Cyberweerbaarheidskloof verkleinen? Overwin eerst belemmerende overtuigingen

Op 4 juni overhandigde de Cyber Security Raad (CSR) het advies Verkleinen van de Cyberweerbaarheidskloof aan voormalig minister Adriaansens van Economische Zaken en Klimaat. Deze kloof gaat over de grote verschillen tussen bedrijven die hun cyberweerbaarheid op orde hebben en achterblijvers bij wie dit nog niet het geval is. Het advies is mede gebaseerd op de uitkomsten van een onderzoek van Deloitte naar de oorzaken van de cyberweerbaarheidskloof. Ook verwijst de raad naar bovengenoemd onderzoek van TNO in opdracht van het Digital Trust Center (DTC) naar de beweegredenen voor ondernemers om al dan niet in te zetten op verbetering van hun cyberweerbaarheid.

Cyberweerbaarheidskloof verkleinen

Al in 2021 stelde Het Cyber Security Beeld Nederland (CSBN): “Cyberaanvallen tasten zenuwstelsel maatschappij aan” Cyberweerbaarheid was volgens het (CSBN in onze maatschappij nog onvoldoende aanwezig, waarbij een groot verschil in mate van weerbaarheid geconstateerd wordt tussen organisaties.

Recente versies van het CSBN bevestigen dit beeld. Zo stelt het CSBN uit 2023: “Er gaapt een groeiende kloof tussen organisaties die de cyberveiligheid op orde hebben en organisaties die dat niet hebben” (NCTV, 2023). De publicatie constateert daarbij dat ondanks hun beste bedoelingen deze ‘achterblijvers’ niet altijd actie ondernemen in het verhogen van hun huidige cyberweerbaarheidsniveau naar een optimaal niveau, passend bij het risicoprofiel van het bedrijf.

Deloitte constateert nu dat de cyberweerbaarheidskloof kan beschreven worden aan de hand van het huidige versus het optimale cyberweerbaarheidsniveau van een bedrijf. De huidige cyberweerbaarheid van een bedrijf is het vertrekpunt, de optimale cyberweerbaarheid is het beoogde doel dat nodig is om vastgestelde risico’s afdoende te mitigeren om digitaal weerbaar te zijn.

Risicoprofiel verschilt per bedrijf

Het totaalpakket aan risico’s (het risicoprofiel) wordt onder andere bepaald door de aard van een bedrijf, de sector en de keten waarin het actief is, de digitale infrastructuur en de gevoeligheid van data en het dreigingslandschap. Het optimale cyberweerbaarheidsniveau is dus afhankelijk van het risicoprofiel en verschilt daarom ook per bedrijf. 

Bedrijven waarbij het huidige niveau van cyberweerbaarheid ook het optimale niveau van cyberweerbaarheid betreft (of daar heel dichtbij zit), hebben hun cybersecurityrisico’s onder controle, terwijl er ook bedrijven zijn waarbij het huidige cyberweerbaarheidsniveau ver achterblijft bij het optimale niveau. Voor deze laatste groep betekent dit dat bedrijven:

1. Of de huidige en/of optimale cyberweerbaarheidsniveaus niet kennen,
2. Of deze niveaus wel kennen maar er bewust niet voor kiezen of onvoldoende in slagen de cyberweerbaarheid te versterken.

Deloitte stelt daarmee dat het optimale cyberweerbaarheidsniveau afhankelijk is van het type bedrijf. Een bakker hoeft in absolute termen niet even cyberweerbaar te zijn als een internationaal technologiebedrijf in de medische sector. Als bedrijven onderling worden vergeleken, is dus het verschil tussen het optimale en huidige niveau van belang. Dit verschil definieert dus of een bedrijf voorloopt of achterblijft in vergelijking met andere bedrijven. Een bedrijf dat vooroploopt hoeft dus niet per se de meeste beveiligingsmaatregelen geïmplementeerd te hebben.

