Cyberaanvallen lijken steeds meer te zijn gericht op de publieke sector. Hoewel overheidsinstanties – vergeleken met andere sectoren – het minst geneigd zijn om losgeld te betalen, werden ze in 2022 niet gespaard door cybercriminelen. Wat zouden de motieven kunnen zijn achter de toename van de aanvallen op de overheid? En welke verdedigingsmechanismen kunnen overheidsinstanties toepassen om zich hiertegen te beschermen?
Cyberaanvallen nemen toe: de overheid is één van de belangrijkste doelen
Overheidsinstellingen zijn verantwoordelijk voor grote hoeveelheden gevoelige gegevens, variërend van persoonlijke informatie over burgers tot geheime informatie over de nationale veiligheid. In een wereld waarin gegevens centraal staan blijft informatie populaire handelswaar.
Hoewel aanvallen op bedrijven, zorgverleners, onderwijs en financiële instellingen regelmatig het nieuws halen, zijn overheden naar de top van meest populaire doelwitten gestegen. Uit onderzoek in het derde kwartaal bleek dat de overheid de op één na meest aangevallen sector was, met een gemiddelde van 1564 aanvallen per week. Dit is een stijging van 20% ten opzichte van dezelfde periode een jaar eerder.
Waarom overheden op de korrel worden genomen
Er werd gemeld dat slechts 32% van de overheden cybercriminelen betaalde om hun versleutelde gegevens te herstellen. Dat is een duidelijke daling ten opzichte van de 42% in 2020. Vergeleken met alle andere sectoren was dit het laagste gerapporteerde percentage. Hoewel minder overheidsinstanties losgeld betalen, neemt het aantal ransomware-campagnes nog steeds toe, wat erop wijst dat cybercriminelen andere doelen voor ogen hebben dan financieel gewin.
Overheidsinstanties zitten bovenop een schat aan gegevens vanwege de vele diensten die de staat aan bedrijven en burgers verleent. Zelfs één succesvolle inbreuk op een overheidsinstantie kan leiden tot het lekken van overheidsinformatie naar cybercriminelen. Op online zwarte markten worden de gestolen gegevens vaak verkocht voor de vervalsing van documenten, identiteitsdiefstal en toegang tot organisaties.
De dreiging van hacktivisme en cyberterrorisme
Door een staat gesponsorde cybercriminelen hebben andere doelen. Naast het verkopen van gestolen gegevens is hun doel soms het verstoren van essentiële diensten, het aanwakkeren van protesten, het blootleggen van politieke misstanden of het ondermijnen van vertrouwen en het in verlegenheid brengen van organisaties.
Nationale en lokale overheden worden door deze actoren beschouwd als ‘soft targets’ en hebben vaak kleine, door de overheid gefinancierde budgetten die weinig ruimte laten voor goede cyberbeveiligingsprogramma’s. Overheidsinstanties hebben vaak geen speciale beveiligingsprofessionals in dienst en vertrouwen voornamelijk op IT van algemene aard of kleine SOC-teams. Legacy-technologie die wordt gebruikt, is mogelijk niet geavanceerd genoeg om het hoofd te bieden aan de grootschalige ransomware-dreigingen waarmee zij worden geconfronteerd.
Als er wordt ingebroken, zijn overheidsinstellingen een toegangspoort tot duizenden andere ondernemingen, externe leveranciers en de bevolking. Aanvallen op overheden kunnen dus ingrijpende gevolgen hebben en mensen destabiliseren.
Aanvallen op overheidsinstanties zijn ook waardevol voor criminelen in de politieke cyberoorlog. Door een ‘beïnvloedingsoperatie’ uit te voeren kunnen actoren nepverhalen naar buiten brengen en een verhaal versterken dat aansluit bij hun doelstellingen.
Risicofactoren voor digitale beveiliging in overheidsinfrastructuur
Voor veel IT-systemen van de overheid bestaat een aantal ‘red flags’ op het gebied van digitale veiligheid:
- Ze worden algemeen vertrouwd door gebruikers en bereiken een groot publiek. Onderzoekers merkten op dat aanvallers legitieme overheidsdomeinen benutten om malware te verspreiden, omdat bezoekers deze vertrouwen.
- Systemen kunnen complex zijn, grote hoeveelheden gevoelige informatie bevatten en gedeeld worden met derden. Deze complexiteit en toegang vergroten het risico.
- Lokale overheden beschikken over minder middelen dan nationale instellingen. Dit betekent dat zij vaak verouderde software gebruiken die niet bestand is tegen moderne, geavanceerde dreigingen.
Deze risicofactoren zijn meestal het gevolg van een zwakke IT- en cyberbeveiligingsinfrastructuur; een veel voorkomend probleem dat slecht gefinancierde overheidsinstellingen treft. Hoewel de publieke sector vaak het slachtoffer is van opportunistische aanvallen, hebben overheden ook vaak te maken met geavanceerde aanvallen die zwakke infrastructuur misbruiken om malware, ransomware en phishing in te zetten.
De kritieke behoefte aan cyberbeveiligingsprofessionals
Het wereldwijde tekort aan deskundigheid op het gebied van cyberbeveiliging verergert het probleem van zwakke IT-systemen bij de overheid. Volgens een recente studie van het International Information System Security Certification Consortium, beter bekend als (ISC)², bedraagt het huidige tekort aan cyberbeveiligers 3,4 miljoen openstaande functies. De studie beschrijft het huidige dreigingslandschap als grillig, het wordt direct vormgegeven door de macro-economische en geopolitieke turbulentie.
Aangezien overheden werken met krappere budgetten, betekent dit meestal dat er weinig (of geen) middelen voor cyberbeveiliging beschikbaar zijn. Een gebrek aan deskundigheid op het gebied van beveiliging maakt instanties op de lange termijn kwetsbaar. Zonder cyberdeskundigheid van de leiding lopen slecht gefinancierde overheden het risico om achterop te raken bij het invoeren van opkomende technologieën en veranderingen in wet- en regelgeving. Ze missen trends in tactieken, technieken en procedures (TTP’s) en pakken incidenten en processen verkeerd aan.
Conclusie
Cybercriminelen hebben overheden wereldwijd belaagd en hebben misbruik gemaakt van traag beleid en silo’s. Overheden staan op de tweede plaats van meest aangevallen sectoren. Gerapporteerde aanvallen geven duidelijk aan dat deze kritieke sector zijn cyberweerbaarheid moet verbeteren en best practices op het gebied van cyberbeveiliging moet implementeren om het aanvalsoppervlak te verkleinen. Oplossingen die volledig inzicht bieden zijn het meest effectief.
Om ransomware effectief te kunnen bestrijden, moeten oplossingen op identiteit gebaseerde beveiligingstools gebruiken die kunstmatige intelligentie (AI) en machinaal leren (ML) inzetten tegen cybercriminelen. Door inzicht in het netwerk te krijgen, kunnen overheden endpoints en gegevens effectiever controleren en in real-time gebeurtenissen detecteren en daarop reageren.
Hoewel niemand immuun is voor cyberaanvallen, kunnen overheden de gemelde aanvallen door een educatieve bril bekijken om de gegevens van degenen die op hun diensten vertrouwen, beter te beveiligen.
Door André Noordam, AVP Solutions Engineering EMEA North, SentinelOne
Lees ook:
- Authenticatie is slechts een deel van de oplossing
- Sandworm meest gebruikte malware in oorlog Oekraïne
