedrijven.

Datahandel en nationale veiligheid

Opvallend vind ik verder nog de opmerking in CSBN 2024 dat de ‘mondiale datahandel’ en het mogelijk misbruik daarvan de nationale veiligheid kan raken. Daarbij wordt onder andere gewezen naar databedrijven maken gebruik van geavanceerde advertentietechnologie, ook bekend onder de term real-time bidding (RTB). Onderdeel van RTB is dat sites en apps geautomatiseerd advertentieruimte aanbieden. Adverteerders kunnen op hun beurt advertenties inkopen voor heel specifieke profielen van gebruikers. Ook worden Meta en Google genoemd over grootschalige datahandel. De precisie van de opgebouwde profielen stelt, volgens de NCTV, groepen of individuen bloot aan een verhoogd risico op digitale spionage of online of fysieke intimidatie en dit kan de nationale veiligheid schaden. Het kan gaan om politici of andere mensen op gevoelige (overheids-)functies, maar ook om bedreigde personen of leden van diaspora-gemeenschappen afkomstig uit autoritaire regimes. Ook wordt hierbij verwezen naar de Amerikaanse discussie hierover (JJO: en dit beschrijf ik zelf ook in de recente publicatie: Balancing National Security and Privacy: Examining the Use of Commercially Available Information in OSINT Practices).

Interessanter nog vond ik de overweging dat slimme apparaten en moderne auto’s veel persoonsgevoelige data vergaren en delen met fabrikanten, die dat op hun beurt ook weer kunnen delen met andere partijen. De vorige minister van Infrastructuur en Waterstaat stelde nog in een Kamerbrief in januari 2024 dat automobilisten zeggenschap moeten hebben over hun voertuigdata en dat die alleen na toestemming met derde partijen mag worden gedeeld (zie ook Security.nl). Voertuigdata is data die door het voertuig zelf wordt gegenereerd door sensoren, camera’s of software in het voertuig. Het gaat dan bijvoorbeeld om de laadcapaciteit van batterijen, data die wordt gegenereerd door de regensensor, CO2-uitstoot, werking van veiligheidssystemen of de kilometerstand. Deze data kan worden uitgelezen op fysieke wijze of online via internet. In de brief wees hij op de risico’s van spionage van fabrikanten uit landen met een offensieve cyberstrategie tegen Nederland. Security.nl zegt daarbij terecht dat het hierbij om China gaat, omdat landen als Rusland, Iran en Noord-Korea geen auto’s op de Nederlandse markt brengen.

Quantum computing

Ook wordt de ‘toekomstige krachtige quantumcomputer’ als een risico voor de nationale veiligheid genoemd. Een quantumcomputer die over voldoende rekenkracht beschikt is namelijk in staat om veelgebruikte encryptiemethodes te verzwakken of te breken. Cryptografie speelt een sleutelrol als het gaat om het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van digitale processen en data. Voorbeelden hiervan zijn het aansturen van verkeerslichten en bruggen, communicatie in de vorm van e-mail of appberichten en het beschermen van identiteitsgegevens. Daarnaast wordt cryptografie gebruikt om vertrouwelijke, bedrijfsgeheime en staatsgeheime informatie te versleutelen.

De ontwikkeling van een krachtige quantumcomputer is de laatste jaren in een stroomversnelling geraakt, aldus het rapport. Hoewel het onwaarschijnlijk is dat er op dit moment quantumcomputers bestaan die de huidige cryptografie effectief kunnen breken, moet er wel nu al rekening gehouden worden met de mogelijke risico’s als gevolg van de komst van een krachtige quantumcomputer. Versleutelde data die nu onderschept en opgeslagen wordt, kan dan namelijk op een later moment ontsleuteld worden. Dit wordt ook wel store now, decrypt later genoemd, en vormt volgens de AIVD en het NCSC op dit moment de meest urgente dreiging voor organisaties in relatie tot de komst van een krachtige quantumcomputer. Daarom heeft de AIVD samen met andere partijen in 2023 een handboek gepubliceerd over postquantumveilige cryptografie.

JJO: op maandag 4 november 2024 spreek ik overigens voor Studium Generale (samen met anderen) over quantum computing in Tivoli (Utrecht)!

Cybersecuritybeeld Nederland 2023

jjoerlemans Een reactie plaatsen

Het Cybersecuritybeeld Nederland (CBSN) geeft elk jaar een goed inzicht in de belangrijke gebeurtenissen en trends in cybersecurity. In het CBSN was dit jaar veel aandacht voor het conflict tussen Rusland en Oekraïne en de kwetsbaarheid industriële internet of things systemen. In dit blogbericht vermeld ik de dingen die mij het meest opvielen.

Ransomware-incidenten

Ransomware blijft een enorm probleem en heeft soms grote gevolgen. Verschillende energiebedrijven zijn bijvoorbeeld in Europa getroffen door ransomware en het kwam naar buiten dat statelijke actoren aanvallen uitvoerden op bedrijven in de olie- en gassector. Indirect is dit zelfs al voorgekomen toen door een ransomware-aanval op de Duitse windmolenfabrikant Nordex meerdere windmolens op Windpark Oude Maas niet konden proefdraaien. De aanval is opgeëist door criminelen die achter de Conti-ransomware schuilen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd bijvoorbeeld ook getroffen door ransomware. De aanvallers wisten productiefaciliteiten, zoals machines voor het produceren van vaccins, te raken. De machines hebben tijdens de aanval grotendeels door kunnen draaien. Daarnaast zouden de aanvallers e-mails en documenten met wetenschappelijke data, zoals informatie over vaccins, hebben gestolen. Deze gestolen data is (deels) gepubliceerd op het darkweb.

Verder zijn bijvoorbeeld twee Gelderse gemeenten slachtoffer geworden van een datalek nadat aanvallers met SunCrypt-ransomware bestanden konden stelen. De aanvallers hebben 130GB aan data buitgemaakt en gepubliceerd op de leksite van SunCrypt. Onder andere identiteitsbewijzen behoorden tot de gelekte data. Volgens forensisch onderzoek zijn de aanvallers binnengedrongen door gestolen inloggegevens van een leverancier te misbruiken. Ten slotte kunnen we nog wijzen op de ransomware-aanval op ID-ware, een grote leverancier voor toepassingen rondom authenticatie en toegangspassen. De aanvallers hebben gegevens buitgemaakt van klanten van ID-ware en deze gepubliceerd op een leksite. In de dataset bevonden zich onder andere toegangspassen van leden en medewerkers van de Eerste en Tweede Kamer.

