Het Digital Trust Center (DTC), onderdeel van het ministerie van EZK, heeft in 2021 al bijna 300 bedrijven direct gewaarschuwd voor een ernstige cyberdreiging. Het gaat hier om niet-vitale bedrijven, die niet door het Nationaal Cyber Security Center gewaarschuwd worden.

De cyberdreigingen werden vaak veroorzaakt door het gebruik van een server of bedrijfssoftware waar een beveiligingslek in geconstateerd was. Als via zo’n lek ongeautoriseerden toegang krijgen tot bedrijfssystemen, kan dit schadelijke gevolgen hebben zoals een ransomware-aanval of diefstal van bedrijfsgegevens. Het DTC maakt er werk van om Nederlandse bedrijven direct te benaderen wanneer ze informatie heeft over dergelijke risicovolle situaties.

Ernstige dreigingen
Cybercriminelen zitten momenteel niet stil. Naast de vele phishing-activiteiten, zijn hackers ook actief op zoek naar beveiligingslekken in bedrijfssoftware om binnen te komen bij bedrijven. Het DTC publiceert over deze beveiligingslekken wanneer ze ernstige dreigingen vormen voor Nederlandse bedrijven. Sinds deze zomer is deze waarschuwingsservice uitgebreid. Het DTC belt of e-mailt individuele bedrijven als er informatie is dat deze bedrijven groot gevaar lopen om gehackt te worden, of al gehackt zijn.

Cyber alerts voor individuele bedrijven
Sinds de start van deze specifieke waarschuwingen deze zomer, zijn er 10 verschillende aanleidingen geweest om bedrijven te benaderen. Zo was er een lek in Microsoft Exchange Proxyshell die actief misbruikt werd. Bedrijven die hun servers niet bijtijds geüpdatet hadden, liepen een reëel gevaar op grote schade. Een andere casus waarbij de afweging leidde tot een snelle waarschuwing, was het Fortinet-datalek. Een lijst met een grote hoeveelheid Fortinet VPN-gebruikersnamen en wachtwoorden was buit gemaakt en in handen gevallen van kwaadwillenden. Met deze inloggegevens konden cybercriminelen netwerktoegang krijgen en bijvoorbeeld data stelen of een ransomware-aanval uitvoeren.

Hoe gaat dit in zijn werk?
Het DTC maakt, samen met het NCSC, deel uit van een groter netwerk van cybersecurity-instanties die gezamenlijk tot doel hebben om de bedrijven in Nederland cyberweerbaarder te maken. Onder andere via dit netwerk ontvangt het DTC specifieke dreigingsinformatie. Met specifieke dreigingsinformatie wordt bedoeld informatie over een cyberdreiging die te herleiden is naar een bedrijf of organisatie. Als er lijsten met IP-adressen of domeinnamen worden aangeleverd, zijn deze vaak te herleiden naar een contactpagina van een bedrijfswebsite. Deze bedrijven kunnen ernstig gevaar lopen, zonder dat ze het weten. Een bedrijf kan bijvoorbeeld onveilige – nog niet geüpdatet – bedrijfssoftware draaien. Wanneer er informatie is dat cybercriminelen actief op zoek zijn naar deze ‘open deuren’, wordt de dreiging nog groter. Het kan ook zijn dat er op een server verdachte activiteit gezien is die past bij misbruik.

Acute ernstige cyberdreiging
Elke situatie wordt gekwalificeerd in een afwegingskader. Wanneer de uitkomst is dat dit een acute ernstige cyberdreiging is, maakt het DTC er werk van om deze bedrijven snel te waarschuwen. In de praktijk betekent dit dat de bedrijven gebeld en/of gemaild worden. Het DTC geeft altijd advies over te nemen maatregelen, zoals het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist.
Of er met deze waarschuwingen daadwerkelijk schade voorkomen is, is niet bekend. Bedrijven zijn uiteraard niet verplicht om de adviezen over te nemen, maar uit enkele spontane reacties valt op te maken dat er opvolging aan gegeven wordt.
Natuurlijk is er ook verbazing bij ontvangers van de urgente boodschap omdat veel ondernemers het Digital Trust Center nog niet kennen. Een enkeling is argwanend. Deze argwaan is toe te juichen en past goed in het principe: ‘Eerst checken, dan klikken.’

Schaalbaarheid
Om ook bij zeer grootschalige cyberdreigingen die duizenden individuele bedrijven raakt tijdig te kunnen waarschuwen, onderzoekt het DTC de schaalbaarheid van deze service. Met een testgroep van 56 bedrijven wordt in een pilot van 12 maanden onderzocht of de ‘waarschuwingsdienst’ geautomatiseerd kan worden. Maar ook zonder volledig geautomatiseerde processen blijft het DTC Nederlandse bedrijven direct benaderen als er een bedrijfsspecifieke ernstige cyberdreiging bij de overheid bekend is.
Om zo veel mogelijk schade te voorkomen, benut het DTC al haar kanalen om Nederlandse bedrijven zo snel mogelijk te informeren over kwetsbaarheden in bedrijfssoftware. Dit gebeurde al via de website, de DTC Community en social media kanalen, en nu informeert het DTC Nederlandse bedrijven ook rechtstreeks.