Bijna helft vitale organisaties heeft onvoldoende cybersecurity
Via een e-mail kunnen hackers de volledige controle krijgen over computersystemen. Dat risico is met een aantal maatregelen sterk te verkleinen, maar desondanks blijken veel vitale organisaties die niet getroffen te hebben. Dat blijkt uit onderzoek door Zembla en Internet Cleanup Foundation.
Tot de kwetsbare organisaties behoren de kerncentrale in Borssele, Schiphol, Luchtverkeersleiding Nederland en een groot aantal Veiligheidsregio’s. Een medewerker die een bijlage in een van een hacker afkomstige e-mail opent, kan deze organisaties volledig lamleggen. De Veiligheidsregio Noord- en Oost-Gelderland heeft dat vorig jaar aan den lijve ondervonden, toen de systemen door ransomware werden getroffen.
Complex ICT-landschap
Honderd vitale bedrijven en overheidsorganisaties werden onderzocht en daarvan hadden er 43 de beveiliging niet op orde. Zij zijn geïnformeerd door de onderzoekers en zegden toe de beveiliging tegen phishing, spoofing en ransomware te zullen aanscherpen. Onder hen dertien van de 25 Veiligheidsregio’s. Volgens een woordvoerder komt dit door het ‘complexe ICT-landschap’, nadat systemen van Veiligheidsregio’s zijn samengevoegd. Het kost vervolgens veel tijd om de nieuwe situatie weer adequaat te beveiligen. De energiebedrijven TenneT en Vattenfall reageren met een vergelijkbaar verhaal. In juni waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) nog dat ransomware een bedreiging is gaan vormen voor de nationale veiligheid, omdat hackers daarmee vitale processen kunnen lamleggen.
Veiligheidsmaatregelen
De aanvallen gebeuren in de regel met e-mails, waarbij de hackers professioneel te werk gaan. Via spoofing kunnen zij het doen lijken alsof de e-mail afkomstig is van een collega of leidinggevende. Dergelijke aanvallen zijn te pareren met de veiligheidsmaatregelen Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting and Conformance (DMARC). De overheid stelt toepassing van deze maatregelen verplicht, maar dat wil nog niet zeggen dat ze ook overal zijn doorgevoerd. Bedrijven in de vitale infrastructuur wordt dringend aanbevolen de maatregelen door te voeren, maar uit het onderzoek is gebleken dat dit advies ook lang niet altijd wordt opgevolgd.