De constatering dat onderzoek naar de menselijke factor binnen cybercrime en cybersecurity nog in de kinderschoenen staat, terwijl er een grote vraag is naar evidence-based praktisch toepasbare kennis is de reden dat De Haagse Hogeschool (HHs) en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) de handen ineengeslagen hebben voor de totstandkoming van dit lectoraat. Het lectoraat richt zich daarbij op een specifieke doelgroep: het midden- en kleinbedrijf (mkb). Het mbk is de backbone van de Nederlandse economie. Mkb’ers worden echter relatief vaak slachtoffer van cyberaanvallen en hebben niet de capaciteit om zich te weren tegen dergelijke aanvallen. Dit staat in schril contrast met het onderzoek dat wordt uitgevoerd op dit gebied. Onderzoek naar deze doelgroep ontbreekt bij de start van dit lectoraat nagenoeg compleet. Het doel van het lectoraat is om de kennispositie van het mkb op het gebied van cybercrime en cybersecurity te vergroten om zo het slachtofferschap en de impact van cyberaanvallen onder mkb’ers te verlagen. Omdat er nagenoeg geen studies zijn gedaan naar cybersecurity in het mkb zullen eerst basale vragen beantwoord moeten worden. Zo is inzicht nodig in slachtofferschap onder mkb’ers. Hoe vaak komen aanvallen op mkb bedrijven voor? Welke mkb bedrijven worden slachtoffer van cyberaanvallen en zijn er factoren die risicoverhogend of risicoverlagend werken? Wat is de werkwijze van criminelen? En van welke zwakke plekken maken criminelen gebruik om hun aanvallen uit te voeren? Tegelijkertijd moet worden onderzocht hoe mkb’ers zichzelf weerbaarder kunnen maken. Weten mkb’ers welke risico’s ze lopen, hoe ze aanvallen kunnen detecteren en afslaan? Welke factoren beïnvloeden de weerbaarheid? Welke interventiemogelijkheden zijn er om de weerbaarheid te verhogen? De bescherming van het mkb tegen cyberaanvallen ligt echter niet alleen bij het mkb zelf. Ook andere partijen hebben hierbij een rol. Daarom moet onderzocht worden welke rol politie en justitie nog hebben bij de aanpak van cybercrime gericht op het mkb.
Aanleiding: Cybercriminaliteit heeft een relatief grate impact op het mkb. Mkb'ers hebben vaak onvoldoende kennis en hulpbronnen om zichzelf hiertegen te beschermen. Eerder onderzoek laat zien dat twee van de vijf mkb'ers in een jaar tijd te maken heeft gehad met cybercriminaliteit. Een op de vijf heeft bovendien schade hiervan ondervonden. Het idee bestaat dan oak dat mkb'ers meer cyberweerbaar zouden moeten zijn. Doel: In opdracht van de gemeente Den Haag en in samenwerking met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) onderzocht het Lectoraat Cybersecurity in het mkb van De Haagse Hogeschool hoe het is gesteld met de cyberweerbaarheid van het mkb in de regio Den Haag. Het doel is om een beeld te krijgen van de huidige cyberweerbaarheid van mkb'ers en van factoren die met die weerbaarheid samenhangen. Omdat dit een pilot betreft is ervoor gekozen om het onderzoek uit te voeren onder een specifieke groep mkb'ers, namelijk retailers. Er is gekozen voor onderzoek onder retailers omdat de bedrijfssector waarin zij werken, namelijk de detailhandel, een risicogroep vormt. Methode: Cyberweerbaarheid is het vermogen van het mkb om weerstand te bieden tegen bekende en onbekende vormen van cybercriminaliteit en snel te herstellen