Wat het kabinet doet om mkb-ers te helpen tegen cybercrime

Ondernemingen in het midden- en kleinbedrijf zijn kwetsbaar voor cybercrime en worden er vaak slachtoffer van. Het is daarom van belang ondernemers te helpen de weerbaarheid van hun onderneming te versterken. In een brief aan de Tweede Kamer schrijft minister Yeşilgöz van J&V wat de overheid tot nu toe gedaan heeft.

Met de ondersteuning van het midden- en kleinbedrijf om veiliger te zijn voor cybercrime, wordt uitvoering gegeven aan de motie-Ephraïm c.s. en de motie-Hermans c.s. Cybersecurity-incidenten zijn in het mkb wijdverbreid. Een deel daarvan is te wijten aan cybercrime. In 2021 heeft zich bij 25 procent van de bedrijven van 10 of meer medewerkers een incident met een interne oorzaak voorgedaan, zoals storingen van ICT-systemen, en bij en 10 procent een incident met een externe oorzaak, zoals cybercrime. CBS-data laten zien dat (basale) veiligheidsmaatregelen door veel bedrijven niet worden genomen. Hier is nog een wereld te winnen. Door basismaatregelen te nemen wordt het cybercriminelen minder makkelijk gemaakt om netwerken binnen te komen en schade aan te richten, direct of indirect.

Eigen verantwoordelijkheid
Hoewel volledige veiligheid niet bestaat, kunnen basismaatregelen veel criminaliteit voorkomen, benadrukt de minister. Het is daarbij van belang te constateren dat het mkb een heterogene groep is. Er bestaan grote verschillen in omvang (klein, midden en groot mkb), sectoren en mate van cyberveiligheid. Het doel van de inspanningen van het kabinet is de cyberveiligheid te verhogen, effecten van incidenten te minimaliseren en cyberrisico’s inzichtelijk te maken. Daarbij geldt als uitgangspunt dat de ondernemer in eerste instantie zelf verantwoordelijk is voor de maatregelen die genomen moeten worden. De overheid heeft een faciliterende rol. Zij verschaft de informatie en instrumenten om bedrijven in staat te stellen risico’s af te wegen en de nodige maatregelen te treffen.

Digital Trust Center
Bij het verhogen van de veiligheid ligt de nadruk op het stimuleren van het gebruik van diverse veiligheidsmaatregelen door bedrijven, zoals omschreven in de vijf basisprincipes van het Digital Trust Center. Door het delen van algemene en specifieke dreigingsinformatie kan het Digital Trust Center bijdragen aan het minimaliseren van de effecten van externe incidenten. Met het uitbreiden van de onderzoeken en diensten die als doel hebben de cyberweerbaarheid van het Nederlandse mkb in kaart te brengen, ontstaat bovendien meer inzicht in de cyberrisico’s voor het mkb. Daarnaast is er winst te behalen door bedrijven nog meer te stimuleren zelf veiligheids- en risicoanalyses uit te voeren. CBS-data laten zien dat slechts de helft van de bedrijven met meer dan 10 werknemers op reguliere basis een risicoanalyse uitvoert. Een verhoogde inzet op bekendheid van de tools van het Digital Trust Center kan veel bedrijven stimuleren hier de nodige stappen in te zetten.

Behoefte mkb
Om ondernemers goed te kunnen ondersteunen is het van belang aan te sluiten op hun behoeften. Daarom is in de afgelopen periode met ondernemers en hun vertegenwoordigers gesproken over cyberveiligheid en hoe deze te verhogen. Uit die gesprekken komt het volgende naar voren dat men het tegengaan van cybercriminaliteit strategisch belangrijk vindt, maar dat het niet het enige probleem is waar het mkb mee kampt. Het is gewenst om niet uitsluitend op cyberveiligheid te focussen, maar er wel structureel aandacht voor te hebben. Gebleken is ook dat relatief veel mkb-ondernemers de ernst en risico’s van cybercriminaliteit onderschatten. Het is daarom belangrijk om in te zetten op voorlichting en bewustwording. Als ondernemers wordt aanbevolen een groot aantal vrij complexe handelingen te verrichten, kan dit leiden tot een averechtse reactie. Het is wenselijk de communicatie eenvoudig te houden en de hoeveelheid communicatie te beperken.
Het Digital Trust Center is het landelijk aanspreekpunt voor ondernemers in de niet-vitale sectoren. Echter, veel ondernemers hebben behoefte aan hulp dichter bij huis. Er is behoefte aan spreiding van kennis en informatie op regionaal en lokaal niveau.

