De digitale wereld speelt een steeds grotere rol in onze samenleving. Dit geldt voor de alledaagse bezigheden van burgers en consumenten, maar ook voor het functioneren van bedrijven en overheden. Het gevaar om slachtoffer te worden van cybercrime wordt daarmee ook steeds groter, indien er niet adequaat op geanticipeerd en gereageerd wordt. Je leest dan ook voortdurend over online identiteitsfraude, gestolen Bitcoins, bedrijven die worden gehackt en banken die te maken krijgen met DDOS-aanvallen. Uit het Nationaal Cybersecurity Bewustzijnsonderzoek 2018 is gebleken dat Nederlanders te weinig doen om zich te beschermen tegen cybercriminaliteit, terwijl een overgroot deel van de bevolking wel eens te maken heeft gehad met cybercrime.1 Van 2-5 oktober 2018 werd daarom de derde Cyber Security Week gehouden in Den Haag, met als doel het bewustzijn te verhogen dat online en digitale veiligheid bij jezelf begint.2 Daarnaast is oktober omgedoopt tot European Cyber Security Month.3 In deze blog zal ik dieper ingaan op de cyberdreigingen voor eindgebruikers, overheden en bedrijven en de mogelijkheden om hun veiligheid te vergroten.

Wat is cybersecurity?
Om te beginnen zal ik verder uitlichten wat cybersecurity precies inhoudt. Cybersecurity is het verdedigen van elektronische systemen, netwerken, gegevens, computers, mobiele apparaten en servers tegen schadelijke aanvallen.4 Het wordt ook wel IT-beveiliging of beveiliging van elektronische gegevens genoemd. De term is erg breed en beslaat alles wat te maken heeft met computerbeveiliging, noodherstel en het wegwijs maken van eindgebruikers.  

Er is volgens Leidse hoogleraar Cybersecurity Governance Bibi van den Berg nog te weinig inzicht in het concept van cybersecurity.5 Dat komt doordat de aandachtspunten van de participanten van elkaar verschillen. Waar burgers zich bij cybersecurity bekommeren om hun bankgegevens, zal de focus bij de politie liggen op hackers en terroristen. Het leger maakt zich daarentegen druk om oorlogsvoering met digitale middelen. Politici denken op hun beurt al snel aan privacyproblemen en nationale veiligheid. Cybersecurity richt zich daarmee op drie gebieden van bedreiging: cybercriminaliteit, cyberoorlog en cyberterreur. Bij cybercriminaliteit worden systemen aangevallen voor financieel gewin. Cyberoorlog gaat vaak gepaard met informatieverzameling en heeft een politieke ondertoon. Cyberterreur stuurt aan op het ondermijnen van digitale systemen en het veroorzaken van paniek en angst bij grote delen van de bevolking. Met al deze verschillende gezichtspunten is het voor overheden erg lastig om te bepalen waar het beleid omtrent cybersecurity zich op moet richten.

Eindgebruikers
Uit het eerdergenoemde Bewustzijnsonderzoek blijkt dat in 2017 46% van de Nederlanders zich zorgen maakte om hun online veiligheid thuis, waar dat percentage in 2018 op 44% ligt. Daarmee is het niveau van bezorgdheid stabiel gebleven over het afgelopen jaar. De grootste risico’s waar je als burger thuis mee te maken kan krijgen, zijn een poging tot phishing (al dan niet via social media), een onechte uitnodiging via social media, malware en een virus downloaden via een foute link.6 Uit hetzelfde onderzoek is gebleken dat 74% van de Nederlanders dan ook wel eens met cybercrime te maken heeft gehad, waarbij 11% van de internetgebruikers daar vorig jaar slachtoffer van is geworden. Als men echter eenmaal geconfronteerd wordt met cybercrime, wordt er ontoereikend naar gehandeld. De helft van de bevolking neemt namelijk geen maatregelen ter voorkoming van herhaald slachtofferschap. De andere helft van de ondervraagden doet dit wél. Dat kan onder andere neerkomen op het installeren van anti-virussoftware, wachtwoorden complexer maken, websites controleren op HTTPS, software updates doorvoeren en een firewall installeren of updaten. Volgens gedragswetenschapper Jan Renes is het probleem niet zo eenvoudig op te lossen.7 Stiekem weten de Nederlanders wel dat ze het anders moeten doen. Iedereen wil online veilig zijn, maar die wil is vaak tegenstrijdig met wat er concreet voor moet worden gedaan of nagelaten.

