Groot deel vitale sector kwetsbaar voor cybercriminelen

Een aanzienlijk deel van de vitale bedrijven en organisaties in Nederland, waaronder Veiligheidsregio's en de kerncentrale Borssele, beschermt zijn e-mail onvoldoende tegen cybercriminaliteit. Uit onderzoek van Zembla en de Internet Cleanup Foundation blijkt dat 43 van de 100 onderzochte bedrijven en organisaties de e-mailsystemen niet optimaal hebben beveiligd tegen phishing, spoofing en ransomware.

Volgens deskundigen maakt hen dit onnodig kwetsbaar. Tot de 100 zogenoemde vitale bedrijven en overheidsorganisaties die Zembla onderzocht behoren banken, energieproducenten, drinkwaterbedrijven, exploitanten van nucleaire installaties, ministeries en vervoersbedrijven.

De kerncentrale in Borssele is één van de bedrijven die zijn mail onvoldoende beveiligt. De exploitant van de centrale, EPZ, erkent in een reactie dat de mail niet maximaal is beveiligd, maar zegt desondanks “goed weerstand te kunnen bieden aan cybercriminaliteit en dit permanent te monitoren”. EPZ scherpt de beveiliging van e-mail verder aan.

Ook de luchtvaartsector scoort slecht. Zowel KLM, Schiphol als Luchtverkeersleiding Nederland heeft de beveiliging niet voldoende op orde, terwijl ze tegelijkertijd aangeven te kampen met concrete pogingen tot cybercriminaliteit. “KLM monitort veiligheidsrisico’s continu en probeert cybercriminaliteit waar mogelijk, direct te mitigeren”, aldus de luchtvaartmaatschappij in een reactie. KLM en de Luchtverkeersleiding zeggen al langer bezig te zijn met het aanscherpen van de mailbeveiliging en zetten hierin nu de laatste stappen. Ook Schiphol bekijkt nog of de mailveiligheid verder kan worden verscherpt.                                                                                             

Opvallend is verder dat de Veiligheidsregio’s slecht scoren, terwijl de Veiligheidsregio Noord- en Oost-Gelderland vorig jaar nog getroffen werd door een ransomware-aanval. Van de 25 Veiligheidsregio’s hadden er 13 hun e-mail onvoldoende tegen phishing beveiligd, terwijl zij als overheidsorganisatie hiertoe wel verplicht zijn. “Verbetering kost tijd”, aldus de Veiligheidsregio’s, die zeggen te kampen met een “complex ICT-landschap” nadat de systemen van de Veiligheidsregio’s zijn samengevoegd. Er worden versneld extra veiligheidsmaatregelen genomen.

“Ook wij hebben in de praktijk er wel eens mee te maken dat er op een verkeerde link wordt geklikt of dat er een besmet bestand wordt geopend”, vertelt hoogspanningsbeheerder TenneT, die eveneens de mail onvoldoende beveiligd heeft. “We beschikken over goed beveiligde systemen, goed opgeleide mensen en degelijke security-processen, waardoor dergelijke acties niet tot verdere schade leiden of hebben geleid.” Energiebedrijf Vattenfall zegt zichzelf al goed te beschermen met geavanceerde technologie, maar stelt desondanks, net als TenneT, de ontbrekende mailveiligheidsstandaard in.

In juni waarschuwde de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat gijzelsoftware een bedreiging vormt voor de nationale veiligheid, omdat hackers daarmee vitale processen kunnen lamleggen.  

Deze vitale organisaties hebben e-mailveiligheid niet op orde.

Het versturen van phishingmails is één van de belangrijkste tactieken waarmee ransomware-aanvallen worden uitgevoerd. Hackers versturen gefingeerde e-mailberichten met malafide bijlagen of links. Door drie belangrijke veiligheidsmaatregelen (SPF, DKIM en DMARC) kunnen organisaties phishing en het vervalsen van afzenders voorkomen. Binnen de overheid is een strikte toepassing verplicht en aan de vitale sector worden deze maatregelen ten strengste aanbevolen.

In reactie op het onderzoek van Zembla en stichting Internet Cleanup Foundation, zeggen 34 van de 43 organisaties hun mailbeveiliging verder aan te scherpen. Hun reacties en de resultaten van het onderzoek vindt u in de bijlage.