CPB: Aanpak cybercriminaliteit moet meer gericht zijn op preventie

“Voorkomen is beter dan genezen. Dit geldt zeker voor de aanpak van cybercriminaliteit. De overheid zou zich daarom in haar beleid meer moeten richten op preventie. Zo kunnen verplichte beveiligingsstandaarden software, smart-tv’s en andere digitale producten veiliger maken. Toezichthouders zouden prioriteit moeten geven aan het vooraf opsporen van cyberrisico’s en zich niet beperken tot het onderzoeken van incidenten achteraf. Deze aanbevelingen doet het CPB in zijn ‘Risicorapportage Cyberveiligheid Economie’. Volgens het rapport geeft een op de negen (11%) van de Nederlanders geeft aan slachtoffer te zijn geweest van cybercriminaliteit. Dit is een lichte daling ten opzichte van vorig jaar. Omdat cybercriminelen vaak vanuit het buitenland werken, hun technieken voortdurend vernieuwen en veel slachtoffers geen aangifte doen, is de pakkans laag.

Volgens het CPB zouden inlichtingendiensten een noodplan moeten hebben voor als informatie over softwarekwetsbaarheden uitlekt. “Inlichtingendiensten verzamelen kennis over onbekende zwakke plekken in software (zero-days), bijvoorbeeld om te gebruiken bij terrorismebestrijding. Wanneer deze zero-days door een hack in de openbaarheid komen, kunnen ze op grote schaal worden misbruikt door cybercriminelen. Recente virussen die gebruikmaken van gelekte zero-days zijn het gijzelvirus Wannacry en het virus Petya dat in de afgelopen week in het nieuws kwam.” Ook in de zorg kan volgens de onderzoekers beter worden nagedacht over cyberdreigingen. “De mogelijkheden voor eHealth nemen toe, maar maken de zorg kwetsbaarder. Bij een lek kunnen persoonlijke en medische gegevens van talloze Nederlanders op straat komen te liggen. Ook maken aanvallen met gijzelvirussen medische apparatuur en databases tijdelijk onbruikbaar. Het is daarom raadzaam dat zorgverleners informatie uitsluitend delen via een goed beveiligde publieke infrastructuur, zoals het Landelijk Schakelpunt (LSP).”

Andere belangrijkste conclusies van deze rapportage zijn:

  • Ook in Nederland zijn politieke en democratische instituties een doelwit voor hackers verbonden aan buitenlandse staten. Deze staatshackers zetten internationale economische relaties onder druk, waardoor de economische belangen van Nederland als open economie worden geschaad. Het delen van informatie in internationaal verband is nodig voor bescherming tegen deze cyberdreigingen, aldus het CPB;
  • Cybercriminelen ontlenen schaalvoordelen aan digitale infrastructuur (bijvoorbeeld voor anonieme communicatie of voor anonieme betalingen). Het internationale karakter van cybercriminaliteit beperkt de mogelijkheden van opsporingsdiensten om deze schaalvoordelen tegen te gaan. Hierdoor blijft de pakkans laag en blijven criminele activiteiten winstgevend. Snelle internationale samenwerking kan helpen om effectief op te treden;
  • Inlichtingendiensten maken gebruik van softwarekwetsbaarheden (‘zero-days’). Onrechtmatige publicatie van deze informatie leidt tot een plotseling onveiliger ICT-omgeving voor gebruikers en maatschappelijke schade. Een afwegingskader en een reactieplan zijn beleidsopties die deze schade kunnen voorkomen of beperken. Een afwegingskader helpt bij de beoordeling of een zero-day gebruikt kan worden voor inlichtingendoeleinden of gemeld moet worden bij de aanbieder van de software. Gegeven dat de zero-day is gelekt beperkt een goed voorbereid reactieplan de maatschappelijke schade.;
  • Encryptie maakt het mogelijk om wereldwijd intellectueel eigendom, concurrentiegevoelige informatie en persoonsgegevens te beschermen. Verzwakking van encryptie via het inbouwen van ‘achterdeurtjes’ beperkt dit. Aan de andere kant maken achterdeurtjes het voor inlichtingendiensten eenvoudiger om grootschalig communicatie te analyseren;
  • Er is relatief weinig bekend over de omvang van schade door cybercriminaliteit. Dit kan ertoe leiden dat ICT-gebruikers zich onvoldoende bewust zijn van de risico’s. Meer informatie, bijvoorbeeld door statistisch onderzoek of meer openheid door bedrijven kan de bewustwording vergroten;
  • Grote datalekken en andere cyberincidenten komen soms pas jaren later aan het licht. Reputatiemechanismen werken hierdoor niet optimaal, wat het belang van encryptie, preventief toezicht en beveiligingsstandaarden vergroot;
  • Incidenten bij ziekenhuizen en gemeenten laten zien dat risico’s op datalekken juist bij decentrale administratieve gegevensstromen liggen;
  • Een verplichte publieke infrastructuur voor gegevensuitwisseling in de zorgsector kan naleving van normen makkelijker maken, voorkomt afhankelijkheid van een enkele private partij en kan burgers inzicht geven in wie toegang tot hun gegevens heeft. Onderzocht kan worden of deze voordelen opwegen tegen de risico’s.

Het rapport kunt u hier downloaden: https://www.cpb.nl/sites/default/files/omnidownload/CPB-Notitie-3juli2017-Risicorapportage-Cyberveiligheid-Economie.pdf

Kijk hier de video van het CPB: https://www.youtube.com/watch?v=tlBL0wMLgYM&feature=youtu.be