Het Nationaal Cyber Security Centrum (NCSC) heeft van beveiligingsbedrijf Hold Security een dataset van ongeveer 1,3 miljoen e-mailadressen en 5600 mogelijk kwetsbare websites eindigend op .nl in handen gekregen. Hold Security meldde afgelopen zomer een dataset van wereldwijd 1,2 miljard gelekte inloggegevens te hebben verkregen, afkomstig van 420.000 kwetsbare websites. Het betrof volgens diverse media de grootste hack ooit. Het NCSC zegt nu betrokken partijen te informeren over de mogelijk kwetsbare websites en getroffen mailadressen.
Het NCSC heeft bij Hold Security alleen de voor de response-actie benodigde en specifiek voor Nederland relevante gegevens opgevraagd, zo laat de organisatie weten. De gegevens bevatten combinaties van inlognamen, meestal bestaande uit e-mailadressen, en wachtwoorden. Volgens het NCSC heeft het zelf niet de beschikking over de wachtwoorden. De gegevens zijn twee maanden na het bekend worden van de hack door Hold aan het NCSC overhandigd. Het NCSC geeft de datasets niet ter inzage, al zijn elementen wel gedeeld met partners binnen de (semi)overheid, zodat volgens de organisatie de juiste mensen geïnformeerd kunnen worden.
Betrokken partijen ingelicht
Het NCSC zegt met responspartners bezig te zijn om betrokken partijen in te lichten. Zo zal Stichting Internet Domeinregistratie Nederland (SIDN) via de .nl-registrars de houders van kwetsbare .nl-websites informeren. Daarnaast brengt de Informatiebeveiligingsdienst voor gemeenten (IBD) de betrokken gemeenten op de hoogte, SURFnet de aangesloten onderwijs- en onderzoeksinstellingen en het ministerie van Defensie de aan hen gelieerde organisaties.
Volgens het NCSC zijn ook de Internet Service Providers in stelling gebracht om de eigenaren van de getroffen mailadressen met een .nl-extensie actief te bereiken. Zo heeft Zeelandnet al gemeld dat er in de dataset 14.417 ZeelandNet e-mailadressen voorkomen en heeft het de getroffen klanten op de hoogte gesteld. Ook Tele2 heeft haar lijst met mailadressen nagelopen en klanten gewaarwschuwd. Volgens het NCSC kunnen mensen die in het bezit zijn van een e-mailadres eindigend op .nl, en die geen bericht van hun provider hebben ontvangen, er over het algemeen van uitgaan dat hun e-mailadres niet op de lijst staat.
In januari en april werden ook al gegevens zoals wachtwoorden en gebruikersnamen van Nederlandse mail-accounts gestolen, toen cybercriminelen via botnetacties gegevens van 16 miljoen respectievelijk 18 miljoen Duitse mailaccounts buitmaakten. Daar waren ook gegevens van 50.000 Nederlandse mail-accounts bij betrokken, maakte het NCSC eind april bekend. Er werd destijds door het NCSC met diens Duitse evenknie, het Bundesamt für Sicherheit in der Informationstechnik (BSI), een test ontwikkeld waarmee Nederlanders kunnen controleren of gegevens van hun e-mailaccount gestolen zijn.
Hardere aanpak cybercriminaliteit
Het Ministerie van Veiligheid en Justitie stelde afgelopen september zich te gaan toeleggen op een verdergaande en hardere aanpak van cybercriminaliteit. Dat schreven Minister Opstelten en staatssecretaris Teeven in een brief aan de Tweede Kamer. Intensivering van de bestrijding van cybercrime leidt volgens de twee bewindslieden tot een forse toename van het aantal onderzoeken, van 200 in 2015 naar 360 in 2018. Naar verwachting treden volgend jaar ruimere bevoegdheden voor politie en openbaar ministerie in werking om computercriminaliteit beter te kunnen opsporen.
Op het terrein van cybersecurity zijn er veel plannen. Daaronder verdere samenwerking met stakeholders zoals particuliere organisaties in vitale sectoren, om zo de detectiecapaciteit voor digitale dreigingen te verbeteren. Verder moet er meer uitwisseling van kennis en expertise plaatsvinden en moet de ICT-weerbaarheid van organisaties vergroot worden. Dit laatste moet plaatsvinden aan de hand van de Nationale Cyber Security Strategie. Ook zullen overheid, bedrijfsleven en wetenschap samen een cybersecurityplatform lanceren.
In juli stelde het ministerie van V&J bij de presentatie van het Cybersecuritybeeld Nederland (CSBN) dat cybercrime en digitale spionage de grootste dreiging blijven op het gebied van cybersecurity. Volgens de jaarlijkse rapportage, gemaakt door de NCTV en het NCSC, is er op hoofdlijnen niet veel veranderd ten opzichte van voorgaande jaren. Het afgelopen jaar heeft de negatieve impact van cybercriminaliteit de Nederlandse overheid en het bedrijfsleven ruim 9 miljard euro gekost, ofwel 1,5 procent van het BBP. Dat bleek uit een studie van het Centre for Strategic and International Studies (CSIS), in opdracht van security-leverancier McAfee. Nederland zou bovengemiddeld veel schade oplopen, alleen in Duitsland gaat het bij westerse landen om een hoger percentage (1,6%).
