Zoekresultaten

De ontwikkeling en evaluatie van het project “MKB Cyber Buddy’s"

Cybercriminaliteit is een veelvoorkomend probleem geworden in Nederland (CBS, 2022). Nederlandse gemeenten hebben cybercrime dan ook breed als beleidsprioriteit opgepakt. Gemeenten geven daarbij aan behoefte te hebben aan handvaten om hun inwoners en ondernemers weerbaarder te maken tegen cybercriminaliteit. In het project “Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime” werken professionals uit twaalf4 gemeenten en vier5 regionale veiligheidsnetwerken samen met onderzoekers van de Haagse Hogeschool, Hogeschool Saxion en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) aan wetenschappelijk onderbouwde interventies waaromee ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente kunnen vergroten. In dit rapport staat slachtofferschap van cybercriminaliteit onder mkb’ers centraal. Het midden‐ en kleinbedrijf (mkb) wordt relatief vaak slachtoffer van cybercriminaliteit en ondervindt hiervan in hoge mate schade (CBS, 2018; Notté et al., 2019). Met name de toename van slachtofferschap van ransomware binnen het mkb is een zorgelijke ontwikkeling. Het is van groot belang dat mkb’ers maatregelen nemen om een ransomware aanval te voorkomen en de schade zo veel mogelijk te beperken. Beschermende maatregelen worden echter door veel mkb’ers slechts in geringe mate ingezet (Bekkers et al., 2021; CBS, 2021; Notté et al., 2019; Veenstra et al., 2015). De cyberweerbaarheid van mkb’ers (het vermogen van een organisatie om cyberincidenten te weerstaan, daarop te kunnen reageren en van te herstellen, zodat de organisatie operationeel blijft) is daardoor te beperkt. In dit rapport presenteren we de ontwikkeling en evaluatie van een interventie genaamd “MKB Cyber Buddy’s”. Het doel van de interventie is om de weerbaarheid van mkb’ers tegen ransomware te vergroten. De interventie is er op gericht om mkb’ers niet alleen te informeren over cybercriminaliteit, maar ze ook door actieve deelname tot een positieve gedragsverandering te brengen. Onder mkb’ers verstaan we in dit onderzoek ondernemers met minimaal één en maximaal 250 werknemers. De hoofdvraag in dit rapport is: Is de interventie “MKB cyber buddy’s” een effectieve interventie voor Nederlandse gemeenten om de cyberweerbaarheid van mkb’ers in hun gemeente met betrekking tot ransomware te bevorderen? Het doel van dit rapport is tweeledig. Enerzijds beschrijft dit rapport de onderbouwing en ontwikkeling van de interventie “MKB Cyber Buddy’s”. Anderzijds beschrijft dit rapport de evaluatie van de pilot die is uitgevoerd in 2022, betreffende de effectiviteit, sterke kanten, valkuilen en onvoorziene gevolgen van de interventie. Hiermee zullen inzichten geboden worden in hoe de interventie verbeterd kan worden en in de toekomst op grotere schaal kan worden ingezet.

Digitalisering en de juridische functie van Rijkswaterstaat

Een alternatief voor jeugdige hackers?

Achtergrond Online criminaliteit is een veelvoorkomende vorm van criminaliteit geworden. Bij online criminaliteit – en in het bijzonder bij vormen van cybercriminaliteit zoals hacken – wordt snel gedacht aan internationaal opererende dadersgroepen die hun aanvallen in Nederland uitvoeren vanuit verre landen met alle gevolgen van dien voor de opsporing en vervolging van daders. Een (aanzienlijk) deel van de daders van cybercriminaliteit bevindt zich echter ook in Nederland. De gevolgen van de door deze dadergroep gepleegde delicten kunnen groot zijn. Er zijn op dit moment geen bewezen effectieve interventies voor daders van online criminaliteit. Als reactie op de grote instroom van (jonge) cyberverdachten hebben het Openbaar Ministerie (OM) en de Nationale Politie de interventie Hack_Right ontwikkeld. Hack_Right is een alternatief of aanvullend straftraject voor jeugdige daders (12 tot 23 jaar) die hun eerste delict cybercriminaliteit plegen. Het is de eerste interventie in Nederland die zich richt op (jonge) cybercriminelen en is daarmee een unieke interventie. Onderzoeksvragen en ‑methoden Onderhavig onderzoek heeft tot doel om de interventie Hack_Right en de tot nu toe uitgevoerde trajecten te evalueren. Omdat Hack_Right pas relatief kort loopt en aan het einde van de dataverzamelingsperiode van dit onderzoek veertien casussen waren afgerond, is het nog te vroeg voor een effectevaluatie. Wel kan er een plan- en procesevaluatie worden uitgevoerd. De volgende onderzoeksvragen staan in het onderzoek centraal: (1) Wat is Hack_Right en hoe is Hack_Right theoretisch onderbouwd? (2) Hoe zijn de tot nu toe uitgevoerde Hack_Right trajecten verlopen? (3) Hoe hebben alle betrokkenen de tot nu toe uitgevoerde Hack_Right-trajecten ervaren? Voor de evaluatie van Hack_Right zijn kwalitatieve onderzoeksmethoden gebruikt. Kwalitatief onderzoek is een geschikte methode om de werkelijkheid van binnenuit te bestuderen en zodoende zicht te krijgen op de verschillende processen die een rol spelen bij een fenomeen. Daarnaast is er maar een klein aantal deelnemers dat Hack_Right tot op heden heeft gevolgd, waardoor kwantitatief onderzoek nog niet haalbaar is. De eerste onderzoeksmethode is documentanalyse. Het doel van de documentanalyse is om inzicht te krijgen in de plannen van Hack_Right, zoals die op papier staan. Zo kan worden onderzocht wat Hack_Right is, hoe Hack_Right theoretisch is onderbouwd en welke trajecten tot nu toe zijn uitgevoerd. Verschillende documenten zijn hiervoor geraadpleegd. De tweede onderzoeksmethode is het interviewen van bij de uitvoering van Hack_Right betrokken personen. Het doel van de interviews was drieledig. Ten eerste was het doel om in aanvulling op de beleidsdocumenten een beter inzicht te krijgen in de plannen omtrent Hack_Right. Een tweede doel was om inzicht te krijgen in het verloop van de tot nu toe uitgevoerde Hack_Right-trajecten. Het derde doel van de interviews was om de ervaringen met Hack_Right van alle betrokkenen in kaart te brengen. In totaal zijn 28 interviews afgenomen met respondenten die op verschillende manieren betrokken zijn bij de Hack_Right interventie: twee interventieontwikkelaars, vijf toewijzers, elf uitvoerders en tien deelnemers.

