Tag Cybersecuritybeeld

Cybersecuritybeeld Nederland 2025

jjoerlemans

Bron: infographic gegenereerd met Notebook LM op basis van de samenvatting

Op 26 november 2025 is het Cybersecuritybeeld Nederland 2025 (CSBN 2025 .pdf) gepubliceerd. Deze blog bevat een samenvatting van het rapport, waarbij gebruik is gemaakt van Notebook LM.

Het CSBN 2025 is uitgebracht onder de titel “Riskante mix in een onvoorspelbare wereld”. Dit wordt in het rapport meteen aan het begin als volgt verduidelijkt door erop te wijzen dat er Nederland meerdere organisaties doelwit waren van de Chinese statelijke actor Salt Typhoon, de Russische actor Laundry Bear een cyberaanval uitvoer op de Nationale Politie, Noord-Koreaanse hackers digitale valuta buitmaakten bij (onder andere) Nederlandse organisaties en werd Nederland voor het eerst slachtoffer werd van cybersabotage door een Russische staatsgesteunde groepering.

Alhoewel incidenten in Nederland niet hebben geleid tot maatschappelijke ontwrichting of significante impact op de nationale veiligheid, hadden verschillende incidenten wel die potentie, aldus het CSBN.

De toon is gezet!

Voorbeelden van nationale cybersecurity-incidenten

Ik bespreek eerst de cyberaanvallen op de Politie en het OM uit p. 18-23 van het rapport. Daarbij valt op dat er nog steeds relatief weinig informatie wordt gegeven. Daarom heb ik dat zelf maar antwoorden op Kamervragen erbij gezocht.

Had het CSBN de cybersecurity-incidenten bij de Politie en het OM niet centraal moeten zetten in plaats van aanvallen op de telecomsector? En waarom zijn er geen Kamervragen gesteld over het bericht over cybersabotage in Nederland? De begeleidende Kamerbrief bij het rapport bevat met name een opsomming van geplande wet- en regelgeving (deels ter implementatie van EU richtlijnen).

Politie

Eind september 2024 werd de politie slachtoffer van een hack waarbij contactgegevens van politiemedewerkers zijn buitgemaakt. Hierbij verkregen hackers toegang tot de gegevens van alle politiemedewerkers via de global address list en in sommige gevallen werden ook privégegevens buitgemaakt.

In antwoord op Kamervragen over het bericht “Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar” gaf de Minister van Justitie en Veiligheid aan de politie over de hack werd geïnformeerd door de inlichtingen- en veiligheidsdiensten. Daarop werden maatregelen getroffen, die zijn afgestemd op het huidige beeld, namelijk dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is voor het cyberincident bij de politie en dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het betreft onder meer ICT-maatregelen en maatregelen op het vlak van bewustwording, bijvoorbeeld een oproep tot extra waakzaamheid van politiemedewerkers op phishingmails en verdachte telefoontjes en berichten. Tevens monitort de politie of de buitgemaakte gegevens elders verschijnen. Tot slot blijft de politie alert op mogelijk nieuwe aanvallen. Daartoe monitort de politie haar systemen continu.

In mei 2025 maakten de inlichtingendiensten bekend dat de Russische groep ‘Laundry Bear’ verantwoordelijk was voor de aanval. Naast de aanval op de Nationale Politie werden wereldwijd ook andere organisaties door deze groep aangevallen, waaronder in Nederland.

Openbaar Ministerie

Op donderdag 17 juli 2025 ontkoppelde het Openbaar Ministerie de systemen van het internet naar aanleiding van een waarschuwing over kwetsbaarheden in Citrix NetScaler. Hierdoor moest het OM overstappen op noodprocedures om werkzaamheden voort te zetten. In het CSBN staat dit wat eufemistisch vermeld: “Dit zorgde voor hinder in de strafrechtketen, waarbij in sommige zaken ook direct vertraging ontstond.”

In het rapport is alleen te lezen dat “onbevoegden” toegang hebben verkregen tot de Citrix NetScaler-systemen van het OM. Er is tot op heden niet vastgesteld dat er gegevens zijn gemanipuleerd of weggehaald. Vreemd is ook dat er staat: “Ook bij de Dienst Justitiële Inrichtingen vond onderzoek plaats naar aanleiding van misbruik van de kwetsbaarheden”, zonder nadere toelichting. Het NCSC stelde dat meerdere kritieke Nederlandse organisaties succesvol zijn aangevallen via een van de Citrix-kwetsbaarheden en dat één van de kwetsbaarheden al ruim voor publieke bekendmaking werd misbruikt.

In een Kamerbrief uit augustus 2025 staat concreter dat “in de periode dat het OM geheel offline was er geen enkele informatie gedigitaliseerd (en soms geautomatiseerd) van en naar het OM worden gestuurd. Het OM en partners in en rondom de strafrechtketen hebben werkprocessen vastgesteld om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren”. In deze brief staat ook dat erbij DJI en andere organisatie naar aanleiding van nader ondezoek ‘geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen’. In de brief staan ook andere belangrijke nevengevolgen beschreven. Het ontbreken van informatie vanuit het OM voor de Justitiële Informatiedienst (Justid) ten behoeve van het Justitiële Documentatie Systeem (JDS) wordt bijvoorbeeld als “prangend knelpunt” benoemd. Het JDS is het officiële register waarin wordt bijgehouden wie op welk moment werd verdacht van een strafbaar feit en de afloop daarvan (sepot, vrijspraak of veroordeling). Het ontbreken van actuele gegevens van het OM in het JDS heeft tot gevolg dat partners in en rondom de strafrechtketen, burgers, gemeenten en lidstaten geen actuele informatie vanuit het OM ontvangen. Het OM en partners hebben werkafspraken gemaakt om de risico’s hiervan te mitigeren, maar deze risico’s zijn (nog) niet geheel uitgesloten. 

Begin augustus sloot het OM systemen stapsgewijs weer aan op het internet. In november 2025 berichtte de Minister van Justitie en Veiligheid (eindelijk) dat er ‘inmiddels een eerste technisch en forensisch onderzoek uitgevoerd. Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader strafrechtelijk onderzoek gedaan. Over het lopende strafrechtelijke onderzoek kan ik geen mededelingen doen. Er zijn maatregelen genomen om risico’s zoals hernieuwd misbruik van systemen en het risico op datamanipulatie te mitigeren. Inmiddels is het OM weer online.’ Ook wordt er een onafhankelijke commissie ingesteld die de ICT-inbraak onderzoekt, waarbij expliciet gekeken wordt hoe toekomstige beveiligingsincidenten voorkomen kunnen worden.

Hack Clinical Diagnostics (Eurofins):

Nadat Bevolkingsonderzoek Nederland melding maakte van een datalek, maakte Clinical Diagnostics (Eurofins) in augustus 2025 bekend dat gevoelige patiëntgegevens zijn gestolen van zorgverleners die onderzoek hebben laten uitvoeren bij het laboratorium. Dit gebeurde tijdens een ransomware-aanval in juli.

De organisatie Bevolkingsonderzoek Nederland informeerde 941.000 personen dat hun data mogelijk is buitgemaakt. Het datalek reikt echter verder dan deze organisatie: ook gegevens van onderzoeken voor andere zorginstellingen, zoals ziekenhuizen en huisartsen, zijn getroffen. Cybercriminelen claimden 300 GB aan data te hebben gestolen, waarvan een deel online verscheen. Uit een analyse van RTL Nieuws bleek dat het gaat om namen, adressen, geboortedata, burgerservicenummers en informatie over onderzoeksuitslagen. Ook adviezen naar aanleiding van onderzoeken zijn buitgemaakt. Onder de gegevens bevinden zich ook data van politici, gedetineerden, tbs’ers en vrouwen in blijf-van-mijn-lijfhuizen.

De hackersgroep eiste losgeld en dreigde de gestolen gegevens te publiceren. Later volgde een tweede eis, met de dreiging om alle data openbaar te maken omdat afspraken niet zouden zijn nagekomen, maar deze eis werd later ingetrokken. Clinical Diagnostics zou in eerste instantie losgeld hebben betaald om verdere datalekken te voorkomen, maar het bedrag is onbekend. In een Kamerbrief van 1 september 2025 is meer te lezen over de hack. Het advies voor de mensen die een brief van Bevolkingsonderzoek Nederland hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. De Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn inmiddels beide een onderzoek gestart.

Op 19 november 2025 verscheen een antwoord op Kamervragen van staatssecretaris Tielen. In de brief staat dat het Openbaar Ministerie onderzoek doet naar de hack. Ook zijn lab inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan een ‘scanningsdienst’ van Z-CERT, waarmee continu gemonitord wordt op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.

De MIVD stelde vast dat Nederland in 2024 voor het eerst slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit. Dit werd op 22 april 2025 bekend (zie bijv. dit bericht op Nu.nl) gemaakt, maar ik heb daarover geen Kamervragen kunnen vinden.

De MIVD waarschuwde in mei 2025 voor een spionagecampagne van APT28 (waarschijnlijk Russische staatshackers), gericht tegen Oekraïne en NAVO-landen. De Nederlandse krijgsmacht, ministeries en het bedrijfsleven zijn direct en indirect doelwit geweest van deze cyberspionagepogingen.

Ransomware

In 2024 hebben het NCSC, de Politie, het Openbaar Ministerie, Cyberveilig Nederland en cybersecuritybedrijven maandelijks informatie over ransomware-incidenten uitgewisseld in het kader van project ‘Melissa’. Uit die gegevens blijkt dat er in 2024 minimaal 121 unieke ransomware-incidenten in Nederland zijn geweest. Van deze incidenten zijn 76 bekend via aangiften en 20 via incident response bedrijven.

Uit een analyse van de ransomware-aanvallen in 2024 blijkt dat cybercriminelen geen nieuwe technieken gebruiken om ransomware in te zetten.

In 2024 ontving de Autoriteit Persoonsgegevens 1.430 unieke datalekmeldingen van cyberaanvallen, waarvan er 853 zijn onderzocht. Van de onderzochte aanvallen ging het in 112 gevallen (13 procent) om ransomware. Bij minimaal 53 procent van die ransomware-aanvallen werden gegevens gestolen.

Voorbeelden van internationale cybersecurity-incidenten

Hieronder geef ik enkele voorbeelden van aanvallen uit het buitenland, zoals beschreven in het rapport (p. 23-26).

In oktober 2024 zijn Europese overheden en militaire organisaties doelwit geweest van phishingaanvallen die door Google worden toegeschreven aan een aan Rusland gelieerde actor, aangeduid als UNC5837. De campagne maakte gebruik van ondertekende .rdp-bestandsbijlagen om Remote Desktop Protocol (RDP)-verbindingen tot stand te brengen vanaf de computers van de slachtoffers.

In 2024 werd bekend dat Chinese hackers van de groep Salt Typhoon minimaal een jaar lang toegang hebben gehad tot de netwerken van diverse telecomproviders. Volgens Amerikaanse autoriteiten zou het om meerdere Amerikaanse telecombedrijven gaan, waaronder T-Mobile, Verizon, AT&T en Lumen Technologies. De hackers zouden zo bij gespreksgegevens van prominente politici zijn gekomen. CISA en de FBI hebben bevestigd dat de hackers toegang hebben gehad tot privécommunicatie van een ‘gelimiteerd aantal’ mensen. Daarnaast stellen media op basis van anonieme bronnen dat de hackers toegang hebben gehad tot het afluisterplatform van de Amerikaanse overheid en verzoekgegevens van wetshandhavingsinstanties en telefoongesprekken van klanten gestolen. De campagne zou mogelijk al 1 tot 2 jaar lopen. Er is niet met zekerheid vastgesteld of de hackers uit het systeem zijn verwijderd.

Eind december 2024 heeft Denemarken gemeld dat pro-Russische hackers een Deens waterzuiveringsbedrijf hebben aangevallen, waardoor klanten enkele uren zonder water zaten. Een van de pijpleidingen is gebarsten door een verhoogde waterdruk.

In januari 2025 werd bekend dat na een hack bij Gravy Analytics (een commerciële datahandelaar) locatiegegevens van mogelijk miljoenen mensen zijn gelekt. Online claimde iemand bij de inbraak een dataset van 17TB aan data te hebben gestolen. In de dataset zouden locatiegegevens van gebruikers van honderden populaire apps (zoals Candy Crush, FlightRadar, Grindr en Tinder) verzameld zijn. De hacker dreigde de data openbaar te maken als het bedrijf het gevraagde losgeld niet zou betalen.

In februari 2025 meldde het Canadese Centrum voor Cybersecurity dat er bij meerdere Canadese telecommunicatiebedrijven activiteit van kwaadwillenden is geweest, specifiek van de Chinese cyberactor Salt Typhoon. De Canadese overheid meldde dat de systemen zijn gecompromitteerd via een bekende Cisco-kwetsbaarheid. Om welke telecommunicatiebedrijven het precies gaat, werd niet gespecificeerd.

In maart 2025 is bij een hack op de cryptobeurs Bybit bijna 1,5 miljard dollar aan digitale munten gestolen. Dit maakt het de grootste cryptodiefstal ooit. De aanval is door verschillende onderzoekers en de Amerikaanse autoriteiten toegeschreven aan Noord-Koreaanse hackers. Experts van verschillende bedrijven stelden al snel dat de Lazarus-hackers minstens 300 miljoen dollar wit hebben weten te wassen.

In april 2025 heeft de Waalse overheid zichzelf losgekoppeld van het internet nadat ze een grootschalige “gesofisticeerde en gerichte inbraak” hadden vastgesteld in het IT-systeem. De aanvaller, een onbekende partij, zou zich hebben gericht op een kwetsbare plek in de systemen van de Waalse overheid. Om te voorkomen dat de aanval tot (verdere) impact zou leiden, is besloten om de systemen los te koppelen van het internet, waardoor meerdere administratieve diensten offline waren.

Pro-Russische hackers zitten volgens de Noorse autoriteiten waarschijnlijk achter de vermoedelijke sabotage bij een dam in het Noorse Bremanger. Bij die sabotage-aanval werd de waterstroom beïnvloed. De hackers kregen toegang tot een digitaal systeem dat op afstand een van de kleppen van de dam bestuurt en openden deze om de waterstroom te vergroten. De klep stond ongeveer vier uur open en in totaal liepen er miljoenen liters water weg, maar dit vormde geen gevaar voor de omgeving.

Op 23 juli 2025 waren de mobiele 4G- en 5G-netwerken van Luxemburg meer dan drie uur onbereikbaar. Grote delen van de bevolking konden de hulpdiensten niet bellen omdat het 2G-noodsysteem overbelast raakte. Ook internettoegang en elektronisch bankieren waren niet mogelijk. Volgens overheidsverklaringen aan het parlement werd de uitval veroorzaakt door een cyberaanval. Deze aanval zou opzettelijk verstorend zijn geweest en niet een poging om het telecomnetwerk te compromitteren.

Verwevenheid tussen staten en georganiseerde criminaliteit

Het CSBN stelt dat statelijke actoren cyberaanvallen inzetten om hun politieke, militaire en/of economische doelen te bereiken. Door een offensief cyberprogramma op te zetten, kunnen statelijke actoren (heimelijk) hun belangen behartigen zonder de juridische drempel van gewapend conflict te overschrijden. Ten aanzien van pro-Russische hacktivisten zien de MIVD en AIVD dat vanaf eind 2023 de risicobereidheid van deze groeperingen toeneemt bij het ontplooien van offensieve cybercapaciteiten tegen westerse landen. Alle door hen onderzochte pro-Russische hacktivistische groeperingen worden in zekere mate gesteund door de Russische overheid.

Voor China geldt dat er een nauwe verwevenheid bestaat tussen inlichtingen- en veiligheidsdiensten, kennisinstellingen en bedrijven. Chinese bedrijven leveren bijvoorbeeld aanvalsinfrastructuur of malware, en kennisinstellingen doen onderzoek naar kwetsbaarheden in edge devices. Hierdoor zijn Chinese actoren structureel succesvol in het hacken van onder meer westerse overheden en bedrijven.

In de afgelopen rapportageperiode werd voor het eerst bekend dat een middelgroot beursgenoteerd Chinees bedrijf direct betrokken is geweest bij het uitvoeren van cyberoperaties. Voorheen waren weliswaar diverse andere Chinese bedrijven geïdentificeerd die zelf offensieve cyberoperaties uitvoeren, maar daarbij ging het om frontorganisaties van Chinese inlichtingen- en veiligheidsdiensten of relatief kleine en obscure bedrijven.

Noord-Korea is een voorbeeld van een statelijke actor die technieken en aanvallen inzet die normaliter worden geassocieerd met niet-statelijke actoren. Alhoewel een gedeelte van Noord-Koreaanse cyberaanvallen gericht is op spionage, is een groot deel ook gericht op financieel gewin. Een financieel motief wordt over het algemeen geassocieerd met criminele cyberactoren, waarbij de cryptosector een geliefd doelwit is.

In de afgelopen rapportageperiode is gebleken dat zowel Rusland als China voorbereidingshandelingen voor digitale sabotage hebben ondernomen. Deze handelingen hebben tot op heden geen ontwrichtende impact gehad in Nederland.

De MIVD stelt dat Rusland inmiddels een grotere risicobereidheid toont, die zich manifesteert via meer brutale, agressieve of provocatieve activiteiten in zowel het fysieke als het cyberdomein.

Infographic dreigingen CSBN 2025

Met Notebook LM is deze infographic gegeneerd over de dreigingen uit het CSBN 2025 ten aanzien van Nederland en omringende landen.

De originele tabel met de verwevenheid tussen statelijke en niet-statelijke actoren staat hieronder:

Bron: CSBN 2025, p. 31.

Bijzondere aandacht voor de Telecomsector

Hieronder volgen enkele interessante passages uit het CSBN ten aanzien van de telecomsector (p. 35-37).

De grootschalige en vergaande cybercampagne in de Verenigde Staten laat zien dat de dreiging richting de telecomsector reëel is. Ook een aantal kleine Nederlandse internet service- en hosting providers was doelwit van Salt Typhoon. Volgens de AIVD en de MIVD is toegang verkregen tot routers van deze aanbieders, maar dat de aanvallers voor zover bekend niet verder zijn doorgedrongen in de interne netwerken. Een mogelijke verklaring daarvoor is dat de Nederlandse doelwitten niet dezelfde mate van aandacht kregen van de hackers. De FBI heeft aangegeven dat Salt Typhoon meer dan 200 bedrijven in 80 landen heeft aangevallen.

Het CSBN nuanceert dat de situatie in de VS niet één-op-één te vertalen is naar de situatie in Nederland. De infrastructuur van de telecomsector in de VS is, in tegenstelling tot veel Europese landen en zeker tot Nederland, verouderd en bestaat volgens de voorzitter van de Senaatscommissie van inlichtingen uit een “brei van aan elkaar geplakte netwerken”. Maar hoewel de Nederlandse situatie niet overeenkomt met die in de VS, kennen ook vitale sectoren in Nederland risico’s door een grote afhankelijkheid van buitenlandse leveranciers en een toenemende complexiteit van de infrastructuur.

Voor zowel criminele als statelijke actoren is de telecomsector onder andere interessant omdat de sector enorme hoeveelheden persoonsgegevens verwerkt, waaronder gespreksgegevens, locatiegegevens, klantgegevens en internetverkeer. Toegang tot deze gegevens kan door statelijke actoren misbruikt worden om personen te volgen, te monitoren en te beïnvloeden, zoals leden van diasporagemeenschappen, activisten of dissidenten. De sector is ook interessant voor statelijke actoren vanwege de opties voor spionage. Hacks op telecommunicatieproviders behoren volgens de AIVD tot de meest waardevolle inlichtingenposities voor hen.

Door spionage kan data worden verworven en kennis worden opgedaan over de infrastructuur, wat enerzijds een spionagedoel kan dienen, maar anderzijds ook gebruikt kan worden als verkenning van de netwerken. Een dergelijke verkenning kan onderdeel zijn van (voorbereidingshandelingen voor latere) sabotage. Voorbereidingshandelingen stellen actoren in staat om sabotageacties met weinig tot geen waarschuwing uit te voeren.

Voor cybercriminelen zijn vooral de grote hoeveelheden persoonsgegevens die in de sector worden verwerkt interessant. Deze gegevens kunnen gestolen en doorverkocht worden, of gebruikt (als opstap) voor een toekomstige aanval. Zoals voor alle vitale sectoren geldt, is de telecomsector een aantrekkelijk doelwit voor cybercriminelen omdat continuïteit van groot belang is.

Verschillen tussen het CSBN 2025 en voorgaande rapporten

Met Notebook LM zijn de verschillen met voorgaande rapporten nagegaan. Ik heb daaruit drie geselecteerd (de analyse ten aanzien van specifiek de telecomsector is ook nieuw en hierboven te lezen).

1. Eerste waargenomen cybersabotage door statelijke actoren

Het CSBN 2025 onderscheidt zich nadrukkelijk door de constatering van de eerste succesvolle moedwillige cybersabotage op Nederlands grondgebied door een statelijke actor.

  • CSBN 2025: De MIVD bevestigde dat Nederland in 2024 slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit.
  • Voorgaande jaren (bijv. CSBN 2021/2022): in eerdere rapporten was sabotage door statelijke actoren vooral een risico of een waargenomen activiteit in het buitenland. Zo vermeldde het CSBN 2021 expliciet dat gerichte aanvallen op vitale processen nog niet in Nederland waren waargenomen, hoewel ze wel elders voorkwamen. In CSBN 2022 werd gesproken over Nederland als doelwit van voorbereidingshandelingen voor sabotage. Het constateren van daadwerkelijke, succesvolle en opzettelijke sabotage binnen Nederland is een fundamentele en serieuze verschuiving.

2. Formele opname en duiding van Generatieve AI

Hoofdstuk 5 beschrijft dat generatieve AI de bestaande dreigingen voor digitale veiligheid versterkt en gaat in op hoe Large Language Models (LLM’s) zowel offensief als defensief kunnen worden ingezet.

  • Voorgaande jaren: hoewel eerdere rapporten wel melding maakten van nieuwe technologische invloeden (zoals kwantumtechnologie in CSBN 2023), was een concrete en uitgewerkte analyse van de bedreiging door Generatieve AI/LLM’s nog niet zo prominent aanwezig. Het CSBN 2023 vermeldde kort een NCSC-publicatie (maart 2023) over de risico’s van ChatGPT, maar de formalisering tot een strategisch hoofdstuk in 2025 benadrukt de verhoogde urgentie en invloed van deze technologie.

3. Directe benoeming van het langdurige falen van de rijksoverheid

Het CSBN 2025 geeft een bijzonder scherpe en expliciete kritiek op de langdurige ontoereikendheid van cybersecuritymaatregelen binnen de Rijksoverheid.

  • CSBN 2025: het rapport stelt dat maatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn en niet voldoen aan de zelf voorgeschreven informatiebeveiligingsrichtlijnen. Dit leidt tot een vals gevoel van veiligheid en maakt het onmogelijk om te concluderen dat overheidsorganisaties niet gecompromitteerd zijn.
  • Voorgaande jaren: hoewel eerdere rapporten ook kritisch waren over de Rijksoverheid (bijv. CSBN 2019 en CSBN 2020 over onvoldoende weerbaarheid en het niet op orde hebben van beveiliging), toonde CSBN 2022 nog een lichte opgaande lijn in de informatiebeveiliging, ondanks overblijvende tekortkomingen. De nadruk in CSBN 2025 op de langdurige ontoereikendheid en de daaruit voortvloeiende onzekerheid over de integriteit van de systemen is een zware waarschuwing.

Cybersecuritybeeld Nederland 2024

jjoerlemans

Op 28 oktober 2024 is het nieuwe Cybersecuritybeeld Nederland gepubliceerd. Deze blogpost betreft een samenvatting van de dingen die ik opvallend en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Af en toe plaats ik daar een observatie bij.

Ook heb ik voor deze blog post gebruik gemaakt van Notebook LM en de verschenen cybersecuritybeelden van 2012-2024. De resultaten met betrekking tot ransomware en de rol van statelijke actoren als dreiging voor cybersecurity vond ik leuk om in deze blog op te nemen. Je kan ook deze automatisch gegenereerde podcast luisteren over dit bericht.

Cybercrime (ransomware)

Ransomware krijgt weer nadrukkelijk de aandacht in het Cybersecuritybeeld Nederland 2024. Ik kan daarbij natuurlijk een opsomming geven van incidenten en hoe de dreiging misschien wel nog ernstiger is dan voorgaande jaren. In plaats daarvan vind ik het leuk eerst een indruk van de ontwikkelingen tussen 2012 en 2024 te geven.

Zoals hierboven vermeld heb ik daarvoor gebruikt gemaakt van Notebook LM van Google. Daarbij heb ik de rapporten van 2012-2024 bevraagd met volgende prompts: “sinds welk rapport en hoe vaak ransomware wordt genoemd als een bedreiging tot cybercriminaliteit?” “Wat is de ontwikkeling van ransomware op basis van de CBSN-rapporten?” en “Noem 10 incidenten tussen de jaren 2015-2024 op basis van de CSBN-rapporten”. Een combinatie van de antwoorden (voorlopig nog in het Engels) levert het volgende interessante resultaat op:

Early Mentions and Growing Concern (2012-2015):

  • 2012 CSBN: Ransomware is mentioned as a relevant threat to both citizens and private organisations, particularly highlighting the use of malware that falsely claims to be from the police to extort money. A specific incident is where malware impersonated the Dutch National Police Corps (KLPD) and demanded a €100 ransom from users.
  • The 2013 CSBN reports a significant increase in ransomware incidents and its adoption of encryption to complicate investigations.
  • 2014 CSBN: The report dedicates a specific section to ransomware and cryptoware, acknowledging a “major rise” in ransomware in recent years. It describes ransomware as increasingly innovative and aggressive, using sophisticated methods to target users and employing advanced payment methods like voucher codes and cryptocurrencies. The report also notes the emergence of cryptoware, a particularly concerning form of ransomware that encrypts user files.
  • 2015 CSBN: Ransomware and cryptoware are identified as the “cybercriminal business model par excellence”. The report highlights their increasing use by criminals to achieve their goals, emphasizing the high average returns per target due to the willingness of individuals and organisations to pay the ransom. The report anticipates further growth in the use of ransomware, particularly cryptoware, in the coming years. It mentions that Cryptolocker, CryptoFortress, Cryptowall and CTB-Locker are the main ransomware variants that were responsible for a significant number of infections in the Netherlands in 2015.

Ransomware as a Common Threat (2016-2017):

  • 2016 CSBN: Ransomware is described as “commonplace” and affecting all sectors of society. This report sheds light on the evolution of attackers’ tactics, from untargeted infections to more sophisticated and targeted phishing emails aimed at installing ransomware. It also notes a shift towards encrypting backups and network drives, expanding the impact of attacks beyond individual users’ computers. Two individuals in the Netherlands were arrested for developing and distributing the Coinvault ransomware (JJO: en het resultaat daarvan is hier te lezen).
  • 2017 CSBN: The report highlights the expansion of ransomware attacks, moving beyond traditional email-based attacks on workstations to include exploiting servers and holding information in poorly secured online databases hostage. The report also mentions the emergence of ransomware-as-a-service, making it easier for criminals to launch attacks. The 2017 report further emphasizes the pervasiveness of ransomware, stating that DDoS attacks and ransomware infections have become “daily fare” for large organisations. In March 2017, the Dutch Parliament (Tweede Kamer) experienced a ransomware infection that spread via email to several members of parliament. It also mentions the WannaCry attack from 2017.

