‘Bedrijven onderschatten cyberspionage door vijandige regimes’

07 mei 2024 Consultancy.nl

Cyberspionage door vijandige regimes: overheid en veiligheidsdiensten waarschuwen het bedrijfsleven al jaren, maar voor veel sectoren blijft digitale veiligheid een ver-van-mijn-bedshow. Dat kan zo niet langer, schrijven Marcel van Kaam en Ellen Mok van KPMG.

Het gevaar van spionage door vijandige regimes (ook wel statelijke actoren genoemd) groeit, maar veel bedrijven lijken hier nauwelijks mee bezig te zijn. Ze wachten liever met handelen tot Europese wetgeving, de NIS2, ze daartoe dwingt. Dat terwijl wetgeving alleen geen antwoord is.

De AIVD en MIVD waarschuwen al jaren voor dreiging uit statelijke hoek. En ook de Nederlandse bevolking maakt zich grote zorgen, zo bleek onlangs uit een onderzoek van Instituut Clingendael.

Marcel van Kaam en Ellen Mok - KPMG

Staatshackers uit bijvoorbeeld China, Rusland en Iran trekken, geholpen door kunstmatige intelligentie, alle registers open.

De overheid doet zijn best om het Nederlandse bedrijfsleven bewust te maken van de risico’s van een cyberaanval. Niet voor niets onthulde de MIVD recent dat Chinese hackers ingebroken hebben in een systeem van Defensie. Niet voor niets waarschuwde de AIVD dat data van KPN naar China wordt gesluisd. Niet voor niets wordt onderzocht of China via software in de kranen van de Rotterdamse haven spioneert.

En niet voor niets debatteerde de Tweede Kamer onlangs over een wetsvoorstel dat de digitale weerbaarheid van bedrijven in Nederland moet verbeteren.

Landelijke cyberoefening

Je zou daarom denken dat cybersecurity ook voor ons bedrijfsleven topprioriteit is. Maar dat is helaas niet altijd het geval. Uit de resultaten van de landelijke cyberoefening Isidoor 2023 blijkt dat veel sectoren de risico’s onderschatten, ervan wegkijken en het zien als een ver-van-mijn-bedshow.

“Bedrijven zijn zich niet bewust van de verschillen tussen vijandige regimes en ‘reguliere’ cybercriminelen.”

Zeker, Europese wetgeving gaat een groot aantal organisaties dwingen om maatregelen te treffen tegen dit soort aanvallen. Maar tegelijkertijd adviseert de Rijksoverheid dat bedrijven niet op hun handen moeten blijven zitten tot de verdere invulling van de wetgeving bekend is. Die tijd is er niet. Of, zoals het gezegde luidt: ‘The best time to start was yesterday. The second best time is now.’

Waarom aarzelen bedrijven om tot actie over te gaan, terwijl Nederlandse burgers zich zorgen maken en onze overheid in toenemende mate waarschuwt? Omdat Nederlandse bedrijven zich niet bewust zijn van de verschillen tussen vijandige regimes en ‘reguliere’ cybercriminelen. Terwijl doorsneecybercriminelen opportunistisch handelen en kijken waar de deur toevallig op een kier staat, hebben staatshackers van vijandige regimes een specifiek doelwit voor ogen.

Statelijke actoren schromen daarbij niet om over alle flanken aan te vallen: diplomatie, kennisopbouw, hackmethoden en zelfs wet- en regelgeving worden ontwikkeld en ingezet om binnen te dringen.

Kranen van Shanghai Zhenhua

Het recente voorbeeld van zorgen over spionage door de kranen van Shanghai Zhenhua in de Rotterdamse haven laat dit goed zien. We kunnen het ons bijna niet voorstellen dat andere landen op deze manier invloed willen uitoefenen, en daardoor onderschatten we het risico ervan. Het is belangrijk dat organisaties beseffen dat alle flanken waarop statelijke actoren ons aanvallen verdedigd moeten worden.

“Statelijke actoren zoeken vaak een ingang op microniveau, om die vervolgens uit te breiden.”

Statelijke dreiging is relatief onzichtbaar in vergelijking met andere vormen van criminaliteit en geweld. Desondanks ontvangen we bij KPMG steeds vaker verontrustende berichten van bedrijven die te maken hebben met spionagerisico’s, bijvoorbeeld wanneer lokale inspecteurs in een van hun buitenlandse vestigingen bezoeken en informatie opvragen.

