Digitalisering is van groot belang voor de ruim 13.000 mkb-bedrijven in de metaalindustrie in Nederland om internationaal een sterke concurrentiepositie te behouden. Deze digitalisering brengt ook risico's met zich mee. Uit eerder onderzoek van De Haagse Hogeschool is gebleken dat de metaalbranche zeer kwetsbaar is voor cybercriminaliteit. Een manier om de risico's van digitalisering te minimaliseren is het gebruik van een cybersecurity risicomodel. Bestaande risicomodellen voor cybersecurity lijken echter lastig bruikbaar voor mkb-bedrijven. In dit onderzoek staan daarom de volgende vragen centraal: (1) Op we/ke wijze organiseren midden-en kleinbedrijven in de metaa/sector hun cybersecurity risico-management; en (2) hoe kan dit proces warden verbeterd? Doel van dit project is om via onderzoek te komen tot een voor het mkb te hanteren risicomodel dat kan warden gebruikt om het cybersecurity risicomanagement van mkb-metaalbedrijven te verbeteren. Om dit te bereiken zijn drie stappen ondernomen. Ten eerste is een literatuurstudie uitgevoerd. Ten tweede is een theoretisch cybersecurity risicomodel ontwikkeld. Ten derde is het model vervolgens getoetst in de praktijk. LinkedIn: https://www.linkedin.com/in/raoul-nott%C3%A9-290b6661/ https://www.linkedin.com/in/susanne-van-t-hoff-de-goede/ https://www.linkedin.com/in/rutgerleukfeldt/
De constatering dat onderzoek naar de menselijke factor binnen cybercrime en cybersecurity nog in de kinderschoenen staat, terwijl er een grote vraag is naar evidence-based praktisch toepasbare kennis is de reden dat De Haagse Hogeschool (HHs) en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) de handen ineengeslagen hebben voor de totstandkoming van dit lectoraat. Het lectoraat richt zich daarbij op een specifieke doelgroep: het midden- en kleinbedrijf (mkb). Het mbk is de backbone van de Nederlandse economie. Mkb’ers worden echter relatief vaak slachtoffer van cyberaanvallen en hebben niet de capaciteit om zich te weren tegen dergelijke aanvallen. Dit staat in schril contrast met het onderzoek dat wordt uitgevoerd op dit gebied. Onderzoek naar deze doelgroep ontbreekt bij de start van dit lectoraat nagenoeg compleet. Het doel van het lectoraat is om de kennispositie van het mkb op het gebied van cybercrime en cybersecurity te vergroten om zo het slachtofferschap en de impact van cyberaanvallen onder mkb’ers te verlagen. Omdat er nagenoeg geen studies zijn gedaan naar cybersecurity in het mkb zullen eerst basale vragen beantwoord moeten worden. Zo is inzicht nodig in slachtofferschap onder mkb’ers. Hoe vaak komen aanvallen op mkb bedrijven voor? Welke mkb bedrijven worden slachtoffer van cyberaanvallen en zijn er factoren die risicoverhogend of risicoverlagend werken? Wat is de werkwijze van criminelen? En van welke zwakke plekken maken criminelen gebruik om hun aanvallen uit te voeren? Tegelijkertijd moet worden onderzocht hoe mkb’ers zichzelf weerbaarder kunnen maken. Weten mkb’ers welke risico’s ze lopen, hoe ze aanvallen kunnen detecteren en afslaan? Welke factoren beïnvloeden de weerbaarheid? Welke interventiemogelijkheden zijn er om de weerbaarheid te verhogen? De bescherming van het mkb tegen cyberaanvallen ligt echter niet alleen bij het mkb zelf. Ook andere partijen hebben hierbij een rol. Daarom moet onderzocht worden welke rol politie en justitie nog hebben bij de aanpak van cybercrime gericht op het mkb.
De exportgerichtheid van het noordelijke mkb blijft duidelijk achter bij het landelijk gemiddelde. Dit heeft te maken met zowel de algemene kenmerken van de noordelijke economie als met die van de noordelijke mkb-bedrijven in het bijzonder. Met name de participatie in netwerken die voor internationalisering relevant zijn blijkt een knelpunt.
Uit vooronderzoek van het lectoraat Cybersecurity in het mkb blijkt dat 39% van de metaalbedrijven slachtoffer is geworden van een cyberaanval. Doordat metaalbedrijven in grote mate afhankelijk zijn van informatietechnologie (IT) is de impact van dergelijke aanvallen groot. Zo rapporteerden directeuren van mkb bedrijven directe financiële schade, verlies of beschadiging van gegevens en tijdsverlies. Vooronderzoek laat zien dat bedrijven te weinig maatregelen nemen om zichzelf te beschermen. Dit komt doordat bestaande risicomodellen voor cybersecurity - deze zijn ontwikkeld voor experts - niet goed toepasbaar zijn voor directeuren in het mkb. Om in die leemte te voorzien vraagt de Haagse Hogeschool samen met de Koninklijke Metaalunie en 12 metaalbedrijven subsidie aan om een risicomodel te ontwikkelen dat wel toegepast kan warden door mkb bedrijven in de metaalsector. Dit onderzoek gaat uit van IS0 270011 en levert een risicomodel op dat door het mkb gebruikt kan warden om op een eenvoudige wijze basale processen random cybersecurity in te richten. Hiermee geven we ondernemers handvaten om zelf hun cybersecurity op orde te kunnen brengen. De uitkomsten van dit project dienen als basis voor een omvangrijker projectvoorstel waarbij we het model verder verdiepen en ook toepasbaar maken voor mkb bedrijven binnen andere branches van de smart industry.
