NIS2: dit is de reactie van cybercriminelen

NIS2 moet een impuls geven aan de cyberweerbaarheid in Europa. Meer bedrijven krijgen te maken met een meldplicht bij incidenten, en met strengere beveiligingsnormen. Maar hoge muren creƫren slimme inbrekers. Hoe gaan cybercriminelen reageren op een sterkere security?

8 augustus 1963. Na een lange voorbereiding vanuit een verlaten boerderij bereikt een ingenieus aanvalsplan eindelijk zijn climax. Zestien overvallers slaan genadeloos toe en dwingen de posttrein van Glasgow naar Londen met een rood sein tot stoppen. Ongeveer een kwartier later rijdt een konvooi autoā€™s met 120 postzakken terug naar Leatherslade Farm. De buit: 2,6 miljoen Britse pond, zeker voor die tijd een duizelingwekkend hoog bedrag.

De ā€˜Grote Treinroofā€™ intrigeert nog altijd, vooral door de minutieuze voorbereiding van de bende. Het kernteam schakelde specialisten in om te helpen bij de roof. Zo kreeg de bende van een beveiligingsbeambte van postbedrijf Royal Mail gedetailleerde informatie over de route van de trein en de vervoerde geldbedragen. Daarnaast voegde zich een expert bij de groep die precies wist hoe hij de seinen kon manipuleren. Een derde knipte telefoonkabels door zodat contact met de treindienstleider onmogelijk was.

Rovers werden cybercriminelen

Zestig jaar later zijn de tactieken niet veel veranderd. Net als de overvallers van de posttrein zoeken cybercriminelen in het internettijdperk constant naar manieren om waardevolle informatie te bemachtigen om er zelf beter van te worden. Daarbij werken ze vaak georganiseerd samen en schakelen ze geregeld de hulp in van 'insiders'. De focus is echter verschoven van banken en treinen naar digitale platformen en systemen.

NIS2 (Network Information Security 2) is een poging om de ā€˜banken en treinenā€™ van het internettijdperk beter te beveiligen. Het is een door de EU opgestelde richtlijn die als basis dient voor nationale wetgeving rondom cybersecurity. NIS2 beschrijft welke maatregelen organisaties minimaal zouden moeten nemen om hun digitale systemen te beveiligen, en op welke organisaties die richtlijn van toepassing is. En dat zijn er aanzienlijk meer dan onder de eerste NIS-richtlijn die al sinds 2016 van kracht is.

Impact NIS2 op cybercriminaliteit

NIS2 is een belangrijke stap voorwaarts in het versterken van onze digitale verdediging. Cybercriminelen zullen hun pijlen echter blijven richten op digitale infrastructuren. Want zoals de beroemde Amerikaanse bankrover Willie Sutton ooit zei: "That's where the money is." Ze passen hooguit hun strategieƫn aan om effectief te blijven. Bijvoorbeeld op de volgende manieren:

1. Alle pijlen op kleine bedrijven

Een mogelijkheid is dat cybercriminelen de focus verleggen naar kleinere bedrijven die niet vallen onder de NIS2, of moeite hebben om daaraan te voldoen. Die verschuiving zien we nu al. ABN Amro meldde in 2022 voor het eerst meer gevallen van cybercriminaliteit in het mkb dan in het grootbedrijf. Van elke tien mkbā€™ers kregen er acht te maken met cybercriminaliteit, tegenover driekwart van de grote bedrijven.

Opvallend is dat de risicoperceptie in het mkb nauwelijks lijkt toe te nemen. Met het oog op NIS2 is dat zelfs zorgwekkend te noemen. De kans is namelijk groot dat kleine bedrijven die niet onder de NIS2 vallen er toch mee te maken krijgen. De nieuwe richtlijn spoort bedrijven namelijk aan om afspraken rond cyberveiligheid contractueel vast te leggen met hun ā€˜ketenpartnersā€™. Dat kunnen ook bedrijven met minder dan 50 werknemers zijn die verder niet worden aangemerkt als een 'essentiĆ«le' of ā€˜belangrijke entiteit'. ABN Amro adviseert kleine bedrijven dan ook om ā€˜het been bij te trekkenā€™.

2. Vol inzetten op zerodays

Onder NIS2 moeten bedrijven meer aandacht besteden aan de bescherming van hun systemen en zullen ze kwetsbaarheden sneller moeten patchen. De verwachting is dan ook dat cybercriminelen hun pijlen nog meer gaan richten op zerodays. Dit zijn onbekende zwakke plekken in software waar nog geen patches voor beschikbaar zijn.

Het is een race tegen de klok, waarbij hackers hun malware verspreiden voordat de beveiligingsgemeenschap kan reageren. De softwareleverancier heeft vanaf dat moment dus eigenlijk ā€˜nul dagenā€™ de tijd om een patch te ontwikkelen en beschikbaar te stellen. Door het exploiteren van onontdekte kwetsbaarheden behouden cybercriminelen hun voorsprong.

3. Grootschaliger misbruik van AI

Als bedrijven op grote schaal hun security aanscherpen, zullen cybercriminelen uit een ander vaatje moeten tappen. De Nationaal Coƶrdinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt in het Cybersecuritybeeld Nederland 2023 onder andere voor de inzet van generatieve AI waardoor nieuwe dreigingen ontstaan.

ā€œGeneratieve AI zoals ChatGPT maakt het laagdrempeliger om malware te ontwikkelen en kan bijvoorbeeld phishingmails geloofwaardiger makenā€, aldus de NCTV. ā€œBij grootschalig gebruik van deze technieken, is het steeds lastiger de authenticiteit en autoriteit van tekstuele informatie, afbeeldingen, videoā€™s en audio vast te stellen.ā€

Ook kunnen AI en machine learning worden gebruikt om grote hoeveelheden data te verwerken en patronen te herkennen die door mensen niet te zien zijn. Dit kan cybercriminelen helpen om nieuwe kwetsbaarheden in systemen te ontdekken en aanvallen uit te voeren die voorheen onmogelijk waren.

4. Meer hybride aanvallen

Een ander scenario dat we kunnen verwachten, is een toename van het aantal hybride aanvallen. Bij zoā€™n aanval verspreiden cybercriminelen bijvoorbeeld ransomware terwijl ze tegelijkertijd een DDoS-aanval uitvoeren. Het doel is om door het gebruik van verschillende typen aanvallen de detectie moeilijker te maken en de kans op succes te vergroten.

Deze hybride benadering dwingt cybersecurity-experts om op meerdere fronten alert te zijn. Een goede manier om hybride dreigingen te stoppen en je organisatie te beschermen tegen geavanceerde aanvallen, is door het netwerk actief te monitoren en geavanceerde detectietechnieken toe te passen. Zo voorkom je problemen en zorg je voor een sterke verdediging.

NIS2 niet het eindpunt

Het is van vitaal belang dat organisaties en individuen zich blijven wapenen tegen de evoluerende dreigingen, ook als ze al voldoen aan de NIS2-richtlijn. Dit omvat onder andere training en bewustwording van werknemers over cybersecurityrisico's, monitoring van het netwerk en het opzetten van responsplannen voor noodgevallen. NIS2 is niet het eindpunt in de strijd tegen cybercriminaliteit, maar een absoluut minimum.

Meer weten over de NIS2 en hoe daarop voor te bereiden? Download dan nu ā€˜NIS2: een pragmatisch e-book voor complianceā€™.

Download eBook

Gerelateerde artikelen