Slecht gesteld met cybersecurity van Nederlandse bedrijven en instellingen

Nederlandse instellingen kwetsbaar

Eind december, rond de kerst, kwam naar buiten dat de Universiteit Maastricht (UM) getroffen is door een grote aanval met gijzelsoftware. Dezelfde aanval trof in oktober ook de universiteit van Antwerpen, en hetzelfde virus stak ook de kop op in Frankrijk, waaronder in een ziekenhuis. “We hebben geen idee uit welke hoek de aanval komt”, vertelde UM’s woordvoerder in eerste instantie. Pas begin 2020 kon een deel van de systemen weer ingeschakeld worden.

Woensdag is het Medisch Centrum Leeuwarden getroffen door een hackpoging. Al het externe dataverkeer is afgesloten, met als gevolg dat patiënten tijdelijk niet bij hun elektronisch patiëntendossier kunnen. Ook het dataverkeer met andere ziekenhuizen heeft er last van. Onderzoek naar de hack loopt nog, dus het is nog onbekend wat de omvang van de schade is.

Ontgrendelde voordeur

Wat er is gebeurd in Maastricht is niet te vergelijken met het voorval in Leeuwarden. In het ene geval werd ransomware verspreid middels een virus, en in het andere geval werden recent gevonden kwetsbaarheden in software van Citrix misbruikt.

Maar Nederlandse bedrijven maken het aanvallers niet erg ingewikkeld. “Bij veel organisaties staat de digitale voordeur open”, vertelt Frank Groenewegen, directeur bij cyberbeveiliger Fox-IT. “Daardoor zijn ze een makkelijke prooi voor hackers.”

Bedrijven en overheden wereldwijd hebben (soms kritische) interne applicaties op dergelijke systemen staan. Je denkt wellicht dat daar strikte veiligheidsprocedures bij horen, maar in de praktijk valt dat tegen. Zoveel werd duidelijk toen woensdag ook de gemeente Zutphen naar buiten kwam met soortgelijk nieuws. “Er is een ‘poging tot inbraak’ gedetecteerd”, gebaseerd op dezelfde open deur.

“Elke zolderkamerhacker kan zich nu met een druk op de knop toegang verschaffen tot een kwetsbare Citrix-server”, vertelt Groenewegen. “Als gedupeerde moet je maar hopen dat het bij jou een kind is dat het doet uit kattenkwaad.”

Maar cybersecurity is natuurlijk geen kwestie van hopen. Al in de loop van december kwam het Nederlandse NCSC (Nationaal Cyber Security Centrum) naar buiten met een waarschuwing over de kwetsbaarheid. De kenmerken ervan: een hoge kans dat je getroffen wordt, en een hoge kans op (aanzienlijke) schade.

Hoe kan het dat grote Nederlandse instellingen, waar gevoelige informatie verwerkt wordt, zo laks omgaan met online veiligheid?

‘Cyberaanval niet te voorkomen’

Dat het slecht is gesteld met cybersecurity in Nederland blijkt ook uit onderzoek van ESET. Bijna de helft van de IT-beslissers bij grote organisaties in Nederland maakt zich zorgen over de cybersecurity van hun werkgever. Sterker nog: bijne tweederde van hen denkt dat een cyberaanval niet te voorkomen is.

Dat de sloten op de deur rammelen is bij de leiding van dergelijke bedrijgen overigens bekend. Negen op de tien van bovengenoemde IT-beslissers stellen hun zorgen intern aangekaart te hebben.

Het domein van online veiligheid is relatief complex – het is een ketting die zo sterk is als de zwakste schakel. Een ketting die bestaat uit vele schakels, van serverpark tot eindgebruiker. Wat die eindgebruiker betreft: uit onderzoek van InSpark blijkt dat ‘onzorgvuldigheid van medewerkers’ en ‘onkunde van medewerkers’ als grootste risico’s gezien worden.

Al met al ontstaat de indruk dat grote Nederlandse instellingen nog weinig grip hebben op cybercriminaliteit. Het leidt tot een reactieve defensie, terwijl veel ellende voorkomen zou kunnen worden als meer aandacht uitgaat naar preventie, zowel onder eindgebruikers als de IT-beslissers.

Veiligheid wordt nauwelijks getest

“Bedrijven gaan er te makkelijk van uit dat het met de kwetsbaarheid van de eigen organisatie voor cybercrime wel meevalt”, vertelt Derk van der Woude, Lead Consultant Security bij InSpark. “Uit ons onderzoek blijkt bijvoorbeeld dat driekwart van de respondenten ‘tevreden’ is over het niveau van de eigen cybersecurity. Dit resulteert in een lakse houding als het gaat om het testen en controleren.”

Een sluimerend risico is dat er onvoldoende bewustzijn is voor de snelheid waarmee het online landschap zich ontwikkelt. Wekelijks worden nieuwe aanvalsvectoren ontdekt, waar op de zwarte markt veel voor wordt betaald. Twee keer per jaar je sloten controleren is simpelweg onvoldoende.

“Een schrikbarende dertien procent van de respondenten geeft aan nooit een securitytest of pentest uit te voeren, terwijl bijna de helft van de IT’ers zegt niet te weten of zulke test gedaan worden”, vertelt Van der Woude. “Van de respondenten die wel testen uitvoeren, doet slechts dertien procent dit meerdere malen per jaar.”

Hoeveel computers van publieke organisaties staan stiekem cryptomunten te minen?