Digital Trust Center

Een derde van de kleine bedrijven onderneemt geen enkele actie om veilig online te zijn. De aankomende NIS2-richtlijn, die gericht is op een versterking van de digitale en economische weerbaarheid, is nog onbekend bij het merendeel van de medewerkers. En phishing is nog steeds de meest voorkomende vorm van cybercriminaliteit binnen de werkomgeving. Een greep uit de resultaten van het Alert Online-trendonderzoek dat vandaag is gepubliceerd. In opdracht van het ministerie van Economische Zaken voerde Ipsos I&O onderzoek uit naar de kennis en beleving van de digitale veiligheid van Nederlanders. Op deze pagina zoomen we in op enkele opvallende bevindingen uit het Deelrapport Bedrijfsleven. Medewerkers schatten eigen kennis over online veiligheid hoger in dan in 2023 Ruim een kwart (27%) van de medewerkers schat hun eigen kennis over online veiligheid in als (zeer) goed. In 2023 lag dit percentage op 21%. ICT-verantwoordelijken schatten hun kennis hoger in dan andere medewerkers. Het aandeel ICT-verantwoordelijken dat zijn of haar kennis als (zeer) goed beoordeelt, is 53%. Aan de andere kant maken vier op de tien (40%) ICT-verantwoordelijken zich zorgen over de eigen online veiligheid op het werk. Voor medewerkers is dit percentage significant lager: 23% zegt zich zorgen te maken. NIS2-richtlijn nog onbekend onder het gros van de medewerkers De NIS2-richtlijn voor informatiebeveiliging gaat vanaf oktober 2024 in. Een derde (33%) van de ICT-verantwoordelijken heeft wel eens van de NIS2-richtlijn gehoord of is goed op de hoogte. In de sectoren die onder de NIS2-richtlijn vallen, is 45% van de ICT-verantwoordelijken bekend met de richtlijn. Medewerkers binnen alle andere typen bedrijven zijn minder goed op de hoogte: 85% heeft nog nooit van NIS2 gehoord. Negen op de tien zijn er niet van op de hoogte dat hun bedrijf (waarschijnlijk) onder de richtlijn gaat vallen. Een derde van kleine bedrijven onderneemt geen actie om veilig online te zijn Inloggen in twee stappen is de meest genomen actie ten behoeve van online veilig gedrag bij bedrijven (medewerkers: 38%). Ook door ICT-verantwoordelijken (54%) en medewerkers van grote bedrijven (50%) wordt deze maatregel het vaakst genoemd. Bij drie op de vijf medewerkers maakt de werkgever automatische back-ups van alle bestanden. Kleine bedrijven ondernemen minder acties. Bovendien onderneemt een derde van deze bedrijven (32%) geen enkele actie ten behoeve van veilig online gedrag. Grote bedrijven ondernemen naar verhouding juist meer acties. Bij bedrijven waar afspraken zijn gemaakt over veilig online gedrag, vinden vier op de vijf medewerkers het gemakkelijk om zich aan die afspraken te houden. Opvallend is dat kleine bedrijven met minder dan 10 werknemers vaker dan in 2023 aangeven geen maatregelen te nemen ten behoeve van veilig online gedrag. In 2023 nam 19% van de bedrijven geen enkele actie, dat percentage is nu gestegen naar 32%. Phishing komt het vaakst voor Zes op de tien (58%) medewerkers ontvingen in de afgelopen twaalf maanden een phishingmail. Onder ICT-verantwoordelijken was dit zelfs 72%. Bij beide groepen is dit de vorm van cybercriminaliteit die men het meest meemaakt. Net zoals in 2023 hebben ICT-verantwoordelijken vaker te maken met verschillende voorgelegde vormen van cybercriminaliteit dan andere medewerkers. Ruim de helft van de medewerkers zou zich schamen wanneer hij of zij op een phishinglink heeft geklikt, driekwart zou het meteen aan anderen of aan de ICT-afdeling vertellen als hij of zij per ongeluk een virus gedownload heeft. Onderzoek Alert Online 2024 Elk jaar wordt een onderzoek gedaan naar de kennis, houding en gedrag van verschillende doelgroepen op het gebied van online veiligheid. Het onderzoek bestaat uit een hoofdrapport en deelrapporten over het bedrijfsleven en de overheid. Voor het deelrapport Bedrijfsleven is het onderzoek uitgevoerd onder 738 medewerkers en 417 ICT-verantwoordelijken. Download het deelrapport om de inzichten van de werknemers in het bedrijfsleven te lezen. Cybersubsidie voor kleine bedrijven Het kan zijn dat kleine bedrijven een financiële drempel ervaren bij het nemen van hoognodige basismaatregelen. Daarom stelt het Digital Trust Center tijdelijk een subsidie van maximaal €1.250 beschikbaar voor kleine bedrijven die hun cyberweerbaarheid willen verhogen. Via de gratis CyberVeilig Check voor mkb en zzp krijg je in een paar minuten in beeld welke cybermaatregelen je nog moet treffen om de basis op orde te maken. Meer informatie over de subsidie.