Mkb blijft achter

Veel bedrijven in vooral het mkb blijven achter met hun cyberweerbaarheid, constateerde de CSR onlangs. Dat is een risico voor de bedrijven zelf, maar kan ook tot maatschappelijke ontwrichting leiden. ‘Het mkb vormt de ruggengraat van onze economie en is onmisbaar voor alle grote maatschappelijke transities’, zegt CSR covoorzitter Theo Henrar. ‘Tegelijk zien we dat het mkb nadrukkelijk doelwit is van cybercriminelen. Onvoldoende cyberweerbaarheid is een risico voor het voortbestaan van het bedrijf zelf, maar door de onderlinge verbondenheid van bedrijven in de keten ook voor de hele bedrijfsketen zelf en daarmee dus ook voor het functioneren van onze samenleving.’

De overheid vindt daarom dat moet worden ingezet op het verhogen van de digitale weerbaarheid van bedrijven (zie bijvoorbeeld Strategie digitale economie uit 2022; NLCS 2022-2028; KIA veiligheid 2024-2027) en het verkleinen van de groeiende cyberweerbaarheidskloof (CSR meerjarenstrategie 2022-2025). En ook de Veiligheidsstrategie voor het Koninkrijk der Nederlanden 2023-2029 stelt dat een hogere digitale weerbaarheid en paraatheid van overheid, bedrijven en maatschappelijke organisaties nodig is.

Gevolgen cyberincident

Wanneer bedrijven slachtoffer worden van een cyberincident, krijgen ze te maken met financiële gevolgen, dataverlies en mogelijke schade aan hun reputatie. Het goede nieuws is echter dat veel incidenten kunnen worden voorkomen of een verminderde impact kunnen hebben wanneer beschermende maatregelen worden genomen. Deze maatregelen kunnen eenvoudige acties omvatten, zoals het regelmatig updaten van software, het maken van back-ups of het implementeren van multifactorauthenticatie. Ik noem dit ‘veilig digitaal ondernemen’.

Al lijken deze acties eenvoudig en geven veel partijen advies over de implementatie ervan, bedrijven voeren ze niet altijd uit. Dit komt door verschillende barrières die hen ervan weerhouden actie te ondernemen om hun digitale weerbaarheid te verbeteren. Sommige ondernemers geloven bijvoorbeeld niet dat cyberdreigingen een risico voor hen vormen, terwijl anderen de mogelijke impact van deze incidenten onderschatten of niet weten welke stappen ze kunnen nemen om zich ertegen te beschermen.

Naast een gebrek aan cyberbewustzijn en -kennis onder ondernemers, constateert Deloitte dat zij het moeilijk vinden te bepalen hoeveel en waarin zij moeten investeren . Het aanbod van hulpmiddelen voor het mkb is niet overzichtelijk en samenhangend en sluit niet aan bij de behoefte van veel mkb’ers.

Vergroten actiebereidheid

Onlangs heb samen met collega’s voor TNO onderzoek (zie onderaan het artikel uitleg over de onderzoeksmethodiek) gedaan naar het verkleinen van de kloof. De hoofdvraag van dit onderzoek was hoe de actiebereidheid vergroot kan worden onder niet-vitale organisaties om de digitale weerbaarheid te versterken.

Het doel van het onderzoek is om inzicht te geven in de motivaties en barrières die verschillende bedrijven ervaren bij veilig digitaal ondernemen. Om deze hoofdvraag te beantwoorden, zijn de volgende drie deelvragen geformuleerd:

1. Wie zijn die organisaties de onvoldoende maatregelen nemen?
2. Waarom nemen deze bedrijven niet de noodzakelijke maatregelen om zichzelf beter te beschermen?
3. Hoe kunnen we hierop het beste reageren?

Resultaten onderzoek

De doelgroeporganisaties zijn op te delen in vijf doelgroepen van verschillende omvang. Deze groepen verschillen van elkaar wat betreft de mate van veilig digitaal ondernemen en onderliggende gedragsbepalers.

Voorlopers (22%)

Bedrijven binnen deze groep tonen een patroon van het nemen van alle vereiste beschermende maatregelen. Ze zijn in staat om deze maatregelen te nemen, hebben de hulpbronnen om dat te doen en zijn zeer gemotiveerd. Bedrijven in deze groep kunnen worden aangemoedigd om nog vaker een wachtwoordmanager te gebruiken om hun wachtwoorden te beheren. Daarnaast kunnen deze bedrijven een belangrijke rol spelen bij het ondersteunen van andere bedrijven, bijvoorbeeld door hun kennis te delen via het online platform van de DTC community.

