Specialist in digitale netwerkverbindingen
Maatwerk & installatie op aanvraag
Artikelen leverbaar uit voorraad en back to back
Vandaag besteld, morgen geleverd

DINL waarschuwt voor sabotage glasvezelkabels in de Noordzee  


Meer redundantie en terugdraaien monocultuur 

In Nederland heerst er nog steeds een monocultuur op het gebied van internetnetwerken en glasvezelkabels. Dit houdt in dat veel netwerken geen back-up kabels of systemen hebben in het geval van een storing of sabotage. Dit zien we in ons land nog veel terug op digitaal gebied. De monocultuur leidt nu tot grote risico’s op financieel en digitaal gebied. Als er sabotage plaatsvindt aan zeekabels, kunnen noodzakelijke netwerken zomaar wegvallen, omdat ze geen back-up hebben. Dit probleem werd een tijd geleden natuurlijk ook al erg duidelijk, toen vliegvelden en ziekenhuizen plat lagen door de update van het antivirus programma van Microsoft.  

Hoe zorg je voor meer redundantie?

Nu is de vraag natuurlijk: hoe zorg je dan voor meer redundantie in Nederland? Volgens politiek adviseur Marijn van Vliet zou het goed zijn als we een voorbeeld nemen aan Duitsland. Hier zorgt het Centrum voor Digitale Soevereiniteit (ZenDiS) ervoor dat de overheid minder kwetsbaar is. Dit initiatief zorgt er ook voor dat er meer gebruik wordt gemaakt van open-source software. Dankzij ZenDiS heeft de Duitste overheid een exit-strategie, dat is wat wij in ons land nu helaas missen. Publieke instellingen kunnen dankzij dit initiatief altijd terugvallen op een alternatief. Dit maakt instellingen onafhankelijker en dus ook beter beveiligd!

Dat kan toch ook in Nederland?

Ja, dat zou dus zeker ook in Nederland moeten kunnen. Alle open-source software wordt aan elkaar geknoopt en vervolgens wordt het onderhoud en het patchen hiervan uitbesteed aan een service provider en de hosting wordt verzorgd door een cloudleverancier. Het Ministerie van BZK moet dit in samenwerking met het Ministerie van Economische Zaken oppakken. Maar naast dit probleem hebben we natuurlijk ook nog de kwetsbare zeekabels bij de Nederlandse Antillen. In dit gebied lopen er maar twee routes met glasvezelkabels die allebei dezelfde aanbieder hebben. Gaat hier wat mis, dan ligt heel het Caribisch gebied plat. Hier moet dus in feite een extra kabel gelegd worden. Defensie is momenteel in gesprek met DINL over fysieke beveiliging van de zeekabels.


Waarom is de ECCO opgericht?  

Het oprichten van de ECCO was een onderdeel van de schikking tussen Cispe en Microsoft in juli. Deze schikking was de oplossing van een mededingsklacht bij de Europese Commissie richting Microsoft. Het bedrijf werd ervan beschuldigd dat ze voor oneerlijke concurrentie zorgden. Deze leverancier verkoopt namelijk producten als Microsoft 365 en Windows steeds meer met zijn eigen Azure Cloud en andere diensten. Het gevolg hiervan is dat andere Cloudpartijen met eigen SaaS-diensten buiten spel worden gezet. Ook eindklanten die de software afnemen hebben hier uiteindelijk last van. Naast het samen oprichten van de ECCO betaalde het bedrijf een schadevergoeding aan Cispe en beloofde het een verbeterde versie van zijn Azure Stack HCI-product te ontwikkelen voor Europese Cloudproviders die vergelijkbaar is met hun eigen cloudoplossingen.  

ECCO controleert Europese softwareleveranciers op deze manier!

De ECCO gaat Europese softwareleveranciers controleren op oneerlijke praktijken, maar in het begin zal hun focus liggen op het zorgen dat Microsoft zich aan de afspraken houdt. Momenteel testen leden van de waakhond de aanpassingen van Microsoft. In december vindt er een bijeenkomst plaats in Redmond, Washington met de technische top, waarna er een voortgangsrapport wordt verwacht. In februari en maart volgen er daarna nog evaluaties van de voortgang binnen de afspraken met het bedrijf. Deze werkwijze zal de ECCO ook toepassen voor andere softwareleveranciers binnen Europa, om op die manier de cloudmarkt eerlijk te houden en open te houden voor concurrentie! 

