Cybercriminaliteit is een veelvoorkomend probleem geworden in Nederland (CBS, 2022). Nederlandse gemeenten hebben cybercrime dan ook breed als beleidsprioriteit opgepakt. Gemeenten geven daarbij aan behoefte te hebben aan handvaten om hun inwoners en ondernemers weerbaarder te maken tegen cybercriminaliteit. In het project “Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime” werken professionals uit twaalf4 gemeenten en vier5 regionale veiligheidsnetwerken samen met onderzoekers van de Haagse Hogeschool, Hogeschool Saxion en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) aan wetenschappelijk onderbouwde interventies waaromee ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente kunnen vergroten. In dit rapport staat slachtofferschap van cybercriminaliteit onder mkb’ers centraal. Het midden‐ en kleinbedrijf (mkb) wordt relatief vaak slachtoffer van cybercriminaliteit en ondervindt hiervan in hoge mate schade (CBS, 2018; Notté et al., 2019). Met name de toename van slachtofferschap van ransomware binnen het mkb is een zorgelijke ontwikkeling. Het is van groot belang dat mkb’ers maatregelen nemen om een ransomware aanval te voorkomen en de schade zo veel mogelijk te beperken. Beschermende maatregelen worden echter door veel mkb’ers slechts in geringe mate ingezet (Bekkers et al., 2021; CBS, 2021; Notté et al., 2019; Veenstra et al., 2015). De cyberweerbaarheid van mkb’ers (het vermogen van een organisatie om cyberincidenten te weerstaan, daarop te kunnen reageren en van te herstellen, zodat de organisatie operationeel blijft) is daardoor te beperkt. In dit rapport presenteren we de ontwikkeling en evaluatie van een interventie genaamd “MKB Cyber Buddy’s”. Het doel van de interventie is om de weerbaarheid van mkb’ers tegen ransomware te vergroten. De interventie is er op gericht om mkb’ers niet alleen te informeren over cybercriminaliteit, maar ze ook door actieve deelname tot een positieve gedragsverandering te brengen. Onder mkb’ers verstaan we in dit onderzoek ondernemers met minimaal één en maximaal 250 werknemers. De hoofdvraag in dit rapport is: Is de interventie “MKB cyber buddy’s” een effectieve interventie voor Nederlandse gemeenten om de cyberweerbaarheid van mkb’ers in hun gemeente met betrekking tot ransomware te bevorderen? Het doel van dit rapport is tweeledig. Enerzijds beschrijft dit rapport de onderbouwing en ontwikkeling van de interventie “MKB Cyber Buddy’s”. Anderzijds beschrijft dit rapport de evaluatie van de pilot die is uitgevoerd in 2022, betreffende de effectiviteit, sterke kanten, valkuilen en onvoorziene gevolgen van de interventie. Hiermee zullen inzichten geboden worden in hoe de interventie verbeterd kan worden en in de toekomst op grotere schaal kan worden ingezet.
Cybersecurity is meer dan alleen het nemen van technische maatregelen. En alhoewel gebruikers ten onrechte vaak alleen worden aangemerkt als ‘de zwakke schakel’ binnen die cybersecurity, moet een deel van de maatregelen zich toch echt wel richten op deze groep. Gebruikers gedragen zich immers soms bewust of onbewust onveilig: - ze klikken op hyperlinks als ze dat niet moeten doen; - reageren op een phishingmail; - gebruiken zwakke wachtwoorden; - hergebruiken wachtwoorden; - melden incidenten niet; - geven (te) veel gegevens prijs van zichzelf op social media; - maken niet consequent back-ups van hun data. Sinds jaar en dag lijken organisaties ‘awareness’ te zien als de sleutel om van gebruikers iets minder de zwakke schakel te maken. De gedachte daarachter is kortgezegd dat gebruikers zich ‘beter’ gaan gedragen als we ze voeden met informatie over dreigingen, goed en fout gedrag en het cybersecurity-beleid. Het is inmiddels echter wel duidelijk dat een beleid dat alleen gericht is op ‘awareness’ niet gaatzorgen voor het gewenste effect. Onderzoek toont bijvoorbeeld aan dat anti-phishingcampagnes, waar nepphishingmails worden verstuurd, niet heel lang beklijven. Cybersecuritybedrijven geven dan ook steeds vaker aan dat het niet alleen gaat om het verhogen van kennis en bewustwording, maar ook om andere aspecten die gedrag lijken te beïnvloeden. Recent wetenschappelijk experimenteel onderzoek laat zelfs zien dat het hebben van meer kennis kan leiden tot onveiliger gedrag: gebruikers die (een beetje) meer weten, gedragen zich nog onveiliger. Mogelijk komt dat doordat die groep zichzelf overschat en daardoor ten onrechte grotere risico’s durft te nemen. We moeten dus verder komen dan alleen awareness. Het lab observeert dat er twee grote vraagstukken spelen. 1. Wat moeten we dan verder nog doen? Het is duidelijk dat er geen simpele oplossing is voor het bevorderen van veilig cybergedrag. Toch is het goed om nieuwe oplossingsrichtingen te onderzoeken die richting geven aan het verbeteren van cyberveilig gedrag. 2. Hoe zorgen we ervoor dat organisaties daadwerkelijk verder gaan dan alleen het creëren van meer awareness? Individuele organisaties hebben lang niet altijd de kennis en kunde om dit zelf te doen. Moet de overheid dit stimuleren? Zo ja, hoe dan? Kan het aan de markt zelf (lees: cybersecurity bedrijven) overgelaten worden? Wat kunnen we leren over het stimuleren van effectieve gedragsinterventies binnen andere vakgebieden? https://nl.linkedin.com/in/rutgerleukfeldt
MULTIFILE
In May 2018, the new Dutch Intelligence and Security Services Act 2017 (Wet op de Inlichtingen- en veiligheidsdiensten, Wiv) will enter into force. It replaces the previous 2002 Act and incorporates many reforms to the information gathering powers of the two intelligence and security services as well as to the accountability and oversight mechanisms. Due to the technologyneutral approach, both the civil and the military intelligence services are now authorized to, for example, intercept communications in bulk, hack third parties, decrypt files, store DNA or use any other future innovative technology. Also, the national security legislation extends the possibilities for the indiscriminate collection of data, and for the processing, storage and analysis thereof. The process leading to the law includes substantial criticism from the various stakeholders involved. Upon publication of this report, an official consultative referendum is being organized on the new act. The aim of this policy brief is to provide an international audience with a comprehensive overview of the most relevant aspects of the act and its context. In addition, there is considerable focus on the checks and balances as well as the bottlenecks of the Dutch intelligence gathering reform. The selection of topics is based on the core issues addressed during the parliamentary debate and on the authors’ insights.