Op 2 september gaat de subsidieregeling ‘Mijn Cyberweerbare Zaak’ weer open. Micro- en kleine ondernemingen kunnen met deze regeling subsidie krijgen voor de kosten van de aanschaf en implementatie van één of meer belangrijke cyberweerbaarheidsmaatregelen. Dit jaar stelt het Digital Trust Center (DTC) een totaalbedrag van €1.000.000 beschikbaar om de financiële drempel te verlagen. Met name kleine ondernemingen ervaren deze drempel bij het nemen van basismaatregelen die de weerbaarheid tegen cyberaanvallen verhogen. Cyberweerbaarheid bij kleine ondernemingen Veel kleine bedrijven blijven achter met hun cyberweerbaarheid en nemen nog niet voldoende basismaatregelen. Dat er een zogenoemde 'cyberweerbaarheidskloof' ontstaat tussen de cyberdreigingen en de maatregelen die kleine bedrijven nemen, wordt bevestigd in de Cybersecuritymonitor van het CBS en het advies van de Cyber Security Raad. Analyse van de data uit de CyberVeilig Check voor zzp en mkb leert dat van de top 3 van al genomen maatregelen bestaat uit antivirussoftware (76%), back-ups (74%) en het herkennen van phishing (68%). Als we de antwoorden van bijna 10.000 ondernemers die cyberscan invulden, uitsplitsen naar de sectoren waarin ze opereren, dan zijn er verschillen te zien in de mate waarin cybersecuritymaatregelen genomen zijn. Bekijk meer data uit de CyberVeilig Check, met per basismaatregel een score per sector. Stimulans voor kleine bedrijven Met praktische voorlichting, zelfscans en het delen van ervaringsverhalen van ondernemers die getroffen zijn door een cyberaanval, stimuleert het DTC ondernemers om de basis op orde te maken. Toch zet dit niet elke ondernemer aan tot het verbeteren van de cyberveiligheid. Uit de evaluatie van de pilot van 'Mijn Cyberweerbare Zaak' in 2023 blijkt dat een financiële stimulans ervoor zorgt dat kleine bedrijven aan de slag gaan met hun cyberweerbaarheid en sneller overgaan tot aanschaf en implementatie van cyberveilige maatregelen. Daarom heropent het DTC deze subsidieregeling en stelt deze keer een groter subsidiebudget beschikbaar. Mijn Cyberweerbare Zaak in het kort De subsidie kan worden aangevraagd door zelfstandig ondernemers en mkb-bedrijven met maximaal 50 medewerkers en een jaaromzet van maximaal € 10 miljoen. Subsidiabel zijn maatregelen die vallen onder de volgende categorieën: Veilige netwerktoegang/wifi Wachtwoordmanager Tweefactorauthenticatie (2FA), tweestapsverificatie en multifactortauthenticatie (MFA) Patch-management Antivirussoftware Back-ups instellen en testen Risico-inventarisatie en -evaluatie (RI&E) Cyber awareness trainingen De subsidie bedraagt 50% van de kosten voor aanschaf of implementatie, met een maximum van €1.250 per aanvrager. Het budget wordt verdeeld op volgorde van binnenkomst van de aanvragen totdat het subsidiebudget is uitgeput. Subsidie aanvragen in 3 stappen In drie stappen vraag je een Mijn Cyberweerbare Zaak-subsidie aan. De eerste stap is om te weten waar de cyberveiligheid van jouw bedrijf nog tekortschiet. Met de CyberVeilig Check voor zzp en mkb download je jouw eigen actielijst (PDF) met te nemen cyberweerbaarheidsmaatregelen. De tweede stap is het aanschaffen van de (subsidiabele) producten of diensten van je actielijst. De