Bedrijven maken vaak deel uit van een keten. Ketens worden steeds meer afhankelijk van ICT voor onder meer het aankopen, bezorgen en inventariseren van producten of diensten. Deze afhankelijkheid maakt dat cyber-gerelateerde risico’s een opmars maken binnen ketens. Er is echter nog weinig bekend over deze risico’s en hoe ketens daar weerbaar tegen kunnen worden gemaakt. Dit hindert de uitwerking, uitvoering en bijsturing van beleid door de overheid. De Haagse Hogeschool heeft in opdracht van MKB Nederland en het Ministerie van Justitie en Veiligheid een verkennende studie verricht om meer zicht te krijgen op het fenomeen cyber-ketenweerbaarheid in verschillende economische sectoren. Hierbij stonden centraal cyber-gerelateerde risico’s en geleerde lessen bij het voorkomen en bestrijden van cyberincidenten en -criminaliteit in ketens. Tevens zijn aanknopingspunten voor vervolgonderzoek geïdentificeerd. Voor de dataverzameling is eerst gebruik gemaakt van literatuuronderzoek. Daarna zijn gestructureerde interviews uitgevoerd. De interviews hebben plaatsgevonden bij 12 bedrijven uit drie economische sectoren: vijf bedrijven gerelateerd aan de agrarische sector (vormen twee ketens), vier bedrijven uit de sierteeltsector (vormen één keten) en drie bedrijven uit de sector handel (vormen één keten). Deze bedrijven zijn als afnemer en leverancier geschakeld binnen hun sector en vormen daarmee een keten. Bij elk bedrijf is gesproken met cybersecurityexperts en/of bestuursleden. In elke keten hebben wij dreigingen en kwetsbaarheden op het gebied van cyber-ketenweerbaarheid vastgesteld. Met name ransomware en zogenaamde stepping stone-aanvallen zijn concrete dreigingen voor ketens. Zo is er bij alle door ons beschouwde ketens sprake van technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen. Deze afstandsbediening is veelal kwetsbaar voor digitale inbreuken van buitenaf. Dit maakt dergelijke technologie en het securitybeleid van ketenpartners die toegang hebben tot deze technologie een kwetsbaarheid voor de keten. Ook valt het op dat de medewerkers van de bedrijven een belangrijke rol spelen bij het ontstaan van cyberincidenten en -criminaliteit in de keten. Mogelijk wordt dit veroorzaakt door onveilig gedrag, gemakzucht en een gebrek aan kennis bij medewerkers over dreigingen en kwetsbaarheden. Er zijn tevens belangrijke lessen opgehaald bij de bedrijven die wij interviewden. Zo is het in het kader van cyberketenweerbaarheid van belang dat bedrijven hun cyberveiligheid op orde hebben. De onderzochte bedrijven investeren daarin door onder meer technische beveiliging en procedures voor werknemers. Ook zijn investeringen in de cyberveiligheid tussen schakels en de keten als geheel van belang. Bijvoorbeeld door de eigen digitale infrastructuur gescheiden te houden van de infrastructuur van ketenpartners. Over het algemeen worden dergelijke maatregelen slechts sporadisch genomen door de bedrijven die meededen aan dit onderzoek. Zo komt het onderwerp cyberveiligheid vaak niet terug in contracten met leveranciers, blijft (structureel) overleg tussen partners op dit gebied uit en is informatiedeling over cyberrisico’s en geleerde lessen op ketenniveau beperkt. Controle op de risico’s lijkt in de ketens veelal te ontbreken en samenwerking lijkt vooral te berusten op vertrouwen. Verschillen in genoemde dreigingen, kwetsbaarheden en geleerde lessen tussen bedrijven zijn mogelijk te verklaren door het type bedrijf en diens omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven zicht te hebben en te handelen op keten-gerelateerde dreigingen en kwetsbaarheden. Gezien de verkennende aard van deze studie is nader onderzoek echter nodig om bevindingen te verstevigen. Ons advies is om meer gericht onderzoek te doen naar de risico’s zoals in deze studie zijn geïdentificeerd en dit tevens te doen in andere ketens of binnen andere economische sectoren. De onderzochte ketens zijn slechts beperkt representatief voor de gehele economie, waardoor het onduidelijk is in hoeverre de huidige resultaten gelden voor andere ketens binnen en buiten de door ons onderzochte economische sectoren. Een onderwerp waar wij denken dat meer kennis op nodig is, is het fenomeen stepping stone-aanval. Ondanks dat dit een belangrijk fenomeen lijkt, komt uit onderhavig onderzoek onvoldoende naar voren op welke manier een ketenaanval via kleine ketenpartners plaatsvindt, in welke mate een keten daar schade van ondervindt en hoe een dergelijke aanval kan worden voorkomen. Wij adviseren bovendien om te onderzoeken hoe ketens cyberveiligheid contractueel kunnen bewerkstelligen in de samenwerking met ketenpartners. Zo is het de vraag welke eisen er in het contract met partners gesteld moeten worden om risico’s voldoende af te dekken. Wij adviseren bovendien om actuele informatie over cyberrisico’s toegankelijk te maken voor ketenbedrijven, met name bij kleine bedrijven die beperkte middelen hebben om zichzelf te beschermen en informatie in te winnen. Help ketens waar nodig met het op orde brengen van hun interne cyberveiligheid, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau.
DOCUMENT
The outbreak of the COVID-19 virus in December 2019 and the restrictive measures that were implemented to slow down the spread of the virus have had a significant impact on our way of life. The sudden shift from offline to online activities and work may have resulted in new cybersecurity risks. The present study therefore examined changes in the prevalence, nature and impact of cybercrime among Dutch citizens and SME owners, during the pandemic. Qualitative interviews with ten experts working at various public and private organizations in the Netherlands that have insights into cybercrime victimization and data from victim surveys administrated in 2019 and 2021 were analyzed. The results show that there was only a small, non-statistically significant increase in the prevalence of cybercrime during the pandemic among citizens and SME owners. Nevertheless, the COVID-19 pandemic did have an impact on the modus operandi of cybercriminals: victims indicated that a considerable proportion of the offenses was related to the COVID-19 pandemic, particularly in the case of online fraud. Moreover, the use of new applications and programs for work was associated with an increased risk of cybercrime victimization during the COVID-19 crisis. These results suggest that increases in rates of registered cybercrime that were found in previous studies might be the consequence of a reporting effect and that cybercriminals adapt their modus operandi to current societal developments.
DOCUMENT
Presentation given at EURCRIM 2022 conference
DOCUMENT
NL samenvatting: In dit verkennend onderzoek werden social engineering-aanvallen bestudeerd, vooral de aanvallen die mislukten, om organisaties te helpen weerbaarder te worden. Fysieke, telefonische en digitale aanvallen werden uitgevoerd met behulp van een script volgens de 'social engineering-cyclus'. We gebruikten het COM-B model van gedragsverandering, verfijnd door het Theoretical Domains Framework, om door middel van een enquête te onderzoeken hoe Capability, Motivational en vooral Opportunity factoren helpen om de weerbaarheid van organisaties tegen social engineering-aanvallen te vergroten. Binnen Opportunity leek sociale invloed van extra belang. Werknemers die in kleine ondernemingen werken (<50 werknemers) waren succesvoller in het weerstaan van digitale social engineering-aanvallen dan werknemers die in grotere organisaties werken. Een verklaring hiervoor zou een grotere mate van sociale controle kunnen zijn; deze medewerkers werken dicht bij elkaar, waardoor ze in staat zijn om onregelmatigheden te controleren of elkaar te waarschuwen. Ook het installeren van een gespreksprotocol over hoe om te gaan met buitenstaanders was een maatregel die door alle organisaties werd genomen waar telefonische aanvallen faalden. Daarom is het moeilijker voor een buitenstaander om toegang te krijgen tot de organisatie door middel van social engineering. Dit artikel eindigt met een discussie en enkele aanbevelingen voor organisaties, bijvoorbeeld met betrekking tot het ontwerp van de werkomgeving, om hun weerbaarheid tegen social engineering-aanvallen te vergroten. ENG abstract: In this explorative research social engineering attacks were studied, especially the ones that failed, in order to help organisations to become more resilient. Physical, phone and digital attacks were carried out using a script following the ‘social engineering cycle’. We used the COM-B model of behaviour change, refined by the Theoretical Domains Framework, to examine by means of a survey how Capability, Motivational and foremost Opportunity factors help to increase resilience of organisations against social engineering attacks. Within Opportunity, social influence seemed of extra importance. Employees who work in small sized enterprises (<50 employees) were more successful in withstanding digital social engineering attacks than employees who work in larger organisations. An explanation for this could be a greater amount of social control; these employees work in close proximity to one another, so they are able to check irregularities or warn each other. Also, having a conversation protocol installed on how to interact with outsiders, was a measure taken by all organisations where attacks by telephone failed. Therefore, it is more difficult for an outsider to get access to the organisation by means of social engineering. This paper ends with a discussion and some recommendations for organisations, e.g. the design of the work environment, to help increase their resilience against social engineering attacks. https://openaccess.cms-conferences.org/publications/book/978-1-958651-29-2/article/978-1-958651-29-2_8 DOI: 10.54941/ahfe1002203
DOCUMENT
Presentatie gegeven op de NVC congres 2022.
DOCUMENT
Entrepreneurs are likely to be victims of ransomware. Previous studies have found that entrepreneurs tend to adopt few preventive measures, thereby increasing their chances of victimization. Due to a lack of research, however, not much is known about why entrepreneurs lack self-protective behaviors and how they can be encouraged to change said behaviors. Therefore, the purpose of this study is to explain, by means of an extended model of the Protection Motivation Theory (PMT), the motivation for entrepreneurs using protective measures against ransomware in the future. The data for our study were collected thanks to a questionnaire that was answered by 1,020 Dutch entrepreneurs with up to 250 employees. Our Structural Equation Modelling (SEM) analysis revealed that entrepreneurs are more likely to take preventive measures against ransomware if they perceive the risk of ransomware as severe (perceived severity), if they perceive their company as being vulnerable (perceived vulnerability), if they are concerned about the risks (affective response), and if they think that the people and companies around them expect them to apply preventive measures (subjective norms). However, if entrepreneurs think that they are capable of handling the risk (self-efficacy) and are convinced that their adopted preventive measures are effective (response efficacy), they are less likely to take preventive measures. Furthermore, for entrepreneurs that outsource IT security, the significant effect of perceived vulnerability and subjective norms disappears. The likelihood of entrepreneurs protecting their business against ransomware is thus influenced by a complex interplay of various motivational factors and is partly dependent on the business’ characteristics. Based on these findings, we will discuss security professionals’ prospects for increasing the cyber resilience of entrepreneurs, thus preventing cybercrime victimization.
DOCUMENT
