Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Niet-statelijke actor

Concepten

Woord dat wordt gebruikt om actoren aan te duiden die niet optreden voor of namens een staat. Term wordt veel gebruikt in geopolitieke discussies over cybersecurity, en in debatten rondom nationale veiligheid.

Een niet-statelijke actor in cybersecurity is een individu of groep die cyberaanvallen uitvoert zonder formeel onderdeel te zijn van een overheid of krijgsmacht. Dit omvat cybercriminelen, hacktivisten, terroristische groeperingen en cyberhuurlingen die hun vaardigheden aanbieden aan de hoogste bieder. Volgens het Clingendael Instituut vormen niet-statelijke cyberaanvallers een groeiende en steeds complexere dreiging, mede doordat de grens tussen statelijke en niet-statelijke actoren steeds verder vervaagt. De overgrote meerderheid van digitale aanvallen wereldwijd wordt uitgevoerd door niet-statelijke actoren, met financieel gemotiveerde criminelen als grootste categorie.

Het dreigingslandschap wordt gecompliceerd doordat niet-statelijke actoren steeds vaker banden onderhouden met staten. Sommige hackersgroepen worden getolereerd, financieel ondersteund of zelfs direct aangestuurd door overheden, terwijl ze formeel geen onderdeel zijn van het staatsapparaat. Het Cybersecuritybeeld Nederland van de NCTV benoemt deze verwevenheid als een van de kernuitdagingen in het huidige dreigingslandschap. Voor organisaties maakt het in de praktijk weinig uit of een aanval komt van een staatshacker of een onafhankelijke crimineel, de impact op systemen en data en de benodigde verdediging zijn grotendeels vergelijkbaar.

Waarom is het begrip niet-statelijke actor belangrijk?

Het begrijpen van niet-statelijke actoren helpt organisaties bij het opstellen van een realistische en gerichte dreigingsanalyse. Elke categorie niet-statelijke actor heeft andere motivaties, capaciteiten en favoriete methoden. Cybercriminelen zijn financieel gedreven en gebruiken ransomware, phishing en fraude als hun primaire aanvalsmethoden. Hacktivisten streven politieke of ideologische doelen na via DDoS-aanvallen, defacements en het publiceren van gestolen data. Cyberhuurlingen bieden hun offensieve diensten aan aan de hoogste bieder, inclusief staten die plausibele ontkenning willen behouden over hun betrokkenheid.

De capaciteiten van niet-statelijke actoren zijn de afgelopen jaren significant toegenomen. Professionele cybercriminelen beschikken inmiddels over middelen, technieken en een organisatiestructuur die vergelijkbaar zijn met die van statelijke actoren. Ze opereren als georganiseerde bedrijven met klantondersteuning voor slachtoffers die losgeld willen betalen, partnerprogramma's voor affiliates en gespecialiseerde afdelingen voor ontwikkeling, distributie en het witwassen van cryptovaluta. Ransomware-as-a-Service (RaaS) platforms maken geavanceerde aanvalstools toegankelijk voor minder technische criminelen, wat het totale volume van aanvallen verhoogt.

Voor Nederlandse organisaties is de dreiging van niet-statelijke actoren bijzonder relevant en actueel. De Nederlandse Cybersecurity Strategie 2022-2028 benoemt het tegengaan van digitale dreigingen van staten en criminelen als een van de kernpijlers. De vitale infrastructuur is een doelwit voor zowel statelijke als niet-statelijke actoren, waarbij hacktivistische groepen sinds de geopolitieke spanningen van de afgelopen jaren ook Nederlandse organisaties en overheidsinstellingen treffen met DDoS-aanvallen als protest tegen het buitenlandbeleid.

Hoe pas je kennis over niet-statelijke actoren toe?

Gebruik dreigingsinformatie (threat intelligence) om te begrijpen welke niet-statelijke actoren relevant zijn voor jouw sector en organisatie. Het NCSC publiceert regelmatig dreigingsinschattingen die aangeven welke actortypen actief zijn tegen Nederlandse doelwitten en welke technieken ze gebruiken. Combineer dit met sectorspecifieke dreigingsanalyses van ISACs (Information Sharing and Analysis Centers) die binnen jouw branche opereren en gerichte informatie delen.

Pas je beveiligingsmaatregelen aan op de specifieke dreigingsactoren die relevant zijn voor je organisatie. Als je organisatie een doelwit is voor financieel gemotiveerde criminelen, richt je dan primair op bescherming tegen ransomware, phishing en credential theft met maatregelen als offline backups, e-mailfiltering en MFA. Als hacktivisme een risico is vanwege je sector of de aard van je activiteiten, bereid je dan voor op DDoS-aanvallen en defacements met mitigatiediensten en communicatieplannen. Gebruik het MITRE ATT&CK-framework om de technieken van relevante actorgroepen systematisch in kaart te brengen en je detectiecapaciteit daarop af te stemmen.