Het aantal ransomware-aanvallen (ook op Nederlandse organisaties) leek in 2022 eveneens tijdelijk te dalen, om aan het eind van het jaar weer toe te nemen. Vermoedelijk speelt hier de impact van de Russische oorlog tegen Oekraïne op het cybercriminele ecosysteem een rol. Beide landen zijn belangrijke bronlanden van zware, georganiseerde cybercriminaliteit. Criminelen kozen een kant in de oorlog, wat bestaande samenwerkingsverbanden onder druk zette. Toch moet deze – al dan niet tijdelijke – daling in het juiste perspectief worden gezien. De politiecijfers zijn nog steeds zorgwekkend hoog. Bedrijven, maar ook gemeenten en publieke instellingen lopen onverminderd het risico slachtoffer te worden van ransomware of andere vormen van cybercriminaliteit. Er wordt niet altijd aangifte gedaan, bijvoorbeeld om imagoschade te voorkomen. Uit politieonderzoek bleek dat criminelen buitgemaakte informatie verrijken met andere informatie én doorverkopen.

Conflict Rusland-Oekraïne

Het CSBN 2022 stelde dat cyberaanvallen door statelijke actoren het nieuwe normaal zijn en dat landen de digitale ruimte gebruiken om geopolitieke voordelen te behalen. Ook in deze rapportageperiode zijn cyberoperaties aan het licht gekomen die in verband worden gebracht met statelijke actoren, waaronder spionage, diefstal van intellectueel eigendom en het inzetten van destructieve malware. Volgens de AIVD en de MIVD is de Russische cybersabotagecampagne tegen Oekraïne ‘de meest grootschalige en intensieve uit de geschiedenis’. De Oekraïense digitale infrastructuur wordt vrijwel constant aangevallen. Russische hackers hebben vele verschillende types wiperware ingezet tegen Oekraïense doelwitten, ook binnen vitale sectoren. Opvallend is de betrokkenheid van criminele en hacktivistische actoren in de context van de oorlog. Een verder kenmerkend element in het verloop van de oorlog is dat private bedrijven steun aan Oekraïne verlenen. Dat gebeurt vaak in samenwerking met landen die steun bieden aan Oekraïne.

Verder houdt Rusland zich bezig met beïnvloeding van de publieke opinie in westerse landen door onder andere desinformatie te verspreiden. De Russische inlichtingendiensten zijn er bijvoorbeeld enkele malen in geslaagd om de controle over uitzendingen van Oekraïense media tijdelijk over te nemen en Russische boodschappen uit te zenden. Aansluitend werden de systemen van deze media digitaal gesaboteerd. Daarnaast hebben Russische staatsmedia consequent desinformatie naar buiten gebracht.

Vermenging statelijke actoren en criminele actoren

Met betrekking tot cybercriminaliteit is de vermenging tussen statelijke actoren en criminele actoren opvallend. Het rapport noemt hoe de criminele Conti-groep zijn steun betuigde aan Rusland, en gaf aan dat cyberaanvallen op Russische doelwitten zouden worden beantwoord met aanvallen op kritieke infrastructuur. Dat onderschrijft de notie dat criminelen bepaalde doelwitten bewust uitkiezen omdat die in lijn zijn met geopolitieke belangen van bepaalde staten, of dat er zelfs banden kunnen bestaan tussen overheden en cybercriminelen. Statelijke actoren kunnen namelijk cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. Daarnaast kunnen andere partijen, zoals statelijke actoren, zich ook voordoen als criminele organisaties. Hierdoor wordt de scheidslijn tussen financieel gemotiveerde cybercriminelen en statelijke actoren vager en lastiger te onderscheiden. Dat compliceert attributie.

Kwetsbare industriële IoT-systemen

Operationele technologie (OT) binnen industriële netwerken, ook wel aangeduid als ‘Industrial Automation and Control Systems’ (IACS), speelt een centrale rol in het aansturen, monitoren en beheren van fysieke processen binnen organisaties. Daarmee fungeert het ook als motor van vitale sectoren. OT raakt steeds meer vervlochten met informatietechnologie (IT). Daarnaast speelt het ‘Industrial Internet of Things’ (IIoT) een steeds belangrijker rol in industriële omgevingen. Dit heeft voordelen voor het optimaliseren van processen, maar het brengt ook risico’s met zich mee. Zo vergroot deze ontwikkeling het aanvalsoppervlak en daarmee het risico dat OT-systemen gecompromitteerd raken. Dit brengt uitdagingen met zich mee voor het beveiligen van dergelijke systemen. Daarbij is onder andere een grotere rol weggelegd voor detectie en mitigatie van digitale aanvallen. Op deze en andere vlakken is er – wellicht eufemistisch gezegd – “ruimte voor verbetering”.

Het CSBN wijst ook op nieuwe malware-soorten die zijn ontdekt voor de sabotage van OT-systemen. De eerste, ‘Industroyer2’, is ingezet tegen een Oekraïense energieleverancier, maar kon tijdig worden geneutraliseerd. ESET en de Oekraïense CERT attribueren Industroyer2 aan de Russische statelijke actor ‘Sandworm’. Ransomware-actoren vormen eveneens een risico voor de continuïteit van operationele systemen en fysieke processen. In juli 2022 is bijvoorbeeld een nieuwe ransomware-variant ontdekt, genaamd Luna. Deze variant bevat een lijst met OT-processen die, indien aanwezig, beëindigd worden alvorens over wordt gegaan tot versleuteling. Een dergelijke lijst wordt ook wel een kill-list genoemd.

