- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Type of Threat or Opportunity >
- Trend snippet: Digitalization is making Dutch society increasingly vulnerable
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Digitalization is making Dutch society increasingly vulnerable
Digitalisering maakt samenleving kwetsbaar
Dit onderzoek gaat tevens in op de kwetsbaarheden die gepaard gaan met de digitalisering van de samenleving. Maatregelen die de cyberweerbaarheid moeten versterken, kunnen namelijk niet los worden gezien van deze kwetsbaarheden en daarmee samenhangende cyberdreigingen.
Door de voortschrijdende digitalisering van de samenleving raken de online en de offline wereld steeds verder met elkaar verweven. Daardoor worden steeds meer data digitaal verwerkt, bevatten steeds meer apparaten digitale technologie en worden steeds meer diensten digitaal geleverd. De verdere uitrol van IoT jaagt deze ontwikkeling verder aan. Dat is problematisch, omdat de cyberweerbaarheid veelal niet op orde is. Dat maakt IT-systemen en -applicaties kwetsbaar voor uitval, storingen en aanvallen.
2 Digitalisering maakt de samenleving kwetsbaar
Zoals in het inleidende hoofdstuk is gesteld, kunnen maatregelen die de cyberweerbaarheid moeten versterken niet worden losgezien van de kwetsbaarheden van IT-gerelateerde producten, diensten en systemen. Het streven naar verhoging van de cyberweerbaarheid vereist dan ook inzicht in die kwetsbaarheden.
Dit hoofdstuk beschrijft de kwetsbaarheden die gepaard gaan met de voortschrijdende digitalisering van de samenleving. Daarnaast laat het zien hoe nieuwe technologische ontwikkelingen, zoals machine learning of het groeiende gebruik van clouddiensten, bestaande kwetsbaarheden kunnen vergroten, of tot nieuwe kwetsbaarheden kunnen leiden. Nieuwe technologieën kunnen bovendien zelf een bron zijn van nieuwe kwetsbaarheden. Zo is het gebruik van machine learning vatbaar voor het risico van datamanipulatie.
2.1 Groeiende digitale verbondenheid maakt kwetsbaar
Sinds enkele decennia is sprake van een voortschrijdende digitalisering van de samenleving, met een steeds sterkere verwevenheid van de online met de offline wereld. Steeds meer data worden digitaal opgeslagen, steeds meer apparaten bevatten digitale technologie en steeds meer diensten worden digitaal geleverd. Ontwikkelingen als de verdere uitrol van het Internet of Things jagen deze ontwikkeling verder aan. Vanwege het steeds omvangrijkere karakter hiervan wordt ook wel gesproken over ‘het internet van alles’.
De voortschrijdende digitalisering betekent ook dat er steeds meer digitale doelwitten zijn die kwaadwillende partijen kunnen aanvallen, en er steeds meer digitale producten en diensten worden gebruikt die vatbaar zijn voor uitval en (ver)storing. Dit creëert uiteenlopende veiligheidsrisico’s. In toenemende mate kunnen die ook fysieke gevolgen krijgen, zoals bij de digitale aansturing van sluizen of de opkomst van smart homes of zelfrijdende auto’s. Zo kan het digitaal manipuleren van sluizen of van remsystemen in zelfrijdende auto’s tot grote fysieke schade leiden.
Ondanks de groeiende aandacht voor de risico’s die gepaard gaan met de digitalisering van de samenleving, is het met de cyberweerbaarheid vaak droevig gesteld. Zo worden basisveiligheidsmaatregelen vaak niet of onvoldoende genomen.
Vanwege de toenemende verwevenheid van allerlei (digitale) processen ontstaan daarnaast steeds verdergaande ketenafhankelijkheid tussen organisaties. Kwetsbaarheden bij de ene organisatie kunnen daardoor gevolgen krijgen voor de cyberweerbaarheid van de andere organisatie.
In deze paragraaf beschrijven we de hier genoemde ontwikkelingen in meer detail. We gaan hierbij tevens in op ontwikkelingen op het gebied van cybercrime.
2.1.1 Het internet van alles
Sinds de jaren negentig van de vorige eeuw is het internet enorm gegroeid. Steeds meer apparaten worden op het internet aangesloten en vormen samen een Internet of Things. In 2018 waren er wereldwijd 17 miljard apparaten met het internet verbonden: 10 miljard smartphones, tablets, laptops en pc’s en 7 miljard andere apparaten als slimme thermostaten, digitale implantaten als een pacemaker of een insulinepomp, en auto’s. Het aantal IoT-apparaten zal in de komende vijf jaar waarschijnlijk minstens verdubbelen (Lueth, 2018).
5G-netwerken maken de verdere uitrol van het Internet of Things mogelijk. De term 5G staat voor de vijfde generatie draadloze of mobiele systemen. Deze kunnen gegevens in grotere hoeveelheden en met minder vertraging transporteren. Dit kan de functionaliteit van veel digitale toepassingen verbeteren, bijvoorbeeld door zelfrijdende auto’s sneller van informatie te voorzien.
Het is hierbij belangrijk op te merken dat digitale toepassingen en apparaten ook met elkaar kunnen communiceren. Zo kan een zelfrijdende auto alleen zijn route bepalen als hij voortdurend gevoed wordt met de juiste informatie. Als een satelliet of een sensor langs de weg verkeerde informatie verstrekt kan dat ongelukken veroorzaken. De onderlinge verbondenheid van digitale apparaten kan dan ook de risico’s op manipulatie, verstoring en uitval vergroten.
In de energiesector is een vergelijkbaar risico waarneembaar. De toename van decentrale opwekking en de groeiende vraag naar energie-intensieve oplaadpunten voor elektrische voertuigen maken digitaal beheer van het energienetwerk onontkoombaar. Dat brengt nieuwe risico’s met zich mee, zoals storingen en uitval (Raad voor de leefomgeving en infrastructuur, 2018).
Cyberweerbaar met nieuwe technologie 22
Kortom: er is een ‘internet van alles’ ontstaan, waardoor talloze producten en diensten digitaal zijn verbonden en vatbaar zijn voor aanvallen, storing en uitval.
2.1.2 De groei van digitaal beschikbare data
De groeiende digitalisering van de samenleving gaat gepaard met grote dataverzamelingen. Rijkswaterstaat monitort het waterpeil met een uitgebreid netwerk met sensoren; zoekmachines op internet houden het surfgedrag van gebruikers bij; en nieuwe auto’s slaan lokaal of bij de fabrikant veel meer gegevens op dan auto’s die 10 jaar oud zijn (Automotive Insiders, 2018). Bedrijven, overheden en andere organisaties vergaren steeds meer gegevens van klanten en cliënten: meer data leidt tot meer inzicht en tot beter op de behoefte van de persoon afgestemde producten en diensten – is de gedachte. De commerciële waarde van al die informatie voor bijvoorbeeld adverteerders maakt het mogelijk om digitale producten en diensten kosteloos aan te bieden aan gebruikers (Zuboff, 2019).
Het verzamelen van al deze data is niet zonder risico’s. De afgelopen jaren zijn met regelmaat grote datasets op straat komen te liggen. Zo zijn persoonsgegevens gelekt van 500 miljoen Marriott-hotelgasten (Ortiz, 2018), 150 miljoen MyFitnessPal-app gebruikers (Flinkle & Balu, 2018) en 87 miljoen Facebookgebruikers (Lapowsky, 2018). De lekken onderstrepen de kwetsbaarheid van centrale databases en het risico van almaar groeiende dataverzamelingen. Cybercriminelen en andere kwaadwillende partijen kunnen daarvan gebruikmaken, bijvoorbeeld door met gelekte data een doelwit te chanteren of berichtgeving te manipuleren. Hoe meer data mensen online zetten, hoe groter de kans is dat gegevens ongewenst worden ingezien of misbruikt.
2.1.3 Lage basisveiligheid
De groeiende verbondenheid met internet is vanuit het perspectief van cyberweerbaarheid problematisch, omdat ook relatief eenvoudige basisveiligheidsmaatregelen vaak niet worden genomen. Digitale apparaten en diensten worden vaak door leveranciers slecht of onvoldoende beveiligd, en niet van updates voorzien (Bulletproof, 2019). Het ontbreekt leveranciers veelal aan economische prikkels om te investeren in cyberweerbaarheid. De prijsconcurrentie op producten is groot, en de gebruiker vraagt niet naar veiligere producten (Rathenau Instituut, 2017).
Daarnaast nemen gebruikers vaak onvoldoende maatregelen om hun producten en diensten te beveiligen. Ze maken bijvoorbeeld gebruik van zwakke wachtwoorden, maken geen back-ups van belangrijke bestanden en stellen software-updates uit (Van der Grient & Konings, 2018).
Dit creëert grote veiligheidsrisico’s, aangezien het manipuleren of verstoren van digitale apparaten ernstige gevolgen kan hebben. Met het internet verbonden apparaten kunnen ook worden gebruikt voor een cyberaanval. Ze kunnen worden gehackt en worden ingezet als onderdeel van een botnet, dat wordt gebruikt voor een massale DDoS-aanval (Hilton, 2016).
2.1.4 Ketenafhankelijkheid
Steeds meer IT-systemen en -toepassingen zijn met elkaar verbonden. Organisaties nemen vaak netwerkgebaseerde producten of diensten af van andere partijen. Dat kan gaan om zaken als software, hardware, dataopslag of clouddiensten. Geen enkele organisatie is meer in staat om alle taken volledig zelf uit te voeren. De kwetsbaarheid die deze afhankelijkheid van andere partijen met zich meebrengt, wordt vaak onderschat. De zwakste schakel in de keten kan namelijk verstoringen van functies verderop in de keten veroorzaken (Rathenau Instituut, 2017). Om de kwetsbaarheid in aanvoerketens te illustreren wordt nogal eens verwezen naar de anekdote van de hackers die de systemen van een casino binnen wisten te dringen via het aansturingsysteem van het aquarium (Schiffer, 2017).
Door deze ketenafhankelijkheid worden de diverse maatschappelijke en economische sectoren ook steeds meer met elkaar verbonden. De cyberweerbaarheid van bijvoorbeeld de energie- of transportsector kan dan ook steeds minder los worden gezien van die van andere partijen in de keten. Het vaak gemaakte onderscheid tussen ‘vitale sectoren’ en overige sectoren, wordt hierdoor steeds moeilijker houdbaar. In plaats hiervan hanteert de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) inmiddels de termen ‘vitale infrastructuur’, ‘vitale processen’ en ‘vitale aanbieders’ (NCTV, 2018).
2.1.5 Ontwikkelingen op het gebied van cybercrime
De voortschrijdende digitalisering van de samenleving schept allerlei mogelijkheden voor criminaliteit, terwijl de bestrijding ervan daar geen gelijke tred mee houdt. Cybercriminaliteit is niet alleen vaak lonend, cybercriminelen hebben tevens vaak weinig te vrezen. Doordat aanvallen vaak moeilijk te herleiden zijn tot een specifieke persoon of organisatie, is opsporing en vervolging lastig. Ook als een criminele activiteit wordt onderbroken, kunnen de daders het dikwijls elders of op een andere manier opnieuw proberen. Zolang de pakkans laag blijft en het risico van vervolging ook, zal de dreiging die uitgaat van cybercriminaliteit niet afnemen.
Het plegen van cybercriminaliteit wordt ook steeds eenvoudiger. Cybercrime-as-a- service is in opkomst: cyberaanvallen en door criminelen overgenomen computers kunnen steeds gemakkelijker op ondergrondse marktplaatsen worden gekocht, waardoor de expertise om een aanval zelf uit te voeren niet meer nodig is (McAfee, 2018).
Daarnaast specialiseren cybercriminelen zich: waar de één zich bijvoorbeeld richt op spammail, legt de ander zich toe op het uitbuiten van kwetsbaarheden. Tenslotte kunnen virtuele valuta als Bitcoins cybercriminaliteit in de kaart spelen, omdat criminelen met die valuta anoniem financiële middelen kunnen verhandelen en witwassen (CipherTrace, 2018).