Het feit dat veel ondernemers leunen op een klein handjevol softwareleveranciers maakt ze kwetsbaar, terwijl het dreigingslandschap steeds diverser en geavanceerder wordt. Dat blijkt uit het Cybersecuritybeeld 2024 van de NCTV (Nationaal Coordinator Terrorismebestrijding en Veiligheid).
In 2022 verscheen de eerste Nederlandse Cybersecuritystrategie (NLCS). Het CSBN 2024 ging maandag tegelijk met de voortgangsrapportage van de NLCS naar de Tweede Kamer. Bedrijven moeten er volgens de rapportage rekening mee houden dat digitale dreigingen groter worden. Statelijke actoren (aanvallen door landen) worden steeds inventiever en dus gevaarlijker.
Cybercriminelen richten zich met nieuwe technieken op kwetsbare (edge) systemen. Denk aan VPN-servers en routers. Ze richten zich niet meer alleen op bedrijfsgegevens, maar zijn nu ook uit op klant- of leveranciersgegevens buitmaken. Volgens het NCTV is het dus cruciaal dat ze kwetsbare systemen beter beveiligen, regelmatig te updaten en te monitoren.
Handjevol leveranciers
Kwetsbare factor is de afhankelijkheid van een handjevol softwareleveranciers. Afgelopen jaar bleek weer dat storingen met als oorzaak technische of menselijke fouten, grote verstoringen veroorzaken. Het CSBN vindt daarom ook dat een brede manier van risicobeheersing onmisbaar is. Basismaatregelen, zoals multifactorauthenticatie, segmentatie van bedrijfsnetwerken en back-ups maken zijn onmisbaar en nog steeds een effectieve barrière tegen aanvallen van cyberaanvallen.
De NCTV stelt dat de hoge mate van digitalisering van Nederland automatisch cybersecurity verbindt met nationale veiligheid. Cyberincidenten hebben namelijk vaak een grotere impact dan alleen op de getroffen organisatie zelf. Een cyberaanval op één bedrijf veroorzaakt niet zelden een domino-effect. Samenwerking tussen bedrijven en overheden is daarbij cruciaal om de digitale veiligheid nationaal te versterken. Ondernemers kunnen hun eigen beveiliging op orde hebben door eisen te stellen aan zichzelf, toeleveranciers en partners en dus ook softwareleveranciers.
Ransomware-aanvallen grootste dreiging voor ondernemers
De grootste dreiging voor ondernemers zijn ransomware-aanvallen. Ze zijn aanhoudend en hardnekkig, en veroorzaken vaak grote financiële schade. Vooral de noodzakelijke herstelwerkzaamheden en het stilliggen van de bedrijfsvoering zijn de grote kostenposten. In Nederland vonden in 2023 meer dan 170 ransomware-aanvallen plaats. Een aanzienlijk deel van de aanvallen vond plaats bij middelgrote bedrijven. Steeds vaker krijgen deze ondernemers te maken met cybercriminelen die dreigen publicatie van gevoelige gegevens als bedrijven niet betalen. Veel aangevallen bedrijven blijken daarbij hun basisbeveiliging niet op orde te hebben. En dus was het een koud kunstje om hun slag te slaan.
Aanvallen op toeleveranciers en softwareleveranciers komen ook vaak voor. Ze zijn vaak complex en hebben een grote impact verderop in de keten. Een aanval op één bedrijf kan dus de dienstverlening van andere bedrijven lamleggen. Het is dus belangrijk om inzicht te hebben in hun afhankelijkheid van leveranciers en om zoveel mogelijk aanvullende beveiligingsmaatregelen af te dwingen.
Cybercriminelen maken ook vaak gebruik van zwakke plekken in gangbare systemen zoals besturingssystemen of softwarepakketten om toegang te krijgen tot bedrijfsnetwerken. Deze zero-day-aanvallen vonden in 2023 wereldwijd meer dan 90 keer plaats. Dit is een stijging van ruim 30% ten opzichte van het jaar daarvoor. Bedrijven kunnen zich op zijn minst wapenen met maatregelen als regelmatig updaten van apparaten en software, actieve monitoring en firewalls gebruiken.
Risicomanagementstrategie is essentieel
Naast basisbeveiliging is brede risicomanagementstrategie volgens de NCTV essentieel. Bedrijven hebben inzicht nodig in alle digitale processen, en moeten aandacht hebben voor leveranciersbeheer en (veilige) samenwerking met partners.
De NCTV wijst nog op de komst van neuwe Europese en Nederlandse regelgeving voor digitale veiligheid. Die vraagt om tijdige voorbereiding. Met name de Network and Information Security Directive (NIS2-richtlijn), die de digitale en economische weerbaarheid van Europese lidstaten moet versterken, vraagt van sommige ondernemers meer dan voorheen. Bedrijven buiten de zogeheten vitale sectoren moeten zich realiseren dat ze te maken kunnen krijgen met verplichtingen rondom risicobeheer, incidentrapportage en interne controleprocedures.
Tip: Klantgemak gaat ten koste van security, zelfs bij banken