Buiten de oorlog zijn ook verschillende wipers waargenomen. Zo werd bekend dat een geavanceerde cyberactor een nieuwe wiper heeft gebruikt bij aanvallen op de toeleveringsketen van organisaties in onder andere Israël. Ook criminelen lijken wiperfunctionaliteiten toe te voegen aan hun operaties. Een voorbeeld hiervan is de LokiLocker-ransomware. Die heeft een ingebouwde wiperfunctionaliteit die kan worden ingezet om slachtoffers af te persen.

Cyber Security Beeld Nederland 2021

jjoerlemans

Deze blogpost is een samenvatting van het Cyber Security Beeld Nederland (CSBN) 2021. Het betreft de dingen die ik opvallend vond en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Aan het einde plaats ik wat observaties bij het rapport.

Cybercrime

“Cybercrime heeft een industriële omvang aangenomen. Zo domineerde de groep achter het Emotet-botnet meerdere jaren de markt van het verkrijgen en daarna doorverkopen van toegang tot slachtoffernetwerken aan onder meer ransomware-groepen. Tijdens een internationale opsporingsoperatie in 2021 om dit botnet uit de lucht te halen, onderkende de politie wereldwijd 1,75 miljoen geïnfecteerde IP-adressen, 36 miljoen gestolen inloggegevens en ruim 4 miljoen gecompromitteerde (bedrijfs)mailaccounts. Dergelijke slachtofferaantallen zijn geen uitzondering meer. Ransomware is daarbij uitgegroeid tot een cybercriminele goudmijn.

Met recht is ransomware dan ook een gamechanger te noemen voor het cybercriminele ecosysteem. Het heeft geleid tot cybercriminele groeperingen die enorm vermogend zijn geworden. Nadat het TrickBot-botnet eind 2020 goeddeels was neergehaald, zou de groep volgens gelekte interne communicatie in het jaar daarop 20 miljoen Amerikaanse dollar hebben geïnvesteerd in het herstellen en verbeteren van de aanvalsinfrastructuur en de bedrijfsvoering.

Vrijwel elke stap voor zowel het plegen als het beschermen van cybercriminaliteit wordt als dienst aangeboden. Het cybercriminele ecosysteem laat zich dan ook steeds meer kenschetsen als een volwassen, wereldwijde economische sector waar vraag en aanbod samenkomen op onder meer cybercriminele fora en waar rationele economische afwegingen worden gemaakt tussen investering, risico en rendement. Door deze dienstverlening is cybercriminaliteit toegankelijk voor een grote diversiteit aan daders

Vooral op ondergrondse, online platformen zoals gesloten cybercriminele fora, maar ook op zogeheten booter- en stressersites of Telegram-kanalen bieden zij hun producten en diensten aan.

Het merendeel van de ransomware-aanvallen kenmerkt zich als ‘Ransomware-as-a-Service’ (RaaS). Ransomware-ontwikkelaars vonden hierin een middel om hun malware op grote schaal te verspreiden, zonder zelf direct risico te lopen. RaaS biedt de afnemers van dit product de kans om ook zonder noemenswaardige programmeervaardigheden ransomware toe te passen op netwerken of systemen. Deze afnemers, ook wel affiliates genoemd, vallen onder de categorie van afhankelijke plegers. Voor elke geslaagde ransomware-aanval betalen zij de ransomware-ontwikkelaar een vast overeengekomen percentage van het betaalde losgeld.”

JJO: over ‘Operation Ladybird’ (persbericht NL Politie en van Europol) richting het Emotet botnet wordt nog het volgende interessante opgemerkt:

“Het in 2021 door de politie en het OM offline gehaalde Emotet-botnet bijvoorbeeld, besmette wereldwijd meer dan een miljoen systemen met aanvalsmethoden die niet heel geavanceerd waren. Veelal werden computers ongericht met spam besmet De volgende stappen in het aanvalsproces waren vaak wél gericht en geavanceerd.

De groep achter Emotet manifesteerde zich als dienstverlener door de toegang tot netwerken door te verkopen binnen een selecte klantenkring. Ergens in dit proces vond ook een vorm van triage plaats, waarbij de meest kapitaalkrachtige netwerken hoger werden ingeschaald.

De afnemers, in de zin van andere autonome groepen, konden vervolgens hun additionele malware (laten) plaatsen. Bijvoorbeeld TrickBot, die werd ingezet om de positie te consolideren en informatie te stelen. Uiteindelijk waren actoren met behulp van Ryuk-ransomware in staat om op deze netwerken gericht ransomware in te zetten op strategische plekken, waarbij men in staat was om op reële wijze in te schatten wat de maximale losgeldeis kon zijn. Het (dreigen met) het publiceren van de eerder gestolen data kon hierbij fungeren als extra drukmiddel.”

JJO: Ook de volgende bevinding vond ik opvallend:

“Ransomware-aanvallen hebben in zowel de Verenigde Staten als in de Europese Unie tijdens de coronapandemie ziekenhuizen, COVID-19-onderzoeksinstellingen en een distributiecentrum voor vaccins ernstig gehinderd”

Offensieve cyberoperaties van staten

JJO: Het CSBN 2021 windt er geen doekjes om:

“Cyberaanvallen door statelijke actoren zijn niet meer zeldzaam te noemen: ze zijn eerder het nieuwe normaal. Het gebruik van de digitale ruimte door statelijke actoren lijkt eerder toe dan af te nemen. Een voor de hand liggende verklaring daarvoor is dat de digitale ruimte nog steeds aan omvang en betekenis toeneemt en daarmee ook de mogelijkheden voor misbruik.

De digitale ruimte wordt door staten gebruikt om geopolitiek voordeel te behalen. Dit kan financieel-economisch voordeel zijn, het behartigen van binnenlandse politieke en veiligheidsbelangen, of het beïnvloeden van buitenlandse verhoudingen. Statelijke actoren kunnen hiervoor onder meer de volgende digitale middelen inzetten:

1. Beïnvloeding en inmenging (inclusief het verspreiden van desinformatie);

2. Spionage, waaronder economische of politieke spionage;

3. Voorbereidingshandelingen voor en daadwerkelijke verstoring en sabotage.

Nederland is doelwit van een offensief cyberprogramma van landen als Rusland en China. Zij kunnen de genoemde digitale middelen inzetten tegen een breed scala aan mogelijke doelwitten, van lokale verenigingen tot internationale veiligheidsorganisaties en van één individu tot diasporagemeenschappen. Volgens de AIVD blijft de dreiging van offensieve cyberprogramma’s tegen Nederland en de Nederlandse belangen onverminderd hoog en zal deze in de toekomst alleen maar toenemen.