Uitbesteders (12%)

Ook bedrijven in deze groep scoren hoog op veilig digitaal ondernemen, maar minder dan Voorlopers. Ze zijn qua gedragsbepalers vergelijkbaar met Voorlopers, maar menen dat het nemen van beschermende maatregelen niet de verantwoordelijkheid is van hun eigen organisatie, en besteden hun cybersecurity in grote mate uit aan externe IT serviceproviders (72%). De overheid kan bedrijven in deze groep helpen met producten en diensten die hen ondersteunen bij het uitbesteden van IT-diensten, zoals sjablonen voor service level overeenkomsten en richtlijnen voor gesprekken met IT-dienstverleners. Ook kunnen bedrijven in deze groep worden aangemoedigd om nog vaker een wachtwoordmanager te gebruiken om hun wachtwoorden te beheren.

Overmoedigen (30%)

Overmoedigen nemen wel beschermende maatregelen, maar minder dan Voorlopers en Uitbesteders. Ze onderschatten de gevolgen van een cyberbeveiligingsincident. Deze organisaties geven niet veel om hoe hun organisatie bekend staat bij hun klanten en relaties wat betreft de mate van cyberveiligheid in hun bedrijfsvoering en denken dat de kans om slachtoffer te worden klein is. Bedrijven in deze groep kunnen worden aangemoedigd om hun response op een cyberincident uit te werken.

Machtelozen (18%)

Machtelozen nemen onvoldoende beschermende maatregelen. Ze hebben weinig kennis, vaardigheden en hulpbronnen om zichzelf te beschermen. Ze onderschatten de gevolgen van een cyberbeveiligingsincident echter niet, en denken dat de kans om slachtoffer te worden aanwezig is. Voor bedrijven in deze groep kan de overheid benadrukken dat het invoeren van tweefactorauthenticatie om accounts te beschermen van grote waarde is. Daarnaast is het belangrijk om regelmatige updates van software en systemen aan te moedigen.

Onverschilligen (18%)

Onverschilligen nemen onvoldoende beschermende maatregelen. Tegelijkertijd zijn ze niet overtuigd dat het nemen van aanbevolen maatregelen echt de dreiging zal verminderen, ze zijn niet gemotiveerd om hun organisatie te beschermen en denken dat de kans om slachtoffer te worden klein is. De overheid kan bedrijven in deze groep ondersteunen bij het identificeren van kwetsbaarheden in hun systemen. Ook is het van belang om hen aan te moedigen om hun response op een cyberincident uit te werken. Bovendien is het nodig om het gebruik van zowel tweefactorauthenticatie als een wachtwoordmanager te stimuleren.

Inzicht in behoeften, uitdagingen

Deze segmentering biedt de overheid inzicht in de behoeften en uitdagingen van de verschillende groepen op het gebied van veilig digitaal ondernemen. Zo kan de overheid gerichter ondersteunen bij het nemen van beschermingsmaatregelen.

Inzake het treffen van maatregelen voor veilig digitaal ondernemen zijn er drie doelgroepen die achterblijven: Overmoedigen, Machtelozen en Onverschilligen. Samen vormen zij 66 procent van de bedrijven. Het is van belang dat de overheid hen gericht aanmoedigt om specifieke cyberbeschermingsmaatregelen te treffen. Bedrijven in deze groepen hebben te maken met verschillende factoren die hen belemmeren om daadwerkelijk maatregelen te nemen. De overheid kan via een reeks stappen tot interventies komen die aansluiten bij de behoeften van elke specifieke doelgroep. Voor de Overmoedigen, Machtelozen en Onverschilligen zijn specifieke routekaarten ontwikkeld.

Aanbevelingen

Uit dit onderzoek van TNO zijn twee strategische aanbevelingen voortgekomen. Deze aanbevelingen geven richting bij het vergroten van de actiebereidheid van de doelgroeporganisaties en het bewerkstelligen van daadwerkelijke gedragsverandering.