Onafhankelijke controle door ECCO 

ECCO is dus een compleet onafhankelijke organisatie, beheerd door het secretariaat van Cispe en maakt gebruik van een onafhankelijk bestuursmodel. Een groep Franse bedrijven en organisaties onder de naam Cigref en een Belgische vereniging van CIO’s en digitale technologieleiders onder de naam Beltug, zullen optreden als waarnemers namens de consumenten. Op die manier is het zeker dat de beoordelingen en uitspraken van ECCO 100% onafhankelijk en op de waarheid gebaseerd zijn.   


1. Dora: voor de financiële sector 

Dora staat voor de Digital Operational Resilience Act. Deze wet richt zich vooral op de financiële sector. De Europese regelgeving zou de operationele weerbaarheid van financiële instellingen moeten versterken. Deze sector is natuurlijk al behoorlijk streng gereguleerd, maar toch blijven er nieuwe wetten bij komen, zeker vanuit de EU. De wet heeft niet alleen betrekking op de financiële sector, maar ook op third-party-ict leveranciers, zeker als het gaat om cloud computing die kritieke functionaliteiten ondersteunen.  

2. NIS2: Een van de belangrijkste Europese wetten omtrent cybersecurity!

De NIS-2 richtlijn draait vooral om het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten. Er zijn achttien sectoren waarop de NIS-2 richtlijn impact zal hebben en hij draait vooral om maatregelen op het gebied van risicomanagement rondom cybersecurity en het rapporteren van incidenten op dit gebied. Bedrijven hebben nog wel eens de neiging om cybersecurity incidenten niet te melden, omdat ze bang zijn dat dit hun naam kan schaden. Maar het rapporteren van incidenten is juist een belangrijke databron om dit soort incidenten in de toekomst te voorkomen! 

3. EU Cloud Certification Scheme  

De EU Cloud Certification Scheme is een raamwerk voor het certifceren van de digitale beveiliging van aanbieders van clouddiensten. De Eucs is een onderdeel van de Cybersecurity Act of CSA uit 2019. De schema’s waar deze richtlijn gebruik van maakt, zijn niet verplicht, maar de kans is wel erg aanwezig dat ze in de toekomst wel verplicht worden.

4. Cyber Resilience Act: Een van de Europese wetten voor cybersecurity van producten

Deze EU-regelgeving is voornamelijk gericht op hardware- en softwareproducten. Hij draait dus niet om de digitale weerbaarheid van organisaties, maar juist om producten die organisaties gebruiken. De Cyber Resilience Act stelt eisen aan de cyberveiligheid van digitale producten die men in de EU verkoopt, zoals software en iot-apparaten. Deze eisen zijn bindend, dus alle producten dienen hieraan te voldoen, geen uitzonderingen. Alle producten die rechtstreek of indirect worden gekoppeld aan een netwerk vallen onder deze regelgeving! 


Kaspersky Security Network  

De cijfers die dit laten zien komen uit de lijst van Kaspersky Security Network. Deze lijst wordt al sinds 2013 bijgehouden en dit jaar is de eerste keer dat Nederland aan kop staat. In de periode van juli tot en met september 2024 vonden er via de servers in Amerika ruim 116 miljoen cyberincidenten plaats. Daarna staat Duitsland op de derde plaats met dertien miljoen aanvallen. De VS heeft hiermee een aandeel van 25% van alle cyberaanvallen ter wereld en Duitsland slechts 3%. Zet dat dus maar tegenover Nederland, op wiens servers 41% van de cyberaanvallen overal ter wereld plaatsvonden in het derde kwartaal van dit jaar.  

Stijging van cyberincidenten in Nederland sinds 2022 

Volgens het rapport van Kaspersky Security Network schoot het aantal cyberincidenten op de Nederlandse servers begin 2022 ineens omhoog. Op dat moment stond Nederland op de derde plaats op de wereldwijde lijst van servermisbruik. Het duurde niet lang voordat ons land naar de tweede plek steeg, met alleen Amerika nog boven zich met het grote aantal cyberaanvallen. Tot en met het tweede kwartaal van 2024 bleef Nederland op de tweede plek staan, maar afgelopen kwartaal kwam hier dan toch verandering in. Na medio 2022 daalden het aantal aanvallen in ons land wel weer wat, maar toch stonden we in Q3 op de eerste plek, zelfs boven de VS.  

