Twee van de belangrijkste gebeurtenissen op de kalender van de Britse cyberbeveiligingsindustrie van de afgelopen maanden waren de publicatie van het National Cyber Security Center (NCSC) Annual Review 2023 en de King's Speech.
In het NCSC Annual Review 2023 reflecteert de overheidsinstantie op het cyberbeveiligingsrisicolandschap, de trends en haar werk tussen september 2022 en augustus 2023. Het bespreekt alles, van de dreiging die uitgaat van natiestaten tot de impact van ransomware-aanvallen op Britse bedrijven en burgers. .
Samen met de publicatie van dit rapport was de eerste toespraak van koning Charles III van het House of Lords een historisch moment, waarin twee nieuwe aanstaande regelgeving op het gebied van cyberbeveiliging en gegevensprivacy werd beschreven. In deze blog zetten we het NCSC Jaaroverzicht 2023 en de cybersecurity-elementen van de Koningsrede uiteen.
Bedreigingen van natiestaten
In haar jaarlijkse evaluatie van 2023 onderzoekt het NCSC de cyberveiligheidsbedreigingen die snode natiestaten als China, Rusland, Iran en Noord-Korea vormen voor de Britse nationale veiligheid, bedrijven, organisaties en burgers.
Het NCSC beschouwt met name de groeiende status van China als technische supermacht als een aanzienlijke bedreiging voor de nationale veiligheid van Groot-Brittannië. De organisatie beschrijft China als een “baanbepalende uitdaging voor de Britse veiligheid”, in de overtuiging dat het land de leidende cyberspace-macht zal worden als Groot-Brittannië zijn veerkracht en capaciteiten op dit gebied niet verbetert.
Daaruit bleek dat Chinese hackers ‘geavanceerde’ cybercapaciteiten blijven gebruiken om ‘de veiligheid en stabiliteit van de Britse belangen’ strategisch te bedreigen. Britse startups, onderzoek en innovatie zijn belangrijke doelwitten. Het NCSC noemde de cyberveiligheidsuitdagingen van China ‘mondiaal en systematisch’ en drong er bij Groot-Brittannië, zijn bondgenoten en industriële partners op aan om hun begrip van deze bedreigingen te vergroten.
Een andere natiestaat die zijn inspanningen richt op cyberoorlogvoering is Rusland. Bijna twee jaar na de invasie van Oekraïne blijven de Russische regering en aangesloten hackers cyberaanvallen uitvoeren op de Oekraïense regering en in Oekraïne gevestigde bedrijven. Hun favoriete tactieken zijn gedistribueerde denial-of-service- en data-wiper-aanvallen, hoewel de NCSC beweert dat de “impact op Oekraïne minder is dan verwacht”. Het schrijft dit toe aan de “goed ontwikkelde” economie van het land. internetveiligheid mogelijkheden en internationale steun.
Twee andere landen met aanzienlijke bedreigingen voor de cyberveiligheid zijn Iran en Noord-Korea. Het NCSC omschreef Iran als een “agressieve en capabele cyberacteur” die “vrijwel zeker cyber zal gebruiken voor zijn doelstellingen”, en zich richt op iedereen, van politici tot journalisten. Ondertussen is het doel van Noord-Korea met zijn hackactiviteiten om de worstelende economie te helpen via “het genereren van illegale inkomsten en het ontduiken van sancties”. Noord-Koreaanse hackers lanceren cyberaanvallen op verschillende internationale bedrijven, overheden en instellingen om toegang te krijgen tot waardevolle informatie.
Ransomware wijst de weg
Het NCSC-rapport verkent ook het veranderende cybersecuritylandschap. Ransomware is een van de grootste bedreigingen voor de cyberveiligheid waarmee Britse bedrijven en organisaties worden geconfronteerd. Het NCSC waarschuwt dat zij “actie moeten ondernemen om zichzelf tegen deze wijdverbreide dreiging te beschermen”.
Hoewel cybercriminelen voornamelijk ransomware-aanvallen uitvoeren door “gegevens te stelen en te versleutelen”, heeft het NCSC organisaties en bedrijven gewaarschuwd waakzaam te blijven voor aanvallen met gegevensafpersing. Deze zien dat criminelen gegevens stelen, maar niet versleutelen.
Slachtoffers van ransomware dienden tussen september 297 en augustus 2022 2023 meldingen bij het NCSC in, waarbij de meest getroffen sectoren de academische wereld (50), de productiesector (28), de IT-sector (22), de financiële sector (19) en de techniek (18) waren.
James Watts, directeur van Datakazerne, verwacht dat ransomware-aanvallen op Britse doelwitten zullen toenemen en dringt er bij hen op aan stappen te ondernemen om deze dreiging te beperken. Hij zegt: “Maak een plan, test en oefen vaak, update het indien nodig.
“Als je een succesvolle ransomware-aanval ervaart, kunnen de gevolgen catastrofaal zijn als je niet voorbereid bent. Dat risico wordt groter als je organisatie gevoelige data verwerkt en opslaat.”
Andere cyberbedreigingen
Fraude is een andere belangrijke dreiging die gevolgen heeft voor zowel Britse bedrijven als particulieren, waarbij een groot deel ervan (80%) cyber-geactiveerd is. Om te voorkomen dat u slachtoffer wordt van cyberfraude, adviseert het NCSC om drie willekeurige woorden te gebruiken bij het aanmaken van wachtwoorden en het instellen van tweefactorauthenticatie op alle internetaccounts.
