De omvang en ernst van de digitale dreiging in Nederland zijn nog steeds aanzienlijk en blijven zich ontwikkelen. Er is sprake van een continue digitale dreiging voor de nationale veiligheid. De Nederlandse maatschappij en economie zijn volledig afhankelijk geworden van digitale middelen. De gevolgen van aanvallen en uitval kunnen groot en zelfs maatschappij ontwrichtend zijn.

Dat blijkt uit het Cybersecuritybeeld Nederland 2018 (CSBN 2018) van de NCTV. Hiermee bevestigt dit CSBN de in de afgelopen jaren gesignaleerde noodzaak te investeren in onze digitale veiligheid. Het toont de urgentie aan voor de uitvoering van de maatregelen en investeringen uit de Nederlandse Cybersecurity Agenda (NCSA).

Digitale dreiging permanent
Cyberaanvallen zijn profijtelijk, laagdrempelig en weinig riskant voor aanvallers. Gezien recente geopolitieke ontwikkelingen zullen staten naar verwachting digitale aanvallen blijven inzetten en mogelijk op grotere schaal toepassen. Daarnaast is ook een andere ontwikkeling zichtbaar; het niet voorzien of accepteren door de aanvaller van nevenschade voor andere landen die niet het primaire doelwit zijn. Het bekendste voorbeeld voor Nederland daarvan is NotPetya waarbij ook Nederlandse bedrijven geraakt werden en daarmee onbedoeld (economische) schade leden.

Sabotage en verstoring door landen grootste dreiging
Staten voeren steeds meer aanvallen uit op andere landen vanuit geopolitieke motieven. Het doel is het verwerven van strategische informatie via spionage, beïnvloeding van de publieke opinie of democratische processen of zelfs sabotage van vitale systemen. Tegelijkertijd wordt het aanwijzen van de dader achter een cyberaanval (attributie) steeds complexer omdat de aanvallers minder goed van elkaar te onderscheiden zijn.

Cybercriminaliteit houdt aan
Ook beroepscriminelen blijven een grote dreiging vormen voor de Nederlandse maatschappij. Cyberaanvallen die een grote maatschappelijke impact hebben, zijn laagdrempelig uit te voeren. Een aanvaller hoeft zelf lang niet altijd over veel capaciteiten te beschikken, maar kan deze ook inkopen. Dat bleek in januari toen enkele banken langere tijd last hadden van DDoS-aanvallen en het bleek te gaan om een simpele ingekochte aanval.

Basismaatregelen ontbreken
Lang niet alle organisaties in Nederland nemen de nodige basismaatregelen om cyberaanvallen af te weren. Het gaat dan om basismaatregelen zoals tijdig installeren van updates of het voorkomen van tekortkomingen in configuraties. Bij bijvoorbeeld WannaCry en BadRabbit werden bekende kwetsbaarheden gebruikt, waarvoor de beveiligingsupdates beschikbaar waren maar in niet altijd toegepast werden. Onveilige producten en diensten werken drempelverlagend voor aanvallers. De afgelopen periode laat zien dat incidenten voorkomen hadden kunnen worden of dat de schade beperkter had kunnen zijn als organisaties hun basisveiligheid op orde hadden.