laatste stap bestaat uit de aanvraag van de subsidie en het uploaden van de actielijst en de factuur bij de Rijksdienst voor Ondernemend Nederland (RVO). Michel Verhagen, manager DTC: “Ondernemers zijn druk met ondernemen. Cybersecurity staat vaak niet bovenaan de prioriteitenlijst. Ten onrechte wordt vaak gedacht dat kleine ondernemers geen doelwit zijn, want de realiteit is anders. Graag stimuleren we kleine ondernemers om nú in actie te komen en snel de belangrijkste cybermaatregelen te treffen. Want met een paar eenvoudige ingrepen maak je de kans dat je het volgende slachtoffer wordt echt kleiner. Laat deze subsidie het laatste zetje zijn om vandaag nog in actie te komen.” Subsidieregeling voor kleine bedrijven Relevante links Mijn Cyberweerbare Zaak (RVO) CyberVeilig Check voor zzp en mkb Campagnetoolkit

In samenwerking met de politie waarschuwt het Digital Trust Center (DTC) voor de risico's van het gebruik van generatieve kunstmatige intelligentie (AI) op de werkvloer. Ook delen zij tips over hoe zowel werknemers als werkgevers veilig om kunnen gaan met AI. Menselijk contact is hierbij de sleutel. Terwijl AI-hulpmiddelen zoals tekstgeneratoren en beeldcreatie-apps ondernemers aanzienlijke (efficiëntie) voordelen bieden, is er ook een donkere zijde aan deze technologieën. Ook cybercriminelen kunnen deze tools gebruiken voor frauduleuze praktijken. Identiteitsfraude, zoals CEO-fraude. Zo kan AI ingezet worden om bijvoorbeeld een stem te klonen of om realistische teksten op te stellen. Desinformatie verspreiden. Taalmodel ChatGPT produceert authentiek lijkende teksten op schaal en met grote snelheid. Een dergelijk taalmodel kan criminelen helpen voor propaganda- en desinformatiedoeleinden. Malware. ChatGPT is in staat om codes te produceren in een aantal verschillende programmeertalen. Voor een potentiële crimineel met weinig technische kennis is dit een onschatbare bron om kwaadaardige codes (zoals malware) te produceren. Manon den Dunnen, Strategisch Specialist Digitaal bij de politie, benadrukt het belang om waakzaam te zijn als je zelf gebruik maakt van AI: “Als je het niet op LinkedIn zou zetten, moet je het ook niet invoeren op ChatGPT. Want dat systeem traint zichzelf met de informatie die je invoert en voordat je het weet komt jouw informatie terug in teksten die gegenereerd zijn voor anderen. Daarom hebben bedrijven zoals Samsung hun medewerkers verboden het te gebruiken.” Tips voor het omgaan met kunstmatige intelligentie en cybercriminelen die hier gebruik van maken: Vertrouwelijke gesprekken kun je het beste in persoon voeren. Voer nooit vertrouwelijke gegevens in ChatGPT of vergelijkbare taalmodellen. Dus ook geen namen van personen. Wees bewust dat de systemen gericht zijn op het genereren van teksten ‘die lijken op’. Het is geen zoekmachine, er zit namelijk geen database achter, dus gebruik het niet als feitelijkheid belangrijk is. Bij twijfel over de identiteit van de persoon aan de telefoon, kun je voorstellen om terug te bellen. Een andere mogelijkheid is om een belevingsvraag te stellen. Bijvoorbeeld: Hoe was je gesprek gisteren? Er kunnen afspraken gemaakt worden om bijvoorbeeld facturen alleen af te handelen wanneer er een mogelijkheid bij zit om