Een groeiend aantal ondernemers in Nederland is zich bewust van de risico's van digitalisering en neemt maatregelen om hun cyberweerbaarheid te verbeteren. Desondanks loopt een aanzienlijk deel van de ondernemers nog achter op dit gebied, wat hen kwetsbaar maakt voor cybercriminaliteit. Om dit aan te pakken, voerde De Haagse Hogeschool onderzoek uit naar effectieve interventies om de cyberweerbaarheid van Nederlandse ondernemingen te vergroten. Centraal in dit onderzoek stond het gebruik van een geautomatiseerde kwetsbaarhedenmeting als evidence based gedragsinterventie.

Onderzoek: Evidence based cybersecurity gedragsinterventie

Een recent onderzoeksproject van De Haagse Hogeschool, in samenwerking met cybersecuritybedrijf Threadstone en het Platform Veilig Ondernemen (PVO) Den Haag, richtte zich op het verbeteren van de cyberweerbaarheid van ondernemers in het midden- en kleinbedrijf (mkb). In dit project ontwikkelden we een interventie die gebruik maakt van een geautomatiseerde kwetsbaarhedenmeting om zwakke plekken in de digitale infrastructuur van bedrijven te identificeren.

Geautomatiseerde kwetsbaarhedenscan

De interventie bestaat uit drie stappen. Eerst wordt er via de domeinnaam van de onderneming een geautomatiseerde kwetsbaarhedenscan uitgevoerd op de openbaar bereikbare digitale infrastructuur van ondernemers. Ondernemers hoeven zich hiervoor niet aan te melden. Hiermee wordt op een laagdrempelige manier een klein deel van de cybersecurity van deze ondernemers in kaart gebracht. Hierna ontvangt de ondernemer een op maat gemaakt adviesrapport waarin eventuele kwetsbaarheden staan toegelicht, één van de drie varianten van de risicocommunicatie en een handelingsperspectief. Dit handelingsperspectief is bedoeld om de ondernemer aan te sporen met hun ICT-of cybersecurity leverancier in gesprek te gaan om de gevonden kwetsbaarheden te verhelpen, of om een ICT- of cybersecurity leverancier in te schakelen. Vervolgens wordt er een nameting gedaan om de effectiviteit van de interventie te meten. Dezelfde domeinnamen zullen hiervoor opnieuw worden gescand. Hiermee willen we vaststellen of de ondernemers wijzigingen hebben doorgevoerd aan hun cyberbeveiliging.

Resultaten van het onderzoek 

De resultaten van de interventie zijn vastgelegd in het onderzoeksrapport ‘What (s)can we do? Onderzoek naar het gebruik van een geautomatiseerde kwetsbaarhedenmeting als evidence based gedragsinterventie’. De analyses tonen aan dat de interventie bijdraagt aan een verhoogde cyberweerbaarheid onder de deelnemende ondernemingen. Het onderzoek biedt inzicht in hoe ondernemers aangespoord kunnen worden om hun cyberbeveiliging te verbeteren.

Er is echter meer onderzoek nodig om te bepalen in hoeverre ondernemers daadwerkelijk actie ondernemen naar aanleiding van de ontvangen adviezen. Daarnaast adviseren de onderzoekers de interventie op een grotere schaal te testen en rekening te houden met factoren als bedrijfsgrootte en sector. De bevindingen van dit onderzoek bieden waardevolle inzichten voor beleidsmakers, overheidsinstanties en ondernemers, en vormen een belangrijke stap in het verhogen van de cyberweerbaarheid van het Nederlandse bedrijfsleven. 

What(s)can we do?

Lees meer over de geautomatiseerde kwetsbaarhedenmeting, de onderzoeksmethoden en resultaten in het rapport ‘What(s)can we do?’.

Contact

Meer weten over dit project? Neem contact op met: Dr. Susanne van ’t Hoff-de Goede: M.S.vantHoff-deGoede@hhs.nl, senior onderzoeker bij het kenniscentrum Cyber Security van De Haagse Hogeschool.