Digitalisering is van groot belang voor de ruim 13.000 mkb-bedrijven in de metaalindustrie in Nederland om internationaal een sterke concurrentiepositie te behouden. Deze digitalisering brengt ook risico's met zich mee. Uit eerder onderzoek van De Haagse Hogeschool is gebleken dat de metaalbranche zeer kwetsbaar is voor cybercriminaliteit. Een manier om de risico's van digitalisering te minimaliseren is het gebruik van een cybersecurity risicomodel. Bestaande risicomodellen voor cybersecurity lijken echter lastig bruikbaar voor mkb-bedrijven. In dit onderzoek staan daarom de volgende vragen centraal: (1) Op we/ke wijze organiseren midden-en kleinbedrijven in de metaa/sector hun cybersecurity risico-management; en (2) hoe kan dit proces warden verbeterd? Doel van dit project is om via onderzoek te komen tot een voor het mkb te hanteren risicomodel dat kan warden gebruikt om het cybersecurity risicomanagement van mkb-metaalbedrijven te verbeteren. Om dit te bereiken zijn drie stappen ondernomen. Ten eerste is een literatuurstudie uitgevoerd. Ten tweede is een theoretisch cybersecurity risicomodel ontwikkeld. Ten derde is het model vervolgens getoetst in de praktijk. LinkedIn: https://www.linkedin.com/in/raoul-nott%C3%A9-290b6661/ https://www.linkedin.com/in/susanne-van-t-hoff-de-goede/ https://www.linkedin.com/in/rutgerleukfeldt/
DOCUMENT
Attack surfaces are increasing as products are increasingly more connected. This has been acknowledged by the European Commission in their Europe: fit for the digital age strategy and in recent legislative proposals. Most importantly, the proposed Cyber Resilience Act (CRA) sets minimum cybersecurity requirements for products with digital elements. These requirements range from effective and regular tests to the dissemination of free security updates in case of a cybersecurity breach. This should ensure a base level of cybersecurity throughout the product’s lifetime. Unfortunately, there is a catch: not all products with digital elements fall within the scope of the proposed CRA. For instance, vehicles are not subject to the proposed Act. The exclusion of this category of products with digital elements seems to be based on the premise that ‘the sectoral rules achieve the same level of protection as the one provided for by this Regulation’ (recital 14). This contribution is challenging this premise, as it explores the level of cybersecurity as laid down in the proposed CRA and compares it to the level of cybersecurity ensured by the sectoral rules in vehicle regulation. Could this mean that your smartphone is going to be more cybersecure than your car?
MULTIFILE
Cybersecurity threat and incident managers in large organizations, especially in the financial sector, are confronted more and more with an increase in volume and complexity of threats and incidents. At the same time, these managers have to deal with many internal processes and criteria, in addition to requirements from external parties, such as regulators that pose an additional challenge to handling threats and incidents. Little research has been carried out to understand to what extent decision support can aid these professionals in managing threats and incidents. The purpose of this research was to develop decision support for cybersecurity threat and incident managers in the financial sector. To this end, we carried out a cognitive task analysis and the first two phases of a cognitive work analysis, based on two rounds of in-depth interviews with ten professionals from three financial institutions. Our results show that decision support should address the problem of balancing the bigger picture with details. That is, being able to simultaneously keep the broader operational context in mind as well as adequately investigating, containing and remediating a cyberattack. In close consultation with the three financial institutions involved, we developed a critical-thinking memory aid that follows typical incident response process steps, but adds big picture elements and critical thinking steps. This should make cybersecurity threat and incident managers more aware of the broader operational implications of threats and incidents while keeping a critical mindset. Although a summative evaluation was beyond the scope of the present research, we conducted iterative formative evaluations of the memory aid that show its potential.
DOCUMENT
In het project onderzoeken we hoe je mensen op de werkvloer kan helpen om zich digitaal veiliger te gedragen door middel van gebruikersgericht ontwerp.Doel Het doel van dit project is om een gebruikersgerichte aanpak voor bruikbare cybersecurity ontwikkelen op basis van wetenschappelijk inzichten over gedrag en design, toegepast op de praktijk. Resultaten Het resultaat zal een handelingskader zijn die een weergave geeft van een gebruikersgerichte aanpak om te komen tot bruikbare cybersecurity. Het is een handige manier om te begrijpen hoe digitale handelingen veiliger gemaakt kunnen worden door het ontwerp van beveiligingsmaatregelen Looptijd 01 oktober 2022 - 01 oktober 2023 Aanpak Aan de hand van een praktijkopdracht en literatuur worden inzichten verworven in bruikbare cybersecurity. Deze inzichten worden gebruikt als leidraad voor het creëren van gebruiksvriendelijke ontwerpen tijdens een co-creatie sessie met experts. De ontwerpen die hieruit voortkomen worden getest en de opgedane kennis wordt in een bredere context gezet.
In het project onderzoeken we hoe je mensen op de werkvloer kan helpen om zich digitaal veiliger te gedragen door middel van gebruikersgericht ontwerp.
Uit vooronderzoek van het lectoraat Cybersecurity in het mkb blijkt dat 39% van de metaalbedrijven slachtoffer is geworden van een cyberaanval. Doordat metaalbedrijven in grote mate afhankelijk zijn van informatietechnologie (IT) is de impact van dergelijke aanvallen groot. Zo rapporteerden directeuren van mkb bedrijven directe financiële schade, verlies of beschadiging van gegevens en tijdsverlies. Vooronderzoek laat zien dat bedrijven te weinig maatregelen nemen om zichzelf te beschermen. Dit komt doordat bestaande risicomodellen voor cybersecurity - deze zijn ontwikkeld voor experts - niet goed toepasbaar zijn voor directeuren in het mkb. Om in die leemte te voorzien vraagt de Haagse Hogeschool samen met de Koninklijke Metaalunie en 12 metaalbedrijven subsidie aan om een risicomodel te ontwikkelen dat wel toegepast kan warden door mkb bedrijven in de metaalsector. Dit onderzoek gaat uit van IS0 270011 en levert een risicomodel op dat door het mkb gebruikt kan warden om op een eenvoudige wijze basale processen random cybersecurity in te richten. Hiermee geven we ondernemers handvaten om zelf hun cybersecurity op orde te kunnen brengen. De uitkomsten van dit project dienen als basis voor een omvangrijker projectvoorstel waarbij we het model verder verdiepen en ook toepasbaar maken voor mkb bedrijven binnen andere branches van de smart industry.