Implementeer een dreigingsinformatieprogramma dat continu monitort welke niet-statelijke actoren actief zijn in je sector en welke nieuwe aanvalstechnieken ze inzetten. Abonneer je op threat intelligence feeds van gerenommeerde aanbieders, neem actief deel aan je sectorale ISAC en onderhoud contacten met het NCSC en brancheverenigingen. Door dreigingsinformatie te vertalen naar concrete detectieregels in je SIEM en IDS/IPS, verbeter je je vermogen om aanvallen van specifieke actorgroepen vroegtijdig te detecteren en te blokkeren voordat ze schade kunnen aanrichten.

Niet-statelijke actoren in de praktijk

Een Nederlandse gemeente wordt getroffen door een DDoS-aanval van een hacktivistische groepering die protesteert tegen het buitenlandbeleid van Nederland. De gemeentelijke website en het burgerportaal zijn uren onbereikbaar, waardoor burgers geen aanvragen kunnen indienen of afspraken kunnen maken. Het incident response-team activeert de DDoS-mitigatie bij hun internetprovider en schakelt het NCSC in voor ondersteuning en informatie-uitwisseling. Na analyse blijkt de aanval afkomstig van een bekende hacktivistische groep die eerder ook andere Europese overheidsinstellingen heeft aangevallen met vergelijkbare methoden.

Tegelijkertijd wordt een logistiek bedrijf slachtoffer van ransomware, verspreid door een cybercriminele groep die opereert als een Ransomware-as-a-Service platform met een professionele organisatiestructuur. De aanvallers hebben via een phishing-e-mail met een kwaadaardig document toegang verkregen tot het netwerk en hebben in de weken daarvoor ongezien data geexfiltreerd terwijl ze hun toegang uitbreidden. Ze dreigen de gestolen data te publiceren op hun leksite als het losgeld niet wordt betaald (double extortion). Het bedrijf schakelt een gespecialiseerd incident response-team in en meldt het incident bij de Autoriteit Persoonsgegevens vanwege de mogelijke blootstelling van persoonsgegevens.

Beide scenario's illustreren hoe verschillende typen niet-statelijke actoren op fundamenteel verschillende manieren schade kunnen aanrichten bij uiteenlopende doelwitten. De gemeente treft preventieve maatregelen door te investeren in DDoS-bescherming, een upscaling-contract af te sluiten met hun provider en een communicatieplan op te stellen voor toekomstige aanvallen. Het logistiek bedrijf investeert in betere e-mailbeveiliging met sandboxing, netwerksegmentatie en offline backups om de impact van een volgende ransomware-aanval drastisch te beperken.

Veelgestelde vragen over niet-statelijke actoren

Wat is het verschil tussen een statelijke en niet-statelijke actor?

Een statelijke actor opereert namens of als onderdeel van een overheid of krijgsmacht met staatsbelangen als motivatie. Een niet-statelijke actor handelt formeel onafhankelijk, al kunnen niet-statelijke actoren banden hebben met staten die hen tolereren, financieren of aansturen zonder dat ze formeel onderdeel zijn van het staatsapparaat.

Welke niet-statelijke actoren vormen de grootste dreiging?

Financieel gemotiveerde cybercriminelen vormen voor de meeste organisaties de grootste dreiging vanwege het hoge volume aan aanvallen en de groeiende professionaliteit. Georganiseerde cybercriminaliteit heeft capaciteiten die vergelijkbaar zijn met die van statelijke actoren en treft organisaties van elke omvang en sector.

Hoe bescherm je je tegen hacktivisten?

Hacktivisten gebruiken vooral DDoS-aanvallen en website defacements als hun favoriete aanvalsmethoden. Bescherm je met DDoS-mitigatiediensten, een web application firewall en een communicatieplan voor het geval je website onbereikbaar wordt. Monitor sociale media en hacktivismeforums voor aankondigingen van aanvallen.

Wat is Ransomware-as-a-Service?

Ransomware-as-a-Service (RaaS) is een bedrijfsmodel waarbij ransomware-ontwikkelaars hun malware beschikbaar stellen aan andere criminelen (affiliates) in ruil voor een percentage van het losgeld. Dit verlaagt de technische drempel voor het uitvoeren van ransomware-aanvallen aanzienlijk en vergroot het aantal aanvallen.

Waar vind je dreigingsinformatie over niet-statelijke actoren?

Het NCSC en de NCTV publiceren het Cybersecuritybeeld Nederland met actuele dreigingsinschattingen over alle actortypen. Sectorspecifieke ISACs delen gerichte dreigingsinformatie met hun leden. Commerciele threat intelligence-leveranciers bieden gedetailleerde profielen van actorgroepen en hun methoden.

Meer weten over dreigingsdetectie? Vergelijk AI-gedreven Dreigingsdetectie aanbieders op IBgidsNL.