Samenwerkingsverbanden
Brancheorganisaties, Regionale Platforms Veilig Ondernemen, gemeenten en samenwerkingsverbanden van het Digital Trust Center kunnen voor ondernemers een belangrijke rol in spelen. Het Digital Trust Center zet daarom in op het opzetten en/of versterken van samenwerkingsverbanden die regionaal of branchegericht zijn. Op dit moment zijn er 44 samenwerkingsverbanden bij het Digital Trust Center aangesloten. Het streven is dat dit eind 2023 vijftig samenwerkingsverbanden zijn. Om dat te bereiken is nog meer bewustwording én gedragsverandering nodig. Om dat te bereiken intensiveert het Digital Trust Center zijn voorlichtingsactiviteiten. Deze zijn opgedeeld in drie onderdelen. Ten eerste wordt het Digital Trust Center beter onder de aandacht gebracht bij ondernemers. Het is dé organisatie van de Rijksoverheid waar ondernemers voor hun informatie over cyberveiligheid terecht kunnen. Een grotere bekendheid van het Digital Trust Center bij ondernemers stelt hen in staat passende informatie te vinden om de basisveiligheid op orde te krijgen. Een voorbeeld hiervan is dat het Digital Trust Center eind juni een campagne start om het risico van phishing onder de aandacht te brengen, waardoor de bewustwording hierover toeneemt en het Digital Trust Center beter bekend wordt. De campagne is gebaseerd op een grootschalig onderzoek naar phishing.

Meer instrumenten
Ten tweede zal het Digital Trust Center de instrumenten die de ondernemer helpen passende maatregelen te nemen voor cyberveiligheid, uitbreiden. Op dit moment zet het Digital Trust Center twee instrumenten in: de zelfscan-tool op basis van de vijf basisprincipes van online veiligheid (de basisscan) en de risicoanalyse-tool. Deze helpen ondernemers kwetsbaarheden te vinden en de juiste (basis)maatregelen te nemen. Het Digital Trust Center zal dit aanvullen met een tool die kleine bedrijven op weg helpt, waaronder ZZP-ers die geen tot weinig kennis hebben van, of interesse hebben in, cyber security. De tool wordt zeer praktisch, in begrijpelijke taal en activerend. Centraal bij alle voorlichting van het Digital Trust Center staan de concrete handelingsperspectieven voor ondernemers. Het is namelijk cruciaal dat de stap van weten naar doen wordt gemaakt.

Weten is nog geen doen
Ten derde zal het Digital Trust Center het direct informeren van individuele bedrijven over concrete dreigingsinformatie via de daartoe ingerichte informatiedienst opschalen. Bij een steeds groter aantal cyberincidenten zijn individuele bedrijven gewaarschuwd en hebben zij een handelingsperspectief aangereikt gekregen. Tot slot biedt het Digital Trust Center met een besloten community met een sterk groeiend aantal aangesloten leden (nu meer dan 1100) ondernemingen de mogelijkheid actuele en relevante informatie uit te wisselen. Hier wordt steeds meer gebruik van gemaakt.
In recente gesprekken met mkb-organisaties komt sterk naar voren dat weten nog geen doen is. Voorlichting en bewustwording zijn een noodzakelijk startpunt, maar niet voldoende. De ministeries van Justitie en Veiligheid en Economische Zaken en Klimaat zijn daarom gezamenlijk twee acties gestart: pilots onder de vlag van de City Deal Lokale weerbaarheid Cybercrime, waar ook het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties bij betrokken is, en de pilot Samen Digitaal Veilig. Het doel hiervan is om in bestaande en nieuwe samenwerkingsverbanden de cyberveiligheid te vergroten, te leren welke activiteiten het meest effectief zijn en deze breder te kunnen inzetten. Daarnaast wordt inmiddels samengewerkt met de Kamer van Koophandel en wordt gewerkt aan de ondersteuning bij incidenten. Hieronder gaan we nader op deze punten in.

