July 3, 2017

Cyber Security Risk Assessment (CSRA) for the Economy

Voorkomen beter dan genezen, ook in cyberwereld

Press release
Voorkomen is beter dan genezen. Dit geldt zeker voor de aanpak van cybercriminaliteit. De overheid zou zich daarom in haar beleid meer moeten richten op preventie. Zo kunnen verplichte beveiligingsstandaarden software, smart-tv’s en andere digitale producten veiliger maken. Toezichthouders zouden prioriteit moeten geven aan het vooraf opsporen van cyberrisico’s en zich niet beperken tot het onderzoeken van incidenten achteraf. Deze aanbevelingen doet het CPB in zijn ‘Risicorapportage Cyberveiligheid Economie’.

Ook in Nederland zijn politieke en democratische instituties een doelwit voor hackers verbonden aan buitenlandse staten. Deze staatshackers zetten internationale economische relaties onder druk, waardoor de economische belangen van Nederland als open economie worden geschaad. Het delen van informatie in internationaal verband is nodig voor bescherming tegen deze cyberdreigingen.

Verder zouden inlichtingendiensten een noodplan moeten hebben voor als informatie over softwarekwetsbaarheden uitlekt. Inlichtingendiensten verzamelen kennis over onbekende zwakke plekken in software (zero-days), bijvoorbeeld om te gebruiken bij terrorismebestrijding. Wanneer deze zero-days door een hack in de openbaarheid komen, kunnen ze op grote schaal worden misbruikt door cybercriminelen. Recente virussen die gebruikmaken van gelekte zero-days zijn het gijzelvirus Wannacry en het virus Petya dat in de afgelopen week in het nieuws kwam.

Ook in de zorg kan beter worden nagedacht over cyberdreigingen. De mogelijkheden voor eHealth nemen toe, maar maken de zorg kwetsbaarder. Bij een lek kunnen persoonlijke en medische gegevens van talloze Nederlanders op straat komen te liggen. Ook maken aanvallen met gijzelvirussen medische apparatuur en databases tijdelijk onbruikbaar. Het is daarom raadzaam dat zorgverleners informatie uitsluitend delen via een goed beveiligde publieke infrastructuur, zoals het Landelijk Schakelpunt (LSP).

In 2016 kwam 1 op de 9 Nederlanders in aanraking met cybercriminaliteit. Omdat cybercriminelen vaak vanuit het buitenland werken, hun technieken voortdurend vernieuwen en veel slachtoffers geen aangifte doen, is de pakkans laag. Grote datalekken en andere cyberincidenten komen soms pas na jaren aan het licht. Hierdoor is maar weinig bekend over de economische schade die cybercriminelen veroorzaken en zijn overheden, bedrijven en individuele gebruikers zich nog altijd maar beperkt bewust van de risico’s van ict-gebruik.

These are the main findings of this report:

•    State-sponsored hackers (hackers working on behalf of a country), are aiming to intervene in political parties and democratic institutions and processes – also in the Netherlands. These interventions put pressure on international economic relationships, thus harming economic interests of the Netherlands as a small, open economy.  
•    In the Netherlands, 11% of the population has indicated to have been a victim of cybercrime. This is a slight decrease from last year. 
•    Cybercriminals derive scale advantages from a digital infrastructure (e.g. for anonymous communication and the anonymous exchange of money). The international nature of cybercrime limits the possibilities of law enforcement agencies to counter these economies of scale. This means the chances of being caught are slim and the profitability of such criminal activity remains high. Timely international collaboration may aid an effective response.  
•    Intelligence agencies use software vulnerabilities (‘zero-days’). Unlawful publication of such information immediately leads to a less safe ICT environment for users, as well as to societal damage. An assessment framework and a response strategy are policy options that may mitigate or prevent such damage. An assessment framework helps to determine whether a zero-day vulnerability could be used for intelligence purposes or should be reported to the software provider involved. In cases of leaked zero-day information, a well-prepared response plan limits societal damage. 
•    Encryption enables the protection of intellectual property, competition-sensitive information and personal data, around the world. Weakened encryption due to built-in ‘back doors’ reduces the level of protection. However, such back doors also make it easier for intelligence agencies to analyse large-scale communication.  
•    There is relatively little known about the magnitude of the damage caused by cybercrime. As a result, this may cause ICT users to be insufficiently aware of the risks. Awareness can be increased by more information becoming available, for example, through statistical research or increased corporate transparency. 
•    It may sometimes take years before large data leaks and other cyber incidents come to light.  This is why reputation mechanisms function less optimally, which increases the importance of encryption, preventive supervision and security standards.
•    Incidents at hospitals and municipalities show that the risks of data leaks particularly relate to local administrative data flows.  
•    A mandatory public infrastructure for the exchange of data in the health care sector can simplify compliance with standards, prevent the dependence on a single private party, and provide citizens with insight into who has access to their data. Whether the benefits outweigh the risks could be investigated. 
 

Contacts

Foto Bastiaan Overvest
Bastiaan Overvest +31 6 21358951 Read more
Foto Bas Straathof
Bas Straathof Read more
Foto Rinske Windig
Rinske Windig Read more
Foto Roel van Elk
Roel van Elk +31 6 29037909 Read more
Foto Anne Marieke Braam
Anne Marieke Braam +31 6 50260732 Read more
Foto Tatiana Kiseleva
Tatiana Kiseleva Read more

Read more about