Cybercrimineel bedreigt samenleving

Bescherming van persoonsgegevens is een grondrecht. Daarom moet de overheid alles uit de kast halen om de cyberveiligheid te garanderen. Haast is daarbij geboden, want spionnen en criminelen ontdekken voortdurend zwakke plekken in de digitale samenleving.

Cybercrime - cybercriminaliteit
(Foto: Visual Content op www.photopin.com)

Tot nu toe genomen maatregelen van overheid en bedrijfsleven tegen cyberdreigingen blijken niet toereikend. In de strijd tegen de steeds professionelere methoden van cybercriminelen, cyberspionnen en hackers is daarom extra geschut nodig, want op alle fronten woedt een digitale strijd. Dit blijkt uit een recent verschenen rapport van het Rathenau Instituut dat op verzoek van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) onderzoek deed naar digitale criminaliteit in Nederland. Versterken van cybersecurity moet in Nederland de hoogste prioriteit krijgen, vinden de samenstellers. Die mening is ook het nieuwe kabinet toegedaan. Daarom is in het regeerakkoord een bedrag van ruim 95 miljoen euro gereserveerd voor de bestrijding van digitale criminaliteit.

Patricia Zorko, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid, juicht dat toe, want ook uit het jaarlijks Cybersecuritybeeld Nederland (CSBN) blijkt dat de digitale weerbaarheid van Nederland achterblijft op de digitale dreiging, stelt zij. “De grootste dreiging gaat op dit moment uit van beroepscriminelen en actoren die handelen uit naam van een nationale overheid en schade kunnen aanrichten via digitale aanvallen. Daarnaast zien we ook dat consumenten en bedrijven nog te weinig doen om zichzelf digitaal veilig te maken. Overheid, bedrijfsleven en burgers nemen tal van stappen om de digitale weerbaarheid te vergroten, maar dit gaat niet snel genoeg. We zijn dan ook blij dat cybersecurity in de brede zin veel aandacht krijgt in het nieuwe regeerakkoord, zowel via financiële middelen als door de versterking van de positie van het Nationaal Cybersecurity Centrum (NCSC).”

Nationale digitale veiligheid

Internationaal wordt Nederland gezien als een van de meest ICT-intensieve economieën; de digitalisering vordert in rap tempo. Dat biedt volop kansen, maar tegelijkertijd zijn we daarmee volgens Zorko ook in tal van opzichten afhankelijk geworden van informatie- en communicatietechnologie. “Afgelopen maand hebben we daarom een nationale crisisoefening georganiseerd vanuit de NCTV om te zien of Nederland klaar is voor digitale aanvallen. Uit de resultaten van die oefening blijkt dat basis van de samenwerking tussen vitale bedrijven en de overheid stevig is.”

Cyberdreigingen ondergraven het innovatie- en concurrentievermogen van het Nederlandse bedrijfsleven en het vertrouwen in de digitale samenleving, waarschuwen deskundigen. Vooral het toenemend gebruik van het Internet of Things, waarmee tal van apparaten en systemen worden aangestuurd, versterkt die kwetsbaarheid. Doordat de beveiliging van ‘slimmeʼ apparaten vaak niet op orde is, kunnen deze worden gehackt en ingezet voor grootschalige aanvallen door gijzel- of andere software. Dat maakt ook infrastructurele voorzieningen kwetsbaar, zoals onlangs bleek toen containerterminals in de Rotterdamse haven buiten bedrijf raakten door vijandige digitale operaties. Bijna op hetzelfde moment werden tienduizenden reizigers in het openbaar vervoer zwaar gedupeerd nadat de nationale website met reisinformatie door digitale criminelen werd belaagd.

Om de weerbaarheid tegen cybercriminelen te versterken raden ingewijden binnen de overheid en uit het bedrijfsleven aan vitale sectoren, zoals telecom, transport, drinkwater- en energievoorziening en de zorg jaarlijks een hacktest uit te voeren. Toezichthouders als de Autoriteit Consument en Markt en het Agentschap Telecom zouden krachtiger moeten optreden tegen het op de markt brengen van onveilige digitale producten. Tot slot zou de overheid, die in Nederland circa dertig procent van de beveiligingsproducten en -diensten afneemt, nadrukkelijker een voorbeeldrol moeten vervullen als ‘launching customerʼ.

Samenwerking is nodig, want samen houden we Nederland digitaal veilig, stelt Zorko en zij vindt dat iedereen daarbij verantwoordelijkheid moet nemen. Dat geldt volgens haar zowel voor overheidsinstellingen als voor particulieren. Maatregelen die iedereen zou kunnen nemen lopen uiteen van het aanschaffen en installeren van betrouwbare virusscanners tot het regelmatig maken van back-ups en het actualiseren van software. “Voor bedrijven gaan maatregelen natuurlijk wat verder en adviseren we bijvoorbeeld ook netwerksegmentatie en het gebruik van versleuteling”, zegt zij. Ook wijst Zorko op www.veiliginternetten.nl waar lijsten staan met tips voor consumenten. Daarnaast worden op www.ncsc.nl, de website van de NCSC, voortdurend adviezen voor organisaties gepubliceerd.