Nederland is populair geworden bij cybercriminelen  

Het lijkt er dus op dat ons land ineens een paradijs is geworden voor cybercriminelen. Als we het aandeel van Nederland in het derde kwartaal namelijk vergelijken met drie jaar geleden, is dit een verschil in percentage van 36%. In 2021 was dit 5% en dit jaar dus 41%. Waarom deze stijging zo immens groot is, kan de ict-beveiliger zo snel niet verklaren. In 2023 daalde het aantal cyberaanvallen op Nederlandse servers weer met meer dan honderd miljoen. Maar helaas lijkt er dit jaar toch weer een stijging te zijn van het aantal incidenten, waardoor we toch op de eerste plaats blijven staan.  

Waar komt deze data vandaan?  

Kaspersky Security Network stelt deze lijst op met de data die zij binnenkrijgen naar aanleiding van een cyberaanval. Wordt er een klant van de ict-beveiliger aangevallen online, dan registreren ze de bron van die aanval. Een WebAntivirus-component legt de locatie van de bedreiging vervolgens vast. Hun analyse richt zich op malware-samples, die vaak in meerdere landen wereldwijd worden gevonden. Een verklaring voor de koppositie van Nederland kan onze positie binnen het trans-Atlantische internetverkeer. Dit loopt voor een groot deel via de Amsterdamse Interent Exchange. Onze goede infrastructuur is voor cybercriminelen erg aantrekkelijk, aangezien ze op deze manier makkelijk veel bedrijven kunnen bereiken overal ter wereld!


Ransomware is en blijft een van de grootste cyberbedreigingen  

Ransomware is al jaren een grote bedreiging, maar ook nu blijft dit een groot risico. Het aantal gevallen waarin mensen slachtoffer worden van ransomware is niet per se gestegen, maar cybercriminelen hebben wel nieuwe manieren gevonden om mensen hiermee op te lichten. Criminelen combineren ransomware met data-exfiltratie en dreigen vervolgens om gevoelige informatie openbaar te maken. Voor bedrijven die werken met gevoelige data is het nu dus extra belangrijk om te zorgen voor een goede beveiliging van hun systemen. Hackers misbruiken ook steeds vaker legitieme tools binnen systemen om onder de radar te blijven. Het wordt dus steeds lastiger om hen op te sporen.

Social engineering wordt inventiever 

Social engineering blijft ook vaak voorkomen. Phishing is één van de meest voorkomende vormen van social engineering. Vooral bedrijven hebben hier steeds meer last van, want de nepmails zijn steeds lastiger van echt te onderscheiden. Cybercriminelen gebruiken vandaag de dag AI om de e-mails er zo echt mogelijk uit te laten zien. Via de e-mails proberen ze toegang te krijgen tot bedrijfsgegevens of betalingen. Als bedrijf is het dus verstandig om je personeel scherp te houden op het filteren van nep e-mails. Zo voorkom je een hoop ellende! 

Malware is steeds lastiger te detecteren 

Malware is natuurlijk ook niet per se nieuw op het gebied van cybercriminaliteit. Wel is het steeds lastiger te detecteren, wat het gevaar uiteraard groter maakt. Geavanceerde cybercriminelen bieden zelfs voortaan malware-as-a-service aan. Criminelen die minder technisch zijn, kunnen op die manier toch eenvoudig aanvallen lanceren op bedrijven. Malware wordt daarnaast steeds slimmer en dus beter in het ontwijken van detectie. Hiervoor gebruikt men polyforme technieken, wat ervoor zorgt dat de malware van vorm kan veranderen om antivirussoftware te omzeilen.  

Het manipuleren van informatie met AI is één van de grootste nieuwe cyberbedreigingen

AI heeft helaas een hoop deuren geopend voor cybercriminelen. Het is makkelijker geworden om mensen te manipuleren en voor te liegen door informatie te manipuleren met de hulp van kunstmatige intelligentie. Zo is het bijvoorbeeld mogelijk om iemands stem na te bootsen met AI. Als jij denkt dat je aan de telefoon bent met een familielid of goede vriend die je om geld vraagt, kan dit zomaar een cybercrimineel zijn. Daarnaast wordt er een hoop desinformatie verspreid om de standpunten en denkwijzen van mensen te manipuleren met behulp van AI. Krijg jij een verdacht telefoontje van iemand die je denkt te kennen? Wees waakzaam en ga niet overal te snel in mee! 

Ddos-aanvallen zijn een nachtmerrie voor bedrijven  

Een Ddos-aanval is altijd iets geweest dat ieder bedrijf vreest, maar inmiddels is dit risico een stuk groter geworden dan het ooit was. Het is de dreiging die het meest gerapporteerd wordt, zelfs meer dan ransomware. Ook hier valt het op dat cybercriminelen steeds vaker aanbieden Ddos-aanvallen uit te voeren voor anderen tegen betaling. Hierdoor wordt het risico op grootschalige aanvallen een stuk groter. Dit maakt Ddos-aanvallen momenteel een van de grootste cyberbedreigingen

Datalekken en aanval op toeleveringsketens  

Ten slotte neemt de dreiging van datalekken enorm toe dit jaar. Aanvallers gaan namelijk veel gerichter te werk hierin. Aanvallers leggen vaak ook meer druk op bedrijven, bijvoorbeeld door te dreigen met het openbaar maken van bepaalde data. Hierdoor doen bedrijven minder snel aangifte bij de politie als er sprake is van een cyberaanval of datalek. Cybercriminelen kiezen er ook steeds vaker voor om bedrijven aan te vallen via hun toeleveringsketen. Dit doen ze bijvoorbeeld door het vervalsen van e-mails van een leverancier, waardoor ze meteen kans maken binnen het hele netwerk van die leverancier.  

Conclusie: Let op met de grootste cyberbedreigingen van dit moment

Het afgelopen jaar zijn er dus niet zozeer nieuwe manieren van cybercriminaliteit bij gekomen. De bestaande dreigingen zijn in plaats daarvan groter geworden door nieuwe technieken en verfijning van technieken. Hierdoor zijn aanvallen moeilijker te detecteren en zijn dreigingen ook lastiger te herkennen. Door de snelle veranderingen op het gebied van cybercriminaliteit is het voor ieder bedrijf belangrijk om op de hoogte te blijven van de huidige dreigingen en passende maatregelen te nemen. Je kunt nooit te voorzichtig zijn met de grootste cyberbedreigingen van dit moment! 


Waarschuwing van de AP 

De Autoriteit Persoonsgegevens (AP) wijst in het ‘Sectorbeleid Overheid’ op dit gevaar dat overheden momenteel lopen. Dat gaat niet alleen om het gevaar van te afhankelijk zijn van een beheerder, maar ook alle ontwikkelingen die er bij de overheid plaatsvinden op het gebied van privacy. Het lijkt er voor het volk regelmatig op dat overheidsinstanties nog steeds worstelen met het voldoen aan de privacywetgeving. Hier worden ze nog wel eens voor op hun vingers getikt door de AP. Een van de bezwaren is dat wanneer de AP zwakke punten ontdekt in de systemen van overheidsinstanties, het vaak te lang duurt om dit aan te passen. Redenen hiervoor zijn verouderde IT-systemen, een gebrek aan kennis, onvoldoende prioritering of zelfs een combinatie van al deze zaken. Hierdoor duurt het soms veel te lang voordat datalekken of gelijksoortige problemen opgelost worden.  

Een hoop kennis ontbreekt bij de overheid  

Het grootste probleem is dus eigenlijk een groot kennistekort bij overheidsinstanties. Hierdoor duurt het te lang voordat verouderde systemen worden vervangen en voordat problemen worden opgelost. Ook de kennis van de privacywet is nog vaak niet voldoende aanwezig, met name bij bestuurders. Vinden er overtredingen plaats van de AVG, dan is dit vaak een gevolg van een gebrek aan kennis. De AP uitte onlangs nog de zorgen over de naleving van de AVG bij de Belastingdienst. Om die reden neemt de autoriteit deze instantie de komende tijd onder een vergrootglas.  

De impact van generatieve AI op de naleving van de AVG 

Helaas zijn er nog steeds veel overheidsinstanties die denken dat ze niet alles uit hoeven te zoeken op het gebied van privacy. De AP maakt zich nu grote zorgen om de impact die generatieve AI gaat hebben op de naleving van de AVG bij de overheid. Veel gemeenten gaven al eerder aan dat ze hiermee willen gaan experimenteren, maar dit kan grote gevolgen hebben. Zeker aangezien veel gemeentes nalatig zijn in onderzoek doen voordat ze gaan experimenteren.