(deel I) NCTV: ‘IT-systemen bedrijven vormen risico voor keten’

Cybercriminelen, hackers en digitale fraudeurs kunnen via it-systemen van niet-vitale bedrijven in de systemen van vitale sectoren en zelfs de overheid geraken. Daarvoor waarschuwt de Nationaal Coordinator Terrorismebestrijding en veiligheid (NCTV) in het meest recente rapport Cybersecuritybeeld Nederland 2023. Klik hier voor deel II.

• risico van grote techbedrijven als partner
• slechte veiligheid versus verzekerbaarheid
• IT niet-vitale bedrijven vormen toegang voor IT van vitale bedrijven en overheid
• serveraanbieders verhuren dezelfde server aan bedrijven en criminelen

Herkenbare problemen bij herkenbare bedrijven

Volgens de dienst illustreren verschillende incidenten dat er vanuit een ecosysteem risico’s uitgaan omdat organisaties met elkaar processen en bestanden verbonden en verweven zijn met processen van andere organisaties. Hierdoor kan een cyberincident bij een niet-vitale organisatie toch gevolgen hebben voor andere bedrijven waaronder vitale sectoren of zelfs de rijksoverheid in het ecosysteem. Volgens de onderzoekers zijn recentelijk diverse Europese bedrijven in de energiesector slachtoffer van cyberaanvallen.

Bescherming door digitale dienstverleners

Grote bedrijven zoals Microsoft en Amazon bieden niet alleen IT-diensten aan, aan een deel van het Nederlands bedrijfsleven; zij proberen ook beschermingsupdates te ontwerpen tegen malware die gericht was op landen en bedrijven die steun verlenen aan Oekraïne, zo meldt het rapport. Eerder berichtte FM.nl in een artikel (‘Toenemend gebruik cloud vergroot risicos financieel dienstverleners’) ook over de mogelijke risico’s van cloudgebruik door bedrijven in de financiële sector.

EU richtlijnen voor bedrijven

De veiligheidsdienst wijst er op dat de EU intussen bezig is met strengere eisen voor digitale veiligheid van organisaties en bedrijven. Zo worden binnen 12 maanden onder meer de Digital Services Act (DSA) en de Cyber Resilience Act (CRA) van kracht. De eerste scherpt de verantwoordelijkheid en aansprakelijkheid aan van internetaanbieders, hostingbedrijven en online platformen. Ook wijzen de onderzoekers op de herziene NIS richtlijn, wat ook gevolgen heeft voor de Wet beveiliging netwerk- en informatiesystemen (Wbni) waarmee risicomanagement, het gebruik van encryptie of het afhandelen van incidenten moet verbeteren. Volgens een artikel (‘Cybersecurity: CFO’s weten wél waarom maar weten niet hóe’) op de website CFO.nl zijn veel bedrijven zich onvoldoende bewust van deze naderende verplichtingen,

Bedrijven kiezen voor grote partners

De NCTV spreekt in het rapport ook over dreigingen ‘die zich gestaag onder de radar opbouwen totdat een kantelpunt optreedt waarna het heel moeilijk is om die dreigingen te keren’. Deze sluimerende dreigingen kan bijvoorbeeld spelen bij afhankelijkheid van Big Tech. Het rapport waarschuwt bijvoorbeeld bedrijven die vanuit (bedrijfs)economische logica ‘als vanzelf’ kiezen voor grote IT-spelers in de markt. Dit kan voordelen opleveren maar daarmee groeit anderzijds het risico dat in de loop der tijd ‘als vanzelf’ een ongewenste afhankelijkheid ontstaat.

Malafide en bonafide op één server

Een andere waarschuwing gaat uit naar bedrijven die serverruimte huren bij bonafide hostingbedrijven voor bijvoorbeeld het plaatsen van een website of clouddienst. Soms wordt een deel van de serverruimte gehuurd aan buitenlandse bedrijven, die dit weer opdelen en doorverhuren aan andere bedrijven. Dit wordt reselling genoemd. Deze resellers zijn soms malafide bedrijven die willens en wetens criminelen op de server toelaten, zo constateren de onderzoekers.