Russische statelijke actoren hebben meermaals (succesvolle) digitale aanvallen uitgevoerd op een EU-lidstaat. Dit valt binnen het normbeeld van Russische statelijke actoren en de aanhoudende digitale (spionage)dreiging die daarvan uitgaat. Deze actoren voeren veelvuldig digitale aanvallen uit op onder andere EU- en NAVO-lidstaten

De Chinese digitale spionage actor APT31 heeft op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor. De interesse vanuit statelijke actoren voor dergelijke doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectie mogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek mogelijk te maken.”

JJO: en elders staat nog over China:

“China is ongeëvenaard in de schaal waarop en de breedte waarin inlichtingen worden ingewonnen.”

“Groot is ook het aandeel van economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. Exemplarisch hiervoor is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen.

Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland.176 Daaruit spreekt zowel de capaciteit als de intentie om in Nederlandse organisaties binnen te dringen. De cybercapaciteiten, kennis en expertise van China en Rusland zijn zelfs zo omvangrijk, dat de kans groot is dat zij slagen wanneer ze ergens digitaal binnen willen dringen.

Volgens gelekte documenten deed een Iraanse cyberorganisatie in 2020 onderzoek naar het hacken van industriële controlesystemen. De Iraanse onderzoekers schrijven dat ze nog niet genoeg inzicht hebben in de systemen om fysieke sabotage mogelijk te maken. Uit de documenten blijkt dat de cyberactoren specifiek zochten naar gebouwbeheersystemen, onder andere in Nederland. Dit zou passen binnen het beeld van de toenemende aandacht voor cybersabotage binnen Iran.”

Cybercrime & nationale veiligheid

JJO: Vorig jaar was één van de in het oog springende uitspraken van het CSBN dat ransomware de nationale veiligheid van Nederland bedreigde. Dit jaar zeggen ze hierover:

“Organisaties die digitaal worden aangevallen zijn veelvuldig het slachtoffer van ransomware. De inzet hiervan vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. Vitale processen kunnen niet alleen zelf getroffen worden door ransomware, met alle gevolgen van dien, maar ook via leveranciersketens.

Dat is zeker het geval nu die aanvallen gepaard gaan met dubbele of zelfs drievoudige afpersing. Bij dubbele afpersing kunnen hackers na het versleutelen van bestanden dreigen met het publiceren van data als slachtoffers niet betalen. Bij drievoudige afpersing kunnen hackers via buitgemaakte gegevens ook klanten, partners en leveranciers van een getroffen organisatie een losgeldeis opleggen, in de hoop dat ook zij uit angst voor publicatie overgaan tot betaling.

Cybercriminelen zijn onverminderd in staat om omvangrijke schade toe te brengen aan digitale processen. Zij handelen vanuit financieel motief en hebben niet de intentie om de maatschappij te ontwrichten. Desondanks kunnen hun aanvallen zoveel impact veroorzaken dat ze nationale veiligheidsbelangen raken. De capaciteit van meerdere cybercriminele groepen is van gelijkwaardig hoog niveau als die van sommige statelijke actoren.

Statelijke actoren kunnen cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. De relaties tussen staten en cybercriminelen kunnen ertoe leiden dat cybercriminelen een kant kiezen in geopolitieke conflicten. Recent illustreerde de oorlog in Oekraïne dit, toen cybercriminele groepen gelieerd aan Rusland waarschuwden tegenstanders van Rusland in het conflict digitaal aan te zullen vallen.

Hackerscollectieven kunnen ook een rol spelen in hybride conflictvoering, zoals in de oorlog in Oekraïne in 2022 het geval is. Het gevaar is dat de activiteiten van hacktivisten verkeerd geïnterpreteerd worden door landen die het slachtoffer worden van hun aanvallen, wat tot tegenreacties kan leiden. Ook kunnen statelijke actoren onder de vlag van hacktivisten opereren. Door verhoogde activiteit van hackersgroepen is de kans aanwezig dat Nederland (neven)schade ondervindt van digitale aanvallen. Indien hackers cyberaanvallen vanuit of via Nederland uitvoeren op buitenlandse doelwitten, kan Nederland ook getroffen worden door een tegenreactie. Ook Nederlandse ingezetenen kunnen deelnemen aan acties van hacktivisten en zo betrokken raken bij conflicten. Betrokkenheid bij een conflict elders door het plegen van digitale aanvallen kan onvoorziene consequenties hebben en is bovendien strafbaar.”

Food for Thought    

Het CSBN zit bomvol waardevolle informatie. Een groot deel meen ik inmiddels ook wel te herkennen uit de praktijk, input van de politie en OM en ik zie informatie terug uit jaarverslagen en publieke rapporten van de AIVD en de MIVD.

De ‘beleidshoofdstukken’, de lay-out (ongeveer de helft van rapport bestaat uit lege pagina’s en plaatjes), vaagtaalgebruik (“De dreiging die van statelijke actoren uitgaat, is niet van vandaag of gisteren, maar ontwikkelt zich al langer. Soms wordt ze diffuser, soms juist meer manifest” (??!) en veel herhaling spreekt mij minder aan.

Maar wat mij echt stoort als is dat hier en daar een voorbeeld uit een internationale context erbij wordt gehaald voor het Cyber Security Beeld Nederland en met cijfers wordt gegooid waarvan ik de betrouwbaarheid betwijfel. Denk bijvoorbeeld aan de volgende tekst:

“In april 2020 schatte Help Net Security naar aanleiding van een enquête onder meer dan 500 leidinggevenden binnen het internationale MKB in dat 46 procent van het MKB ooit slachtoffer was geweest van ransomware.”