van een cybercrisis. Dit betekent dat het mkb in staat moet zijn om te anticiperen op bedreigingen en kansen en deze ook moet kunnen detecteren als deze zich voordoen in de organisatie. Oak moet het mkb adequaat kunnen reageren op incidenten en begrijpen wat er heeft plaatsgevonden zodat ervan kan warden geleerd. Cyberweerbaarheid is gemeten met behulp van een vragenlijst met stellingen. Een voorbeeld van een stelling is: 'Medewerkers in ans bedrijf vinden de bestrijding van cybercriminaliteit op het werk belangrijk'. Hoe hoger een bedrijf scoort op deze stellingen, hoe meer cyberweerbaar het bedrijf is. Het onderzoek is uitgevoerd in september en oktober 2018 in 6 winkelgebieden in Den Haag en omstreken. In totaal zijn 375 retailers benaderd. Hiervan hebben 57 leidinggevenden uit 56 bedrijven een enquete ingevuld. Resultaten: Bijna de helft (48 %) van de retailers geeft aan slachtoffer te zijn geweest van cybercriminaliteit in de laatste 12 maanden. Zeven bedrijven (12 %) hebben oak daadwerkelijk schade hiervan ondervonden. Schade als gevolg van cybercriminaliteit kan zich op verschillende vlakken voordoen. Zo kan een bedrijf financiele schade oplopen. Oak kunnen belangrijke bedrijfsgegevens gestolen of vernietigd zijn. Schade kan oak bestaan uit tijdverlies, doordat de bedrijfsprocessen tijdelijk stilliggen. Daarnaast kan een bedrijf imagoschade oplopen. Als we kijken naar de cyberweerbaarheid dan valt op dat mkb-retailers maar in beperkte mate weerbaar zijn. Er lijkt ruimte te zijn voor verbetering. Deelnemende retailers zijn relatief gezien het best in staat om te 'reageren' en het minst goed in staat zijn om te 'leren', maar de verschillen zijn niet groat. Een mogelijke voorspeller van de cyberweerbaarheid blijkt de IT-kennis van het personeel te zijn. Bedrijven met medewerkers die relatief veel IT-kennis hebben, scoren hoger op cyberweerbaarheid. Oak blijkt dat bedrijven die een sanctiebeleid voor medewerkers hebben die zich cyber onveilig gedragen doorgaans meer cyberweerbaar zijn. Veel bedrijven hebben al voorschriften over cyber veilig gedrag. Ons onderzoek laat zien dat het van belang is om hiernaast ook een sanctiebeleid te voeren op het niet naleven van deze voorschriften. Conclusie: Er is ruimte voor verbetering van de cyberweerbaarheid van mkb-retailers in de regio Den Haag. Dit is in lijn met de verwachtingen op basis van eerder onderzoek. Meer IT-kennis bij het personeel en een strikter sanctiebeleid kunnen helpen om de cyberweerbaarheid te vergroten. LinkedIn: https://www.linkedin.com/in/iris-de-bruin-7a1184131/ https://www.linkedin.com/in/susanne-van-t-hoff-de-goede/ https://www.linkedin.com/in/rutgerleukfeldt/
Cybercriminaliteit is een veelvoorkomend probleem geworden in Nederland (CBS, 2022). Nederlandse gemeenten hebben cybercrime dan ook breed als beleidsprioriteit opgepakt. Gemeenten geven daarbij aan behoefte te hebben aan handvaten om hun inwoners en ondernemers weerbaarder te maken tegen cybercriminaliteit. In het project “Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime” werken professionals uit twaalf4 gemeenten en vier5 regionale veiligheidsnetwerken samen met onderzoekers van de Haagse Hogeschool, Hogeschool Saxion en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) aan wetenschappelijk onderbouwde interventies