De overheid houdt vele publiekscampagnes om het bewustzijn bij de burgers te verhogen, desondanks doet de bevolking nog steeds te weinig om zich digitaal te beschermen.8 Minister Grapperhaus rekent dit de burgers zelf aan. Hij vindt het onbegrijpelijk dat mensen voor hun huis dubbele sloten en alarmen aanschaffen, terwijl ze de digitale achterdeur wagenwijd open houden. De publiekscampagnes lijken wel enigszins effect te hebben volgens de minister. De laatste jaren zijn mensen bijvoorbeeld meer bekend geraakt met de verschillen tussen beveiligde en onbeveiligde internetverbindingen, zoals VPN. Het ministerie maakt zich desalniettemin grote zorgen. De minister stelt dit jaar daarom eenmalig 30 miljoen euro beschikbaar voor de aanpak van cybercrime.9

Overheid
Het is niet voor niets dat het vergroten van de veiligheid op internet extra geld krijgt. Eerder dit jaar waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid al dat de ernst en omvang van de digitale dreiging in Nederland aanzienlijk is. Er werd zelfs gesproken van een continue digitale dreiging voor de nationale veiligheid. Zo bracht de Nederlandse militaire inlichtingendienst (MIVD) afgelopen donderdag naar buiten dat ze op 13 april 2018 een hackaanval van de Russische geheime dienst hebben verhinderd op de OPCW, de organisatie tegen de verspreiding van chemische wapens die is gevestigd in Den Haag.10

Het is alleen lastig te zeggen wat de daadwerkelijke dreiging is op het gebied van cybersecurity. Curt Weldon, de voorzitter van een van de subcommissies van het Nationale Veiligheids Committee in de Verenigde Staten, heeft herhaaldelijk gezegd dat het een kwestie van tijd is voor er een ‘cyber 9/11’ zou plaatsvinden.11 Er zijn echter nog geen cyberaanslagen geweest die op grote schaal tot ontwrichting hebben geleid en er zijn nauwelijks cijfers over cybersecurity op grote schaal om te interpreteren.

Volgens hoogleraar Van den Berg is het domein van de kritieke infrastructuren een van de sectoren waarbinnen cyberincidenten de grootste impact kunnen hebben. Kritieke infrastructuren zijn constructies zoals havens, vliegvelden, dijken en elektriciteitscentrales. Als deze infrastructuren worden getroffen, kan dat grote consequenties hebben. Niet alleen in de vorm van economische schade, maar ook in termen van fysieke veiligheid voor burgers.

Bedrijven
De technische ontwikkelingen gaan ongelooflijk hard, ook binnen het bedrijfsleven. De cyberrisico’s waar Nederlandse bedrijven mee te maken krijgen, veranderen daardoor radicaal. Uit het rapport Cyber Value at Risk in The Netherlands 2017 van Deloitte blijkt dan ook dat initiatieven om het cybersecurity niveau binnen het bedrijfsleven te versterken, amper mee kunnen komen met alle ontwikkelingen.12 Deloitte voorspelde dat cybercrime het Nederlandse midden- en kleinbedrijf zelfs jaarlijks 10 miljard euro kan kosten. Er valt bij ‘digitale organisaties’ dan ook steeds meer te halen, zoals waardevolle medische gegevens, privacygevoelige persoonsgegevens of intellectueel eigendom. Het wordt voor cybercriminelen steeds makkelijker om op steeds geavanceerdere manieren bedrijven binnen te dringen. Daarom is de verwachting dat cybercriminaliteit de komende jaren alleen maar toe zal nemen.

De Cyber Security Raad signaleerde in 2017 dat Nederlandse bedrijven te weinig doen aan digitale veiligheid, ook al is dit wel verplicht.13 Volgens de huidige wet- en regelgeving hebben bedrijven namelijk de plicht om te zorgen voor een deugdelijke digitale beveiliging. Onder de wet bescherming persoonsgegevens was dit al erg belangrijk, maar de regels zijn nog eens extra aangescherpt met de komst van de Algemene Verordening Gegevensbescherming (AVG) afgelopen jaar. De AVG zal voor veel bedrijven het proces in gang hebben gezet om cybersecurity grondiger onder de loep te nemen. Computers, mobiele apparaten, software en andere producten of diensten met een ICT-toepassing moeten adequaat beveiligd zijn tegen hacken. In het bijzonder als er persoonsgegevens mee gemoeid zijn. Mocht er zich onverhoopt een incident voordoen, dan moeten de gevolgen worden beperkt en verdere incidenten worden voorkomen. Producenten willen snel nieuwe producten op de markt brengen, zonder te bedenken dat bijvoorbeeld een wasmachine of auto die met software wordt bediend een cyberrisico meebrengt. Er is sprake van onwetendheid, onbekwaamheid en onkunde.

Tegelijkertijd zijn gebruikers zich ook niet altijd bewust van de risico’s van veel nieuwe vormen van cybercriminaliteit.14 Hierbij valt te denken aan het steeds populairder wordende Internet of Things; apparaten en apps die met elkaar communiceren, zoals slimme lampen, camera’s en thermostaten. Er zijn nog veel gaten in de beveiliging, doordat deze apparaten vaak nog de makkelijk te raden wachtwoorden vanuit de fabriek hebben. De wachtwoorden zijn niet uniek en je vindt ze vaak eenvoudig terug op het internet. Nog niet eens de helft van de Nederlan