En over de omvang van de schade van ransomware voor Nederland kunnen blijkbaar geen zinnige dingen worden gezegd. Lees bijvoorbeeld:

“De Conti-ransomwaregroep zou zelfs recent de beschikking hebben gehad over 2 miljard dollar aan virtuele valuta”. Vorige week verscheen nog een artikel in het FD waarin gesproken werd over honderden miljoenen dollars. Wat is het nu?

Verder wordt over de omvang van schade door ransomware gezegd:

“De totale economische schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten van alle aanvallen bij elkaar opgeteld is moeilijk vast te stellen. (…) Het is niet bekend hoeveel de schade voor Nederland betreft. Deze blinde vlek heeft meerdere oorzaken.”

Maar het inschatten van de omvang lijkt mij juist wel een taak van een Nationaal Cyber Security Centrum. Of je laat daar als wiedeweerga onderzoek naar doen. Toch?

Ook vroeg ik mij af of hoe lang met het CSBN wordt doorgegaan. En hoe verhoudt het zich eigenlijk tot al die criminaliteitsmonitoren van het WODC en CBS? Zouden daar nog opties liggen of aanvullingen in liggen?

Of ben ik een te kritische lezer? Ach ja, wie weet zijn ze er volgend jaar wat voorzichtiger met welke (internationale cijfers) ze aanhalen.

Cybersecuritybeeld Nederland 2021 en rapport hackbevoegdheid Inspectie J&V

jjoerlemans

Cyber Security Beeld Nederland 2021

Op 29 juni 2021 is het nieuwe Cybersecuritybeeld Nederland 2021 (.pdf) verschenen. Dit bericht vat de belangrijkste informatie uit het rapport samen met betrekking digitale spionage en ransomware.  

In verband met de COVID-pandemie is er sprake is van een wereldwijd toegenomen digitale spionagedreiging richting de farmaceutische en medische industrie en onderzoekscentra die geneesmiddelen, antistoffen of vaccins ontwikkelen in relatie tot COVID-19. Nederlandse bedrijven en onderzoeksinstellingen die betrokken zijn bij de preventie en bestrijding van COVID-19 zijn een waarschijnlijk doelwit van deze digitale spionage. Voorzichtiger staat in het rapport geformuleerd ‘dat het mogelijk is’ dat Nederlandse overheidsinstanties die de preventie en bestrijding van COVID-19 coördineren slachtoffer worden van digitale spionage. En dat het mogelijk is dat digitale aanvallen uitgevoerd worden op (centrale) databases waarin, in het kader van COVID-19, persoonsgegevens van Nederlanders worden opgeslagen. Met betrekking tot de motieven van statelijke actoren, gaat het voor een belangrijk deel om het behartigen van binnenlandse politieke en veiligheidsbelangen, zoals het bestrijden van dissidenten die in het buitenland wonen en het streven naar het behoud van de status quo in het herkomstland: inclusief de bestaande statelijke structuur, rol en positie van het staatshoofd en rol en positie van de onderdanen (in zowel binnen- als buitenland). Ook spelen financieel-economische motieven een rol, zoals het behoud van inkomsten vanuit de diaspora (bevolkingsgroepen die buiten het land van herkomst wonen), die investeringen doet (zoals de aankoop van onroerend goed) en financiële ondersteuning biedt aan achtergebleven familie. Volgens het rapport is ook het aandeel ‘groot’ met betrekking tot economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. “Exemplarisch” is volgens het rapport is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen. Ten slotte gaat het ook om het versterken van de strategisch-militaire positie ten opzichte van andere staten en het verkrijgen van politieke informatie over regeringsstandpunten en besluitvorming van andere staten en het beïnvloeden van politiek-bestuurlijke processen in andere staten. Door impliciet of expliciet te dreigen met verstoring of sabotage kan een actor economische, politieke, diplomatieke of militaire invloed uitoefenen op zijn doelwit.

Zie ook het onderstaande schema uit het rapport:

Over de SolarWinds hack rapporteert het NCSC wel dat in december 2020 bekend werd dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Volgens SolarWinds heeft de opzettelijk gecreëerde kwetsbaarheid als achterliggend doel de systemen van de afnemers van de betreffende versie van SolarWinds Orion te compromitteren. Bij verschillende Amerikaanse overheidsinstanties is de kwetsbaarheid ook daadwerkelijk misbruikt. Meerdere cybersecuritybedrijven en techbedrijven die wereldwijd klanten hebben, zoals FireEye, Mimecast en Microsoft, hebben aangegeven gecompromitteerd te zijn via de kwetsbare versie van Orion. Microsoft stelde dat het de aanvallers waarschijnlijk uiteindelijk te doen was om toegang tot clouddiensten van de organisaties die doelwit waren. Experts gaan uit van spionage als motief. Ook in Nederland is de kwetsbare versie van SolarWinds aangetroffen, onder andere binnen de overheid en de vitale processen. Er is door het NCSC vooralsnog geen misbruik geconstateerd. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

Over ransomware zegt het NCTV dat er is een ontwikkeling geweest naar ‘Big Game Hunting’, d.w.z. het compromitteren van zorgvuldig geselecteerde organisaties. Meestal betreft het kapitaalkrachtige organisaties, verantwoordelijk voor continuïteit van processen of in bezit van unieke data. In februari 2021 zijn verschillende kennisinstellingen in Nederland aangevallen door criminele actoren, waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA), waarbij de aanval op de UvA en HvA succesvol is afgeslagen. Door ook back-ups van systemen onbruikbaar te maken, vergroten criminelen de impact van de aanval verder. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is en systemen opnieuw moeten worden opgebouwd. Ransomware-aanvallen kunnen ook langdurig impact hebben op processen wanneer er sprake is van de inzet van verschillende drukmiddelen, zoals de diefstal van informatie, waarna wordt gedreigd deze informatie te publiceren. Volgens de FBI komt ook het telefonisch dreigen met fysiek huisbezoek bij medewerkers van de bedreigde instelling. Aanvallers kunnen nog een stap verder gaan en klanten van hun doelwit proberen af te persen. Dat kan snel plaatsvinden, of pas na verloop van tijd, waardoor slachtoffers van een ransomware-aanval mogelijk langdurig worden geconfronteerd met de gevolgen van de oorspronkelijke aanval.