waaromee ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente kunnen vergroten. In dit rapport staat slachtofferschap van cybercriminaliteit onder mkb’ers centraal. Het midden‐ en kleinbedrijf (mkb) wordt relatief vaak slachtoffer van cybercriminaliteit en ondervindt hiervan in hoge mate schade (CBS, 2018; Notté et al., 2019). Met name de toename van slachtofferschap van ransomware binnen het mkb is een zorgelijke ontwikkeling. Het is van groot belang dat mkb’ers maatregelen nemen om een ransomware aanval te voorkomen en de schade zo veel mogelijk te beperken. Beschermende maatregelen worden echter door veel mkb’ers slechts in geringe mate ingezet (Bekkers et al., 2021; CBS, 2021; Notté et al., 2019; Veenstra et al., 2015). De cyberweerbaarheid van mkb’ers (het vermogen van een organisatie om cyberincidenten te weerstaan, daarop te kunnen reageren en van te herstellen, zodat de organisatie operationeel blijft) is daardoor te beperkt. In dit rapport presenteren we de ontwikkeling en evaluatie van een interventie genaamd “MKB Cyber Buddy’s”. Het doel van de interventie is om de weerbaarheid van mkb’ers tegen ransomware te vergroten. De interventie is er op gericht om mkb’ers niet alleen te informeren over cybercriminaliteit, maar ze ook door actieve deelname tot een positieve gedragsverandering te brengen. Onder mkb’ers verstaan we in dit onderzoek ondernemers met minimaal één en maximaal 250 werknemers. De hoofdvraag in dit rapport is: Is de interventie “MKB cyber buddy’s” een effectieve interventie voor Nederlandse gemeenten om de cyberweerbaarheid van mkb’ers in hun gemeente met betrekking tot ransomware te bevorderen? Het doel van dit rapport is tweeledig. Enerzijds beschrijft dit rapport de onderbouwing en ontwikkeling van de interventie “MKB Cyber Buddy’s”. Anderzijds beschrijft dit rapport de evaluatie van de pilot die is uitgevoerd in 2022, betreffende de effectiviteit, sterke kanten, valkuilen en onvoorziene gevolgen van de interventie. Hiermee zullen inzichten geboden worden in hoe de interventie verbeterd kan worden en in de toekomst op grotere schaal kan worden ingezet.
Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. De totale maatschappelijke schade van cybercrime werd voor 2018 op 10 miljard euro geschat (1% van BNP). Uit cijfers van het CBS blijkt dat tussen 2012 en 2018 het slachtofferschap van hacken zelfs hoger lag dan dat van fietsendiefstal. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? In dit project bundelen professionals uit twaalf gemeenten en vier regionale veiligheidsnetwerken hun slagkracht met onderzoekers van twee hogescholen en het NSCR voor de cyberweerbaarheid van de samenleving. De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Middels actieonderzoek werken professionals van gemeenten en regio’s samen met onderzoekers aan het verbeteren van bestaande en het ontwikkelen van nieuwe interventies. Daarbij verscherpen zij hun beeld van de omvang en achtergronden van slachtofferschap van cybercrime. Ook onderzoeken zij achtergronden en verklaringen voor het risicobewustzijn en preventief gedrag onder doelgroepen. Deze inzichten worden in verschillende iteraties aangevuld met effectstudies, om tot een set beproefde interventies te komen waarmee de cyberweerbaarheid van burgers en bedrijven zal toenemen.
