De digitale dreiging tegen Nederland is groot en divers, en neemt toe, stelt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Maar wat zijn die digitale dreigingen eigenlijk? In dit artikel vatten we de vijf grootste aanvallen op de beveiliging van commerciële bedrijven samen.
Cyberaanvallen: een groeiend gevaar
Cyberaanvallen vormen een grote dreiging voor bedrijven en individuen. Deze aanvallen kunnen uit diverse hoeken komen, waaronder hackers, cybercriminelen en dreigingen van binnenuit. Er zijn veel en gevarieerde aanvalsvormen, van phishing en malware tot ransomware en DDoS-aanvallen. Bedrijven moeten zich bewust zijn van deze groeiende dreiging en passende maatregelen nemen om zichzelf te beschermen. Een uitgebreid beveiligingsconcept en regelmatige training voor werknemers zijn essentieel om de integriteit van bedrijfsdata te verzekeren en om de vele dreigingen af te wenden. Bedrijven moeten hun beveiligingsstrategieën aanpassen om te reageren op nieuwe AI-gebaseerde aanvallen, terwijl ze AI-gebaseerde beveiligingsoplossingen implementeren om hun beveiligingsniveau te verhogen.
1. Ransomware en malware
De Autoriteit Persoonsgegevens noemt ransomware-aanvallen een ‘gevaarlijke trend’, die serieus slachtoffers maakt. In 2023 telt de AP zeker 178 geslaagde ransomware-aanvallen. Maar omdat één aanval vaak meerdere organisaties tegelijkertijd treft, komt het totaal aantal getroffen organisaties uit in de vele honderden. “Uit cijfers van de AP blijkt nu dat dit gevaar zelfs nog groter is dan gedacht. Dat moet een waarschuwing zijn voor iedereen”, zegt AP-voorzitter Aleid Wolfsen daarover.
Een voorbeeld van zo’n dreiging is een cyberaanval op kritieke infrastructuur, zoals ziekenhuizen. Op deze manier kan het simpelweg openen van een e-mailbijlage leiden tot een serieuze cyberaanval, met als doel om de kliniek kwetsbaar te maken voor afpersing.
Ransomware is een vorm van malafide software (malware) die data op een IT-systeem versleuteld of de toegang ertoe blokkeert. De aanvaller eist losgeld om de gegevens weer vrij te geven. Getroffen bedrijven of individuen kunnen niet langer diensten leveren en hun zakelijke processen zijn enorm beperkt, omdat hun gehele IT-systeem stil komt te liggen. In sommige gevallen wordt gedreigd om gestolen gegevens vrij te geven, om de druk te verhogen. Tegenwoordig worden niet alleen grote en financieel sterke bedrijven aangevallen, maar zijn kleine en middelgrote bedrijven ook steeds vaker doelwit, net als overheidsorganisaties en lokale autoriteiten.
Naast ransomware zijn andere vormen van malware of malafide programma’s, waaronder virussen, worms, Trojans en spyware. Het gaat ook om Internet of Things-malware, dat apparaten die verbonden zijn met het internet treft. Denk aan camera’s en routers. Malware-aanvallen komen veelvuldig voor; volgens onderzoek van Zscaler ThreatLabz staat Nederland zelfs in de top 5 van landen waar het vaakst malware op mobiele apparaten voorkomt.
2. Datalekken
In het Engels noemen we het een ‘data breach’, in het Nederlands hebben we het over datalekken, datadiefstal of data-inbreuk. Een data breach komt voor wanneer gevoelige data – zoals namen, adressen, e-mailadressen of creditcardgegevens – zonder toestemming worden vrijgegeven, worden gestolen of op een andere manier in gevaar worden gebracht. In veel gevallen gaat het om een doelbewuste aanval op precies deze vertrouwelijke gegevens. De gegevens in kwestie worden doorgegeven, gepubliceerd, vernietigd of aangepast.
De meest voorkomende oorzaken van data breaches zijn:
- Aanvallen door hackers: cybercriminelen krijgen toegang tot databases of systemen via aanvallen.
- Dreigingen van binnenuit: wangedrag van een werknemer of voormalig werknemer die gegevens steelt of openbaar maakt.
- Gestolen apparaten: diefstal van computers, laptops, smartphones, tablets of harde schijven. Cybercriminelen misbruiken regelmatig kwetsbaarheden in smartphones om privégegevens te stelen. Zowel de apps als de smartphone zelf kunnen als een gateway dienen voor malware die gevaarlijk is voor de privacy van de gebruiker.