te controleren wat de bron is. Onderzoek welke oplossingen je in afstemming met partners in de keten kunt doorvoeren om de authenticiteit van de afzender van facturen of andere belangrijke communicatie, vast te stellen. Grijp terug op adviezen relevant voor bijvoorbeeld phishing of CEO-fraude. Deze vormen van cyberincidenten blijven in de basis hetzelfde ook al wordt AI als hulpmiddel ingezet. Weet welke vragen je moet stellen bij de aanschaf van inkoop van software. Bijvoorbeeld: Op welke manier maakt deze software gebruik van kunstmatige intelligentie, hoe is het getraind, wat gebeurt er met deze data en welke veiligheidsvraagstukken spelen er? Relevante links Vertrouwelijke gesprekken kun je beter in persoon voeren AI - Kans of bedreiging Online fraude uitgelegd Wat is BEC-fraude?

Wat een mooie voorbeelden en zeker goed om ondernemers met elkaar en met IT-professionals in contact te laten komen via een forum als Higherlevel. Ook de DTC Community van het Digital Trust Center - onderdeel van het Ministerie van Economische Zaken en Klimaat - biedt ondernemers de mogelijkheid om hun vragen over cybersecurity te stellen en kennis uit te wisselen. Er zijn zowel ondernemers als IT-professionals en CISO's lid en je krijgt vaak al binnen een uur meerdere reacties en adviezen, van experts en mede-ondernemers. Meer informatie: https://digitaltrustcenter.nl/community

Update oktober 2024: Zie hier de huidige stand van zaken rondom NIS2 Op 18 oktober is de zelf-evaluatie NIS2 gelanceerd, die in nauwe afstemming met betrokken ministeries en toezichthouders, door de Rijksinspectie Digitale Infrastructuur (RDI) is ontwikkeld. Wie de zelf-evaluatie invult, weet of zijn organisatie onder de NIS2-richtlijn valt. Ook wordt duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. Bekijk de NIS2 zelf-evaluatie tool om te bepalen of je organisatie onder de NIS2-richtlijn valt. Wat is de NIS2-richtlijn? De NIS2 is een Europese richtlijn die op dit moment, onder coördinatie van het ministerie van Justitie en Veiligheid en in samenwerking met de vakdepartementen, wordt vertaald naar nationale wetgeving. Op de pagina Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie kun je meer informatie vanuit het Digital Trust Center vinden over de aanleiding en inhoud van deze richtlijn. Waarom is de zelf-evaluatie tool ontwikkeld? De NIS2-richtlijn moet eind 2024 zijn vertaald naar nationale wetgeving, die dan gaat gelden voor alle organisaties die volgens de richtlijn gezien worden als ‘essentieel’ of ‘belangrijk.’ Dat betekent dat deze organisaties nog een jaar de tijd hebben om zich voor te bereiden op de verplichtingen van de aankomende wetgeving. Vandaar dat de RDI de zelf-evaluatie tool heeft ontwikkeld, zodat organisaties nu al kunnen inschatten of zij straks aan de nieuwe regels moeten voldoen. Concept wetteksten binnenkort in internetconsultatie Binnenkort start de internetconsultatie, die organisaties de mogelijkheid geeft te reageren op de concept wetteksten die uit de NIS2-richtlijn voortkomen. Hierdoor krijgen organisaties ook meer inzicht in wat er van hen verwacht wordt, als ze eind 2024 aan de wet moeten voldoen. Op het moment dat deze internetconsultatie wordt aangekondigd, zal de Rijksoverheid ook informatie en voorlichting bieden om aan de slag te gaan met de voorbereidingen op de aankomende wetgeving. Naar de NIS2 zelf-evaluatie tool Relevante links: Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie? Stel jouw vragen over NIS2 via de DTC Community Bekijk het NIS2-webinar

