Een aanzienlijk deel van de vitale sector, bedrijven en organisaties in Nederland, waaronder Veiligheidsregio’s en de kerncentrale Borssele, beschermt zijn e-mail onvoldoende tegen cybercriminaliteit.
Dat blijkt uit onderzoek van Zembla en de Internet Cleanup Foundation. Zeker 43 van de 100 onderzochte bedrijven en organisaties beveiligt de e-mailsystemen niet optimaal tegen phishing, spoofing en ransomware.
Het gaat om kwetsbaarheid voor aanvallen met phishing, spoofing en ransomware. Naast Borssele en de veiligheidsregio’s gaat het bijvoorbeeld ook om banken ING en ABNAMRO, AMSIX, Kamer van Koophandel, KPN en een hele rij ministeries. Ook de Haven van Rotterdam staat op de lijst. In een reactie zeggen 34 van de 43 bedrijven en organisaties in de vitale sector hun mailbeveiliging verder aan te gaan scherpen.
Borssele
De kerncentrale in Borssele is één van de bedrijven die zijn mail onvoldoende beveiligt. De exploitant van de centrale, EPZ, erkent in een reactie dat de mail niet maximaal is beveiligd, maar zegt desondanks “goed weerstand te kunnen bieden aan cybercriminaliteit en dit permanent te monitoren”. EPZ scherpt de beveiliging van e-mail wel verder aan.
Ook de luchtvaartsector scoort slecht. Zowel KLM, Schiphol als Luchtverkeersleiding Nederland heeft de beveiliging niet voldoende op orde. Ze zeggen tegelijkertijd dat ze kampen met concrete pogingen tot cybercriminaliteit. “KLM monitort veiligheidsrisico’s continu en probeert cybercriminaliteit waar mogelijk, direct te mitigeren”, aldus de luchtvaartmaatschappij in een reactie.
Zowel KLM en de Luchtverkeersleiding zeggen al langer bezig te zijn met aanscherpen van de mailbeveiliging. Ze zetten hierin nu de laatste stappen. Ook Schiphol bekijkt nog of de mailveiligheid verder kan worden verscherpt.
Veiligheidsregio’s
Opvallend is volgens de onderzoekers vooral dat de Veiligheidsregio’s slecht scoren. Saillant detail daarbij is dat de Veiligheidsregio Noord- en Oost-Gelderland vorig jaar nog een ransomware-aanval te verduren kregen. Van de 25 Veiligheidsregio’s hadden er 13 hun e-mail onvoldoende tegen phishing beveiligd, terwijl zij als overheidsorganisatie hiertoe wel verplicht zijn.
“Verbetering kost tijd”, aldus de Veiligheidsregio’s, die zeggen te kampen met een “complex ICT-landschap” nadat de systemen van de Veiligheidsregio’s zijn samengevoegd. Ze nemen nu wel versneld extra veiligheidsmaatregelen.
Energiesector
“Ook wij hebben in de praktijk er wel eens mee te maken dat er op een verkeerde link wordt geklikt of dat er een besmet bestand wordt geopend”, vertelt hoogspanningsbeheerder TenneT, die eveneens de mail onvoldoende beveiligt. “We beschikken over goed beveiligde systemen, goed opgeleide mensen en degelijke security-processen, waardoor dergelijke acties niet tot verdere schade leiden of hebben geleid.”
Energiebedrijf Vattenfall zegt zichzelf al goed te beschermen met geavanceerde technologie. Desondanks stellen ze wel, net als TenneT, de ontbrekende mailveiligheidsstandaard alsnog in.
NCTV
In juni waarschuwde de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat gijzelsoftware een bedreiging vormt voor de nationale veiligheid. Dit omdat hackers daarmee vitale processen kunnen lamleggen.
Versturen van phishingmails is één van de belangrijkste tactieken waarmee ransomware-aanvallen worden uitgevoerd. Hackers versturen gefingeerde e-mailberichten met malafide bijlagen of links. Door drie belangrijke veiligheidsmaatregelen (SPF, DKIM en DMARC) kunnen organisaties phishing en het vervalsen van afzenders voorkomen. Binnen de overheid is een strikte toepassing verplicht en aan de vitale sector worden deze maatregelen ten strengste aanbevolen.
Lees ook:
- CxO-fraude: de aloude babbeltruc in een digitaal jasje
- 250 e-mailadressen Afghaanse tolken gelekt door Brits ministerie van Defensie
