Jaarverslag AIVD: Recordaantal cyberspionage-aanvallen op Nederlandse overheidsinstellingen

De AIVD heeft in het afgelopen jaar een recordaantal digitale spionage-aanvallen op Nederlandse overheidsinstellingen onderkend die een dreiging voor de nationale veiligheid vormen. Uit onderzoek is gebleken dat overheidsinstellingen structureel doelwit zijn van omvangrijke en geavanceerde digitale spionage-aanvallen die afkomstig zijn van statelijke actoren uit diverse landen. Hoogstwaarschijnlijk is het doel van de aanvallers om informatie te bemachtigen over politieke besluitvorming en stellingname, de ontwikkeling en inhoud van politiek-economische plannen, agendapunten van politieke bijeenkomsten en Nederlandse standpunten en tactieken over onderhandelingen op verschillende terreinen. 

Gezien de wereldwijde omvang en toename van digitale spionage is het aantal geconstateerde incidenten ten aanzien van Nederland vrijwel zeker slechts een fractie van het werkelijke aantal. 

Doelwitten van digitale economische spionage

In het afgelopen jaar heeft de AIVD ook diverse digitale aanvallen waargenomen op bedrijven die deel uitmaken van de Nederlandse topsectoren: high tech, chemie, energie, life sciences en health en watervoorziening. Hierbij is vastgesteld dat de aanvallers op zoek waren naar zeer specialistische en soms zelfs experimentele technologie die zijn marktwaarde nog moet bewijzen. Deze technologieën zijn essentieel voor het huidige en toekomstige verdienmodel van de getroffen bedrijven, maar ook en vooral van grote waarde voor een stabiele en groeiende economie die de basis vormt van onze welvaart. De aanvallen op juist deze sectoren tonen aan dat de daders structurele en gedetailleerde aandacht hebben voor innovatie-initiatieven in Nederland en precies weten waar ze moeten zijn. Dit is illustratief voor de structurele digitale spionage - dreiging waaraan wij zijn blootgesteld en die de Nederlandse kenniseconomie ondermijnt.

Complexiteit digitale spionage-aanvallen neemt toe

De AIVD heeft geconstateerd dat digitale spionage-aanvallen het afgelopen jaar wederom complexer zijn geworden, waarmee de trend van de afgelopen jaren zich heeft voortgezet. Hoewel aanval - lers vaak gebruik maken van standaardtechnieken als spear phishing e-mails 3 of watering hole 4 om computersystemen binnen te dringen, zijn het juist de overige componenten, zoals malware en de techniek voor het wegsluizen van data (exfiltratie), die een aanval geavan - ceerd, moeilijk te onderkennen en daarmee succesvol maken.

Als een aanvaller eenmaal toegang heeft tot een computersysteem, kan het zeer lastig zijn om hem permanent uit het systeem te verwijderen. Aanvallers installeren vaak alternatieve toegangen zoals backdoors met het doel hun toegang bij eventuele onderken - ning te behouden. Uit onderzoek van de AIVD blijkt ook dat aanvallers ICT-medewerkers van organisaties die slachtoffer zijn geworden op afstand kunnen volgen. Zo weten de aanvallers wanneer hun aanval is opgemerkt en welke maatregelen de organisatie neemt om hen uit het computersysteem te verwijderen. De aanvallers kunnen hier dan op inspelen zodat zij hun toegang niet verliezen. De AIVD heeft het afgelopen jaar meerdere keren gezien dat aanvallers bij onderkenning en verwijdering van de initiële malware, binnen een zeer kort tijdsbestek opnieuw toegang hebben gekregen tot hetzelfde doelwitnetwerk.

Specialisatie bij de uitvoering van digitale spionage

De AIVD heeft geconstateerd dat bij statelijke actoren sprake is van taakverdeling in het proces rond het verrichten van digitale aanvallen. Zo is bij herhaling vastgesteld dat de stappen behoeftestelling, toolontwikkeling, daadwerkelijke uitvoering en infrastructuurbeheer bij verschillende groepen zijn belegd.

Ook bij de uiteindelijke uitvoering van aanvallen zijn de taken verdeeld. Het proces van het binnendringen (infiltratie), het verkennen (exploratie) en het wegsluizen van data (exfiltratie) kent verschillende betrokkenen. Statelijke actoren beleggen deze activiteiten ook vaak bij private organisaties. Zo is diverse malen geregistreerd dat medewerkers van ogenschijnlijk private IT-bedrijven digitale aanvallen uitvoeren of infrastructuur aanschaffen en beheren in opdracht van overheden. Deze taakverdeling in de opzet en uitvoering van digitale spionage bevordert de specialisatie en continuïteit van digitale aanvallen en is vaak een indicatie dat sprake is van digitale spionageoperaties van lange duur en met (beoogd) diepgaande impact.

Weerstand bij doelwitten ontoereikend

In het afgelopen jaar heeft de AIVD vele organisaties geïnformeerd over voorbereidingshandelingen of daadwerkelijke digitale aanvallen. Doel van de AIVD is preventie en vroegtijdige detectie van spionageactiviteiten. Een aanzienlijk deel van de geïnformeerde organisaties bleek deze aanvalspogingen en infecties niet zelf te hebben kunnen ontdekken. De AIVD constateert dat Nederlandse organisaties hun beveiligingsinspanningen vooral richten op het blokkeren van indringers in hun ICT-netwerken. Dynamische beveiligingsmaatregelen, gericht op het detecteren van activiteiten van indringers die al binnen zijn, krijgen weinig aandacht. Zo kunnen aanvallers na een geslaagde digitale inbraak vaak langere tijd in een netwerk actief zijn zonder opgemerkt te worden.

Een aanzienlijk deel van de getroffen Nederlandse organisaties is door dit gebrek aan intern gerichte beveiligingsmaatregelen niet in staat om de duur en impact van digitale aanvallen op hun netwerken vast te stellen.

De Nederlandse ICT-infrastructuur is, net als voorgaande jaren, door statelijke actoren uit meerdere landen op grote schaal misbruikt om andere landen digitaal te bespioneren of digitaal te saboteren. Nederland staat bekend om zijn goede ICT-infrastructuur waarover veel internetverkeer loopt. Dat maakt het netwerk aantrekkelijk voor kwaadwillenden. Dergelijk misbruik kan de politieke en economische belangen van Nederland en van zijn bondgenoten schaden. De AIVD heeft dat soort misbruik in het afgelopen jaar vaker waargenomen.

Activiteiten van de AIVD en resultaten

De AIVD heeft in 2015 op grote schaal zijn bevindingen op basis van het onderzoek naar digitale dreigingen gedeeld met slachtoffers, overheden en andere belanghebbenden. Dat gebeurde in de vorm van directe briefings en presentaties, en meerdere inlichtingenberichten en -analyses. Voor de rijksoverheid heeft de AIVD met het oog op complexe digitale aanvallen, in 2015 de publicatie uitgebracht: Hoe herkent u een aanval vanuit een Advanced Persistent Threat?

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF