Doel: Ontwikkelen van effectieve interventies die ambtenaren openbare orde en veiligheid kunnen inzetten om de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente te vergroten. Probleemstelling: Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Doelgroep: De interventies worden ontwikkeld voor ambtenaren openbare orde en veiligheid van Nederlandse gemeenten. De doelgroepen van de interventies zijn jongeren, ouderen en mkb’ers.
Cybercriminaliteit is een serieus en urgent maatschappelijke probleem. De winst in het tegengaan van cybercriminaliteit zal op korte termijn niet liggen in het opsporen van daders of het vergroten van toezicht op internet, maar eerder in het verbeteren van de cyberweerbaarheid van internetgebruikers. Het gedrag van mensen heeft invloed op de kans slachtoffer te worden van cybercriminaliteit zoals phishingen ransomware. Effectieve risicocommunicatie en voorlichting kunnen een belangrijke bijdrage leveren aan het zelfbeschermend en voorbereidend gedrag van eindgebruikers, en daarmee hun capaciteit om zichzelf en/of hun organisatie te beschermen tegen de mogelijke risico’s en effecten. Risicocommunicatie is maatwerk en is idealiter gebaseerd op de beleving en percepties van de doelgroep. Daarom is het van belang voor iedere doelgroep de communicatiestrategie te laten aanpassen aan hun kenmerken, percepties en gedragingen. Aangezien vooral jongeren en mkb’ers relatief vaak slachtoffer zijn van verschillende vormen van cybercriminaliteit, zijn deze twee groepen onderwerp van deze studie. Dit rapport beschrijft een exploratief onderzoek in opdracht van de VeiligheidsAlliantie regio Rotterdam (VAR), en uitgevoerd door Hogeschool Saxion en de Haagse Hogeschool. Het doel is het in kaart brengen van factoren die bijdragen aan zelfbeschermend gedrag door jongeren en mkb’ers ten aanzien van cybercriminaliteit en hoe dit gedrag door middel van effectieve risicocommunicatie kan worden gestimuleerd. Hiertoe is een conceptueel model ontwikkeld (het Cyber Resilience Model), dat inzicht geeft in de mogelijke factoren die de weerbaarheid en zelfbeschermend gedrag kunnen verklaren en voorspellen. Op basis van diepte-interviews en vragenlijstonderzoek onder jongeren en mkb’ers, is onderzocht hoe deze groepen scoren op de verklarende factoren en welke factoren het zelfbeschermend gedrag beïnvloeden. Uit de resultaten blijkt dat bij zowel jongeren als mkb’ers er sprake is van een sterke ‘optimistic bias’. Deze bias houdt in dat men het risico ziet en zich ervan bewust is, maar zichzelf veel minder vatbaar acht om slachtoffer te worden dan anderen. De meeste respondenten beschouwen cybercriminaliteit als een (groot) maatschappelijk risico, maar zien het niet als iets dat hen persoonlijk snel zal overkomen. Verder blijkt dat over het algemeen zowel jongeren als mkb’ers het nuttig vinden om zelfbeschermende of voorbereidende maatregelen te treffen tegen cybercriminaliteit. Zowel jongeren als mkb’ers voeren 8reeds verschillende zelfbeschermende maatregelen uit, maar de meerderheid is ook voornemens om in de toekomst aanvullende maatregelen te treffen. De analyses laten zien dat het zelfbeschermend gedrag van jongeren vooral wordt ingegeven door persoonlijke kenmerken (opleidingsniveau, leeftijd, geslacht en risicogevoeligheid), effectiviteitsverwachtingen, ervaring met slachtofferschap en de perceptie van eigen verantwoordelijkheid om jezelf te beschermen. Daarnaast blijkt dat de intenties om in de toekomst aanvullende zelfbeschermende maatregelen te nemen samenhangen met leeftijd en geslacht, waarbij jongere vrouwen de laagste intenties hebben om zichzelf (beter) te gaan beschermen tegen cybercriminaliteit. Opvallend is, dat de lager opgeleide, jonge vrouwen (jonger dan 18 jaar) het laagst scoren op zelfbeschermend gedrag. Bij mkb’ers wordt zelfbeschermend gedrag vooral bepaald door persoonlijke kenmerken (geslacht, slachtofferschap en risicogevoeligheid), effectiviteitsverwachtingen en subjectieve normen.
De onderzoeksgroep Cybersafety van NHL Stenden Hogeschool in Leeuwarden, heeft in opdracht van het Digital Trust Center (DTC), in kaart gebracht in hoeverre de Basisscan Cyberweerbaarheid leidt tot gedragsverandering bij ondernemers. In totaal zijn achttien ondernemers, variërend qua omvang, bedrijfstak en geografische ligging, betrokken bij het onderzoek. Respondenten zijn daartoe tweemaal geïnterviewd. Het eerste interview was een zogenoemde nulmeting waarin de uitgangssituatie in kaart werd gebracht. Dit betrof ten eerste de mate waarin men aan de vijf door het DTC onderscheiden basisprincipes, zoals het uitvoeren van software-updates en het reguleren van toegang tot systemen, invulling gaf en ten tweede de achterliggende factoren zoals houdingaspecten en omgevingsinvloeden die daaraan ten grondslag liggen. Het tweede interview werd gehouden nadat de respondent de basisscan had ingevuld en stond in het teken van gedragsverandering en de mogelijke wijzigingen in achterliggende factoren.
Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. De totale maatschappelijke schade van cybercrime werd voor 2018 op 10 miljard euro geschat (1% van BNP). Uit cijfers van het CBS blijkt dat tussen 2012 en 2018 het slachtofferschap van hacken zelfs hoger lag dan dat van fietsendiefstal. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? In dit project bundelen professionals uit twaalf gemeenten en vier regionale veiligheidsnetwerken hun slagkracht met onderzoekers van twee hogescholen en het NSCR voor de cyberweerbaarheid van de samenleving. De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Middels actieonderzoek werken professionals van gemeenten en regio’s samen met onderzoekers aan het verbeteren van bestaande en het ontwikkelen van nieuwe interventies. Daarbij verscherpen zij hun beeld van de omvang en achtergronden van slachtofferschap van cybercrime. Ook onderzoeken zij achtergronden en verklaringen voor het risicobewustzijn en preventief gedrag onder doelgroepen. Deze inzichten worden in verschillende iteraties aangevuld met effectstudies, om tot een set beproefde interventies te komen waarmee de cyberweerbaarheid van burgers en bedrijven zal toenemen.
De SPRONG-groep richt zich op het cyberweerbaarder maken van Nederland. Het aantal cyberaanvallen neemt alleen maar toe, terwijl de weerbaarheid van organisaties achter blijft. Door publieke en private organisaties beter toe te rusten op cyberdreigingen heeft de SPRONG-groep directe impact. De focus ligt daarbij niet zozeer op de techniek, maar juist op de mens: welke gedrag- en houdingsaspecten beïnvloeden cyberweerbaarheid en hoe kunnen organisaties deze aspecten t.b.v. cyberweerbaarheid verbeteren? Drie hogescholen met een stevig track-record op het thema cyberweerbaarheid – De Haagse Hogeschool, Saxion en NHL Stenden – vormen de kerngroep. De SPRONG-groep zal kennis en ervaring met elkaar delen en het netwerk verder uitbouwen. De samenwerking met lokale en regionale partners wordt geïntensiveerd door kennismakelaars uit de praktijk te koppelen aan onderzoekers uit de kerngroep. Door het benutten van bestaande infrastructuren van de landelijke partners en academische kennisinstellingen wordt gewerkt aan professionalisering en een nauwe wisselwerking tussen praktijkgericht onderzoek en fundamenteel onderzoek. Zo wordt mogelijk gemaakt dat de kennis op cyberweerbaarheid zich blijft ontwikkelen. De kernactiviteiten zijn gericht op: ● Het opbouwen van een duurzaam expertisenetwerk van onderzoekers en kennismakelaars in de beroepspraktijk voor continue vraagarticulatie en disseminatie van kennis op het gebied van cyberweerbaarheid; ● Het organiseren van activiteiten binnen een gezamenlijk professionaliseringsnetwerk voor talentvolle praktijkgerichte onderzoekers en het leveren van een structurele bijdrage aan het hbo-onderwijs en nascholingsaanbod op het gebied van cyberweerbaarheid; ● Het gezamenlijk opbouwen en onderhouden van een landelijke monitor cyberincidenten en de inrichting van lab-omgevingen waarbinnen experimenten en simulaties kunnen worden uitgevoerd gericht op het daadwerkelijke gedrag van individuen binnen organisaties. De ambitie van de SPRONG-groep is om uit groeien tot het toonaangevende expertisenetwerk op het gebied van vraagstukken rondom cyberweerbaarheid binnen publieke en private organisaties, dat hoogwaardige, relevante en praktisch toepasbare kennis ontwikkelt op het gebied van cybersecurity binnen organisaties.
