Digital Trust Center

In samenwerking met de politie waarschuwt het Digital Trust Center (DTC) voor de risico's van het gebruik van generatieve kunstmatige intelligentie (AI) op de werkvloer. Ook delen zij tips over hoe zowel werknemers als werkgevers veilig om kunnen gaan met AI. Menselijk contact is hierbij de sleutel. Terwijl AI-hulpmiddelen zoals tekstgeneratoren en beeldcreatie-apps ondernemers aanzienlijke (efficiëntie) voordelen bieden, is er ook een donkere zijde aan deze technologieën. Ook cybercriminelen kunnen deze tools gebruiken voor frauduleuze praktijken. Identiteitsfraude, zoals CEO-fraude. Zo kan AI ingezet worden om bijvoorbeeld een stem te klonen of om realistische teksten op te stellen. Desinformatie verspreiden. Taalmodel ChatGPT produceert authentiek lijkende teksten op schaal en met grote snelheid. Een dergelijk taalmodel kan criminelen helpen voor propaganda- en desinformatiedoeleinden. Malware. ChatGPT is in staat om codes te produceren in een aantal verschillende programmeertalen. Voor een potentiële crimineel met weinig technische kennis is dit een onschatbare bron om kwaadaardige codes (zoals malware) te produceren. Manon den Dunnen, Strategisch Specialist Digitaal bij de politie, benadrukt het belang om waakzaam te zijn als je zelf gebruik maakt van AI: “Als je het niet op LinkedIn zou zetten, moet je het ook niet invoeren op ChatGPT. Want dat systeem traint zichzelf met de informatie die je invoert en voordat je het weet komt jouw informatie terug in teksten die gegenereerd zijn voor anderen. Daarom hebben bedrijven zoals Samsung hun medewerkers verboden het te gebruiken.” Tips voor het omgaan met kunstmatige intelligentie en cybercriminelen die hier gebruik van maken: Vertrouwelijke gesprekken kun je het beste in persoon voeren. Voer nooit vertrouwelijke gegevens in ChatGPT of vergelijkbare taalmodellen. Dus ook geen namen van personen. Wees bewust dat de systemen gericht zijn op het genereren van teksten ‘die lijken op’. Het is geen zoekmachine, er zit namelijk geen database achter, dus gebruik het niet als feitelijkheid belangrijk is. Bij twijfel over de identiteit van de persoon aan de telefoon, kun je voorstellen om terug te bellen. Een andere mogelijkheid is om een belevingsvraag te stellen. Bijvoorbeeld: Hoe was je gesprek gisteren? Er kunnen afspraken gemaakt worden om bijvoorbeeld facturen alleen af te handelen wanneer er een mogelijkheid bij zit om te controleren wat de bron is. Onderzoek welke oplossingen je in afstemming met partners in de keten kunt doorvoeren om de authenticiteit van de afzender van facturen of andere belangrijke communicatie, vast te stellen. Grijp terug op adviezen relevant voor bijvoorbeeld phishing of CEO-fraude. Deze vormen van cyberincidenten blijven in de basis hetzelfde ook al wordt AI als hulpmiddel ingezet. Weet welke vragen je moet stellen bij de aanschaf van inkoop van software. Bijvoorbeeld: Op welke manier maakt deze software gebruik van kunstmatige intelligentie, hoe is het getraind, wat gebeurt er met deze data en welke veiligheidsvraagstukken spelen er? Relevante links Vertrouwelijke gesprekken kun je beter in persoon voeren AI - Kans of bedreiging Online fraude uitgelegd Wat is BEC-fraude?

Wat een mooie voorbeelden en zeker goed om ondernemers met elkaar en met IT-professionals in contact te laten komen via een forum als Higherlevel. Ook de DTC Community van het Digital Trust Center - onderdeel van het Ministerie van Economische Zaken en Klimaat - biedt ondernemers de mogelijkheid om hun vragen over cybersecurity te stellen en kennis uit te wisselen. Er zijn zowel ondernemers als IT-professionals en CISO's lid en je krijgt vaak al binnen een uur meerdere reacties en adviezen, van experts en mede-ondernemers. Meer informatie: https://digitaltrustcenter.nl/community