Het verschil tussen datadiefstal en een datalek is dat bij een datalek vertrouwelijke gegevens niet openbaar worden gemaakt door een opzettelijke aanval, maar op een andere manier. Dan gaat het bijvoorbeeld om een kwetsbaarheid in de software of zwakke plekken in het IT-beveiligingssysteem van het bedrijf.
AI-gebaseerde systemen kunnen helpen om zulke dreigingen in een vroeg stadium te detecteren en te voorkomen.
Belangrijk: een datalek moet binnen 72 uur na kennisname van het lek gemeld worden bij de Autoriteit Persoonsgegevens. Wordt een datalek niet tijdig gemeld, dan kan daar een hoge boete aan vast zitten. Volgens de privacywetgeving AVG is een boete maximaal 20 miljoen euro of 4% van de wereldwijde omzet.
3. Social engineering en phishing
Bij social engineering wordt de dreiging niet door een computersysteem gevormd, maar door een mens. Cybercriminelen gebruiken menselijke eigenschappen als vertrouwen, behulpzaamheid of zelfs respect of angst voor autoriteiten om slachtoffers zo te manipuleren dat ze data vrijgeven of beveiligingsfuncties uitschakelen. Een bekend voorbeeld van social engineering is wanneer een zogenaamde IT-werknemer een andere werknemer belt om via misleiding wachtwoorden of andere data te verkrijgen.
Phishing, of het vissen naar wachtwoorden, is ook een vorm van social engineering. Bij phishing worden frauduleuze e-mails, websites, telefoontjes of sms’jes gebruikt om slachtoffers zo te manipuleren dat ze datavrijgeven. Deze phishing-aanvallen vormen een van de grootste dreigingen voor bedrijven, aangezien ze vaak onderdeel zijn van grotere cyberincidenten. Cybercriminelen gebruiken diverse methoden om vertrouwelijke informatie te verkrijgen, door emoties als angst of urgentie te misbruiken.
Dit gebeurt zowel in professionele omgevingen als in de privéomgeving. Bijna iedereen is wel eens phishing tegengekomen, bijvoorbeeld met een verzoek om een factuur te betalen, inloggegevens of creditcardgegevens in te voeren of om een bijlage met daarin verstopte malware te openen. In professionele context doet de aanvaller zich vaak voor als een leidinggevende die om inloggegevens vraagt.
Volgens het CBS ontving 65% van de Nederlanders van vijftien jaar of ouder in 2023 ten minste één keer een telefoontje, e-mail of ander bericht dat (waarschijnlijk) van een oplichter was. 2% is er wel eens ingetrapt en 0,8% is er uiteindelijk geld mee verloren.
4. Gebrek aan veiligheidsbewustzijn en zwakke wachtwoorden
Mensen worden vaak als de zwakste schakel in cybersecurity gezien. Dit is ook wel duidelijk geworden uit de eerder genoemde dreigingen: datadiefstal komt onder meer voor door wangedrag van werknemers, en bij phishing en social engineering wordt misbruik gemaakt van menselijke zwakheden. Naast een gebrek aan weerbaarheid tegen cyberdreigingen vormt een gebrek aan verdere training en onzorgvuldige omgang met risico's door werknemers vaak een groot beveiligingsrisico voor bedrijven. Zwakke wachtwoorden spelen hierbij ook een grote rol.
Wachtwoorden worden ook jarenlang en voor verschillende accounts gebruikt, of als notities aan werkplekken op kantoor opgehangen. Dit soort incidenten vormen reële beveiligingsrisico’s en een belangrijke reden waarom werknemers niet volledig vrij mogen zijn in de keuze van wachtwoorden.
Hackers kunnen allerlei methoden gebruiken om wachtwoorden te kraken; van klassiek gokken tot brute force-aanvallen en ‘password spraying’. Brute force-aanvallen gebruiken technische middelen om een grote hoeveelheid wachtwoordcombinaties uit te proberen. Bij password spraying worden al eerder gestolen wachtwoorden op zoveel mogelijk accounts uitgeprobeerd. Daarom zijn wachtwoordaanvallen succesvoller als eenvoudige wachtwoorden regelmatig herbruikt worden.
Wachtwoordstrategieën en sterke wachtwoorden zijn niet alleen belangrijk om jezelf te beschermen, maar passende wachtwoordbeveiliging is ook een verplichting onder Artikel 32 van de AVG.
Wachtwoordbescherming en de veilige verwerking van persoonlijke gegevens zijn technische maatregelen die door ieder bedrijf gegarandeerd moeten worden. Ook hier stelt de AVG hoge boetes als er gegevens lekken vanwege een vermijdbare wachtwoordovertreding.
