Doel: Ontwikkelen van effectieve interventies die ambtenaren openbare orde en veiligheid kunnen inzetten om de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente te vergroten. Probleemstelling: Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Doelgroep: De interventies worden ontwikkeld voor ambtenaren openbare orde en veiligheid van Nederlandse gemeenten. De doelgroepen van de interventies zijn jongeren, ouderen en mkb’ers.
DOCUMENT
Doel: Ontwikkelen van effectieve interventies die ambtenaren openbare orde en veiligheid kunnen inzetten om de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente te vergroten. Probleemstelling: Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Doelgroep: De interventies worden ontwikkeld voor ambtenaren openbare orde en veiligheid van Nederlandse gemeenten. De doelgroepen van de interventies zijn jongeren, ouderen en mkb’ers.
DOCUMENT
In dit rapport ronden de lectoraten Maatschappelijke Veiligheid van Hogeschool Saxion en Cybercrime & Cybersecurity van de Haagse Hogeschool het RAAK-publiek project ‘Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime’ af. Samen met onze consortiumpartners richtten de lectoraten zich in dit twee jaar durende project op de hoofdvraag ‘Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten?’. Duidelijk was dat cybercriminaliteitlle doelgroepen in de samenleving een actuele en urgente dreiging vormt. Allereerst werden daarom door het consortium de doelgroepen en specifieke delicten geselecteerd waarop – op basis van literatuur en interviews met experts die met de doelgroepen werken – met voorrang moest worden geïnvesteerd op de cyberweerbaarheid. Dit heeft geresulteerd in de keuze voor drie doelgroepen: jongeren voor phishing, misbruik van seksueel beeldmateriaal en geldezelen; ouderen voor digitale oplichting (waaronder phishing) en mkb’ers voor phishing en ransomware. Voor elk van deze doelgroepen is verdiepend onderzoek naar de weerbaarheid tegen de geselecteerde delicten uitgevoerd op basis van representatief vragenlijstonderzoek en verdiepende interviews onder leden van de gekozen doelgroepen. Tevens is daarbij onderzocht wat de verklarende variabelen zijn voor zelfbeschermend gedrag. Aan de hand van deze brede kennisbasis zijn door de onderzoekers van de hogescholen, in nauwe samenwerking met de consortiumpartners uit de praktijk, vier interventies ontwikkeld en geëvalueerd: 1. ‘Doorsturen doe je niet!’ om jongeren weerbaarder te maken tegen misbruik van seksueel beeldmateriaal; 2. Instagram-campagne om jongeren weerbaarder te maken tegen geldezelen; 3. Laat je geen h@ck zetten! om ouderen weerbaarder te maken tegen digitale oplichting; 4. MKB Cyber Buddy’s om mkb’ers weerbaarder te maken tegen ransomware. De interventies ter preventie van slachtofferschap van phishing konden, met het oog op de beschikbare tijd en capaciteit, helaas niet binnen de spanne van dit project worden ontwikkeld. In overleg met het consortium is besloten deze vier interventies te ontwikkelen en na implementatie te evalueren. De interventies die ontwikkeld zijn binnen dit project onderscheiden zich van bestaande interventies omdat de door ons ontwikkelde interventies evidence-based zijn. Daarmee vormen deze interventies een belangrijke bouwsteen in de landelijke beweging naar een evidence-based aanpak van cyberweerbaarheid. Inmiddels zijn de samenwerkende lectoraten van dit project door de Citydeal Lokale Cyberweerbaarheid gevraagd om te helpen met het verder uitrollen van deze evidence-based aanpak door alle beschikbare interventies buiten dit project van een procesevaluatie en effectevaluatie te voorzien. Dit wordt opgepakt vanuit het consortium bij de recent toegekende SPRONG-subsidie, waarmee de samenwerkende lectoraten met hun praktijkpartners uit dit RAAK-publiek project een duurzame bijdrage blijven leveren aan het evidence-based werken aan de cyberweerbaarheid van de Ne - derlandse samenleving. Daarbij blijft de kracht van maatwerk risicocommunicatie binnen be - staande, lokale netwerken een cruciale pijler in de aanpak van het grenzeloze vraagstuk van cybercriminaliteit. Helaas is de noodzaak voor die aanpak groter en actueler dan ooit.
DOCUMENT
Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. De totale maatschappelijke schade van cybercrime werd voor 2018 op 10 miljard euro geschat (1% van BNP). Uit cijfers van het CBS blijkt dat tussen 2012 en 2018 het slachtofferschap van hacken zelfs hoger lag dan dat van fietsendiefstal. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? In dit project bundelen professionals uit twaalf gemeenten en vier regionale veiligheidsnetwerken hun slagkracht met onderzoekers van twee hogescholen en het NSCR voor de cyberweerbaarheid van de samenleving. De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Middels actieonderzoek werken professionals van gemeenten en regio’s samen met onderzoekers aan het verbeteren van bestaande en het ontwikkelen van nieuwe interventies. Daarbij verscherpen zij hun beeld van de omvang en achtergronden van slachtofferschap van cybercrime. Ook onderzoeken zij achtergronden en verklaringen voor het risicobewustzijn en preventief gedrag onder doelgroepen. Deze inzichten worden in verschillende iteraties aangevuld met effectstudies, om tot een set beproefde interventies te komen waarmee de cyberweerbaarheid van burgers en bedrijven zal toenemen.
