De uitbraak van het COVID-19 virus (i.e., coronavirus) in December 2019 in de Chinese stad Wuhan heeft een grote impact gehad op de manier van leven over de gehele wereld. Op 27 februari 2020 werd de eerste besmetting met het coronavirus in Nederland vastgesteld, waarna het aantal besmettingen snel opliep. Om de verdere verspreiding van het virus zo veel mogelijk te beperken werden er in Nederland – net als in de vrijwel alle andere landen –diverse vrijheid beperkende maatregelen ingesteld. Van 23 maart 2020 tot 1 mei 2020 gold in Nederland een zogenaamde ‘intelligente lockdown’ en werden mensen gevraagd om afstand van elkaar te houden, zo veel mogelijk thuis te blijven en werken, en werden scholen, sportclubs, horeca en winkels gesloten. In de twee jaar na de start van deze intelligente lockdown volgden er verschillende periodes met op- en afschalingen van restricties, waaronder nog twee ‘harde lockdowns’ die ingingen in december 2020 en december 2021. Vanzelfsprekend hebben deze maatregelen een grote invloed gehad op onze manier van leven en werken en hebben er waarschijnlijk nog nooit zoveel Nederlanders tegelijk vanuit huis gewerkt als tijdens de coronacrisis. Dit heeft ook geleid tot veranderingen op het gebied van criminaliteit. In het eerste jaar van de coronapandemie lag het aantal geregistreerde misdrijven in Nederland ongeveer 6 procent lager dan in dezelfde periode in het jaar daarvoor, waarbij de verschillen het grootst waren tijdens de periodes met de strengste maatregelen (i.e., de intelligente lockdown en harde lockdown). Deze daling in geregistreerde criminaliteit was met name duidelijk terug te vinden onder misdrijven die doorgaans gepleegd worden als het slachtoffer niet in zijn of haar eigen huis is, zoals woninginbraak, zakkenrollenrij en fietsendiefstal (Kruisbergen et al., 2021). Voor huiselijk geweld, wat doorgaans binnen het eigen huis(houden) plaatsvindt, werd juist gevreesd voor een toename, maar deze lijkt achterwege te zijn gebleven in Nederland (Coomans et al., 2022). Ook hebben verschillende experts in de media gewezen op de cyberrisico’s van thuiswerken.1 Dit is in het bijzonder voor midden- en kleinbedrijven (mkb) zeer relevant omdat mkb-bedrijven de ruggengraat vormen van de Nederlandse economie (zij zijn verantwoordelijk voor 63% van het Bruto Binnenlands Product, 71% van de werkgelegenheid, en een totale omzet van 1023 miljard euro)2 , terwijl we ook weten dat deze groep bedrijven relatief vaak slachtoffer wordt van cyberaanvallen en weinig middelen ter beschikking heeft om zich hiertegen te wapenen (Leukfeldt, 2018). Tegelijkertijd zijn mkb-bedrijven waarschijnlijk niet goed ingericht op het ondersteunen van (massaal) thuiswerken en hebben daarom in allerijl en met veelal beperkte middelen moeten improviseren om het thuiswerken mogelijk te maken. Dit onderzoek richt zich daarom op de vraag in hoeverre de uitbraak van het coronavirus en de daarmee gepaard gaande toename in thuiswerken gedurende de pandemie geleid hebben tot meer cyberonveiligheid voor zowel burgers als het mkb en wat we hiervan kunnen leren voor de toekomst. Hierbij kijken we naar de aard en omvang van dreigingen en incidenten en naar de impact die incidenten hebben gehad. Dit geeft inzicht in de wijze waarop plotselinge verschuivingen van offline naar online activiteiten leiden tot nieuwe cyberrisico’s en is voor het mkb van groot belang om te kunnen beoordelen welke maatregelen zij kunnen en moeten nemen ten tijde van crises en wat die maatregelen mogen kosten. Uit eerder onderzoek weten we dat mkb-bedrijven weinig inzicht hebben in cyberrisico’s (doordat aard en omvang vaak onduidelijk zijn) en daardoor niet weten welke maatregelen zij moeten treffen (Notte et al., 2019). Daarnaast hebben mkb-bedrijven vaak weinig middelen en kennis in huis om zich goed te kunnen wapenen tegen cybercriminelen. Drie onderzoeksvragen staan dan ook centraal in dit onderzoek: 1) In hoeverre is de aard en omvang van cybercriminaliteit veranderd tijdens de coronapandemie? 2) Wat waren de gevolgen van slachtofferschap van cybercriminaliteit tijdens de coronapandemie? 3) Is er een relatie tussen veranderingen in internetgebruik en slachtofferschap van cybercriminaliteit tijdens de coronapandemie? Om deze vragen te beantwoorden analyseren we in fase 1 van dit onderzoek eerst de bestaande literatuur en interviewen we tien experts van de politie, cybersecuritybedrijven en andere relevante stakeholders. De literatuurstudie en verkennende interviews gebruiken we vervolgens in fase 2 van dit onderzoek om een vragenlijst te ontwikkelen die we hebben uitgezet onder een steekproef van burgers en een steekproef van mkb’ers om de aard, omvang en impact van slachtofferschap in kaart te brengen.3 Hierdoor wordt een uniek beeld verkregen van de effecten van het coronavirus en veranderingen in ons internetgebruik.