Een aantal cybercriminele groepen beschikt inmiddels over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zij hebben echter geen doel van maatschappelijke ontwrichting of sabotage voor ogen, maar een financieel motief. De cybercriminele groepen worden door staten gedoogd en staan onder druk om in opdracht van de staat soms activiteiten te verrichten. Soms wordt daarbij een beroep gedaan op hun ‘patriottisme’.

Rapport Inspectie J&V over de hackbevoegdheid

Op 29 juni 2021 heeft de Inspectie Justitie & Veiligheid het rapport ‘Verslag toezicht wettelijke hackbevoegdheid politie 2020’ (.pdf) gepubliceerd. Enkele interessante passages worden in bericht belicht.

De belangrijkste boodschap van de inspectie is dat het uitblijven van verbetering in de uitvoering van de hackbevoegdheid, volgens de regels in art. 126nba Sv en dan met name die in het Besluit onderzoek in een geautomatiseerd werk (Stb. 2018, 340), als een risico beschouwd. Zij hopen dat dit volgend jaar beter gaat. De bevindingen van de inspectie kunnen als input dienen voor de evaluatie van de Wet computercriminaliteit III die momenteel wordt uitgevoerd door het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Justitie & Veiligheid.

Het is belangrijk te realiseren dat de inspectie niet de toetsing en oordeelsvorming door de officier van justitie en de rechter-commissaris onderzoekt. Er vindt dus geen controle door de inspectie plaats op bijvoorbeeld de proportionaliteit van de inzet van de bijzondere opsporingsbevoegdheid. De zittingsrechter gaat hier over de procureur-generaal bij de Hoge Raad op grond van artikel 122 Wet op de rechterlijke organisatie. In het rapport staat dat de hackbevoegdheid niet is ingezet in de EncroChat-onderzoeken en deze zaken niet zijn onderzocht (ondanks dat een machtiging voor de hackbevoegdheid bij opsporingsonderzoeken naar georganiseerde misdaad is ingezet (art. 126uba Sv). De inspectie doet klaarblijkelijk ook geen onderzoek naar situaties waarbij op grond van art. 126ng lid 2 Sv in accounts van verdachten vanuit inbeslaggenomen apparaten wordt ingelogd.

De hackbevoegdheid is in 2020 in 14 zaken ingezet. Daarbij is er geen sprake geweest van nevenschade of veiligheidsrisico’s door het in stand houden van kwetsbaarheden. In 11 zaken is een bevel gegeven voor de inzet van een niet vooraf gekeurd technisch hulpmiddel. De Inspectie moet de commerciële software zelfs een ‘black box’ voor de politie. In bijna alle zaken (10 van de 14) is gebruik gemaakt van commerciële software, waarbij de leverancier volgens de inspectie toegang heeft tot bewijslogging met het middel is verkregen, zonder dat de politie dit kan beperken en controleren. Dit wordt overigens tegengesproken in een reactie van de minister in een Kamerbrief van 29 juni 2021. De politie en de Inspectie hebben geen kennis over de kwetsbaarheden waarvan de commerciële binnendringsoftware gebruik maakt.

Opvallend is verder dat twee keer is binnengedrongen op een ander geautomatiseerd dan in het afgegeven bevel stond. Wel was het een computer die in gebruik was bij desbetreffende verdachte. De inspectie plaats daarbij de opmerking dat de verkregen gegevens mogelijk niet gebruikt kunnen worden in de betreffende strafzaak. De inspectie kon ook niet altijd vaststellen op welke locatie en in welk lang een computer werd binnengedrongen. Dat is wel belangrijk, omdat voor de mogelijke inzet ervan in het buitenland apart toestemming moet worden gevraagd (zie de Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv, Strct. 2019, 10277).

Tenslotte was de logging op diverse punten niet in orde, waaronder de voorziening voor het maken van schermopnames. De Inspectie stelt vast dat in 2020 de verantwoording in processen-verbaal ‘onvolledig is en soms ontbreekt’. Voor de wel aanwezige processen-verbaal geldt dat ‘hieruit niet kan worden opgemaakt welke onderzoekshandelingen door wie op welk moment zijn uitgevoerd. In enkele gevallen kan dit ook niet worden vastgesteld op basis van het journaal en de aanwezige logging’.

De Inspectie doet over de problemen met commerciële software en gebreken in logging (zie onder) de stevige uitspraak dat ‘hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen’. In de begeleidende Kamerbrief wordt opgemerkt dat de zittingsrechter gaat over de betrouwbaarheid van het verkregen bewijs uit de inzet van de hackbevoegdheid. 

Cybersecuritybeeld Nederland 2020

jjoerlemans

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.  

Cybersecuritybeeld Nederland 2019 gepubliceerd

jjoerlemans Een reactie plaatsen

Posted op 8 juli 2019 op Oerlemansblog

In juni 2019 is een nieuw ‘Cybersecuritybeeld Nederland’ (.pdf) gepubliceerd. Het cybersecuritybeeld is een product van het Nationaal Cyber Security Centrum en biedt inzicht in de dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. Hieronder volgt een opsomming van lezenswaardige elementen uit het rapport.

Dreiging statelijke actoren

In het cybersecuritybeeld wordt de dreiging door ‘statelijke actoren’ (voornamelijk spionage) gezien als de grootste dreiging op het gebied van cybersecurity. De omvang van de dreiging die uitgaat van statelijke actoren blijft groeien. Landen als China, Iran en Rusland hebben offensieve cyberprogramma’s gericht tegen Nederland. Dit betekent dat deze landen digitale middelen inzetten om geopolitieke en economische doelstellingen te bereiken ten koste van Nederlandse belangen.