Er is een kloof ontstaan tussen de cyberdreigingen en de maatregelen die bedrijven nemen tegen deze cyberdreigingen. Kleine bedrijven nemen nog niet genoeg maatregelen, blijkt uit onderzoeken van het DTC en het CBS. Praktische voorlichting over cyberveiligheid helpt weliswaar, maar zet nog niet elke ondernemer aan tot actie. Zal het wegnemen van een financieel knelpunt kleinere ondernemers aanzetten tot het nemen van enkele cybersecuritymaatregelen? Dat is wat het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, te weten wil komen in een pilot subsidieregeling ‘Mijn Cyberweerbare Zaak’. Het DTC stelt hiervoor €300.000 beschikbaar. Het DTC zal de pilot evalueren en bepalen of en op welke manier voortzetting (met een hoger budget) van de subsidiemodule zal plaatsvinden. Mijn Cyberweerbare Zaak Micro- en kleine ondernemingen kunnen via de subsidieregeling ‘Mijn Cyberweerbare Zaak’ subsidie krijgen voor de kosten van de aanschaf en implementatie van één of meer cruciale cyberweerbaarheidsmaatregelen. Hieronder vallen bijvoorbeeld het inrichten van back-ups, een wachtwoordmanager en het laten uitvoeren van een risico-inventarisatie. De subsidie bedraagt 50% van de kosten die een IT-dienstverlener rekent, met een maximum van €1.250 per aanvrager. Bedrijven kunnen éénmalig een beroep doen op deze subsidieregeling. Cybersecuritymaand oktober Het aanvragen van deze investeringssubsidie kan van 2 oktober tot 1 november 2023, 17.00 uur. Het beschikbare subsidiebudget voor Mijn Cyberweerbare Zaak is €300.000. Dit budget wordt verdeeld op volgorde van binnenkomst van de aanvragen totdat het subsidiebudget is uitgeput. Advies, aanbod en subsidie in 3 stappen De eerste stap is om te weten waar de cyberveiligheid van jouw bedrijf nog tekortschiet. Met de CyberVeilig Check maak je binnen tien minuten jouw eigen actielijst (PDF) met te nemen cybermaatregelen. De tweede stap is het benaderen van een leverancier van IT-beveiligingsdiensten die kan ondersteunen bij één of meer maatregelen van de actielijst. De laatste stap bestaat uit de aanvraag van de subsidie en het uploaden van de actielijst en offerte(s) bij de Rijksdienst voor Ondernemend Nederland (RVO). Michel Verhagen, manager DTC: “Ondernemers zijn druk met ondernemen. Cybersecurity staat vaak niet bovenaan de prioriteitenlijst. Ten onrechte wordt vaak gedacht dat kleine ondernemers geen doelwit zijn, want de realiteit is anders. Graag stimuleren we kleine ondernemers om nú in actie te komen en snel de belangrijkste cybermaatregelen te treffen. Want met een paar eenvoudige ingrepen maak je de kans dat je het volgende slachtoffer wordt echt kleiner. Laat deze subsidie het laatste zetje zijn om vandaag nog in actie te komen.” Bekijk Mijn Cyberweerbare Zaak Relevante links Subsidieregeling voor kleine bedrijven Mijn Cyberweerbare Zaak (RVO) CyberVeilig Check voor mkb en zzp Veel kleine bedrijven zijn onvoldoende cyberweerbaar Campagnetoolkit