5. DDoS-aanvallen
DDoS-aanvallen zijn specifiek een dreiging voor bedrijven met een online winkel of online diensten. Bij een DDoS-aanval worden netwerkbronnen, zoals webservers, opzettelijk overbelast. Webservers kunnen maar een bepaalde hoeveelheid verzoeken tegelijkertijd verwerken. Als de bandbreedte van de internetverbinding van een server ook beperkt is, kunnen gebruikersverzoeken alleen langzaam of helemaal niet beantwoord worden. Dit is doorgaans het doel: het verstoren of helemaal stopzetten van de activiteiten. In sommige gevallen wordt om losgeld gevraagd om de aanval te stoppen.
Er zijn diverse redenen waarom hackers DDoS-aanvallen uitvoeren. We noemden afpersing al, maar hackers worden soms ook door organisaties ingehuurd om de concurrentie uit te schakelen. Er zijn politiek gemotiveerde DDoS-aanvallen tegen bedrijven en organisaties, die kunnen escaleren naar digitale oorlogsvoering tegen vijandelijke staten. Bovendien vinden DDoS-aanvallen plaats voor het plezier en vermaak van cybercriminelen. Vaak zijn kleinere websites daar het doel van.
Volgens de Nationale Beheersorganisatie Internetproviders (NBIP) neemt het aantal DDoS-aanvallen sinds het derde kwartaal van 2023 flink toe, namelijk met ruim 35%. In het derde kwartaal van 2024 handelde de DDoS-wasstraat NaWas 688 DDoS-aanvallen af. Het Europese agentschap voor cybersecurity, ENISA, stelt bovendien dat DDoS-aanvallen samen met ransomware de nummer 1 cyberdreiging vormen in Europa. Bedrijven en organisaties moeten dus een strategie hebben om zich tegen DDoS-aanvallen te beschermen.
AI-gebaseerde systemen kunnen helpen om DDoS-aanvallen in een vroeg stadium te detecteren en om hiertegen te beschermen. Dat doen de systemen door ongebruikelijke patronen in het verkeer te identificeren en automatisch tegenmaatregelen te nemen.
Andere dreigingen: aanvallen op webapplicaties en de toeleveringsketen
Dit soort aanvallen kunnen serieuze consequenties hebben, zoals de diefstal van gevoelige data of het in gevaar brengen van de integriteit van webapplicaties.
SQL injection is een bijzonder gevaarlijk soort aanval. Hierbij misbruiken aanvallers kwetsbaarheden in de webapplictie om toegang te krijgen tot gevoelige data. Een ander voorbeeld is cross-site scripting (XSS), waarbij kwaadaardige scripts worden uitgevoerd op de pagina van het slachtoffer. Verder is cross-site request forgery (CSRF) een veelvoorkomende aanval waarbij ongeautoriseerde acties worden uitgevoerd op de website van een slachtoffer.
Aanvallen op de toeleveringsketen vormen ook een serieuze dreiging. Bij dit soort aanvallen manipuleren aanvallers leveranciers of onderaannemers om kwetsbaarheden te misbruiken en toegang te krijgen tot gevoelige data, of om ongeautoriseerde acties uit te voeren. Een bekend voorbeeld hiervan is de aanval op SolarWinds, waarbij aanvallers via de toeleveringsketen binnen wisten te dringen in diverse zakelijke netwerken.
Bedrijven moeten hun webapplicaties en toeleveringsketen regelmatig controleren op kwetsbaarheden, zodat ze zichzelf kunnen beschermen. Het is cruciaal dat alle beveiligingsmaatregelen altijd up-to-date zijn en dat er regelmatig beveiligingscontroles worden uitgevoerd. Alleen op deze manier kan de integriteit van systemen en data gegarandeerd worden.
Bescherming tegen cyberdreigingen
Bescherming tegen cyberdreigingen is van groot belang voor bedrijven en individuen. Er zijn diverse maatregelen die genomen kunnen worden om jezelf te beschermen. Het gaat bijvoorbeeld om het gebruik van antivirussoftware, firewalls en inbraakdetectie- en preventiesystemen.
Het is net zo belangrijk dat werknemers en privépersonen zichzelf onderwijzen over de verschillende soorten cyberdreigingen en de passende aanbevelingen volgen. De integriteit van gegevens en systemen moet altijd worden gewaarborgd om de beveiliging te maximaliseren. Regelmatige training en bewustmakingsmaatregelen helpen het bewustzijn van beveiligingsrisico's en de veerkracht tegen cyberaanvallen te vergroten.