Ook cybersabatoge door staten heeft plaatsgevonden. Als voorbeeld wordt de malware ‘GreyEnergy’ genoemd, waarmee Poolse energie- en transportbedrijven in 2018 zijn geïnfecteerd. In het verleden zorgde andere destructieve malware, zoals ‘Industroyer’, al voor verstoring van de energielevering in Oekraïne. De groep die GreyEnergy vermoedelijk heeft ontwikkeld, is door het Verenigd Koninkrijk toegeschreven aan Rusland. GreyEnergy wordt als opvolger gezien van ‘BlackEnergy’, een malwaretoolkit die in verband is gebracht met cyberaanvallen op het energienet van Oekraïne in 2015 en 2016. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) besteedde opnieuw aandacht aan cyberaanvallen op de Duitse energiesector. Duitse bedrijven in verschillende vitale sectoren zouden verscheidene malen doelwit zijn geweest van grootschalige digitale campagnes. Hierdoor hebben de aanvallers toegang verkregen tot het kantoornetwerk van verschillende bedrijven. Het vermoeden bestaat dat de aanvallers uit waren op het verkrijgen van een positie binnen het netwerk om deze op een later moment uit te buiten.

In het rapport staat heel duidelijk dat: “verreweg de grootste dreiging op het gebied van economische spionage is afkomstig van China”. Deze spionage wordt gevoed door Chinese economische beleidsplannen, zoals ‘Made in China 2025’ en de ‘Nieuwe Zijderoutes’, waarmee het land zijn economische en geopolitieke invloed kan vergroten. China zet een breed scala aan (heimelijke) middelen in die het verdienvermogen van Nederlandse bedrijven ondermijnen en die op termijn kunnen resulteren in economische en politieke afhankelijkheden. Een van deze middelen is (digitale) economische spionage.

Ten slotte hebben Nederlandse inlichtingendiensten waargenomen dat een aantal Nederlandse ambassades in het Midden-Oosten en Centraal-Azië in 2017 en 2018 doelwit zijn geweest van digitale aanvallen, uitgevoerd door een buitenlandse inlichtingendienst.

Cybercrime en dreigingen door overige actoren

Ook de dreiging van criminelen blijft groot, onder meer door de schaalbaarheid van cybercrime. In de rapportageperiode hebben DDoS-aanvallen ervoor gezorgd dat een aantal Nederlandse banken tijdelijk slecht bereikbaar waren. Ook  de Belastingdienst, de Douane en DigiD waren enkele keren slecht bereikbaar door digitale aanvallen.

In de rapportageperiode zijn geen substantiële aanvallen door hacktivisten tegen Nederland of Nederlandse belangen waargenomen. Scriptkiddies en cybervandalen hebben vooral verstorende aanvallen uitgevoerd op organisaties, meestal met DDoS-aanvallen. Net als vorig jaar lijken criminele actoren verder in te zetten op het creëren van botnets en het verspreiden van cryptominers. De opstellers van het rapport wijzen naar Microsoft die constateert dat besmettingen met ransomware en cryptominers, na een piek begin 2018, de afgelopen periode zijn teruggelopen, zowel wereldwijd als in Nederland. Bedrijven lijken beter voorbereid te zijn op het herstellen van informatie na een ransomwarebesmetting, waardoor er minder losgeld wordt betaald. De inzet van cryptominers lijkt met het teruglopen van de koers van diverse cryptocurrencies af te nemen.

Steeds vaker gegevens van websites met behulp van ‘formjacking’. In dat geval past de aanvaller een website aan zodat informatie die de bezoeker invult bij de aanvaller terechtkomt. Op deze wijze kunnen criminelen bijvoorbeeld creditcardnummers onderscheppen van gebruikers van webwinkels. Volgens het IT-beveiligingsbedrijf Symantec krijgen met name kleine en middelgrote detailhandel krijgt hiermee te maken. De dreiging van insiders is het afgelopen jaar afgenomen. Digitale aanvallen vanuit terroristen zijn ook dit jaar niet waargenomen. Terroristische groeperingen zijn meer gericht op het plegen van fysieke aanslagen.

Weerbaarheid Rijksoverheid

In het rapport wordt verder opgemerkt dat de weerbaarheid van de Rijksoverheid niet op orde is. De Algemene Rekenkamer gaf op Verantwoordingsdag in mei 2018 aan dat op het gebied van ict-beveiliging slechts twee van de elf ministeries hun zaken op orde hadden. De president van de Algemene Rekenkamer stelt dat ‘de politieke en ambtelijke top van ministeries meer aandacht moet geven aan ict-beveiliging’. De veiligheidsmaatregelen zijn niet allemaal uitgevoerd om waterkeringen beter te beveiligen.

In het rapport wordt voorzichtig afgevraagd of er voldoende prikkels bestaan bij de overheid, het bedrijfsleven en bij consumenten om cybersecurity serieus te nemen. Het rapport geeft een alarmerend beeld weer, maar – zoals ook het NRC bijvoorbeeld bericht – het belang van cybersecurity lijkt nog steeds niet helemaal in politiek Den Haag door te dringen.

Cybersecuritybeeld 2018

jjoerlemans Een reactie plaatsen

Op 13 juni 2018 heeft het Nationaal Cyber Security Centrum (NCSC) het Cybersecuritybeeld Nederland gepubliceerd. In het cybersecuritybeeld wordt elk jaar een overzicht gegeven van de belangrijkste dreigingen voor Nederland. Ook worden de belangrijkste incidenten van afgelopen jaar besproken en trends weergegeven.

Nieuw is dat dit jaar een cyberaanval van een ‘kwaadwillend’ land als grootste digitale gevaar voor Nederland wordt genoemd. Gesteld wordt dat er nauwelijks nog conflicten op de wereld zijn waar bij géén digitale wapens worden ingezet. De technieken en kwaadaardige software die daarvoor worden gebruikt komen echter vervolgens in handen van criminelen die daarvoor gebruik maken. Een voorbeeld hiervan – en het grootste cybersecurityincident voor Nederland in 2017, vormde de aanval met ‘Not-Petya malware’ op 27 juni 2017. NotPetya was gebaseerd op de kwetsbaarheid ‘Eternalblue’ die toegeschreven is aan de NSA.  Daar was in maart 2017 al een patch voor beschikbaar, maar werd door veel computergebruikers niet geïnstalleerd. De verspreiding van de malware (hoofdzakelijk in Oekraïne) zorgde voor grote schade. Het bleek geen ransomware te zijn, maar ‘wiperware’. Dat wil zeggen dat de gegevens op besmette computers gewist worden. Het containerbedrijf Maersk, onder andere gevestigd in de haven van Rotterdam, ondervond zo’n 300 miljoen euro schade en moest ongeveer 45000 computers herinstalleren. De NotPetya-aanval is door onder andere de Verenigde Staten, Denemarken en het Verenigd Koninkrijk geattribueerd aan Rusland.

