Overheidsorganisaties voldoen niet aan informatiebeveiligingsrichtlijnen die de rijksoverheid zelf voorschrijft.

De digitale dreigingen tegen Nederland worden diverser en onvoorspelbaarder. De zorgwekkende boodschap die opdoemt uit het Cybersecuritybeeld 2025 is dat veel overheidsorganisaties zich niet goed kunnen weren, omdat ze de basis nog niet op orde hebben.

Complex dreigingslandschap

Het Cybersecuritybeeld Nederland 2025, dat woensdag werd gepresenteerd, is opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Zowel de AIVD als de MIVD leveren een substantiële bijdrage. Het beeld dat deze organisaties schetsen is dat van een zeer gevarieerd en complex dreigingslandschap, waar het gevaar van alle kanten kan komen.

De inzet van generatieve AI maakt het voor kwaadwillenden bovendien eenvoudiger om aanvallen uit te voeren en om dit op grotere schaal te doen. Toch betekent dit niet per definitie dat de verdediging ook steeds complexer wordt, schrijft de NCTV. Voor veel organisaties blijft de mantra: zorg dat de digitale basishygiëne op orde is.

Ontoereikende maatregelen

De maatregelen die veel organisaties binnen de rijksoverheid nemen op het gebied van cyberweerbaarheid, zijn simpelweg ontoereikend, zo staat te lezen in het Cybersecuritybeeld. In het afgelopen jaar is dat meerdere malen gebleken.

De Nationale Politie werd gehackt door de Russische hackersgroep Laundry Bear. Het was het jaar van de diefstal van gevoelige persoonsgegevens van bijna 1 miljoen Nederlandse vrouwen uit een laboratorium. Hackers kregen toegang tot Citrix Netscaler-systemen van het Openbaar Ministerie (OM), wat zorgde voor ernstige en nog altijd voortdurende hinder. Het was ook het jaar van de NAVO-top in juni, die samenviel met verschillende Russische DDoS-campagnes (onder meer op het NAVO-hoofdkantoor en Notubiz, dat het raadsinformatiesysteem van diverse gemeenten levert) en Russische sabotage. In het voorjaar en ook later in het jaar zorgden DDoS-aanvallen op DigiD voor verstoring van de dienstverlening.

Al binnen?

Ook al zijn er binnen het Rijk allerlei projecten en verbetertrajecten gaande, veel organisaties blijken niet in staat om aanvallen zelfstandig te detecteren en de risico’s te verminderen. Ze voldoen niet aan de informatiebeveiligingsrichtlijnen die de rijksoverheid zelf voorschrijft. Het Cybersecuritybeeld schetst ‘een vals gevoel van veiligheid’. Het is goed mogelijk dat er al kwaadwillenden in de systemen van overheidsorganisaties zitten, valt af te leiden uit het rapport: ‘het is simpelweg onmogelijk om te concluderen dat overheidsorganisaties op dit moment niet zijn gecompromitteerd.’

Deze versturen we 3-4x per jaar.