Shifting Trends and Continued Relevance (2018-2024):

  • 2018 CSBN: While acknowledging a potential shift towards cryptojacking, the report indicates that both ransomware and cryptojacking attacks have likely increased in this reporting period. It reports on NotPetya, initially thought to be ransomware and later identified as a wiper, which was designed to destroy data rather than hold it hostage. The report emphasizes the destructive impact of NotPetya, noting its widespread disruption to businesses and critical infrastructure.
  • 2019 CSBN: The report observes a decline in ransomware infections in the second half of 2017, potentially due to improved recovery practices and the decreasing value of cryptocurrencies. However, the report anticipates that ransomware will continue to cause problems in the future.
  • 2020 CSBN: Ransomware is identified as a threat to critical infrastructure, highlighting its potential to disrupt essential services and systems.
  • 2021 CSBN: The report describes ransomware as a risk to national security, emphasizing its evolution into a sophisticated threat with a solid business model.
  • 2022 CSBN: Despite a decrease in reported cybercrime cases, the report underscores the continued impact and damage caused by ransomware attacks.
  • 2024 CSBN: While the report focuses on other emerging threats, it still acknowledges the persistent threat of ransomware, particularly in the context of state-sponsored attacks. The report makes use of mandatory data breach notifications about ransomware, received by the Dutch Data Protection Authority (AP). It found that approximately 50% of the attacks reported and investigated (178) by the AP, data exfiltration occurred alongside encryption. The report also references the Melissa project, a public-private partnership that identified at least 147 ransomware attacks targeting larger organisations (over 100 employees) in the Netherlands in 2023.

Key Observations:

  • The sources demonstrate a clear and consistent recognition of ransomware as a significant cybersecurity threat to the Netherlands, dating back to at least 2012.
  • The perceived threat from ransomware appears to escalate over time, with the sources progressively highlighting its growing sophistication, expanding attack vectors, and potential to disrupt critical infrastructure and national security.
  • While the frequency of ransomware attacks might fluctuate, the sources suggest that it remains a persistent and evolving threat that requires ongoing attention and mitigation efforts.

JJO: Het bovenstaande resultaat is uiteraard niet perfect en volledig, maar het biedt denk ik een mooi (geautomatiseerd) overzicht van de ontwikkeling van ransomware in Nederland!

En wil je toch het overzicht van cyberincidenten in 2023 en 2024 lezen (en je een hoedje schrikken), zie dan deze tijdlijn (.pdf) op p. 17-19 van het rapport.

Bron: Tijdlijn cybersecurityincidenten in binnen en buitenland, CSBN 2024.

Over ransomware wordt in het Cybersecuritybeeld Nederland 2024 verder benadrukt dat het “opvallend” is dat sommige ransomware-actoren zich enkel focusten op het exfiltreren van data. In plaats van het versleutelen van data en slachtoffers daarmee afpersen, deden zij dit door te dreigen met publicatie. Illustratief in dat kader is bijvoorbeeld de grootschalige data-exfiltratie bij het MOVEit-incident in 2023. Bij deze aanval werd er door de ransomware-actoren geen gebruik gemaakt van versleuteling van bestanden, maar werd een grote hoeveelheid gegevens gestolen waarna organisaties werden afgeperst. Een aantal Nederlandse bedrijven werd hier ook het slachtoffer van. Ook wordt benadrukt dat aanvallen op toeleveranciers voor problemen zorgen. Zo zijn een aantal Nederlandse zorginstellingen direct geraakt door cyberaanvallen, maar volgens ‘Z-CERT’ vaker de toeleveranciers van zorginstellingen. In Nederland hebben deze voor zover bekend geen impact gehad op de te verlenen zorg. Wel werden organisaties afgeperst met gestolen gegevens en werden gegevens gelekt. Daarbij gaat het veelal om gevoelige persoonsinformatie. Interessant is nog om te noemen dat ‘van de 147 ransomware-aanvallen er 81 alleen bij de politie bekend waren en 40 alleen bij de getroffen bedrijven. 26 aanvallen waren zowel bekend bij de getroffen bedrijven als bij de politie. Hieruit blijkt dat 40 aanvallen niet zijn gemeld bij de politie. Hoewel dat niet verplicht is, is dat wel wenselijk’.

Dit keer wordt in het Cybersecuritybeeld íets concreter uitgelegd op welke wijze ransomware ook de nationale veiligheid kan raken (op p. 44). De inzet van ransomware vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. De nationale veiligheid is in het geding wanneer het doelwit van zo’n aanval onderdeel is van de vitale infrastructuur (waaronder de Rijksoverheid en alle vastgestelde vitale processen) en de aanval de continuïteit van vitale processen verstoort, aldus de NCTV.

Overzicht internationale verstoringsacties

Ook het overzicht van internationale verstoringsacties is interessant om te lezen. Zo is te lezen dat in 2024 Europol en verschillende politiediensten met ‘Operatie Cronos’ de activiteiten van hackersgroep LockBit vestoorden. De Nederlandse politie speelde hierbij een belangrijke rol, zij haalde dertien belangrijke servers offline. Later dat jaar vond ‘Operation Endgame’ plaats, waarbij meer dan 100 computerservers offline gehaald en werden er meer dan 2.000 domeinnamen overgenomen. In Nederlandse datacentra heeft de politie tientallen servers in beslag genomen (JJO: dat zou een schat aan intelligence (en mogelijk bewijs?) moeten hebben opgeleverd). Verder werd met de door Europol gecoördineerde ‘Operation MORPHEUS’ crimineel gebruik van de legitieme tool Cobalt Strike aangepakt. Toen werden bijna 600 IP-adressen offline gehaald. Ook zijn een handvol personen naar aanleiding van deze operaties gearresteerd.

Voor het eerst, en op initiatief van Nederland, zijn cybercriminelen door de EU op de sanctielijst geplaatst. In totaal gaat het om zes hackers, waaronder twee cybercrime kopstukken. Zij zijn verantwoordelijk voor cyberoperaties die in de EU en in Oekraïne veel schade hebben veroorzaakt. Als gevolg van de sanctionering worden hun Europese tegoeden bevroren en ze mogen de EU niet meer in. Daarnaast mogen Europese burgers en organisaties deze mensen of groepen geen geld sturen of zaken met hen doen.

Volgens het Openbaar Ministerie, de Nationale Politie en Buitenlandse Zaken betekent dit dat partijen die digitale infrastructuur aanbieden dat niet meer kunnen en mogen aanbieden aan deze cybercriminelen en dat er ook een onderzoeksplicht geldt voor deze bedrijven. Daarmee wordt voorkomen dat deze cybercriminelen nog misbruik kunnen maken van digitale infrastructuur binnen de EU. De Verenigde Staten en het Verenigd Koninkrijk hebben vaker cybercriminelen op een sanctielijst geplaatst. De Verenigde Staten sanctioneerde in 2024 bijvoorbeeld vermeende leden van de LockBit-ransomwaregroep.