In het project onderzoeken we hoe je mensen op de werkvloer kan helpen om zich digitaal veiliger te gedragen door middel van gebruikersgericht ontwerp.Doel Het doel van dit project is om een gebruikersgerichte aanpak voor bruikbare cybersecurity ontwikkelen op basis van wetenschappelijk inzichten over gedrag en design, toegepast op de praktijk. Resultaten Het resultaat zal een handelingskader zijn die een weergave geeft van een gebruikersgerichte aanpak om te komen tot bruikbare cybersecurity. Het is een handige manier om te begrijpen hoe digitale handelingen veiliger gemaakt kunnen worden door het ontwerp van beveiligingsmaatregelen Looptijd 01 oktober 2022 - 01 oktober 2023 Aanpak Aan de hand van een praktijkopdracht en literatuur worden inzichten verworven in bruikbare cybersecurity. Deze inzichten worden gebruikt als leidraad voor het creëren van gebruiksvriendelijke ontwerpen tijdens een co-creatie sessie met experts. De ontwerpen die hieruit voortkomen worden getest en de opgedane kennis wordt in een bredere context gezet.
In de Smart Industry –ook wel aangeduid als Industrie 4.0- staat Machine2Machine (M2M) communicatie centraal: door machines in productieprocessen, assemblagelijnen en opslagsystemen te verbinden wordt verbeteringen verwacht. In de Smart Industry wordt per definitie veel slimme software systemen gebruikt. Dit zijn vaak autonome, en min of meer intelligente systemen, waarbij internet connectiviteit direct of indirect nodig is. Cyber security is daarmee een belangrijk aandachtspunt voor Smart Industry. De risico’s op security incidenten worden immers groter naar mate steeds meer systemen op het internet zijn aangesloten. We zien op dit moment beperkte aandacht voor robot security, ondanks het feit dat iedereen het belang van cyber security onderschrijft. Dit project richt zich op exploratief onderzoek rondom de cyber security bedreigingen van robots als onderdeel van Smart Industry. Hierbij kijken we naar de technische aspecten van sensoren, communicatie en het geprogrammeerde gedrag van robots. Daarnaast wordt gekeken ook naar de keten waarin Smart Industry/robot toepassingen tot stand komen en worden gebruikt.
Uit vooronderzoek van het lectoraat Cybersecurity in het mkb blijkt dat 39% van de metaalbedrijven slachtoffer is geworden van een cyberaanval. Doordat metaalbedrijven in grote mate afhankelijk zijn van informatietechnologie (IT) is de impact van dergelijke aanvallen groot. Zo rapporteerden directeuren van mkb bedrijven directe financiële schade, verlies of beschadiging van gegevens en tijdsverlies. Vooronderzoek laat zien dat bedrijven te weinig maatregelen nemen om zichzelf te beschermen. Dit komt doordat bestaande risicomodellen voor cybersecurity - deze zijn ontwikkeld voor experts - niet goed toepasbaar zijn voor directeuren in het mkb. Om in die leemte te voorzien vraagt de Haagse Hogeschool samen met de Koninklijke Metaalunie en 12 metaalbedrijven subsidie aan om een risicomodel te ontwikkelen dat wel toegepast kan warden door mkb bedrijven in de metaalsector. Dit onderzoek gaat uit van IS0 270011 en levert een risicomodel op dat door het mkb gebruikt kan warden om op een eenvoudige wijze basale processen random cybersecurity in te richten. Hiermee geven we ondernemers handvaten om zelf hun cybersecurity op orde te kunnen brengen. De uitkomsten van dit project dienen als basis voor een omvangrijker projectvoorstel waarbij we het model verder verdiepen en ook toepasbaar maken voor mkb bedrijven binnen andere branches van de smart industry.