Onzichtbare inkt

Schrijfmachines, handgeschreven notities en ouderwetse maar zwaar beveiligde telefoonlijnen. Russische geheime diensten zouden ze weer in ere hebben hersteld om zo te voorkomen dat gevoelige informatie in verkeerde handen valt. Gaan we weer terug naar de tijd van de onzichtbare inkt en de microfilm? Dat lijkt onwaarschijnlijk, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP). “Onze hedendaagse samenleving kan niet meer functioneren zonder digitale toepassingen. Maatschappelijke veranderingen zijn vrijwel uitgesloten zonder gebruik te maken van ICT-toepassingen. Dat gegeven dwingt ons ervoor te zorgen dat persoonlijke informatie veilig is.”

Wolfsen benadrukt dat bescherming van privacygevoelige gegevens een grondrecht is. Daarom moeten de overheid en het bedrijfsleven er alles aan doen om dat te waarborgen. Hoewel er nog flink wat kan worden verbeterd ziet hij wel vooruitgang. Ook neemt binnen het ambtelijk apparaat de belangstelling voor de bescherming van persoonsgegevens toe, stelt hij vast. “Onlangs gaf ik over dit onderwerp een lezing voor een aantal topambtenaren. Eén van mijn medewerkers maakte mij er op attent dat tijdens de vier uur durende bijeenkomst over privacy niemand naar zijn telefoon greep of voortijdig de zaal verliet. Ook op dit niveau is er dus wel degelijk aandacht voor het onderwerp”.

Dat wordt ook hoogtijd, vindt hij, want de urgentie om de veiligheid van persoonsgegevens te verbeteren is hoog. Als voorbeeld wijst op hij de bijna 5700 datalekken die in 2016 zijn doorgegeven. Vorig jaar waren organisaties die een ernstig datalek vaststelden, voor het eerst verplicht dit te melden aan de AP. Van een dergelijk lek is sprake als er een inbreuk mogelijk is op de beveiliging van persoonsgegevens. Ook als er gegevens zijn vernietigd of gewijzigd of er toegang is geweest tot informatie zonder dat dit de bedoeling is, wordt dit aangeduid als een datalek. Komt bijvoorbeeld een e-mail met persoonsgegevens terecht bij de verkeerde ontvanger of wanneer iemand een USB-stick kwijtraakt waarop persoonsgegevens staan die dan ook nog niet zijn versleuteld, wordt dat beschouwd als een datalek.

Ernstige datalekken

Bijna een derde van alle gemelde datalekken komt uit de sector gezondheid en welzijn, blijkt uit het jaarverslag van de AP. Daarbij gaat het om 1645 meldingen. Met 975 incidenten neemt de financiële sector de tweede plaats in, het openbaar bestuur komt op de derde plaats met 861 meldingen en met 662 meldingen grijpt de sector informatie en communicatie net buiten een podiumplaats. Volgens de AP wil dit overigens niet zeggen dat zich hier de zwaarste overtreders bevinden. Doordat met name in deze branches veel gevoelige persoonsgegevens zoals informatie over de gezondheid, financiële gegevens worden verwerkt, moeten deze sectoren eerder een melding doen.

Hoewel deze aantallen in absolute zin nog mee lijken te vallen, moeten ze wel in het juiste perspectief worden gezien. Zo was er in sommige gevallen sprake van enkele benadeelden, maar deden zich ook incidenten voor waarbij het ging om honderdduizenden gedupeerden. Vorig jaar heeft de AP in ruim vierduizend gevallen een onderzoek ingesteld. Op basis van de eerste bevindingen kregen ruim honderd organisaties een waarschuwing. In enkele tientallen gevallen was het eerste, oriënterende onderzoek voor de AP aanleiding dieper te graven.

Topmanagers en -ambtenaren komen er niet meer mee weg als ze zeggen dat cyberveiligheid een zaak is voor de IT-afdeling, vindt Wolfsen. “Zonder de digitale wereld te kennen, kun je tegenwoordig geen leiding meer geven. Als bestuurder of manager moet je in staat zijn de juiste vragen te stellen en de antwoorden op waarde kunnen schatten. Beveiliging van persoonsgegevens behoort fundamenteel geborgd te zijn. Tegelijk moet de top van een bedrijf of ambtelijke organisatie zich realiseren dat problemen op dit vlak zich binnen alle geledingen kunnen voordoen. In de digitale wereld hangt immers alles met alles samen.”

Mensen als een postpakketje

Exploitanten van websites proberen zoveel mogelijk gegevens van hun bezoekers te verzamelen. Dat is niet nieuw en al enige jaren verschijnt bij een eerste bezoek aan een webpagina de verplichte ‘coockie-melding’ die aangeeft dat er informatie wordt verzameld. Schokkender is dat de AP vaststelde dat zelfs ziekenhuizen informatie over de bezoekers van hun websites doorspelen aan commerciële partijen.