In 2023 vormden ook statelijke actoren, naast statelijke actoren, “een nieuwe en opkomende bedreiging” voor de Britse economie. kritieke nationale infrastructuur (CNI). Deze groepen beginnen “een verlangen te tonen om een meer ontwrichtende en destructieve impact te bereiken tegen de westerse CNI”, naast traditionele cybercampagnes zoals DDoS-aanvallen en online desinformatie.
De vooruitgang van kunstmatige intelligentie technologie en grote taalmodellen stellen cybercriminelen ook in staat “het bestaande vakmanschap te verbeteren. Het NCSC zegt dat de dreiging hiervan op de korte termijn een versterking van de huidige cyberdreigingen zal zijn. Met name zal AI cybercriminelen in staat stellen hun hackcampagnes op te schalen en sneller te maken.
Katie Barnett, directeur cyberbeveiliging bij Toro, is het eens met de bevindingen van het NCSC dat AI-technologie “aanvallen zowel qua snelheid als qua omvang versterkt”. Ze zegt: “Het aantal aanvallen zal blijven stijgen, tenzij organisaties veiligheid centraal gaan stellen in hun strategieën.”
De toegenomen beschikbaarheid van commerciële cyberbeveiligingsinstrumenten en -diensten zal het ook mogelijk maken dat dreigingsactoren, zowel statelijk als niet-statelijk, sneller cyberaanvallen kunnen uitvoeren. Dit zal het voor hen eenvoudiger maken om “kosteneffectieve capaciteit en inlichtingen” te verwerven en cybercriminaliteit te plegen “bij gebrek aan toezicht of begrip van hoe internationale normen van toepassing zijn”. Het NCSC zegt dat het de Britse regering en haar bondgenoten steunt om ervoor te zorgen dat deze instrumenten worden gecreëerd, op de markt worden gebracht en op legale en verantwoorde wijze worden gebruikt.
Tussen 2022 en 2023 ontving het NCSC 2,005 meldingen van bedrijven en particulieren die te maken kregen met een cyberincident. Dat is een stijging van 64% ten opzichte van het voorgaande jaar, toen de organisatie 1,226 meldingen ontving. Van deze 2,005 rapporten zijn die van de organisatie probleembehandeling behandelde 371 zaken en beschouwde 62 daarvan als “nationaal significant”. Barnett voegde hieraan toe: “Deze cijfers moeten organisaties er duidelijk aan herinneren dat cyberbeveiliging met dezelfde waarde moet worden behandeld als commerciële doelstellingen.
Koningstoespraak
In 2023 opende koning Charles III ook voor het eerst tijdens zijn regering het parlement en hield hij een toespraak vanaf de troon in het House of Lords, waar hij de agenda van de Britse regering voor de komende maanden uiteenzette.
De koning besprak twee nieuwe wetten die bedoeld zijn om de cyberveiligheid van Groot-Brittannië te verbeteren gegevensbescherming, de wet op gegevensbescherming en digitale informatie (DPDI) en de wet op de onderzoeksbevoegdheden (hervorming).
Robert Wassall, directeur juridische diensten NormCyber, legt uit hoe de overheid bedrijven hoopt te helpen miljardenbesparingen op nalevingskosten te realiseren en de productiviteit te verhogen door de introductie van een innovatieve, flexibele gegevensbeschermingswet in de vorm van DPDI.
Dit, zo wordt beweerd, zal in de eerste plaats gebeuren door bedrijven toe te staan persoonsgegevens op proportionelere en praktischere manieren te beschermen dan onder de EU-wetgeving. GDPR, waardoor ze efficiënter worden door onnodig papierwerk te elimineren en administratieve rompslomp te verminderen, terwijl de hoge normen voor gegevensbescherming behouden blijven”, zegt hij.
De invoering van DPDI zou echter de toch al wankele relatie van Groot-Brittannië met de Europese Unie kunnen verslechteren. Wassall waarschuwt dat de EU deze wet zou kunnen beschouwen als een teken dat Groot-Brittannië “te ver afwijkt van de AVG”.
Met betrekking tot de Investigatory Powers (Reform) Bill zegt Wassall dat deze legalisatie “technologiebedrijven zal dwingen het ministerie van Binnenlandse Zaken vooraf op de hoogte te stellen van alle beveiligings- en privacyfuncties die ze willen toevoegen”.
Het zal hen ook dwingen om “degenen uit te schakelen waar de overheid bezwaar tegen heeft”, terwijl “de macht van het ministerie van Binnenlandse Zaken wordt vergroot om niet-Britse bedrijven te dwingen te voldoen aan de wijzigingen die zij van hen willen aanbrengen in de beveiligingskenmerken, zonder het recht om in beroep te gaan”.
Barnett is van mening dat hoewel “hervormingen van de wetgeving en een alomvattende gezamenlijke aanpak van cyberregulering nodig zijn”, dit het aantal cyberaanvallen waarschijnlijk niet zal verminderen. Ze concludeert: “Net als bij mijn reactie op het NCSC-rapport moeten we allemaal samenwerken, waarbij bedrijven cybersecurity serieus nemen om te voorkomen dat hun organisatie wordt aangevallen.”
