In dit rapport ronden de lectoraten Maatschappelijke Veiligheid van Hogeschool Saxion en Cybercrime & Cybersecurity van de Haagse Hogeschool het RAAK-publiek project ‘Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime’ af. Samen met onze consortiumpartners richtten de lectoraten zich in dit twee jaar durende project op de hoofdvraag ‘Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten?’. Duidelijk was dat cybercriminaliteitlle doelgroepen in de samenleving een actuele en urgente dreiging vormt. Allereerst werden daarom door het consortium de doelgroepen en specifieke delicten geselecteerd waarop – op basis van literatuur en interviews met experts die met de doelgroepen werken – met voorrang moest worden geïnvesteerd op de cyberweerbaarheid. Dit heeft geresulteerd in de keuze voor drie doelgroepen: jongeren voor phishing, misbruik van seksueel beeldmateriaal en geldezelen; ouderen voor digitale oplichting (waaronder phishing) en mkb’ers voor phishing en ransomware. Voor elk van deze doelgroepen is verdiepend onderzoek naar de weerbaarheid tegen de geselecteerde delicten uitgevoerd op basis van representatief vragenlijstonderzoek en verdiepende interviews onder leden van de gekozen doelgroepen. Tevens is daarbij onderzocht wat de verklarende variabelen zijn voor zelfbeschermend gedrag. Aan de hand van deze brede kennisbasis zijn door de onderzoekers van de hogescholen, in nauwe samenwerking met de consortiumpartners uit de praktijk, vier interventies ontwikkeld en geëvalueerd: 1. ‘Doorsturen doe je niet!’ om jongeren weerbaarder te maken tegen misbruik van seksueel beeldmateriaal; 2. Instagram-campagne om jongeren weerbaarder te maken tegen geldezelen; 3. Laat je geen h@ck zetten! om ouderen weerbaarder te maken tegen digitale oplichting; 4. MKB Cyber Buddy’s om mkb’ers weerbaarder te maken tegen ransomware. De interventies ter preventie van slachtofferschap van phishing konden, met het oog op de beschikbare tijd en capaciteit, helaas niet binnen de spanne van dit project worden ontwikkeld. In overleg met het consortium is besloten deze vier interventies te ontwikkelen en na implementatie te evalueren. De interventies die ontwikkeld zijn binnen dit project onderscheiden zich van bestaande interventies omdat de door ons ontwikkelde interventies evidence-based zijn. Daarmee vormen deze interventies een belangrijke bouwsteen in de landelijke beweging naar een evidence-based aanpak van cyberweerbaarheid. Inmiddels zijn de samenwerkende lectoraten van dit project door de Citydeal Lokale Cyberweerbaarheid gevraagd om te helpen met het verder uitrollen van deze evidence-based aanpak door alle beschikbare interventies buiten dit project van een procesevaluatie en effectevaluatie te voorzien. Dit wordt opgepakt vanuit het consortium bij de recent toegekende SPRONG-subsidie, waarmee de samenwerkende lectoraten met hun praktijkpartners uit dit RAAK-publiek project een duurzame bijdrage blijven leveren aan het evidence-based werken aan de cyberweerbaarheid van de Ne - derlandse samenleving. Daarbij blijft de kracht van maatwerk risicocommunicatie binnen be - staande, lokale netwerken een cruciale pijler in de aanpak van het grenzeloze vraagstuk van cybercriminaliteit. Helaas is de noodzaak voor die aanpak groter en actueler dan ooit.
In dit rapport ronden de lectoraten Maatschappelijke Veiligheid van Hogeschool Saxion en Cybercrime & Cybersecurity van de Haagse Hogeschool het RAAK-publiek project ‘Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime’ af. Samen met onze consortiumpartners richtten de lectoraten zich in dit twee jaar durende project op de hoofdvraag ‘Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten?’. Duidelijk was dat cybercriminaliteitlle doelgroepen in de samenleving een actuele en urgente dreiging vormt. Allereerst werden daarom door het consortium de doelgroepen en specifieke delicten geselecteerd waarop – op basis van literatuur en interviews met experts die met de doelgroepen werken – met voorrang moest worden geïnvesteerd op de cyberweerbaarheid. Dit heeft geresulteerd in de keuze voor drie doelgroepen: jongeren voor phishing, misbruik van seksueel beeldmateriaal en geldezelen; ouderen voor digitale oplichting (waaronder phishing) en mkb’ers voor phishing en ransomware. Voor elk van deze doelgroepen is verdiepend onderzoek naar de weerbaarheid tegen de geselecteerde delicten uitgevoerd op basis van representatief vragenlijstonderzoek en verdiepende interviews onder leden van de gekozen doelgroepen. Tevens is daarbij onderzocht wat de verklarende variabelen zijn voor zelfbeschermend gedrag. Aan de hand van deze brede kennisbasis zijn door de onderzoekers van de hogescholen, in nauwe samenwerking met de consortiumpartners uit de praktijk, vier interventies ontwikkeld en geëvalueerd: 1. ‘Doorsturen doe je niet!’ om jongeren weerbaarder te maken tegen misbruik van seksueel beeldmateriaal; 2. Instagram-campagne om jongeren weerbaarder te maken tegen geldezelen; 3. Laat je geen h@ck zetten! om ouderen weerbaarder te maken tegen digitale oplichting; 4. MKB Cyber Buddy’s om mkb’ers weerbaarder te maken tegen ransomware. De interventies ter preventie van slachtofferschap van phishing konden, met het oog op de beschikbare tijd en capaciteit, helaas niet binnen de spanne van dit project worden ontwikkeld. In overleg met het consortium is besloten deze vier interventies te ontwikkelen en na implementatie te evalueren. De interventies die ontwikkeld zijn binnen dit project onderscheiden zich van bestaande interventies omdat de door ons ontwikkelde interventies evidence-based zijn. Daarmee vormen deze interventies een belangrijke bouwsteen in de landelijke beweging naar een evidence-based aanpak van cyberweerbaarheid. Inmiddels zijn de samenwerkende lectoraten van dit project door de Citydeal Lokale Cyberweerbaarheid gevraagd om te helpen met het verder uitrollen van deze evidence-based aanpak door alle beschikbare interventies buiten dit project van een procesevaluatie en effectevaluatie te voorzien. Dit wordt opgepakt vanuit het consortium bij de recent toegekende SPRONG-subsidie, waarmee de samenwerkende lectoraten met hun praktijkpartners uit dit RAAK-publiek project een duurzame bijdrage blijven leveren aan het evidence-based werken aan de cyberweerbaarheid van de Ne - derlandse samenleving. Daarbij blijft de kracht van maatwerk risicocommunicatie binnen be - staande, lokale netwerken een cruciale pijler in de aanpak van het grenzeloze vraagstuk van cybercriminaliteit. Helaas is de noodzaak voor die aanpak groter en actueler dan ooit.
The outbreak of the COVID-19 virus in December 2019 and the restrictive measures that were implemented to slow down the spread of the virus have had a significant impact on our way of life. The sudden shift from offline to online activities and work may have resulted in new cybersecurity risks. The present study therefore examined changes in the prevalence, nature and impact of cybercrime among Dutch citizens and SME owners, during the pandemic. Qualitative interviews with ten experts working at various public and private organizations in the Netherlands that have insights into cybercrime victimization and data from victim surveys administrated in 2019 and 2021 were analyzed. The results show that there was only a small, non-statistically significant increase in the prevalence of cybercrime during the pandemic among citizens and SME owners. Nevertheless, the COVID-19 pandemic did have an impact on the modus operandi of cybercriminals: victims indicated that a considerable proportion of the offenses was related to the COVID-19 pandemic, particularly in the case of online fraud. Moreover, the use of new applications and programs for work was associated with an increased risk of cybercrime victimization during the COVID-19 crisis. These results suggest that increases in rates of registered cybercrime that were found in previous studies might be the consequence of a reporting effect and that cybercriminals adapt their modus operandi to current societal developments.
Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. De totale maatschappelijke schade van cybercrime werd voor 2018 op 10 miljard euro geschat (1% van BNP). Uit cijfers van het CBS blijkt dat tussen 2012 en 2018 het slachtofferschap van hacken zelfs hoger lag dan dat van fietsendiefstal. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? In dit project bundelen professionals uit twaalf gemeenten en vier regionale veiligheidsnetwerken hun slagkracht met onderzoekers van twee hogescholen en het NSCR voor de cyberweerbaarheid van de samenleving. De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Middels actieonderzoek werken professionals van gemeenten en regio’s samen met onderzoekers aan het verbeteren van bestaande en het ontwikkelen van nieuwe interventies. Daarbij verscherpen zij hun beeld van de omvang en achtergronden van slachtofferschap van cybercrime. Ook onderzoeken zij achtergronden en verklaringen voor het risicobewustzijn en preventief gedrag onder doelgroepen. Deze inzichten worden in verschillende iteraties aangevuld met effectstudies, om tot een set beproefde interventies te komen waarmee de cyberweerbaarheid van burgers en bedrijven zal toenemen.
Today, embedded devices such as banking/transportation cards, car keys, and mobile phones use cryptographic techniques to protect personal information and communication. Such devices are increasingly becoming the targets of attacks trying to capture the underlying secret information, e.g., cryptographic keys. Attacks not targeting the cryptographic algorithm but its implementation are especially devastating and the best-known examples are so-called side-channel and fault injection attacks. Such attacks, often jointly coined as physical (implementation) attacks, are difficult to preclude and if the key (or other data) is recovered the device is useless. To mitigate such attacks, security evaluators use the same techniques as attackers and look for possible weaknesses in order to “fix” them before deployment. Unfortunately, the attackers’ resourcefulness on the one hand and usually a short amount of time the security evaluators have (and human errors factor) on the other hand, makes this not a fair race. Consequently, researchers are looking into possible ways of making security evaluations more reliable and faster. To that end, machine learning techniques showed to be a viable candidate although the challenge is far from solved. Our project aims at the development of automatic frameworks able to assess various potential side-channel and fault injection threats coming from diverse sources. Such systems will enable security evaluators, and above all companies producing chips for security applications, an option to find the potential weaknesses early and to assess the trade-off between making the product more secure versus making the product more implementation-friendly. To this end, we plan to use machine learning techniques coupled with novel techniques not explored before for side-channel and fault analysis. In addition, we will design new techniques specially tailored to improve the performance of this evaluation process. Our research fills the gap between what is known in academia on physical attacks and what is needed in the industry to prevent such attacks. In the end, once our frameworks become operational, they could be also a useful tool for mitigating other types of threats like ransomware or rootkits.