1. Uitwerking, implementatie en evaluatie van stimulerende maatregelen voor een algemeen weerbaardere doelgroep, zodat doelgroeporganisaties daadwerkelijk stappen ondernemen om hun situatie te verbeteren. Het huidige onderzoek heeft aangetoond welke specifieke motivaties en barrières er zijn voor bepaalde doelgroepen. Ook zijn er voorbeelden gegeven van interventies die bedrijven in deze doelgroepen kunnen motiveren om stappen te zetten om hun eigen cyberweerbaarheid te vergroten óf anderen te helpen bij het nemen van maatregelen (bijvoorbeeld door ‘voorlopers’ te ondersteunen bij het helpen van ‘achterblijvers’). Deze aanbeveling richt zich op het uitwerken, implementeren en evalueren van specifieke stimulerende maatregelen die zijn afgestemd op de verschillende factoren die het gedrag van ondernemers beïnvloeden en die bepalend zijn voor hun beslissing om al dan niet actie te ondernemen. Een uitdaging hierbij is om ook die ondernemers te bereiken die van nature geen reden zien om actie te ondernemen, ongeacht de kwaliteit en beschikbaarheid van hulpbronnen. Deze groep neemt soms weloverwogen het risico op een cyberincident voor lief.
2. Zorg ervoor dat geschikte producten en diensten beschikbaar zijn via passende, bekende en toegankelijke kanalen. Deze aanbeveling richt zich op het bereiken van specifieke doelgroepen, inclusief de moeilijk bereikbare. Deze doelgroepen hebben uiteenlopende behoeften, variërend van uitleg over basismaatregelen tot meetinstrumenten om weerbaarheidsniveaus in kaart te brengen en ondersteuning bij risicoanalyses. Bovendien blijkt uit dit onderzoek dat bedrijven in de verschillende groepen verschillende communicatiekanalen gebruiken om zichzelf te informeren over veilig digitaal ondernemen. Dit benadrukt het belang van maatwerk bij het leveren van producten en diensten. Deze producten en diensten moeten bovendien makkelijk toegankelijk zijn waarbij verspreiding, ook in de toekomst, plaatsvindt via een centraal loket.

Meer weten over dit onderzoek, het verkleinen van de cyberweerbaarheidskloof of vervolgonderzoek naar specifieke stimulerende maatregelen? Neem contact op met dr. Rick van der Kleij, lector Cyberweerbare Organisaties bij Avans en sr. cybersecurity onderzoeker bij TNO.

Rick van der Kleij is ook spreker tijdens de Dutch IT Security Day op 15 oktober.

Aanpak van het onderzoek

Via de methode psychografische segmentatie hebben we onderzocht welke groepen bedrijven onvoldoende beschermende maatregelen nemen. Traditionele segmentatie op basis van bedrijfseconomische of geografische kenmerken (bijvoorbeeld omzet, bedrijfstak, vestigingsplaats) schiet tekort in het begrijpen van de redenen achter het gedrag van ondernemers. Psychografische segmentering verdeelt bedrijven op basis van motieven en barrières, wat inzicht geeft in waarom ondernemers (on)voldoende veilig digitaal ondernemen.

Om bedrijven te segmenteren, hebben we medio 2023 een vragenlijstonderzoek uitgevoerd onder een steekproef van de volwassen Nederlandse beroepsbevolking. Het onderzoek richtte zich op veilig digitaal ondernemen en bevroeg 795 ondernemers die eindverantwoordelijk of (mede)beslisser zijn voor veilig digitaal ondernemen binnen hun bedrijf. De variabele veilig digitaal ondernemen werd gemeten aan de hand van 11 stellingen over gedragingen op dit gebied, gebaseerd op de Basisscan Cyberweerbaarheid van het Digital trust Center (DTC) .

Op de verzamelde data zijn meerdere analyses uitgevoerd. Met een regressieanalyse hebben we de relaties tussen veilig digitaal ondernemen en mogelijke motivaties en barrières onderzocht. De uitkomsten van deze analyse laten zien welke variabelen van invloed zijn op veilig digitaal ondernemen. Er is vervolgens een latente klassenanalyse uitgevoerd om de doelgroeporganisaties te kunnen verdelen in groepen.

Binnen een groep lijken de bedrijven op elkaar, terwijl bedrijven in de verschillende groepen van elkaar verschillen op basis van de gemeten kenmerken. De bevindingen uit deze analyses zijn gebruikt om stapsgewijs interventie-ideeën te bepalen met als doel verschillende groepen bedrijven te kunnen bereiken en tot actie te bewegen. Ook is er een voorspellingsmodel ontwikkeld waarmee kan worden bepaald tot welk segment een bedrijf waarschijnlijk behoort.