Ten slotte is het interessant te benoemen dat de Nederlandse inlichtingendiensten en Nationale Politie in 2024 samen met de VS een online beïnvloedingscampagne hebben verstoord. Samen met de Amerikaanse en Canadese autoriteiten, hebben de AIVD en MIVD de resultaten van het gezamenlijk onderzoek in de openbaarheid gebracht. De campagne was gericht op het beïnvloeden van het Amerikaanse publieke debat, er is geen indicatie dat deze ook is ingezet om het publieke debat in Nederland of Europa te beïnvloeden. De Nederlandse digitale infrastructuur werd misbruikt voor de campagne, zo stond een gebruikte server in Nederland. De AIVD en de MIVD achten het ‘zeer waarschijnlijk’ dat de Russische overheid betrokken is bij de ontwikkeling van de software die werd gebruikt in deze campagne (JJO: een fascinerende actie, wat mij betreft, waarbij het mij onduidelijk is op welke grondslag in welke wetgeving deze verstoring plaatsvond).

Statelijke actoren en cybersecurity

Net als voorgaande jaren identificeert het NCTV de dreiging van statelijke actoren en criminelen als de grootste bedreigingen op het gebied van cybercrime. Aan Notebook LM heb ik het volgende gevraagd: “vanaf wanneer worden statelijke actoren geïdentificeerd als bedreiging voor cybersecurity en vanaf wanneer als de grootste bedreiging?”

Daarop kreeg ik het volgende (wat mij betreft fascinerende) antwoord:

Early Recognition (2012-2014): The sources reveal an early awareness of state actors as a cybersecurity threat.

  • The 2012 CSBN already acknowledges state-sponsored espionage as a threat.
  • The 2013 CSBN explicitly states that the most significant threat in cyberspace to national security comes from state actors, particularly foreign intelligence services. This report emphasises that digital attacks have become a viable alternative to traditional espionage methods due to their low cost, limited risk of exposure, and high returns in terms of information gathering.
  • The 2014 CSBN describes state actors as the primary threat to Dutch interests, highlighting the growth in digital espionage activities, their increasing complexity, and impact. The report stresses that nearly every foreign intelligence service has invested in digital capabilities, making digital espionage accessible to more than just large and sophisticated agencies.

State Actors as a Dominant Threat (2016 onwards): From 2016 onwards, the sources consistently portray state actors as the most significant cybersecurity threat to the Netherlands.

  • The 2016 CSBN states that the greatest threat in the digital domain to national security comes from state actors, particularly foreign intelligence services. This assessment is repeated in subsequent reports, solidifying the view of state actors as the primary source of cyber threats to Dutch interests.
  • The 2018 CSBN declares that “states form the greatest digital threat” underscoring the growing concern regarding state-sponsored cyber activity. This report expands on the motives of state actors, indicating that their attacks aim at espionage, influence, disruption, and sabotage.
  • The 2019 CSBN reiterates the increasing threat posed by state actors, highlighting that countries like China, Iran, and Russia have offensive cyber programmes targeting the Netherlands. These countries use digital means to achieve geopolitical and economic objectives at the expense of Dutch interests.
  • The 2020 CSBN maintains that the most significant risk to national security stems from espionage and potential sabotage by state actors, along with the risk of large-scale outages in digital services.
  • The 2021 CSBN further emphasises the sophisticated capabilities of state actors, stating that “virtually every country with basic capabilities and the intention to digitally penetrate will be able to do so successfully at various organisations in the Netherlands“.
  • The 2022 CSBN asserts that cyberattacks by state actors have become the “new normal“, highlighting their routine use to gain geopolitical advantage.
  • The 2024 CSBN acknowledges the significant impact of state-sponsored cyber operations, particularly in the context of geopolitical tensions. The report notes that state actors are leveraging a broader “toolbox”, combining cyberattacks with other means to achieve their objectives.

Key Observations:

  • The sources demonstrate a clear and consistent recognition of state actors as a major cybersecurity threat to the Netherlands, starting as early as 2012.
  • The perceived threat from state actors appears to escalate over time, with the sources progressively highlighting their growing capabilities, evolving tactics, and the potential for significant disruption and damage.
  • While cybercriminals remain a persistent threat, the sources suggest that state actors have become the dominant cybersecurity concern, particularly due to their potential to threaten national security.
  • Note: It’s important to consider that these reports provide a Dutch perspective on the cyber threat landscape. Other countries or organisations might have different assessments or priorities regarding the relative threat posed by state actors and cybercriminals.

Over statelijke actoren wordt in het Cybersecuritybeeld Nederland 2024 wordt verder nog het volgende vermeld.

Meerdere statelijke actoren, zoals Rusland en China, intensiveren hun cyberactiviteiten. Voor een aantal landen is ook sprake van verbreding van de capaciteiten: ze voegen nieuwe methoden toe aan hun bestaande arsenaal of gebruiken andere, ook niet-digitale, middelen. Bovenop het gebruik van andere middelen uit een bredere gereedschapskist, is de inzet of betrokkenheid van niet-statelijke actoren onderdeel van die verbreding. Zo werd in 2023 een groter deel van de Russische digitale spionage-, sabotage- en beïnvloedingsactiviteiten uitgevoerd door ‘hacktivistische’ collectieven. Soms waren dit zogenoemde cover-operaties, soms waren het daadwerkelijk hacktivistische groeperingen die handelden in het verlengde van de Russische staat.

Een deel van de cybersecurityincidenten kunnen worden geplaatst in de context van geopolitieke spanningen. Het gaat dan vooral om de oorlog tegen Oekraïne, de strijd tussen Israël en Hamas en de spanningen tussen het westen en China. Wereldwijd ondervonden aanbieders van vitale processen hinder van cyberaanvallen. Als voorbeeld van digitale sabotage worden de voorbereidingshandelingen genoemd van de Chinese APT ‘Volt Typhoon’ in tegen de militaire en civiele infrastructuur van de VS.

De Chinese cyberdreiging bestond tot nu toe vooral uit mogelijke spionage, maar opvallend aan de campagne van Volt Typhoon is dat Chinese hackers mogelijk ook voorbereidingen troffen voor sabotage, en niet (enkel) voor spioneren. Vooralsnog zijn geen activiteiten uit dit programma tegen Europa bekend. De Chinese capaciteit op dit gebied groeit echter hard en zou binnen betrekkelijk korte tijd overal ter wereld ingezet kunnen worden. Dit maakt het Chinese cybersabotageprogramma de komende jaren in potentie een dreiging voor onder andere Nederland. Het Chinese offensieve cyberprogramma is mede gestoeld op samenwerking tussen bedrijfsleven, universiteiten en Chinese inlichtingendiensten. De scheidslijnen tussen organisaties zijn daarbij onduidelijk: personen vervullen soms zowel een wetenschappelijke rol als een rol in het Chinese veiligheidsapparaat en werken daarbij samen met Chinese (staats)bedrijven.

Datahandel en nationale veiligheid

Opvallend vind ik verder nog de opmerking in CSBN 2024 dat de ‘mondiale datahandel’ en het mogelijk misbruik daarvan de nationale veiligheid kan raken. Daarbij wordt onder andere gewezen naar databedrijven maken gebruik van geavanceerde advertentietechnologie, ook bekend onder de term real-time bidding (RTB). Onderdeel van RTB is dat sites en apps geautomatiseerd advertentieruimte aanbieden. Adverteerders kunnen op hun beurt advertenties inkopen voor heel specifieke profielen van gebruikers. Ook worden Meta en Google genoemd over grootschalige datahandel. De precisie van de opgebouwde profielen stelt, volgens de NCTV, groepen of individuen bloot aan een verhoogd risico op digitale spionage of online of fysieke intimidatie en dit kan de nationale veiligheid schaden. Het kan gaan om politici of andere mensen op gevoelige (overheids-)functies, maar ook om bedreigde personen of leden van diaspora-gemeenschappen afkomstig uit autoritaire regimes. Ook wordt hierbij verwezen naar de Amerikaanse discussie hierover (JJO: en dit beschrijf ik zelf ook in de recente publicatie: Balancing National Security and Privacy: Examining the Use of Commercially Available Information in OSINT Practices).

Interessanter nog vond ik de overweging dat slimme apparaten en moderne auto’s veel persoonsgevoelige data vergaren en delen met fabrikanten, die dat op hun beurt ook weer kunnen delen met andere partijen. De vorige minister van Infrastructuur en Waterstaat stelde nog in een Kamerbrief in januari 2024 dat automobilisten zeggenschap moeten hebben over hun voertuigdata en dat die alleen na toestemming met derde partijen mag worden gedeeld (zie ook Security.nl). Voertuigdata is data die door het voertuig zelf wordt gegenereerd door sensoren, camera’s of software in het voertuig. Het gaat dan bijvoorbeeld om de laadcapaciteit van batterijen, data die wordt gegenereerd door de regensensor, CO2-uitstoot, werking van veiligheidssystemen of de kilometerstand. Deze data kan worden uitgelezen op fysieke wijze of online via internet. In de brief wees hij op de risico’s van spionage van fabrikanten uit landen met een offensieve cyberstrategie tegen Nederland. Security.nl zegt daarbij terecht dat het hierbij om China gaat, omdat landen als Rusland, Iran en Noord-Korea geen auto’s op de Nederlandse markt brengen.

Quantum computing

Ook wordt de ‘toekomstige krachtige quantumcomputer’ als een risico voor de nationale veiligheid genoemd. Een quantumcomputer die over voldoende rekenkracht beschikt is namelijk in staat om veelgebruikte encryptiemethodes te verzwakken of te breken. Cryptografie speelt een sleutelrol als het gaat om het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van digitale processen en data. Voorbeelden hiervan zijn het aansturen van verkeerslichten en bruggen, communicatie in de vorm van e-mail of appberichten en het beschermen van identiteitsgegevens. Daarnaast wordt cryptografie gebruikt om vertrouwelijke, bedrijfsgeheime en staatsgeheime informatie te versleutelen.

De ontwikkeling van een krachtige quantumcomputer is de laatste jaren in een stroomversnelling geraakt, aldus het rapport. Hoewel het onwaarschijnlijk is dat er op dit moment quantumcomputers bestaan die de huidige cryptografie effectief kunnen breken, moet er wel nu al rekening gehouden worden met de mogelijke risico’s als gevolg van de komst van een krachtige quantumcomputer. Versleutelde data die nu onderschept en opgeslagen wordt, kan dan namelijk op een later moment ontsleuteld worden. Dit wordt ook wel store now, decrypt later genoemd, en vormt volgens de AIVD en het NCSC op dit moment de meest urgente dreiging voor organisaties in relatie tot de komst van een krachtige quantumcomputer. Daarom heeft de AIVD samen met andere partijen in 2023 een handboek gepubliceerd over postquantumveilige cryptografie.

JJO: op maandag 4 november 2024 spreek ik overigens voor Studium Generale (samen met anderen) over quantum computing in Tivoli (Utrecht)!

Cybersecuritybeeld Nederland 2021 en rapport hackbevoegdheid Inspectie J&V

jjoerlemans

Cyber Security Beeld Nederland 2021

Op 29 juni 2021 is het nieuwe Cybersecuritybeeld Nederland 2021 (.pdf) verschenen. Dit bericht vat de belangrijkste informatie uit het rapport samen met betrekking digitale spionage en ransomware.  

In verband met de COVID-pandemie is er sprake is van een wereldwijd toegenomen digitale spionagedreiging richting de farmaceutische en medische industrie en onderzoekscentra die geneesmiddelen, antistoffen of vaccins ontwikkelen in relatie tot COVID-19. Nederlandse bedrijven en onderzoeksinstellingen die betrokken zijn bij de preventie en bestrijding van COVID-19 zijn een waarschijnlijk doelwit van deze digitale spionage. Voorzichtiger staat in het rapport geformuleerd ‘dat het mogelijk is’ dat Nederlandse overheidsinstanties die de preventie en bestrijding van COVID-19 coördineren slachtoffer worden van digitale spionage. En dat het mogelijk is dat digitale aanvallen uitgevoerd worden op (centrale) databases waarin, in het kader van COVID-19, persoonsgegevens van Nederlanders worden opgeslagen. Met betrekking tot de motieven van statelijke actoren, gaat het voor een belangrijk deel om het behartigen van binnenlandse politieke en veiligheidsbelangen, zoals het bestrijden van dissidenten die in het buitenland wonen en het streven naar het behoud van de status quo in het herkomstland: inclusief de bestaande statelijke structuur, rol en positie van het staatshoofd en rol en positie van de onderdanen (in zowel binnen- als buitenland). Ook spelen financieel-economische motieven een rol, zoals het behoud van inkomsten vanuit de diaspora (bevolkingsgroepen die buiten het land van herkomst wonen), die investeringen doet (zoals de aankoop van onroerend goed) en financiële ondersteuning biedt aan achtergebleven familie. Volgens het rapport is ook het aandeel ‘groot’ met betrekking tot economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. “Exemplarisch” is volgens het rapport is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen. Ten slotte gaat het ook om het versterken van de strategisch-militaire positie ten opzichte van andere staten en het verkrijgen van politieke informatie over regeringsstandpunten en besluitvorming van andere staten en het beïnvloeden van politiek-bestuurlijke processen in andere staten. Door impliciet of expliciet te dreigen met verstoring of sabotage kan een actor economische, politieke, diplomatieke of militaire invloed uitoefenen op zijn doelwit.

