Slecht updaten van software zorgt dat kwaadwillenden veel meer kans krijgen om succesvol allerlei cyberaanvallen uit te voeren. Dat stelt de NCTV in haar jaarlijkse rapport.
Als bedrijven en instellingen hun software wel goed up to date zouden houden, had een aantal grote cyberaanvallen voorkomen kunnen worden.
Het rapport doelt dan vooral op de grote aanvallen van mei en juni vorig jaar. Na wat onderzoek bleek dat de aanvallen met WannaCry en NotPetya konden plaatsvinden via kwetsbaarheden in software van Microsoft waar allang een patch voor was uitgebracht.
Bij de wereldwijde aanval met de ransomware WannaCry werden vorig jaar meer dan 200.000 bedrijven en instellingen in 150 landen geraakt. In Engeland waren vooral ziekenhuizen getroffen. In Duitsland was dat vooral spoorwegmaatschappij Deutsche Bahn en provider Telefonica In Nederland waren parkeergarages van Q-Park door de gijzelsoftware getroffen.
Tijdrovend
Inmiddels is wel duidelijk dat updaten voor bedrijven vaak tijdrovender dan voor particulieren, omdat ze van grote invloed kunnen zijn op aan dat systeem gelinkte processen. Maar nu er sprake is van een continue digitale dreiging voor de nationale veiligheid, is investeren toch de enige optie, aldus het rapport.
“De Nederlandse maatschappij en economie zijn volledig afhankelijk geworden van digitale middelen,” zo valt te lezen. “De gevolgen van aanvallen en uitval kunnen groot en zelfs maatschappij ontwrichtend zijn. Gezien recente geopolitieke ontwikkelingen zullen staten naar verwachting digitale aanvallen blijven inzetten en mogelijk op grotere schaal toepassen.”
Het rapport signaleert ook een andere ontwikkeling. De aanvaller voorziet of accepteert de nevenschade voor andere landen die niet het primaire doelwit zijn niet. Het bekendste voorbeeld voor Nederland daarvan is NotPetya. Daarbij werden ook Nederlandse bedrijven geraakt. Onbedoeld leden zij economische schade.
Het rapport stelt ook dat staten steeds meer aanvallen uitvoeren op andere landen vanuit geopolitieke motieven. Het doel is strategische informatie buitmaken via spionage, beïnvloeding van de publieke opinie of democratische processen; zelfs sabotage van vitale systemen.
Beroepscriminelen
Ook beroepscriminelen blijven een grote dreiging voor de hele Nederlandse maatschappij. Cyberaanvallen, ook die met een grote maatschappelijke impact, zijn laagdrempelig uit te voeren.
Een aanvaller kan ze gewoon inkopen en hoeft ze dus niet zelf te ontwikkelen. Zo hadden in januari enkele banken langere tijd last van DDoS-aanvallen. Het bleek te gaan om een simpele ingekochte aanval.
Ondanks al die aanvallen nemen lang niet alle bedrijven en instellingen maatregelen. Het rapport hekelt deze houding, vooral omdat het vaak zelfs gaat over het ontbreken van simpele basismaatregelen. Denk aan tijdig installeren van updates of het voorkomen van tekortkomingen in configuraties.