Op 18 oktober is de zelf-evaluatie NIS2 gelanceerd, die in nauwe afstemming met betrokken ministeries en toezichthouders, door de Rijksinspectie Digitale Infrastructuur (RDI) is ontwikkeld. Wie de zelf-evaluatie invult, weet of zijn organisatie onder de NIS2-richtlijn valt. Ook wordt duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. Bekijk de NIS2 zelf-evaluatie tool om te bepalen of je organisatie onder de NIS2-richtlijn valt. Wat is de NIS2-richtlijn? De NIS2 is een Europese richtlijn die op dit moment, onder coördinatie van het ministerie van Justitie en Veiligheid en in samenwerking met de vakdepartementen, wordt vertaald naar nationale wetgeving. Op de pagina Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie kun je meer informatie vanuit het Digital Trust Center vinden over de aanleiding en inhoud van deze richtlijn. Waarom is de zelf-evaluatie tool ontwikkeld? De NIS2-richtlijn moet eind 2024 zijn vertaald naar nationale wetgeving, die dan gaat gelden voor alle organisaties die volgens de richtlijn gezien worden als ‘essentieel’ of ‘belangrijk.’ Dat betekent dat deze organisaties nog een jaar de tijd hebben om zich voor te bereiden op de verplichtingen van de aankomende wetgeving. Vandaar dat de RDI de zelf-evaluatie tool heeft ontwikkeld, zodat organisaties nu al kunnen inschatten of zij straks aan de nieuwe regels moeten voldoen. Concept wetteksten binnenkort in internetconsultatie Binnenkort start de internetconsultatie, die organisaties de mogelijkheid geeft te reageren op de concept wetteksten die uit de NIS2-richtlijn voortkomen. Hierdoor krijgen organisaties ook meer inzicht in wat er van hen verwacht wordt, als ze eind 2024 aan de wet moeten voldoen. Op het moment dat deze internetconsultatie wordt aangekondigd, zal de Rijksoverheid ook informatie en voorlichting bieden om aan de slag te gaan met de voorbereidingen op de aankomende wetgeving. Naar de NIS2 zelf-evaluatie tool Relevante links: Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie? Stel jouw vragen over NIS2 via de DTC Community Bekijk het NIS2-webinar

Er is een kloof ontstaan tussen de cyberdreigingen en de maatregelen die bedrijven nemen tegen deze cyberdreigingen. Kleine bedrijven nemen nog niet genoeg maatregelen, blijkt uit onderzoeken van het DTC en het CBS. Praktische voorlichting over cyberveiligheid helpt weliswaar, maar zet nog niet elke ondernemer aan tot actie. Zal het wegnemen van een financieel knelpunt kleinere ondernemers aanzetten tot het nemen van enkele cybersecuritymaatregelen? Dat is wat het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, te weten wil komen in een pilot subsidieregeling ‘Mijn Cyberweerbare Zaak’. Het DTC stelt hiervoor €300.000 beschikbaar. Het DTC zal de pilot evalueren en bepalen of en op welke manier voortzetting (met een hoger budget) van de subsidiemodule zal plaatsvinden. Mijn Cyberweerbare Zaak Micro- en kleine ondernemingen kunnen via de subsidieregeling ‘Mijn Cyberweerbare Zaak’ subsidie krijgen voor de kosten van de aanschaf en implementatie van één of meer cruciale cyberweerbaarheidsmaatregelen. Hieronder vallen bijvoorbeeld het inrichten van back-ups, een wachtwoordmanager en het laten uitvoeren van een risico-inventarisatie. De subsidie bedraagt 50% van de kosten die een IT-dienstverlener rekent, met een maximum van €1.250 per aanvrager. Bedrijven kunnen éénmalig een beroep doen op deze subsidieregeling. Cybersecuritymaand oktober Het aanvragen van deze investeringssubsidie kan van 2 oktober tot 1 november 2023, 17.00 uur. Het beschikbare subsidiebudget voor Mijn Cyberweerbare Zaak is €300.000. Dit budget wordt verdeeld op volgorde van binnenkomst van de aanvragen totdat het subsidiebudget is uitgeput. Advies, aanbod en subsidie in 3 stappen De eerste stap is om te weten waar de cyberveiligheid van jouw bedrijf nog tekortschiet. Met de CyberVeilig Check maak je binnen tien minuten jouw eigen actielijst (PDF) met te nemen cybermaatregelen. De tweede stap is het benaderen van een leverancier van IT-beveiligingsdiensten die kan ondersteunen bij één of meer maatregelen van de actielijst. De laatste stap bestaat uit de aanvraag van de subsidie en het uploaden van de actielijst en offerte(s) bij de Rijksdienst voor Ondernemend Nederland (RVO). Michel Verhagen, manager DTC: “Ondernemers zijn druk met ondernemen. Cybersecurity staat vaak niet bovenaan de prioriteitenlijst. Ten onrechte wordt vaak gedacht dat kleine ondernemers geen doelwit zijn, want de realiteit is anders. Graag stimuleren we kleine ondernemers om nú in actie te komen en snel de belangrijkste cybermaatregelen te treffen. Want met een paar eenvoudige ingrepen maak je de kans dat je het volgende slachtoffer wordt echt kleiner. Laat deze subsidie het laatste zetje zijn om vandaag nog in actie te komen.” Bekijk Mijn Cyberweerbare Zaak Relevante links Subsidieregeling voor kleine bedrijven Mijn Cyberweerbare Zaak (RVO) CyberVeilig Check voor mkb en zzp Veel kleine bedrijven zijn onvoldoende cyberweerbaar Campagnetoolkit