Zie ook het onderstaande schema uit het rapport:

Over de SolarWinds hack rapporteert het NCSC wel dat in december 2020 bekend werd dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Volgens SolarWinds heeft de opzettelijk gecreëerde kwetsbaarheid als achterliggend doel de systemen van de afnemers van de betreffende versie van SolarWinds Orion te compromitteren. Bij verschillende Amerikaanse overheidsinstanties is de kwetsbaarheid ook daadwerkelijk misbruikt. Meerdere cybersecuritybedrijven en techbedrijven die wereldwijd klanten hebben, zoals FireEye, Mimecast en Microsoft, hebben aangegeven gecompromitteerd te zijn via de kwetsbare versie van Orion. Microsoft stelde dat het de aanvallers waarschijnlijk uiteindelijk te doen was om toegang tot clouddiensten van de organisaties die doelwit waren. Experts gaan uit van spionage als motief. Ook in Nederland is de kwetsbare versie van SolarWinds aangetroffen, onder andere binnen de overheid en de vitale processen. Er is door het NCSC vooralsnog geen misbruik geconstateerd. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

Over ransomware zegt het NCTV dat er is een ontwikkeling geweest naar ‘Big Game Hunting’, d.w.z. het compromitteren van zorgvuldig geselecteerde organisaties. Meestal betreft het kapitaalkrachtige organisaties, verantwoordelijk voor continuïteit van processen of in bezit van unieke data. In februari 2021 zijn verschillende kennisinstellingen in Nederland aangevallen door criminele actoren, waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA), waarbij de aanval op de UvA en HvA succesvol is afgeslagen. Door ook back-ups van systemen onbruikbaar te maken, vergroten criminelen de impact van de aanval verder. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is en systemen opnieuw moeten worden opgebouwd. Ransomware-aanvallen kunnen ook langdurig impact hebben op processen wanneer er sprake is van de inzet van verschillende drukmiddelen, zoals de diefstal van informatie, waarna wordt gedreigd deze informatie te publiceren. Volgens de FBI komt ook het telefonisch dreigen met fysiek huisbezoek bij medewerkers van de bedreigde instelling. Aanvallers kunnen nog een stap verder gaan en klanten van hun doelwit proberen af te persen. Dat kan snel plaatsvinden, of pas na verloop van tijd, waardoor slachtoffers van een ransomware-aanval mogelijk langdurig worden geconfronteerd met de gevolgen van de oorspronkelijke aanval.

Een aantal cybercriminele groepen beschikt inmiddels over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zij hebben echter geen doel van maatschappelijke ontwrichting of sabotage voor ogen, maar een financieel motief. De cybercriminele groepen worden door staten gedoogd en staan onder druk om in opdracht van de staat soms activiteiten te verrichten. Soms wordt daarbij een beroep gedaan op hun ‘patriottisme’.

Rapport Inspectie J&V over de hackbevoegdheid

Op 29 juni 2021 heeft de Inspectie Justitie & Veiligheid het rapport ‘Verslag toezicht wettelijke hackbevoegdheid politie 2020’ (.pdf) gepubliceerd. Enkele interessante passages worden in bericht belicht.

De belangrijkste boodschap van de inspectie is dat het uitblijven van verbetering in de uitvoering van de hackbevoegdheid, volgens de regels in art. 126nba Sv en dan met name die in het Besluit onderzoek in een geautomatiseerd werk (Stb. 2018, 340), als een risico beschouwd. Zij hopen dat dit volgend jaar beter gaat. De bevindingen van de inspectie kunnen als input dienen voor de evaluatie van de Wet computercriminaliteit III die momenteel wordt uitgevoerd door het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Justitie & Veiligheid.

Het is belangrijk te realiseren dat de inspectie niet de toetsing en oordeelsvorming door de officier van justitie en de rechter-commissaris onderzoekt. Er vindt dus geen controle door de inspectie plaats op bijvoorbeeld de proportionaliteit van de inzet van de bijzondere opsporingsbevoegdheid. De zittingsrechter gaat hier over de procureur-generaal bij de Hoge Raad op grond van artikel 122 Wet op de rechterlijke organisatie. In het rapport staat dat de hackbevoegdheid niet is ingezet in de EncroChat-onderzoeken en deze zaken niet zijn onderzocht (ondanks dat een machtiging voor de hackbevoegdheid bij opsporingsonderzoeken naar georganiseerde misdaad is ingezet (art. 126uba Sv). De inspectie doet klaarblijkelijk ook geen onderzoek naar situaties waarbij op grond van art. 126ng lid 2 Sv in accounts van verdachten vanuit inbeslaggenomen apparaten wordt ingelogd.

De hackbevoegdheid is in 2020 in 14 zaken ingezet. Daarbij is er geen sprake geweest van nevenschade of veiligheidsrisico’s door het in stand houden van kwetsbaarheden. In 11 zaken is een bevel gegeven voor de inzet van een niet vooraf gekeurd technisch hulpmiddel. De Inspectie moet de commerciële software zelfs een ‘black box’ voor de politie. In bijna alle zaken (10 van de 14) is gebruik gemaakt van commerciële software, waarbij de leverancier volgens de inspectie toegang heeft tot bewijslogging met het middel is verkregen, zonder dat de politie dit kan beperken en controleren. Dit wordt overigens tegengesproken in een reactie van de minister in een Kamerbrief van 29 juni 2021. De politie en de Inspectie hebben geen kennis over de kwetsbaarheden waarvan de commerciële binnendringsoftware gebruik maakt.

Opvallend is verder dat twee keer is binnengedrongen op een ander geautomatiseerd dan in het afgegeven bevel stond. Wel was het een computer die in gebruik was bij desbetreffende verdachte. De inspectie plaats daarbij de opmerking dat de verkregen gegevens mogelijk niet gebruikt kunnen worden in de betreffende strafzaak. De inspectie kon ook niet altijd vaststellen op welke locatie en in welk lang een computer werd binnengedrongen. Dat is wel belangrijk, omdat voor de mogelijke inzet ervan in het buitenland apart toestemming moet worden gevraagd (zie de Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv, Strct. 2019, 10277).

Tenslotte was de logging op diverse punten niet in orde, waaronder de voorziening voor het maken van schermopnames. De Inspectie stelt vast dat in 2020 de verantwoording in processen-verbaal ‘onvolledig is en soms ontbreekt’. Voor de wel aanwezige processen-verbaal geldt dat ‘hieruit niet kan worden opgemaakt welke onderzoekshandelingen door wie op welk moment zijn uitgevoerd. In enkele gevallen kan dit ook niet worden vastgesteld op basis van het journaal en de aanwezige logging’.

De Inspectie doet over de problemen met commerciële software en gebreken in logging (zie onder) de stevige uitspraak dat ‘hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen’. In de begeleidende Kamerbrief wordt opgemerkt dat de zittingsrechter gaat over de betrouwbaarheid van het verkregen bewijs uit de inzet van de hackbevoegdheid. 

Cybersecuritybeeld Nederland 2020

jjoerlemans

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.