Innovatieve pilots City Deal ‘Lokale weerbaarheid cybercrime’
In de City Deal ‘Lokale weerbaarheid cybercrime’ zijn de afgelopen jaren lokale en regionale innovatieve pilots gestart om de weerbaarheid van mkb-ondernemers te verhogen. Uit evaluaties van deze eerste pilots blijkt dat ondernemers blij zijn met tips en handleidingen via digitale kanalen, waaronder die van het Digital Trust Center. In de praktijk blijkt het voor mkb-ondernemers lastig deze in te voeren in de eigen onderneming. In pilots van de afgelopen jaren werden ondernemers met raad en daad ondersteund door ICT-studenten of ICT-leveranciers om de in scans gesignaleerde risico’s aan te pakken en de geadviseerde maatregelen daadwerkelijk door te voeren. Voortbouwend op de eerste positieve resultaten van deze lokale en regionale pilots hebben de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties, en het Digital Trust Center in maart 2022 opnieuw middelen beschikbaar gesteld voor nieuwe innovatieve mkb-cyberpilots. De uitvraag onder Platforms Veilig Ondernemen, gemeenten en regionale samenwerkingsverbanden Veiligheid heeft ertoe geleid dat in april 2022 is gestart met zes nieuwe mkb-projecten, waaronder:

• Sterkere schakels versterken de keten (Regiobureau Integrale Veiligheid Oost-Brabant)
Dit project ontwikkelt een methodiek waarbij de grote bedrijven de kleinere toeleveranciers ondersteunen bij het opschroeven van de informatiebeveiliging. Dat helpt de weerbaarheid van individuele bedrijven en daarmee van de gehele keten.

• Living Lab Cyberweerbaarheid & Ransomware mkb (Gemeente Groningen)
Hier komen activiteiten samen die tot nu toe door publiek-private samenwerking in de regio Noord Nederland zijn ontplooid op het gebied van bijvoorbeeld bewustwording, training en scans. De nadruk ligt in eerste instantie op ransomware bij financieel dienstverleners. Dit is de basis voor de selectie van verwante uitdagingen voor het mkb. Deze worden vervolgens met de overheid, het onderwijs en de ondernemers (de “ “drie O’s”) gezamenlijk opgepakt. Het Living Lab Cyberweerbaarheid wordt ondergebracht op drie bestaande fysieke locaties in Noord Nederland.

• Evidence based cybersecurity gedragsinterventie gericht op drie basisprincipes van veilig ondernemen (Platform Veilig Ondernemen Den Haag)
Dit project ontwikkelt een interventie gericht op drie van de vijf basisprincipes van veilig digitaal ondernemen: het inventariseren van kwetsbaarheden, het uitvoeren van updates en het voorkomen van malware.

De pilots zijn in april 2022 gestart en zullen medio 2023 zijn afgerond. HBO-kennisinstellingen zullen de pilots daarna evalueren. Gemeenten en Platforms Veilig Ondernemen kunnen succesvolle pilots vervolgens landelijk invoeren. Deze activiteiten worden opgenomen in het nieuwe meerjarige actieprogramma Veilig Ondernemen 2023-2026 van het Nationaal Platform Criminaliteitsbeheersing. Het versterken van de mkb-weerbaarheid tegen cybercrime zal daarin – net als in het vorige actieprogramma – een speerpunt zijn.

Project ‘Samen Digitaal Veilig’
Het project Samen Digitaal Veilig is onderdeel van nieuwe samenwerkingsafspraken tussen de ondernemersorganisaties (MKB-Nederland en BOVAG) en de ministeries van Justitie en Veiligheid en Economische Zaken en Klimaat. Het project richt zich op het weerbaar maken van bedrijven. Het platform Samen Digitaal Veilig biedt onder meer een elektronische leeromgeving voor medewerkers, met korte informatieve films en toetsen. Brancheorganisaties spelen in de verspreiding van die informatie een belangrijke rol. Zij kunnen, als vertrouwde partner van de bedrijven in de eigen branche, de leeromgeving onder de aandacht brengen. MKB-Nederland en het Digital Trust Center hebben voor de brancheorganisaties diverse bijeenkomsten georganiseerd om het project meer bekendheid te geven, branches aan te sporen meer activiteiten op het gebied van cyberweerbaarheid te ontplooien en hen mee te nemen in de mogelijkheden van het project. Inmiddels hebben meerdere brancheverenigingen interesse getoond in het project. De pilotfase van dit project is bijna afgerond. Komend half jaar wordt aan de hand van de evaluatie van de pilot het vervolg bezien.

