NIS2 moet een impuls geven aan de cyberweerbaarheid in Europa. Meer bedrijven krijgen te maken met een meldplicht bij incidenten, en met strengere beveiligingsnormen. Maar hoge muren creëren slimme inbrekers. Hoe gaan cybercriminelen reageren op een sterkere security?
8 augustus 1963. Na een lange voorbereiding vanuit een verlaten boerderij bereikt een ingenieus aanvalsplan eindelijk zijn climax. Zestien overvallers slaan genadeloos toe en dwingen de posttrein van Glasgow naar Londen met een rood sein tot stoppen. Ongeveer een kwartier later rijdt een konvooi auto’s met 120 postzakken terug naar Leatherslade Farm. De buit: 2,6 miljoen Britse pond, zeker voor die tijd een duizelingwekkend hoog bedrag.
De ‘Grote Treinroof’ intrigeert nog altijd, vooral door de minutieuze voorbereiding van de bende. Het kernteam schakelde specialisten in om te helpen bij de roof. Zo kreeg de bende van een beveiligingsbeambte van postbedrijf Royal Mail gedetailleerde informatie over de route van de trein en de vervoerde geldbedragen. Daarnaast voegde zich een expert bij de groep die precies wist hoe hij de seinen kon manipuleren. Een derde knipte telefoonkabels door zodat contact met de treindienstleider onmogelijk was.
Rovers werden cybercriminelen
Zestig jaar later zijn de tactieken niet veel veranderd. Net als de overvallers van de posttrein zoeken cybercriminelen in het internettijdperk constant naar manieren om waardevolle informatie te bemachtigen om er zelf beter van te worden. Daarbij werken ze vaak georganiseerd samen en schakelen ze geregeld de hulp in van ‘insiders’. De focus is echter verschoven van banken en treinen naar digitale platformen en systemen.
NIS2 (Network Information Security 2) is een poging om de ‘banken en treinen’ van het internettijdperk beter te beveiligen. Het is een door de EU opgestelde richtlijn die als basis dient voor nationale wetgeving rondom cybersecurity. NIS2 beschrijft welke maatregelen organisaties minimaal zouden moeten nemen om hun digitale systemen te beveiligen, en op welke organisaties die richtlijn van toepassing is. En dat zijn er aanzienlijk meer dan onder de eerste NIS-richtlijn die al sinds 2016 van kracht is.
Impact NIS2 op cybercriminaliteit
NIS2 is een belangrijke stap voorwaarts in het versterken van onze digitale verdediging. Cybercriminelen zullen hun pijlen echter blijven richten op digitale infrastructuren. Want zoals de beroemde Amerikaanse bankrover Willie Sutton ooit zei: “That’s where the money is.” Ze passen hooguit hun strategieën aan om effectief te blijven. Bijvoorbeeld op de volgende manieren:
1. Alle pijlen op kleine bedrijven
Een mogelijkheid is dat cybercriminelen de focus verleggen naar kleinere bedrijven die niet vallen onder de NIS2, of moeite hebben om daaraan te voldoen. Die verschuiving zien we nu al. ABN Amro meldde in 2022 voor het eerst meer gevallen van cybercriminaliteit in het mkb dan in het grootbedrijf. Van elke tien mkb’ers kregen er acht te maken met cybercriminaliteit, tegenover driekwart van de grote bedrijven.
Opvallend is dat de risicoperceptie in het mkb nauwelijks lijkt toe te nemen. Met het oog op NIS2 is dat zelfs zorgwekkend te noemen. De kans is namelijk groot dat kleine bedrijven die niet onder de NIS2 vallen er toch mee te maken krijgen. De nieuwe richtlijn spoort bedrijven namelijk aan om afspraken rond cyberveiligheid contractueel vast te leggen met hun ‘ketenpartners’. Dat kunnen ook bedrijven met minder dan 50 werknemers zijn die verder niet worden aangemerkt als een ‘essentiële’ of ‘belangrijke entiteit’. ABN Amro adviseert kleine bedrijven dan ook om ‘het been bij te trekken’.
2. Vol inzetten op zerodays
Onder NIS2 moeten bedrijven meer aandacht besteden aan de bescherming van hun systemen en zullen ze kwetsbaarheden sneller moeten patchen. De verwachting is dan ook dat cybercriminelen hun pijlen nog meer gaan richten op zerodays. Dit zijn onbekende zwakke plekken in software waar nog geen patches voor beschikbaar zijn.
Het is een race tegen de klok, waarbij hackers hun malware verspreiden voordat de beveiligingsgemeenschap kan reageren. De softwareleverancier heeft vanaf dat moment dus eigenlijk ‘nul dagen’ de tijd om een patch te ontwikkelen en beschikbaar te stellen. Door het exploiteren van onontdekte kwetsbaarheden behouden cybercriminelen hun voorsprong.
3. Grootschaliger misbruik van AI
Als bedrijven op grote schaal hun security aanscherpen, zullen cybercriminelen uit een ander vaatje moeten tappen. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt in het Cybersecuritybeeld Nederland 2023 onder andere voor de inzet van generatieve AI waardoor nieuwe dreigingen ontstaan.
“Generatieve AI zoals ChatGPT maakt het laagdrempeliger om malware te ontwikkelen en kan bijvoorbeeld phishingmails geloofwaardiger maken”, aldus de NCTV. “Bij grootschalig gebruik van deze technieken, is het steeds lastiger de authenticiteit en autoriteit van tekstuele informatie, afbeeldingen, video’s en audio vast te stellen.”
Ook kunnen AI en machine learning worden gebruikt om grote hoeveelheden data te verwerken en patronen te herkennen die door mensen niet te zien zijn. Dit kan cybercriminelen helpen om nieuwe kwetsbaarheden in systemen te ontdekken en aanvallen uit te voeren die voorheen onmogelijk waren.
4. Meer hybride aanvallen
Een ander scenario dat we kunnen verwachten, is een toename van het aantal hybride aanvallen. Bij zo’n aanval verspreiden cybercriminelen bijvoorbeeld ransomware terwijl ze tegelijkertijd een DDoS-aanval uitvoeren. Het doel is om door het gebruik van verschillende typen aanvallen de detectie moeilijker te maken en de kans op succes te vergroten.
Deze hybride benadering dwingt cybersecurity-experts om op meerdere fronten alert te zijn. Een goede manier om hybride dreigingen te stoppen en je organisatie te beschermen tegen geavanceerde aanvallen, is door het netwerk actief te monitoren en geavanceerde detectietechnieken toe te passen. Zo voorkom je problemen en zorg je voor een sterke verdediging.
NIS2 niet het eindpunt
Het is van vitaal belang dat organisaties en individuen zich blijven wapenen tegen de evoluerende dreigingen, ook als ze al voldoen aan de NIS2-richtlijn. Dit omvat onder andere training en bewustwording van werknemers over cybersecurityrisico’s, monitoring van het netwerk en het opzetten van responsplannen voor noodgevallen. NIS2 is niet het eindpunt in de strijd tegen cybercriminaliteit, maar een absoluut minimum.