DOCUMENT
De digitale revolutie voltrekt zich in hoog tempo. Naar verwachting zullen er in 2020 meer dan 20 miljard laptops, mobiele telefoons en tablets met elkaar verbonden zijn tot een gigantisch wereldwijd netwerk. Spoedig zullen we voortdurend en overal verbonden zijn met internet. De virtuele ruimte die ontstaat uit de complexe interactie van mensen, technologie, software, en dienstverlening over het internet wordt steeds vaker cyberspace genoemd
DOCUMENT
Bedrijven maken vaak deel uit van een keten. Ketens worden steeds meer afhankelijk van ICT voor onder meer het aankopen, bezorgen en inventariseren van producten of diensten. Deze afhankelijkheid maakt dat cyber-gerelateerde risico’s een opmars maken binnen ketens. Er is echter nog weinig bekend over deze risico’s en hoe ketens daar weerbaar tegen kunnen worden gemaakt. Dit hindert de uitwerking, uitvoering en bijsturing van beleid door de overheid. De Haagse Hogeschool heeft in opdracht van MKB Nederland en het Ministerie van Justitie en Veiligheid een verkennende studie verricht om meer zicht te krijgen op het fenomeen cyber-ketenweerbaarheid in verschillende economische sectoren. Hierbij stonden centraal cyber-gerelateerde risico’s en geleerde lessen bij het voorkomen en bestrijden van cyberincidenten en -criminaliteit in ketens. Tevens zijn aanknopingspunten voor vervolgonderzoek geïdentificeerd. Voor de dataverzameling is eerst gebruik gemaakt van literatuuronderzoek. Daarna zijn gestructureerde interviews uitgevoerd. De interviews hebben plaatsgevonden bij 12 bedrijven uit drie economische sectoren: vijf bedrijven gerelateerd aan de agrarische sector (vormen twee ketens), vier bedrijven uit de sierteeltsector (vormen één keten) en drie bedrijven uit de sector handel (vormen één keten). Deze bedrijven zijn als afnemer en leverancier geschakeld binnen hun sector en vormen daarmee een keten. Bij elk bedrijf is gesproken met cybersecurityexperts en/of bestuursleden. In elke keten hebben wij dreigingen en kwetsbaarheden op het gebied van cyber-ketenweerbaarheid vastgesteld. Met name ransomware en zogenaamde stepping stone-aanvallen zijn concrete dreigingen voor ketens. Zo is er bij alle door ons beschouwde ketens sprake van technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen. Deze afstandsbediening is veelal kwetsbaar voor digitale inbreuken van buitenaf. Dit maakt dergelijke technologie en het securitybeleid van ketenpartners die toegang hebben tot deze technologie een kwetsbaarheid voor de keten. Ook valt het op dat de medewerkers van de bedrijven een belangrijke rol spelen bij het ontstaan van cyberincidenten en -criminaliteit in de keten. Mogelijk wordt dit veroorzaakt door onveilig gedrag, gemakzucht en een gebrek aan kennis bij medewerkers over dreigingen en kwetsbaarheden. Er zijn tevens belangrijke lessen opgehaald bij de bedrijven die wij interviewden. Zo is het in het kader van cyberketenweerbaarheid van belang dat bedrijven hun cyberveiligheid op orde hebben. De onderzochte bedrijven investeren daarin door onder meer technische beveiliging en procedures voor werknemers. Ook zijn investeringen in de cyberveiligheid tussen schakels en de keten als geheel van belang. Bijvoorbeeld door de eigen digitale infrastructuur gescheiden te houden van de infrastructuur van ketenpartners. Over het algemeen worden dergelijke maatregelen slechts sporadisch genomen door de bedrijven die meededen aan dit onderzoek. Zo komt het onderwerp cyberveiligheid vaak niet terug in contracten met leveranciers, blijft (structureel) overleg tussen partners op dit gebied uit en is informatiedeling over cyberrisico’s en geleerde lessen op ketenniveau beperkt. Controle op de risico’s lijkt in de ketens veelal te ontbreken en samenwerking lijkt vooral te berusten op vertrouwen. Verschillen in genoemde dreigingen, kwetsbaarheden en geleerde lessen tussen bedrijven zijn mogelijk te verklaren door het type bedrijf en diens omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven zicht te hebben en te handelen op keten-gerelateerde dreigingen en kwetsbaarheden. Gezien de verkennende aard van deze studie is nader onderzoek echter nodig om bevindingen te verstevigen. Ons advies is om meer gericht onderzoek te doen naar de risico’s zoals in deze studie zijn geïdentificeerd en dit tevens te doen in andere ketens of binnen andere economische sectoren. De onderzochte ketens zijn slechts beperkt representatief voor de gehele economie, waardoor het onduidelijk is in hoeverre de huidige resultaten gelden voor andere ketens binnen en buiten de door ons onderzochte economische sectoren. Een onderwerp waar wij denken dat meer kennis op nodig is, is het fenomeen stepping stone-aanval. Ondanks dat dit een belangrijk fenomeen lijkt, komt uit onderhavig onderzoek onvoldoende naar voren op welke manier een ketenaanval via kleine ketenpartners plaatsvindt, in welke mate een keten daar schade van ondervindt en hoe een dergelijke aanval kan worden voorkomen. Wij adviseren bovendien om te onderzoeken hoe ketens cyberveiligheid contractueel kunnen bewerkstelligen in de samenwerking met ketenpartners. Zo is het de vraag welke eisen er in het contract met partners gesteld moeten worden om risico’s voldoende af te dekken. Wij adviseren bovendien om actuele informatie over cyberrisico’s toegankelijk te maken voor ketenbedrijven, met name bij kleine bedrijven die beperkte middelen hebben om zichzelf te beschermen en informatie in te winnen. Help ketens waar nodig met het op orde brengen van hun interne cyberveiligheid, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau.
DOCUMENT