Ingang op microniveau

Zo kleinschalig kan een aanval of spionagepoging al zijn. En statelijke actoren zoeken juist vaak een ingang op microniveau, om die vervolgens uit te breiden. Wetgeving zoals NIS2 zal bedrijven deels helpen om deze risico’s op het gebied van cyber beter te beheersen, maar laat heel veel flanken nog wagenwijd open.

Het is essentieel dat bedrijven in actie komen en zich wapenen tegen statelijke dreigingen. De eerste stap is om alle relevante dreigingsscenario’s goed in kaart te brengen. Op basis hiervan moeten ze beoordelen hoe mens, techniek en processen invloed hebben op al deze scenario’s. Vervolgens is het noodzakelijk om de risico’s van elk scenario te kwantificeren.

Hoe eerder bedrijven in actie komen om zich te beveiligingen tegen deze groeiende dreiging, hoe beter zij straks voorbereid zijn op NIS2.

Over de auteurs: Marcel van Kaam en Ellen Mok zijn beiden senior manager bij KPMG, gespecialiseerd in bescherming tegen statelijke dreiging.

Lees ook

More on: KPMG
Netherlands
Company profile
KPMG
KPMG is a Netherlands partner of Consultancy.org
Partnership information »
Partnership information

Consultancy.org works with three partnership levels: Local, Regional and Global.

KPMG is a Local partner of Consultancy.org in Middle East, Netherlands.

Upgrade or more information? Get in touch with our team for details.

Send
Abdullah Akbar appointed Head of Family Business and Private Enterprise at KPMG
Middle East
Abdullah Akbar appointed Head of Family Business and Private Enterprise at KPMG KPMG has announced the appointment of Abdullah Akbar as the new Head of Family Business and Private Enterprise for the Middle East, a role he holds alongside his position as Head of the Board Leaders
13 mei 2025
Consumer loyalty battle in UAE is won through digital-first with a human experience
United Arab Emirates
Consumer loyalty battle in UAE is won through digital-first with a human experience In an era dominated by digital-savvy consumers, UAE brands winning the consumer loyalty battle are those that master digital-first and client-centric automation – while not forgetting about the importance of cr
09 mei 2025
KPMG Canada launches Agentic AI Engine
Canada
KPMG Canada launches Agentic AI Engine KPMG Canada last week announced the launch of its Agentic AI Engine, which will help clients deploy agentic artificial intelligence solutions.
07 mei 2025
Majority of UK public don’t trust AI
United Kingdom
Majority of UK public don’t trust AI With the technology regularly making headlines for its ‘hallucinations’, the majority of UK residents say they do not trust content generated by artificial intelligence.
05 mei 2025
KPMG launches 2025 edition of Global Tech Innovator in KSA and UAE
Middle East
KPMG launches 2025 edition of Global Tech Innovator in KSA and UAE KPMG has opened applications for the 2025 edition of its flagship Global Tech Innovator competition, offering the most promising technology entrepreneurs in KSA and UAE a platform to showcase their i
02 mei 2025
Aantal investeringen in startups gekelderd tot laagste niveau in zes jaar
Netherlands
Aantal investeringen in startups gekelderd tot laagste niveau in zes jaar Het aantal investeringen in startups is wereldwijd fors gedaald en bevindt zich nu op het laagste niveau in zes jaar. Dat blijkt uit het Venture Pulse Q1 2025-rapport van KPMG.
01 mei 2025
Canadian consumers still opting for in-store shopping, says KPMG report
Canada
Canadian consumers still opting for in-store shopping, says KPMG report Despite the rise of e-commerce, 61% of Canadian say they mostly shop at brick-and-mortar stores, according to a recent KPMG Canada report.
30 april 2025
Ruime meerderheid van Nederlands bedrijfsleven ervaart impact van Trump
Netherlands
Ruime meerderheid van Nederlands bedrijfsleven ervaart impact van Trump De ruime meerderheid van de Nederlandse bedrijven ervaart de gevolgen van het beleid van president Trump. Dat blijkt uit onderzoek van KPMG.
29 april 2025

Cybersecurity nieuws

Cybersecurity adviesbureaus Cybersecurity consultancy diensten

Openbare Orde nieuws

Openbare Orde adviesbureaus Openbare Orde consultancy diensten