Voorlichting met Kamer van Koophandel
Het Digital Trust Center is intensief gaan samenwerken met de Kamer van Koophandel om via zijn kanalen ondernemers te bereiken en te helpen bij het vergroten van hun cyberweerbaarheid. De Kamer van Koophandel heeft een groot bereik bij ondernemers. Bij deze samenwerking is de inhoudelijke kennis van het Digital Trust Center gecombineerd met de landelijke spreiding en het netwerk van de Kamer van Koophandel. Insteek hierbij is om met kwalitatief hoogstaande, inhoudelijke, maar laagdrempelige middelen veel bedrijven te bereiken. Hiertoe zijn korte films ontwikkeld over verschillende basismaatregelen die genomen kunnen worden voor het verhogen van de cyberweerbaarheid. Een voorbeeld hiervan is een video over phishing, die inmiddels ongeveer 100.000 keer is bekeken.

Hulp bij incidenten via brancheverenigingen
In gesprekken met ondernemers en branchevertegenwoordigers en in de Kamer is opgeroepen een ondersteuningsfunctie van brancheverenigingen voor ondernemers te bezien. Er zijn in de eerste plaats commerciële cybersecuritydiensten in de markt waar ondernemers gebruik van kunnen maken. Bovendien bieden verzekeraars cyberverzekeringen aan, waar hulp bij incidenten in het algemeen een onderdeel van is. Er zijn daarnaast initiatieven die het ontstaan van extra ondersteuning voor het mkb via brancheverenigingen op termijn mogelijk maken. Het Digital Trust Center stimuleert regionale en sectorale samenwerkingsverbanden en faciliteert mkb-ondernemers via zijn website. Om de ondernemer zo goed mogelijk te bereiken wordt het Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden uitgebreid. Daar is samenwerking met brancheverenigingen, gemeenten en regionale Platforms Veilig Ondernemen voor nodig. Zo kan de communicatie en daarin vervatte informatie worden toegesneden op de noden en wensen van de ondernemer. In de nieuwe Nederlandse Cyber Security Strategie wordt nader ingegaan op het LDS en op de motie-Van Ginniken over het aanvullend faciliteren van hulp bij incidenten voor ondernemers.

Onderzoek
Om de kennis op het gebied van het ontwikkelen en verspreiden van gedragsveranderende interventies verder te versterken is meer onderzoek nodig. Deze zomer start het onderzoek ‘Human factors in cybersecurity in het mkb’ dat zich richt zich op gedragsverandering: het ontvankelijk maken van mkb-ondernemers voor informatie en vervolgens het daadwerkelijk toepassen van deze informatie. De resultaten van het onderzoek worden omgezet in een two-pager en toolkit, en gepubliceerd op de website van het Digital Trust Center. Er wordt vervolg geven aan dit onderzoek met een nieuwe opdracht aan TNO om verder onderzoek te doen naar welke gedragsinterventies het meest effectief zijn om gedragsverandering te stimuleren bij het invoeren van de vijf basisprincipes. Met de resultaten van dit onderzoek worden de communicatiemiddelen en tools van het Digital Trust Center verder verbeterd.
De Haagse Hogeschool heeft in opdracht van MKB-Nederland en het Ministerie van Justitie en Veiligheid een verkennende studie verricht om meer zicht te krijgen op de cyber-ketenweerbaarheid in verschillende economische sectoren. De belangrijkste aanbevelingen zijn om actuele informatie over cyberrisico’s te delen in bedrijfsketens, en dat bedrijfsketens hun cyberveiligheid moeten vergroten. Vervolgonderzoek ziet op het ontwikkelen van een aantal ‘gouden regels’ om mkb-ondernemingen te helpen de cyberweerbaarheid in de keten te versterken.

Ook in de nieuwe Nederlandse Cyber Securitystrategie en in het nieuwe Actieprogramma Veilig Ondernemen van het Nationaal Platform Criminaliteitsbeheersing heeft de weerbaarheid van het mkb de aandacht. Op basis van ervaringen en nieuwe inzichten uit onderzoek wordt de aanpak verder ontwikkeld.

Deel dit artikel via: