(deel I) NCTV: ‘IT-systemen bedrijven vormen risico voor keten’
Cybercriminelen, hackers en digitale fraudeurs kunnen via it-systemen van niet-vitale bedrijven in de systemen van vitale sectoren en zelfs de overheid geraken. Daarvoor waarschuwt de Nationaal Coordinator Terrorismebestrijding en veiligheid (NCTV) in het meest recente rapport Cybersecuritybeeld Nederland 2023. Klik hier voor deel II.
- risico van grote techbedrijven als partner
- slechte veiligheid versus verzekerbaarheid
- IT niet-vitale bedrijven vormen toegang voor IT van vitale bedrijven en overheid
- serveraanbieders verhuren dezelfde server aan bedrijven en criminelen
Herkenbare problemen bij herkenbare bedrijven
Volgens de dienst illustreren verschillende incidenten dat er vanuit een ecosysteem risico’s uitgaan omdat organisaties met elkaar processen en bestanden verbonden en verweven zijn met processen van andere organisaties. Hierdoor kan een cyberincident bij een niet-vitale organisatie toch gevolgen hebben voor andere bedrijven waaronder vitale sectoren of zelfs de rijksoverheid in het ecosysteem. Volgens de onderzoekers zijn recentelijk diverse Europese bedrijven in de energiesector slachtoffer van cyberaanvallen.
Websites verschillende Nederlandse ziekenhuizen waren eerder dit jaar tijdelijk onbereikbaar door cyberaanvallen. De verschillende ziekenhuizen, waaronder het UMCG, LUMC en het MUMC hadden te kampen met ontoegankelijke websites. Hierbij viel de aanval op het UMCG het meest op, omdat een aantal websites van het ziekenhuis meerdere dagen offline was. De aanvallen werden geclaimd na een oproep deze aan te vallen vanwege de Nederlandse steun aan Oekraïne.
Bescherming door digitale dienstverleners
Grote bedrijven zoals Microsoft en Amazon bieden niet alleen IT-diensten aan, aan een deel van het Nederlands bedrijfsleven; zij proberen ook beschermingsupdates te ontwerpen tegen malware die gericht was op landen en bedrijven die steun verlenen aan Oekraïne, zo meldt het rapport. Eerder berichtte FM.nl in een artikel (‘Toenemend gebruik cloud vergroot risicos financieel dienstverleners’) ook over de mogelijke risico’s van cloudgebruik door bedrijven in de financiële sector.
Energiedienstverlener Ista werd slachtoffer van een cyberaanval. Om schade aan ICT-infrastructuur te voorkomen, moest het bedrijf alle mogelijk getroffen ICT-systemen offline zetten. Intussen hebben de aanvallers de buitgemaakte gegevens van 146.000 mensen op internet gepubliceerd. Onder de gepubliceerde gegevens bevonden zich adresgegevens van klanten, namen en informatie over energie- en waterverbruik.
EU richtlijnen voor bedrijven
De veiligheidsdienst wijst er op dat de EU intussen bezig is met strengere eisen voor digitale veiligheid van organisaties en bedrijven. Zo worden binnen 12 maanden onder meer de Digital Services Act (DSA) en de Cyber Resilience Act (CRA) van kracht. De eerste scherpt de verantwoordelijkheid en aansprakelijkheid aan van internetaanbieders, hostingbedrijven en online platformen. Ook wijzen de onderzoekers op de herziene NIS richtlijn, wat ook gevolgen heeft voor de Wet beveiliging netwerk- en informatiesystemen (Wbni) waarmee risicomanagement, het gebruik van encryptie of het afhandelen van incidenten moet verbeteren. Volgens een artikel (‘Cybersecurity: CFO’s weten wél waarom maar weten niet hóe’) op de website CFO.nl zijn veel bedrijven zich onvoldoende bewust van deze naderende verplichtingen,
Metro, het moederbedrijf van onder meer groothandel Makro, ondervond problemen tijdens herstelwerkzaamheden na een ransomware-besmetting. Metro had nieuwe kwaadaardige bestanden aangetroffen, waarna het bedrijf zich genoodzaakt zag ICT-systemen uit te schakelen. Hierdoor vielen ook een aantal operaties van dochteronderneming Makro stil. De criminelen hebben bij de aanval ook persoonsgegevens van medewerkers van Metro buitgemaakt.
Bedrijven kiezen voor grote partners
De NCTV spreekt in het rapport ook over dreigingen ‘die zich gestaag onder de radar opbouwen totdat een kantelpunt optreedt waarna het heel moeilijk is om die dreigingen te keren’. Deze sluimerende dreigingen kan bijvoorbeeld spelen bij afhankelijkheid van Big Tech. Het rapport waarschuwt bijvoorbeeld bedrijven die vanuit (bedrijfs)economische logica ‘als vanzelf’ kiezen voor grote IT-spelers in de markt. Dit kan voordelen opleveren maar daarmee groeit anderzijds het risico dat in de loop der tijd ‘als vanzelf’ een ongewenste afhankelijkheid ontstaat.
Een fout in de software van het spoorsignaleringssysteem van de Franse leverancier Alstom zorgde voor problemen op het spoor. Dit leidde tot vertragingen en annuleringen van treinen in onder meer Nederland, Italië en Polen maar ook in India en Peru.
Malafide en bonafide op één server
Een andere waarschuwing gaat uit naar bedrijven die serverruimte huren bij bonafide hostingbedrijven voor bijvoorbeeld het plaatsen van een website of clouddienst. Soms wordt een deel van de serverruimte gehuurd aan buitenlandse bedrijven, die dit weer opdelen en doorverhuren aan andere bedrijven. Dit wordt reselling genoemd. Deze resellers zijn soms malafide bedrijven die willens en wetens criminelen op de server toelaten, zo constateren de onderzoekers.