Gemeenten zijn ongerust over de cyberweerbaarheid van hun vitale infrastructuren, zoals waterbeheer en verkeersmanagement. Deze infrastructuren zijn vaak in hoge mate geautomatiseerd en verbonden met het internet. De digitale systemen binnen de infrastructuren worden aangeduid als Operationele Technologie (OT). Er is een toenemende dreiging van cyberaanvallen op de OT van vitale infrastructuren, met potentieel ernstige gevolgen, zoals grote materiële schade, maatschappelijke onrust en zelfs dodelijke slachtoffers. Hierbij gaat het niet alleen om cyberaanvallen door vandalen of criminelen, zoals ransomware, maar ook om cyberaanvallen ten gevolge van internationale conflicten. De gemeentelijke CISO’s en informatiebeveiligers zijn verantwoordelijk voor het treffen van goede beveiligingsmaatregelen. Met betrekking tot OT hebben zij echter te weinig kennis om dat effectief te kunnen doen. Cyberweerbaarheid van OT vergt specialistische kennis, die sterk verschilt van de gebruikelijke IT-kennis binnen kantoorautomatisering. Bovendien wordt de cyberweerbaarheid van de OT negatief beïnvloed door een grote diversiteit in technologie, spreiding en afhankelijkheid van een grote hoeveelheid externe leveranciers en dienstverleners. Deze problematiek speelt ook bij andere organisaties, met name omdat hiervoor nog geen geschikte oplossingen beschikbaar zijn. Dit RAAK-project beoogt met behulp van gemeentelijke casestudy’s oplossingen te zoeken. Mogelijke oplossingsrichtingen worden onderzocht en geëvalueerd. Enkele kansrijke oplossingsrichtingen worden met de gemeenten uitgewerkt in aanpassing van bestaande- en nieuw te ontwikkelen instrumenten voor interventies. Deze worden geëvalueerd en gegeneraliseerd. Drie cybersecuritylectoraten van De Haagse Hogeschool (CSS en NSE) en Hogeschool Utrecht (CS) werken in dit praktijkgerichte onderzoek samen met de gemeenten Eindhoven, Rotterdam en Zoetermeer, alsook met de Vereniging van Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD). Daarnaast nemen het nationaal veiligheidscluster Security Delta, kennisinstelling TNO en cyberexpertbureau Hudson Cybertec deel. Verankering van kennis vindt plaats in onderwijs en lectoraten. Hierbij zijn drie lectoren, vijftien (docent)onderzoekers en circa tweehonderdvijfentwintig studenten betrokken.
Hoe kun je mensen op de werkvloer helpen zich digitaal veiliger te gedragen? En daarmee de digitale veiligheid van bedrijven tegen cyberaanvallen verhogen? Daartoe willen we in dit voorstel een aanpak ontwikkelen op basis van wetenschappelijk inzichten over gedrag en design: een gebruikersgerichte aanpak voor bruikbare cybersecurity. Deze aanpak richt zich op het vergroten van de digitale weerbaarheid van Nederlandse bedrijven via het ontwerp van beveiligingsmaatregelen. Onze huidige set van maatregelen is veelal ontwerpen vanuit de techniek, zonder oog te hebben voor de eindgebruiker. Deze maatregelen worden op de werkvloer dan ook veelal ervaren als hinderlijk voor de uitvoering van het werk. Met als gevolg dat mensen ze omzeilen en daarmee de digitale veiligheid in gevaar brengen. De uitdaging is het ontwerpen van veiligheidsmaatregelen die via hun ontwerp onveilig gedrag ontmoedigen, onmogelijk maken of veilig gedrag juist aanmoedigen. Met deze aanpak kunnen professionals zelf aan de slag met het verhogen van de digitale veiligheid op de werkvloer. Dit project is uniek omdat een dergelijke aanpak nog niet bestaat. Voor het ontwikkelen van deze aanpak maken we gebruik van de methode van co-creatie. 'Co' staat in dit geval voor de samenwerking tussen ontwerpers, inhoudelijk experts en de beroepspraktijk, die de dienst of het product gaan gebruiken of ermee te maken krijgen. 'Creatie' is hier het onderzoeken, ontwikkelen en realiseren van de aanpak voor je beroepspraktijk. Een belangrijk voordeel van deze methode is dat hiermee betrokkenheid wordt gecreëerd onder de stakeholders. Ook worden fouten in de aanpak eerder ontdekt doordat snel naar een prototype wordt toegewerkt. De belangrijkste oplevering van het samenwerkingsverband is een handelingskader en bijbehorende materialen, zoals werkbladen. Het kader kan een handleiding bieden voor cybersecurity professionals en ontwerpers in de beroepspraktijk om de digitale veiligheid in ondernemingen te vergroten.