Cyberaanvallen zijn ‘profijtelijk, laagdrempelig en weinig riskant’, aldus het rapport. Daarom waarschuwen de auteurs van het rapport dat ‘in de context van recente geopolitieke ontwikkelingen staten digitale aanvallen instrumenteel blijven inzetten en mogelijk op grotere schaal toepassen’. In combinatie met de toenemende digitalisering van de samenleving neemt het risico op maatschappelijke ontwrichting toe. In 2017 zijn bij digitale inbraken bij diverse Europese multinationals en onderzoeksinstellingen in de energie-, hightech- en chemische sector, terabytes aan vertrouwelijke gegevens zijn gestolen.

Toch kunnen ook eenlingen nog steeds ernstige schade veroorzaken. Als voorbeeld worden de ddos-aanvallen op De Belastingdienst, DigiD en enkele banken genoemd. Hiervoor werd een 18-jarige jongeman gearresteerd die naar verluid de aanvallen kon uitvoeren met een ‘webstresser’ van 40 euro. Wellicht is niet geheel toevallig op 25 april 2018 door het Openbaar Ministerie de website ‘webstresser.org’ uit de lucht gehaald. Nieuwe, populaire vormen van cybercrime zijn ‘cryptomining’ en ‘cryptojacking’. Daarbij wordt met malware of via websites cryptografische munten aangemaakt door gebruikmaking van de rekenkracht van computers.  In het Smominru-botnet waren bijvoorbeeld meer dan 526.000 Windows-machines besmet met cryptominingmalware, waarmee naar verluid 2 miljoen dollar is verdiend.

Ten slotte is de scherpte stijging van meldingen van beveiligingslekken bij het NCSC opvallend. Tussen mei 2017 en april 2018 waren dat er 1140 meldingen, terwijl in het jaar daarvoor slechts 294 meldingen waren. De sterke stijging van meldingen zijn vooral uit India afkomstig.

Cyber Security Beeld Nederland 2017

jjoerlemans Een reactie plaatsen

Het cybersecuritybeeld biedt inzicht in de belangen, dreigingen, weerbaarheid en ontwikkelingen op het gebied van cybersecurity in de periode van mei 2016 tot en met april 2017.

Beroepscriminelen en statelijke actoren

Net als voorgaande jaren wordt in het beeld benadrukt dat beroepscriminelen en statelijke actoren de grootste bedreigingen vormen voor cybersecurity. Beroepscriminelen richten zich in toenemende mate op grote bedrijven voor financieel gewin. Ook is de trend zichtbaar dat steeds meer bedrijven en instellingen het slachtoffer worden van ransomware, waarbij het losgeld vaak in Bitcoin wordt geëist. De aanvallen door de WannaCry en Petya ransomware hebben in juni nog tot miljoenen euro’s aan schade geleid door de stillegging van de Tweede Maasvlakte. Daar is de gehele logistiek geautomatiseerd en deze apparaten raakten geïnfecteerd met de malware. Jihadisten zijn overigens binnnen de rapportageperiode nog niet in staat gebleken tot het uitvoeren van geavanceerde digitale aanvallen. Wel is de intentie daartoe aanwezig en worden hackers gezocht die zich bij het kalifaat willen aansluiten.

Cyberspionage

In het beeld wordt aangegeven dat bedrijven binnen de sectoren ICT, maritieme technologie, biotechnologie en lucht- en ruimtevaart, het slachtoffer zijn geweest van economische spionage. Deze activiteiten varieerden van enkel voorbereidingshandelingen tot het daadwerkelijk exfiltreren van vertrouwelijke bedrijfsgegevens. Naast digitale economische en politieke spionage en sabotage, zetten staten digitale middelen in voor de beïnvloeding van democratische processen. Daarbij kan gedachten worden aan de digitale aanvallen op de Amerikaanse Democratische Partij en tijdens de campagne van de Franse president Macron. Ook wordt zichtbaar dat veel organisaties afhankelijk zijn van een beperkt aantal aanbieders van digitale infrastructuurdiensten waardoor de maatschappelijk impact bij verstoring groot kan zijn. Datalekken zijn in de onderzoekersperiode toegenomen qua omvang en frequentie. Bovendien hebben kwetsbare apparten in het ‘internet der dingen’ geleid tot verstorende aanvallen die de noodzaak tot het versterken van de digitale weerbaarheid onderschrijven. Daarbij kan gedacht worden aan het ‘Mirai-botnet’, waarmee zeer krachtige denial-of-service aanvallen zijn uitgevoerd die tot uitval leiden van diensten als Twitter en Netflix.

De staatssecretaris van Veiligheid en Justitie waarschuwt dat ‘de digitale weerbaarheid van individuen en organisaties achter blijft bij de dreiging’. In zijn reactie op het rapport geeft hij aan dat hij de Cyber Security Raad heeft gevraagd advies te geven met betrekking tot de kansen en dreigingen van het Internet of Things. Hiermee kan worden verkend welke nationale en internationale mogelijkheden er bestaan om in gezamenlijkheid verder te werken aan de digitale veiligheid van producten en diensten. Ook vraagt hij de Cyber Security Raad, in het licht van de motie Hijink-Tellegen, advies te geven over de informatie-uitwisseling met betrekking tot cybersecurity en cybercrime. In het bijzonder vraagt hij in te gaan hoe gekomen kan worden tot een landelijk dekkend stelsel van informatieknooppunten, het bevorderen van informatie-uitwisseling en het delen van advies.

Eerste Cyber Security Beeld Nederland gepubliceerd

jjoerlemans Een reactie plaatsen

Posted on 28/12/2011 on Oerlemansblog

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld.

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren.

Brief minister
De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader
Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt

Bijzondere opsporingsbevoegdheden
In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld.
Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie
Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking
Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum
Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;
2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;
3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad
De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn.

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie
Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen.