CPB over 'cyberveiligheid van de economie'

Het Centraal Planbureau heeft met medewerking van het Nationaal Cyber Security Centrum (NCSC), onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), een risicorapportage geschreven over de risico’s van ICT-gebruik voor de economie. In deze risicorapportage cyberveiligheid economie (RCE) bespreekt het CPB economische probleemgebieden rond cyberveiligheid en de risico’s die daaruit ontstaan voor Nederlandse bedrijven en consumenten. 

Hieronder volgen enkele hoofdpunten uit de rapportage:

Informatie- en communicatie technologie (ICT) is doorgedrongen tot in de haarvaten van de economie en de maatschappij. Het belang van cyberveiligheid neemt hierdoor toe en daarmee ook het belang van bestrijding van cybercriminaliteit. Cybercriminaliteit wijkt af van klassieke criminaliteit, omdat daders moeilijker te achterhalen zijn, de schaalvoordelen groter zijn en het eenvoudiger is voor criminelen om internationaal te opereren. Dit brengt verschillende risico’s met zich mee voor Nederlandse bedrijven en consumenten.

  1. Financieel gedreven cybercriminaliteit, zoals ransomware, neemt toe. De pakkans bij criminaliteit via internet is laag, terwijl het belang van internet voor de economie groeit. Technologieën als DDoS-aanvallen en ransomware worden als dienst aangeboden, waardoor ook criminelen zonder technische kennis via internet kunnen afpersen, frauderen en oplichten. Bitcoins faciliteren financiële transacties tussen crimineel en slachtoffer en criminelen onderling. Cyberdelicten kunnen beter bestreden worden door digitale aangiftes mogelijk te maken, de kennis bij de politie hierover te verbreden en boetes beter af te stemmen op criminele winsten.  
     
  2. Aanbieders van cyberveiligheidsoplossingen blijven meestal actief op nationaal of regionaal niveau, omdat afnemers vaak een voorkeur hebben voor een grote of bekende aanbieder. Nieuwe veiligheidsoplossingen krijgen daardoor mogelijk minder ruimte. De overheid kan startende bedrijven meer mogelijkheden geven door sbir-aanbestedingen en certificering van bedrijven. Heroverweging van internationale afspraken over exportvergunningen kan de toegang tot buitenlandse kennis bevorderen.
     
  3. Onveilige software en onveilige digitale diensten blijven kansen bieden aan criminelen. Verkopers van software en digitale diensten hebben onvoldoende prikkels om te concurreren op de veiligheid van hun producten en beperken daarom hun aansprakelijkheid voor de deugdelijkheid van hun producten. Een wettelijk vereiste minimum productaansprakelijkheid kan verkopers een prikkel geven om de veiligheid van hun producten te vergroten.
     
  4. Phishing bedreigt de betrouwbaarheid van e-mail. Overheden en bedrijven gaan daarom steeds meer beveiligde berichtenboxen gebruiken. Overheden en semioverheden kunnen de aantrekkelijkheid van e-mail als betrouwbare communicatievorm verbeteren door zelf meer gebruik te maken van bestaande veilige standaarden voor authenticatie en encryptie zoals TLS, DKIM, SPF en DMARC. De pas-toe-of-leg-uit regels die hiervoor gelden, kunnen beter gehandhaafd worden. Idensys en iDIN kunnen binnen Nederland alternatieve platformen voor betrouwbare communicatie bieden.
     
  5. Geavanceerde financieel gedreven aanvallen kunnen een bedreiging gaan vormen voor vitale processen binnen de financiële sector. Cyberveiligheid zou voor alle vitale sectoren onderdeel kunnen zijn van geïntegreerd toezicht, net als in de financiële sector. 
     
  6. Economische spionage door statelijke actoren kan negatieve gevolgen hebben voor de opbrengsten van investeringen in onderzoek en ontwikkeling door bedrijven.
     
  7. Omvangrijke datalekken en DDoS-aanvallen blijven waarschijnlijk. Naast de directe kosten voor (potentiële) slachtoffers, kan dit het gebruik van gevoelige diensten via internet beperken. De partijen die de beste informatie en mogelijkheden hebben om de veiligheid te borgen zouden meer verantwoordelijkheden kunnen krijgen. Zo kunnen Internet Service Providers (ISP’s) een grotere rol spelen bij het voorkomen en mitigeren van DDoSaanvallen. 

Lees hier het volledige rapport:

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF