Cybercrime ontkennen maakt extra kwetsbaar

Zestig procent van de Nederlandse organisaties rapporteert in de Economic Crime Survey 2019 één of meer gevallen van cybercrime. Het is het topje van de ijsberg, waarschuwt PwC’s cybersecurityspecialist Angeli Hoekstra. ‘De grootste pijn zit bij de ontkenners.’

Verdubbeling cyberincidenten

Cybercrime is na ‘traditionele’ diefstal van geld en goederen of fraude de meest gerapporteerde misdaad door Nederlandse bedrijven en instellingen, blijkt uit de Economic Crime Survey 2019, het tweejaarlijkse onderzoek naar financieel-economische criminaliteit door PwC en het criminologisch instituut van de Vrije Universiteit Amsterdam. In 2017 meldde 34 procent van de respondenten één of meer cyberincidenten, twee jaar later is dat aantal bijna verdubbeld. Nog eens 15 procent is ‘niet zeker’ of men al dan niet gecompromitteerd is. Het goede nieuws is dat méér rapporteren er ook op duidt dat méér incidenten worden opgespoord. 47 procent van de respondenten meldt malware te hebben gevonden, 34 procent vond aanwijzingen voor hacking en 26 procent voor sociale cybercrime.

Het gevaar van ontkennen

PwC’s cybersecurityspecialist Angeli Hoekstra maakt zich het meest zorgen om de 25 procent respondenten die claimt tot nu toe cyberveilig te zijn. ‘Ons grootste probleem is dat we met de bril van het verleden naar de grootste misdaadvorm van nu en de komende decennia kijken’, vertelt Hoekstra. ‘Daarom hebben we moeite om de juiste omvang en dreiging ervan te zien. Maar als je het cyberrisico ontkent of niet wilt zien, maakt dat je extra kwetsbaar. In het huidige, haast volledig verbonden technologielandschap, is het sowieso haast ondenkbaar dat je de dans ontspringt. Bovendien blijft de aangerichte schade door cybercrime lang onzichtbaar. Bij fysieke fraude is de schademelding het begin van het opsporingsproces, maar bij cybercrime duurt het gemiddeld zes tot zeven maanden voordat men überhaupt in de gaten heeft dat er iets aan de hand is. Als men er al ooit achter komt.’

Vaststellen cybercrimeschade ondoenlijk

Het vaststellen van de exacte schade van cybercrime is moeilijk, omdat het vaak onduidelijk is of, hoe, en hoe lang de cybercrimineel toegang heeft tot systemen en databestanden. ‘En je weet nooit zeker of het echte probleem wel is ontdekt’, stelt Hoekstra. ‘Slimme cybercriminelen laten soms bewust een dwaalspoor achter om hun werkelijke intenties te verbloemen. Cybercrime heeft zich ontwikkeld van een digitale manier van inbreken naar een criminaliteitsvorm die zich vooral bezighoudt met het manipuleren van data en digitale chantage, het overnemen van besturingssystemen en bedrijfs- en industriële spionage. Doordat overheden cybercrimemethodes gebruiken om druk uit te oefenen in conflictsituaties of om de eigen industrie te bevoordelen, is er ook een groeiende dreiging door hacks met een geopolitiek motief.’

Ontwrichting vitale infrastructuur

In het licht van hacks met geopolitieke motieven schrikt Angeli Hoekstra ervan dat 80 procent van de water- en energiebedrijven cyberincidenten meldt. ‘Het sluit aan bij het dreigingsbeeld dat de Nationale Coördinator Terrorismebestrijding en Veiligheid schetst. De potentie van maatschappij ontwrichtende aanvallen is groter dan ooit. Door het plaatsen van zogeheten agents of chaos op voor onze fysieke infrastructuur vitale zaken, zoals de energievoorziening en waterhuishouding, kan men van een afstand alles hier ontwrichten’, stelt Hoekstra. ‘Als voormalig bedrijfsadviseur van de energiesector weet ik dat veel van de gebruikte systemen kwetsbaar zijn voor zulke aanvallen van buitenaf.’

Spionagewaardige bedrijven in Nederland

Ook de hoge score bij diefstal van informatie (40 procent) verontrust Hoekstra. ‘Het is weliswaar in lijn met internationale ontwikkelingen, maar voor een open economie als de onze – die het toch grotendeels van kenniscreatie moet hebben – is het een reëel gevaar dat meer aandacht verdient.’ Hetzelfde gaat op voor de zes procentscore van bedrijfs- en industriële spionage. ‘Gelet op het aandeel van ‘spionagewaardige’ bedrijven in de Nederlandse economie is het extreem hoog. Er is eigenlijk maar één manier waarop je deze bevinding kunt interpreteren: vrijwel alle organisaties met een internationale voorsprong in kennis zijn waarschijnlijk weleens digitaal bespioneerd of er is een poging gedaan. Met een minimale investering in digitale informatieroof kan maximale economische schade worden toegebracht. Neem bijvoorbeeld een farmaceutisch bedrijf dat miljarden heeft geïnvesteerd in de ontwikkeling van een nieuw medicijn. Aan de vooravond van de voor de introductie benodigde toestemmingsprocedure bij FDA en EMA, worden de onderzoeksgegevens met een hack gemanipuleerd of ontvreemd. De ontstane vertraging is genoeg voor een concurrent om tussentijds een eigen middel op de markt te brengen en te profiteren van het first-mover advantage.’

Risico’s product-security

Cybercrime schuift ook op naar onderdelen van het businessmodel waar men zich nog onterecht veilig waant. Zo ontwikkelt zich een nieuw risicogebied rond product-security. ‘Nu steeds meer machines gekoppeld worden aan het internet om van een afstand te worden uitgelezen, is dat een heel actueel thema’, beaamt Angeli Hoekstra. ‘Wat gebeurt er met de klantreputatie van de fabrikant wiens product wordt gehackt, zodat alle geplaatste producten op hetzelfde moment foutmeldingen doorgeven? Er komen bijvoorbeeld steeds meer auto’s met zelfsturende mogelijkheden op de weg. Welke zekerheden hebben automobilisten en fabrikanten dat de systemen veilig zijn voor manipulatie van buitenaf? Of bij stofzuigers die een camera hebben; wie kijkt er mee in jouw huis?’

Digitale weerbaarheid moet hoger

Operationele technologie met een internetconnectie is sowieso kwetsbaar. ‘Het zijn vaak ‘oude systemen’ waarbij het moeilijk is om bijvoorbeeld patch management uit te voeren, aangezien deze systemen 24/7 beschikbaar moeten zijn’, zegt Hoekstra. ‘Verder worden data over het algemeen niet encyrpted verstuurd tussen control units van deze systemen (HMI/PLCs). Daarom zijn deze systemen zeer gevoelig voor cybercriminaliteit en de gevolgen hiervan zijn vaak desastreus, aangezien hele productiesystemen platgelegd kunnen worden. Denk bijvoorbeeld aan wat er gebeurt met Nederland als de besturing van de gemalen in verkeerde handen komt. Cybercriminelen die bezig zijn met operationele technologie bereiden hacks vaak lang van tevoren voor. Uit PwC’s Digital Trust Insights-onderzoek uit 2018 naar mondiale cybercrime blijkt echter dat minder dan de helft van de CIO’s van bedrijven die gebruikmaken van het Internet of Things, de veiligheidssystemen op orde denkt te hebben. Bij de inzet van robotica en machine learning zijn de scores lager: respectievelijk 26 en 33 procent. Over de hele linie moet de digitale weerbaarheid omhoog. Ik weet dat deze boodschap niet populair is, en dat sommigen vinden dat te vaak waarschuwen kopschuw maakt. Maar ik zie haast dagelijks dat de cyberresilience van organisaties achterblijft bij de innovaties van cybercriminelen.’

Contact

Angeli Hoekstra

Angeli Hoekstra

Advisory partner, PwC Netherlands

Tel: +31 (0)88 792 25 17

Volg ons