Gemeenten zijn ongerust over de cyberweerbaarheid van hun vitale infrastructuren, zoals waterbeheer en verkeersmanagement. Deze infrastructuren zijn vaak in hoge mate geautomatiseerd en verbonden met het internet. De digitale systemen binnen de infrastructuren worden aangeduid als Operationele Technologie (OT). Er is een toenemende dreiging van cyberaanvallen op de OT van vitale infrastructuren, met potentieel ernstige gevolgen, zoals grote materiële schade, maatschappelijke onrust en zelfs dodelijke slachtoffers. Hierbij gaat het niet alleen om cyberaanvallen door vandalen of criminelen, zoals ransomware, maar ook om cyberaanvallen ten gevolge van internationale conflicten. De gemeentelijke CISO’s en informatiebeveiligers zijn verantwoordelijk voor het treffen van goede beveiligingsmaatregelen. Met betrekking tot OT hebben zij echter te weinig kennis om dat effectief te kunnen doen. Cyberweerbaarheid van OT vergt specialistische kennis, die sterk verschilt van de gebruikelijke IT-kennis binnen kantoorautomatisering. Bovendien wordt de cyberweerbaarheid van de OT negatief beïnvloed door een grote diversiteit in technologie, spreiding en afhankelijkheid van een grote hoeveelheid externe leveranciers en dienstverleners. Deze problematiek speelt ook bij andere organisaties, met name omdat hiervoor nog geen geschikte oplossingen beschikbaar zijn. Dit RAAK-project beoogt met behulp van gemeentelijke casestudy’s oplossingen te zoeken. Mogelijke oplossingsrichtingen worden onderzocht en geëvalueerd. Enkele kansrijke oplossingsrichtingen worden met de gemeenten uitgewerkt in aanpassing van bestaande- en nieuw te ontwikkelen instrumenten voor interventies. Deze worden geëvalueerd en gegeneraliseerd. Drie cybersecuritylectoraten van De Haagse Hogeschool (CSS en NSE) en Hogeschool Utrecht (CS) werken in dit praktijkgerichte onderzoek samen met de gemeenten Eindhoven, Rotterdam en Zoetermeer, alsook met de Vereniging van Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD). Daarnaast nemen het nationaal veiligheidscluster Security Delta, kennisinstelling TNO en cyberexpertbureau Hudson Cybertec deel. Verankering van kennis vindt plaats in onderwijs en lectoraten. Hierbij zijn drie lectoren, vijftien (docent)onderzoekers en circa tweehonderdvijfentwintig studenten betrokken.
Hoe kun je mensen op de werkvloer helpen zich digitaal veiliger te gedragen? En daarmee de digitale veiligheid van bedrijven tegen cyberaanvallen verhogen? Daartoe willen we in dit voorstel een aanpak ontwikkelen op basis van wetenschappelijk inzichten over gedrag en design: een gebruikersgerichte aanpak voor bruikbare cybersecurity. Deze aanpak richt zich op het vergroten van de digitale weerbaarheid van Nederlandse bedrijven via het ontwerp van beveiligingsmaatregelen. Onze huidige set van maatregelen is veelal ontwerpen vanuit de techniek, zonder oog te hebben voor de eindgebruiker. Deze maatregelen worden op de werkvloer dan ook veelal ervaren als hinderlijk voor de uitvoering van het werk. Met als gevolg dat mensen ze omzeilen en daarmee de digitale veiligheid in gevaar brengen. De uitdaging is het ontwerpen van veiligheidsmaatregelen die via hun ontwerp onveilig gedrag ontmoedigen, onmogelijk maken of veilig gedrag juist aanmoedigen. Met deze aanpak kunnen professionals zelf aan de slag met het verhogen van de digitale veiligheid op de werkvloer. Dit project is uniek omdat een dergelijke aanpak nog niet bestaat. Voor het ontwikkelen van deze aanpak maken we gebruik van de methode van co-creatie. 'Co' staat in dit geval voor de samenwerking tussen ontwerpers, inhoudelijk experts en de beroepspraktijk, die de dienst of het product gaan gebruiken of ermee te maken krijgen. 'Creatie' is hier het onderzoeken, ontwikkelen en realiseren van de aanpak voor je beroepspraktijk. Een belangrijk voordeel van deze methode is dat hiermee betrokkenheid wordt gecreëerd onder de stakeholders. Ook worden fouten in de aanpak eerder ontdekt doordat snel naar een prototype wordt toegewerkt. De belangrijkste oplevering van het samenwerkingsverband is een handelingskader en bijbehorende materialen, zoals werkbladen. Het kader kan een handleiding bieden voor cybersecurity professionals en ontwerpers in de beroepspraktijk om de digitale veiligheid in ondernemingen te vergroten.
