Overheid waant zich onterecht cyberveilig

De digitale dreigingen tegen Nederland worden diverser en onvoorspelbaarder. De zorgwekkende boodschap die opdoemt uit het Cybersecuritybeeld 2025 is dat veel overheidsorganisaties zich niet goed kunnen weren, omdat ze de basis nog niet op orde hebben.

Complex dreigingslandschap

Het Cybersecuritybeeld Nederland 2025, dat woensdag werd gepresenteerd, is opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Zowel de AIVD als de MIVD leveren een substantiële bijdrage. Het beeld dat deze organisaties schetsen is dat van een zeer gevarieerd en complex dreigingslandschap, waar het gevaar van alle kanten kan komen.

De inzet van generatieve AI maakt het voor kwaadwillenden bovendien eenvoudiger om aanvallen uit te voeren en om dit op grotere schaal te doen. Toch betekent dit niet per definitie dat de verdediging ook steeds complexer wordt, schrijft de NCTV. Voor veel organisaties blijft de mantra: zorg dat de digitale basishygiëne op orde is.

Ontoereikende maatregelen

De maatregelen die veel organisaties binnen de rijksoverheid nemen op het gebied van cyberweerbaarheid, zijn simpelweg ontoereikend, zo staat te lezen in het Cybersecuritybeeld. In het afgelopen jaar is dat meerdere malen gebleken.

De Nationale Politie werd gehackt door de Russische hackersgroep Laundry Bear. Het was het jaar van de diefstal van gevoelige persoonsgegevens van bijna 1 miljoen Nederlandse vrouwen uit een laboratorium. Hackers kregen toegang tot Citrix Netscaler-systemen van het Openbaar Ministerie (OM), wat zorgde voor ernstige en nog altijd voortdurende hinder. Het was ook het jaar van de NAVO-top in juni, die samenviel met verschillende Russische DDoS-campagnes (onder meer op het NAVO-hoofdkantoor en Notubiz, dat het raadsinformatiesysteem van diverse gemeenten levert) en Russische sabotage. In het voorjaar en ook later in het jaar zorgden DDoS-aanvallen op DigiD voor verstoring van de dienstverlening.

Al binnen?

Ook al zijn er binnen het Rijk allerlei projecten en verbetertrajecten gaande, veel organisaties blijken niet in staat om aanvallen zelfstandig te detecteren en de risico’s te verminderen. Ze voldoen niet aan de informatiebeveiligingsrichtlijnen die de rijksoverheid zelf voorschrijft. Het Cybersecuritybeeld schetst ‘een vals gevoel van veiligheid’. Het is goed mogelijk dat er al kwaadwillenden in de systemen van overheidsorganisaties zitten, valt af te leiden uit het rapport: ‘het is simpelweg onmogelijk om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd.’

Digitale afhankelijkheid

Dat internationale betrekkingen minder voorspelbaar worden, heeft ook een negatieve invloed op digitale veiligheid. Statelijke actoren zetten cyberprogramma’s op of breiden die uit. De veranderende geopolitieke verhoudingen hebben mogelijk ook gevolgen voor digitale afhankelijkheden. De mate van weerbaarheid verschilt van organisatie tot organisatie en van sector tot sector. Citaat uit het Cybersecuritybeeld: ‘De afhankelijkheid van externe digitale dienstverleners en de mogelijke risico’s die daaruit voortkomen worden door overheidsorganisaties niet voldoende afgewogen.’

Potentieel ontwrichtend

Als u nu denkt: allemaal niks van gemerkt, behalve dan dat het op het nieuws was, dan kan dat kloppen: de incidenten hebben niet geleid tot grote ontwrichting in de samenleving, schrijft de NCTV. Belangrijk is echter dat verschillende incidenten wél die potentie hadden en dat steeds meer blijkt dat dagelijkse werkzaamheden en persoonlijke levens kunnen worden geraakt (vraag dat maar aan die vrouwen van wie persoonlijke data werden gelekt). Nederland is zeer digitaal en daarmee in toenemende mate zeer kwetsbaar.