Daarnaast hoef je niet eens te surfen om een digitaal spoor achter te laten. Iemand die door een winkelstraat loopt wordt gevolgd en met de huidige techniek is het zelfs mogelijk om vast te stellen welke etalages op bijzondere belangstelling kunnen rekenen. Wifitracking heet dat in vaktermen. Dat mag echter alleen als er een wettelijke grondslag voor is. Ook gemeenten en organisatoren van omvangrijke evenementen maken er gebruik van, bijvoorbeeld om loopstromen in kaart te brengen en bij te houden hoeveel bezoekers op een bepaalde plaats blijven.

Onschuldig? Volgens de AP niet, want de organisatie legde vorig jaar een dwangsom op aan een bedrijf dat locatiegegevens van winkelbezoekers en voorbijgangers verzamelde. Knelpunt daarbij was dat het bedrijf het publiek niet over die activiteit informeerde. Bovendien werden er meer persoonsgegevens verzameld dan mocht. Metingen waren bijvoorbeeld niet voldoende afgebakend naar tijd en plaats. Na de maatregel van de AP is het bedrijf gestopt met wifitracking in en rond winkels.

Rustig op de bank naar je favoriete tv-programma kijken? Ongetwijfeld kijkt de telecomprovider over je schouders mee. Het lijkt op een extra dienstverlening als Netflix of Videoland op basis van eerder bekeken films een aantal suggesties doen of als Spotify of Apple Music voorbeelden geven van muziek die vast ook bij je in de smaak vallen. Dat kan natuurlijk handig zijn, maar wat gebeurt er met de gegevens die worden verzameld? En, nog belangrijker, in hoeverre hebben gebruikers zelf invloed op het gebruik van die informatie?

Dit zijn slechts enkele voorbeelden van de manier waarop privacygevoelige gegevens worden verzameld en de gevaren die dat met zich mee kan brengen. Positief noemt Wolfsen dat het publiek zich steeds vaker realiseert welke risico’s er kleven aan onvoldoende beveiliging van digitale gegevens. Zo maakte de AP vorig jaar tal van organisaties er op attent dat zij hun beveiliging beter op orde moesten brengen nadat ongeruste gebruikers melding van een mogelijk datalek hadden gedaan. “Uiteindelijk doen we het daar toch allemaal voor. Het is niet voor niets dat de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 in werking treedt, in artikel 1 zegt dat de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens een grondrecht is en dat eenieder recht heeft op bescherming van zijn persoonsgegevens.”

Tijd dringt

Om voorbereid te zijn op de uitbreiding van de taken vindt er binnen de AP een ingrijpende reorganisatie plaats en wordt het beschikbare budget verdubbeld. Dat geeft volgens Wolfsen aan dat het de overheid ernst is om de rechten van de burgers als het gaat om de bescherming van persoonsgegevens te waarborgen. Ook maakt ministerie van Economische Zaken in 2018 een bedrag van 2,5 miljoen euro vrij voor de inrichting van het DTC, het Digital Trust Center, dat het voor het midden- en kleinbedrijf mogelijk moet maken om cybersecurity te organiseren.

Voor instelingen en ondernemingen is er dus nog volop werk aan de winkel. Preventieve maatregelen die zij kunnen treffen tegen digitale fraude zijn, naast de bekende installatie van virusscanners op alle bedrijfscomputers, intensieve controle van facturen en het maken van regelmatig back-ups. Uit recent onderzoek van de Kamer van Koophandel (KvK) blijkt echter dat een derde van de ondernemingen in het midden- en kleinbedrijf (mkb) nauwelijks weet hoe identiteits- en faillissementsfraude valt te voorkomen. Ook de gevaren van malware zijn vrijwel onbekend. Dat is opmerkelijk, want volgens de KvK zouden bijna twee op de vijf mkb’ers in het afgelopen jaar te maken hebben gehad met vormen van digitale fraude. Schade door datalekken vormt daarbij de hoofdmoot en voor een kwart van de ondernemers heeft ook financiële gevolgen gehad, blijkt uit het onderzoek onder ruim 1600 mkb-bedrijven.

Als bedrijven en organisaties nu nog niets geregeld hebben om hun digitale veiligheid te verbeteren, kunnen ze ernstig in tijdnood komen waarschuwt Wolfsen. “Daarom raden we aan de komende zeven maanden optimaal te benutten. Komende tijd blijven we doorgaan met intensieve voorlichting en geven we tekst en uitleg over de gevolgen van de AVG. Tegelijk zullen we straks repressief ingrijpen en zonodig stevige boetes opleggen als we op ernstige misstanden stuiten.” Bedrijven en organisaties moeten zich daarom in rap tempo voorbereiden op de komst van de nieuwe wetgeving, benadrukt hij, want de tijd dringt.

Dit artikel schreef ik in opdracht van Pulse Media Group.
Het werd eerder gepubliceerd in een bijlage bij Elsevier weekblad.

Geplaatst in publicaties en getagd met .