Op 28 oktober 2024 heeft de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) verslag gedaan over de ontwikkelingen in cybercriminaliteit en cyberveiligheid in het Cybersecuritybeeld Nederland 2024. De conclusie is zorgwekkend: de cyberdreiging voor Nederland is groot en alle organisaties, waaronder decentrale overheden, lopen gevaar om slachtoffer te worden van cyberaanvallen. Decentrale overheden vervullen een cruciale rol in het bevorderen van cyberveiligheid en het beschermen van gevoelige gegevens. Daarom is het essentieel dat zij doorpakken in hun risicobeheersmaatregelen.
Cyberveiligheid en nationale veiligheid gaan hand in hand
Nederland beschikt over een ontwikkelde kenniseconomie en sterk gedigitaliseerde samenleving. Tegelijkertijd maakt dit Nederland tot een geliefd doelwit voor cyberaanvallen, zoals DDoS-aanvallen en ransomware, omdat de maatschappij in toenemende mate afhankelijk is geworden van digitale systemen. Succesvolle cyberaanvallen kunnen hierdoor kritieke sectoren uitschakelen of controleren. Cyberinbraken bij onder andere decentrale overheden, die zich bezighouden met de openbare orde, veiligheid, verkeersmanagement en (persoons)gegevensbeheer, vormen dus een directe dreiging voor de maatschappij, de economie en de veiligheid van burgers. Kortom: Wanneer de cyberbeveiliging van overheden en bedrijven niet op orde is, komt nationale veiligheid in het gedrang.
Cyberaanvallen hangen vaak samen met geopolitieke situaties, zoals de oorlog in Oekraïne of China als wereldmacht. Uit politiek, strategisch en economisch oogpunt zijn overheden aantrekkelijke doelwitten voor cybercriminelen om vitale infrastructuur te saboteren, strategische en gevoelige gegevens te bemachtigen en deze ‘gegijzelde’ gegevens tegen hoge sommen losgeld te verkopen.
Wanneer de cyberbeveiliging van overheden en bedrijven niet op orde is, komt nationale veiligheid in het gedrang.
Cyberincidenten bij decentrale overheden in 2023-2024
- Een datalek van inwonersgegevens in vier gemeenten, waaronder gemeente Apeldoorn, na een softwarefout.
- DDoS-aanvallen door pro-Russische hackers op Nederlandse websites van Rechtspraak.nl, de Staten-Generaal en de gemeente Vlaardingen.
- Een datalek bij het communicatiebedrijf AddCom dat zorgde voor potentiële datalekken bij verschillende gemeenten, waaronder de gemeente Groningen.
Vijf basisprincipes voor cyberbeveiliging
Het Nationaal Cyber Security Centrum en het Digital Trust Center adviseren overheden om de volgende vijf basisprincipes te hanteren om cyberweerbaar te worden:
- Breng cyberrisico’s in kaart
- Bevorder veilig gedrag van personeel bij interactie met technologie
- Bescherm systemen, applicaties en apparaten
- Beheer toegang van personeel tot systemen en gegevens
- Bereid voor op cyberaanvallen
Decentrale overheden en cyberbeveiliging
Decentrale overheden komen dagelijks in aanraking met cyberaanvallen in de vorm van bijvoorbeeld phishing, DDoS en ransomware. Zij dragen een grote verantwoordelijkheid voor de cyberveiligheid van hun dienstverlening. De digitale systemen van een decentrale overheid zijn nauw verweven met de landelijke digitale infrastructuur waarmee ook de centrale overheid en andere decentrale overheden verbonden zijn. Hierdoor kan een datalek bij één overheid leiden tot cyberinbraken bij andere overheden. Daarom pleit de NCTV voor een bredere cyberrisicobeheersing, waarbij de samenhang tussen individuele cyberaanvallen in kaart wordt gebracht.
Bovendien benadrukt de NCTV dat decentrale overheden het cyberbewustzijn en de kennis over cybercriminaliteit van hun medewerkers moeten vergroten. Een groot deel van de succesvolle cyberaanvallen wordt namelijk veroorzaakt door menselijke fouten, bijvoorbeeld door het openen van een besmette link in een e-mail (phishing), waardoor cybercriminelen toegang krijgen tot systemen en gegevens. Generatieve AI maakt het daarbij steeds moeilijker om misleidende phishing-mails te onderscheiden van betrouwbare inhoud.
Hoewel de Richtlijn Netwerk- en informatiesysteembeveiliging (NIS2) niet op tijd is omgezet in nationale wetgeving, adviseert de Rijksoverheid decentrale overheden om alvast te voldoen aan de cyberbeveiligingsverplichtingen onder de NIS2-Richtlijn. Zie ons eerdere artikel over decentrale overheden en hun verplichtingen onder de NIS2-Richtlijn.
Bronnen
Nationaal Coördinator Terrorismebestrijding en Veiligheid, Cybersecuritybeeld Nederland 2024
Meer informatie
Kenniscentrum Europa Decentraal, Cyberveiligheid
Kenniscentrum Europa Decentraal, NIS2-Richtlijn
Kenniscentrum Europa Decentraal, Moeten decentrale overheden zelfstandig en rechtstreeks aan de NIS2 verplichtingen voldoen?
Kenniscentrum Europa Decentraal, NIS2 in aantocht: wacht niet af met het nemen van cyberbeveiligingsmaatregelen
