‘Bedrijven onderschatten cyberspionage door vijandige regimes’

07 mei 2024 Consultancy.nl 4 min. leestijd
Profiel
Meer nieuws over

Cyberspionage door vijandige regimes: overheid en veiligheidsdiensten waarschuwen het bedrijfsleven al jaren, maar voor veel sectoren blijft digitale veiligheid een ver-van-mijn-bedshow. Dat kan zo niet langer, schrijven Marcel van Kaam en Ellen Mok van KPMG.

Het gevaar van spionage door vijandige regimes (ook wel statelijke actoren genoemd) groeit, maar veel bedrijven lijken hier nauwelijks mee bezig te zijn. Ze wachten liever met handelen tot Europese wetgeving, de NIS2, ze daartoe dwingt. Dat terwijl wetgeving alleen geen antwoord is.

De AIVD en MIVD waarschuwen al jaren voor dreiging uit statelijke hoek. En ook de Nederlandse bevolking maakt zich grote zorgen, zo bleek onlangs uit een onderzoek van Instituut Clingendael.

Marcel van Kaam en Ellen Mok - KPMG

Staatshackers uit bijvoorbeeld China, Rusland en Iran trekken, geholpen door kunstmatige intelligentie, alle registers open.

De overheid doet zijn best om het Nederlandse bedrijfsleven bewust te maken van de risico’s van een cyberaanval. Niet voor niets onthulde de MIVD recent dat Chinese hackers ingebroken hebben in een systeem van Defensie. Niet voor niets waarschuwde de AIVD dat data van KPN naar China wordt gesluisd. Niet voor niets wordt onderzocht of China via software in de kranen van de Rotterdamse haven spioneert.

En niet voor niets debatteerde de Tweede Kamer onlangs over een wetsvoorstel dat de digitale weerbaarheid van bedrijven in Nederland moet verbeteren.

Landelijke cyberoefening

Je zou daarom denken dat cybersecurity ook voor ons bedrijfsleven topprioriteit is. Maar dat is helaas niet altijd het geval. Uit de resultaten van de landelijke cyberoefening Isidoor 2023 blijkt dat veel sectoren de risico’s onderschatten, ervan wegkijken en het zien als een ver-van-mijn-bedshow.

“Bedrijven zijn zich niet bewust van de verschillen tussen vijandige regimes en ‘reguliere’ cybercriminelen.”

Zeker, Europese wetgeving gaat een groot aantal organisaties dwingen om maatregelen te treffen tegen dit soort aanvallen. Maar tegelijkertijd adviseert de Rijksoverheid dat bedrijven niet op hun handen moeten blijven zitten tot de verdere invulling van de wetgeving bekend is. Die tijd is er niet. Of, zoals het gezegde luidt: ‘The best time to start was yesterday. The second best time is now.’

Waarom aarzelen bedrijven om tot actie over te gaan, terwijl Nederlandse burgers zich zorgen maken en onze overheid in toenemende mate waarschuwt? Omdat Nederlandse bedrijven zich niet bewust zijn van de verschillen tussen vijandige regimes en ‘reguliere’ cybercriminelen. Terwijl doorsneecybercriminelen opportunistisch handelen en kijken waar de deur toevallig op een kier staat, hebben staatshackers van vijandige regimes een specifiek doelwit voor ogen.

Statelijke actoren schromen daarbij niet om over alle flanken aan te vallen: diplomatie, kennisopbouw, hackmethoden en zelfs wet- en regelgeving worden ontwikkeld en ingezet om binnen te dringen.

Kranen van Shanghai Zhenhua

Het recente voorbeeld van zorgen over spionage door de kranen van Shanghai Zhenhua in de Rotterdamse haven laat dit goed zien. We kunnen het ons bijna niet voorstellen dat andere landen op deze manier invloed willen uitoefenen, en daardoor onderschatten we het risico ervan. Het is belangrijk dat organisaties beseffen dat alle flanken waarop statelijke actoren ons aanvallen verdedigd moeten worden.

“Statelijke actoren zoeken vaak een ingang op microniveau, om die vervolgens uit te breiden.”

Statelijke dreiging is relatief onzichtbaar in vergelijking met andere vormen van criminaliteit en geweld. Desondanks ontvangen we bij KPMG steeds vaker verontrustende berichten van bedrijven die te maken hebben met spionagerisico’s, bijvoorbeeld wanneer lokale inspecteurs in een van hun buitenlandse vestigingen bezoeken en informatie opvragen.

Ingang op microniveau

Zo kleinschalig kan een aanval of spionagepoging al zijn. En statelijke actoren zoeken juist vaak een ingang op microniveau, om die vervolgens uit te breiden. Wetgeving zoals NIS2 zal bedrijven deels helpen om deze risico’s op het gebied van cyber beter te beheersen, maar laat heel veel flanken nog wagenwijd open.

Het is essentieel dat bedrijven in actie komen en zich wapenen tegen statelijke dreigingen. De eerste stap is om alle relevante dreigingsscenario’s goed in kaart te brengen. Op basis hiervan moeten ze beoordelen hoe mens, techniek en processen invloed hebben op al deze scenario’s. Vervolgens is het noodzakelijk om de risico’s van elk scenario te kwantificeren.

Hoe eerder bedrijven in actie komen om zich te beveiligingen tegen deze groeiende dreiging, hoe beter zij straks voorbereid zijn op NIS2.

Over de auteurs: Marcel van Kaam en Ellen Mok zijn beiden senior manager bij KPMG, gespecialiseerd in bescherming tegen statelijke dreiging.