Steeds vaker ziet de politie dat hackers en cybercriminelen ‘serieuze aanvallen’ uitoefenen met gijzelsoftware. De gevolgen van cyberaanvallen Zijn bovendien steeds groter, zowel voor bedrijven als hun klanten. Het is daarom belangrijk dat organisaties zich bewust worden dat ze niet alleen hun eigen gegevens, maar ook die van anderen veilig moeten houden.

Dat zegt Theo Van Der Plas, programmadirecteur Digitalisering en Cybercrime bij de politie, in reactie op het rapport Cybersecuritybeeld Nederland 2023.

NCTV: ‘Verwacht het onverwachte’

Eerder vandaag publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) de nieuwste editie van het cybersecuritybeeld van Nederland (CSBN). Daarin waarschuwde Nationaal Coördinator Pieter-Jaap Aalbersberg dat hackers en cybercriminelen steeds gewiekster te werk gaan, en dat dit vanwege de onderlinge digitale verbondenheid grote gevolgen heeft voor zowel bedrijven als Nederlanders. Doordat hacking tools steeds professioneler worden en algemeen beschikbaar zijn, is afpersing een aantrekkelijk verdienmodel voor criminelen.

Verder benadrukt de NCTV dat buitenlandse mogendheden steeds vaker cyberaanvallen gebruiken om hun geopolitieke doelen te bereiken. De oorlog in Oekraïne is daar een voorbeeld van: daar wordt niet alleen op de grond oorlog gevoerd om het land te annexeren, maar ook in cyberspace.

Tot slot waarschuwde de NCTV voor de risico’s van nieuwe technologieën als kunstmatige intelligentie en generatieve AI. Met deze toepassingen is het voor hackers makkelijker om malware te ontwikkelen en moeilijker om de authenticiteit en autoriteit van beeldmateriaal en andere content vast te stellen. Tegelijkertijd heeft kunstmatige intelligentie de potentie om onze digitale weerbaarheid te vergroten.

De Nationaal Coördinator raadt bedrijven aan om ‘het onverwachte te verwachten’ en hun beveiliging daar op in te richten.

Bewustwording cyberdreiging gaat verder dan alleen eigen organisatie

Van Der Plas herkent zich in de boodschap van de NCTV. Alleen al de afgelopen twee jaar zag hij honderden slachtoffers voorbijkomen die het doelwit waren van hackers. De aanvallers versleutelden niet alleen vertrouwelijke en privacygevoelige gegevens, ze stalen deze data eveneens en dreigden de gestolen informatie openbaar te maken als er geen losgeld werd betaald. Als voorbeeld noemt hij de KNVB, Colosseum Dental en ID-Ware.

Het is belangrijk dat bedrijven en organisaties zich bewust zijn dat zij niet het enge slachtoffer zijn bij een digitale aanval. “Het gaat voor organisaties niet alleen om het veilig houden van hun eigen netwerk en data. Ook de gegevens van hun klanten, toeleveranciers, leden of patiënten, zijn in het geding. Daarnaast kunnen organisaties gebruikt worden als springplank om anderen in de keten aan te vallen. We hebben hierin als overheid en bedrijfsleven een gezamenlijke verantwoordelijkheid”, zo zegt Van der Plas.

De programmadirecteur vraagt aan het bedrijfsleven en andere instanties om digitale veiligheid onderdeel te laten uitmaken van het businessplan. “Dat begint met het handhaven van een basis van cyberhygiëne: denk aan wachtwoordbeleid, updaten, twee-stappen-login, het maken van back-ups, bewustwording van je medewerkers en voorbereid zijn op cyberaanvallen.” Burgers hebben eveneens een verantwoordelijkheid om hun gegevens zo goed mogelijk te beschermen.

Politie vraagt om extra personeel en geld

Van der Plas erkent dat bedrijven soms terughoudend zijn wanneer ze het slachtoffer van een hacker zijn. Toch is het belangrijk dat ze aangifte bij de politie doen als ze gehackt zijn. “Zo houden wij zicht op criminele werkwijzen en kunnen wij hiertegen optreden, bijvoorbeeld door daders op te sporen of hun werkwijze te verstoren, maar ook nieuwe slachtoffers en verdere schade te voorkomen.”

Vorige maand presenteerde het kabinet een nieuwe internationale Cyberstrategie om digitale dreigingen het hoofd te bieden. Daarvoor is onder meer Europese wetgeving en meer internationale samenwerking nodig. Verder wil de overheid digitale dreigingen van statelijke actoren en criminele organisaties aanpakken door haar eigen instrumenten ‘proactiever, meer geïntegreerd en strategischer’ in te zetten.

Om de ambities uit de internationale Cyberstrategie waar te maken, is volgens Van der Plas versterking nodig. “Zowel qua menskracht als geld. Die cybercriminele markt ontwikkelt zich in razend tempo. Om hier tegen op te treden, moet de politie in staat zijn om mensen met technische expertise te werven. Denk aan digitaal specialisten, softwareontwikkelaars en mensen die zich bezighouden met de samenwerking tussen politie en het bedrijfsleven.”