The Soft Skills Business Demands of the Chief Information Security Officer

While many researchers have investigated soft skills for different roles related to business, engineering, healthcare and others, the soft skills needed by the chief information security officer (CISO) in a leadership position are not studied in-depth. This paper describes a first study aimed at filling this gap. In this multimethod research, both the business leaders perspective as well as an analysis of CISO job ads is studied. The methodology used to capture the business leaders perspective is via a Delphi study and the jobs adds are studied using a quantitative content analysis. With an increasing threat to information security for companies, the CISO role is moving from a technical role to an executive role. This executive function is responsible for information security across all layers of an organisation. To ensure compliance with the security policy among different groups within the company, such as employees, the board, and the IT department, the CISO must be able to adopt different postures. Soft skills are thus required to be able to assume this leadership role in the organisation. We found that when business leaders were asked about the most important soft skills the top three consisted out of 'communication', ‘leadership’ and 'interpersonal' skills while 'courtesy' was last on the list for a CISO leadership role.

Effectiveness of CTF education: Measuring the learning outcomes of Jeopardy CTF’s

Adversarial thinking is essential when dealing with cyber incidents and for finding security vulnerabilities. Capture the Flag (CTF) competitions are used all around the world to stimulate adversarial thinking. Jeopardy-style CTFs, given their challenge-and-answer based nature, are used more and more in cybersecurity education as a fun and engaging way to inspire students. Just like traditional written exams, Jeopardy-style CTFs can be used as summative assessment. Did a student provide the correct answer, yes or no. Did the participant in the CTF competition solve the challenge, yes or no. This research project provides a framework for measuring the learning outcomes of a Jeopardy-style CTF and applies this framework to two CTF events as case studies. During these case studies, participants were tested on their knowledge and skills in the field of cybersecurity and queried on their attitude towards CTF education. Results show that the main difference between traditional written exam and a Jeopardy-style CTF is the way in which questions a re formulated. CTF education is stated to be challenging and fun because questions are formulated as puzzles that need to be solved in a gamified and competitive environment. Just like traditional written exams, no additional insight into why the participant thinks the correct answer is the correct answer has been observed or if the participant really did learn anything new by participating. Given that the main difference between a traditional written exam and a Jeopardy-style CTF is the way in which questions are formulated, learning outcomes can be measured in the same way. We can ask ourselves how many participants solved which challenge and to which measurable statements about “knowledge, skill and attitude” in the field of cybersecurity each challenge is related. However, when mapping the descriptions of the quiz-questions and challenges from the two CTF events as case studies to the NICE framework on Knowledge, Skills and Abilities in cybersecurity, the NICE framework did not provide us with detailed measurable statements that could be used in education. Where the descriptions of the quiz-questions and challenges were specific, the learning outcomes of the NICE framework are only formulated in a quite general matter. Finally, some evidence for Csíkszentmihályi’s theory of Flow has been observed. Following the theory of Flow, a person can become fully immersed in performing a task, also known as “being in the zone” if the “challenge level” of the task is in line with the person’s “skill level”. The persons mental state towards a task will be different depending on the challenge level of the task and required skill level for completing it. Results show that participants state that some challenges were difficult and fun, where other challenges were easy and boring. As a result of this9 project, a guide / checklist is provided for those intending to use CTF in education.

The Influence of Knowledge and Attitude on Intention to Adopt Cybersecure Behaviour

In general, people are poorly protected against cyberthreats, with the main reason being user behaviour. For the study described in this paper, a ques-tionnaire was developed in order to understand how people’s knowledge of and attitude towards both cyberthreats and cyber security controls affect in-tention to adopt cybersecure behaviour. The study divides attitude into a cog-nitive and an affective component. Although only the cognitive component of attitude is usually studied, the results from a questionnaire of 300 respond-ents show that both the affective and cognitive components of attitude have a clearly positive, albeit varying, influence on behavioural intention, with the affective component having an even greater effect on attitude than the cog-nitive aspect. No correlation was found between knowledge and behavioural intention. The results indicate that attitude is an important factor to include when developing behavioural interventions, but also that different kinds of attitude should be addressed differently in interventions.