Cybersecurity Bewustzijnsonderzoek 2018

Sander Ebbers, organisatiepsycholoog en adviseur van Qbit geeft zijn kijk op het onderzoek dat uitgevoerd werd in het kader van de Europese Cybersecurity maand.

Posted on October 9, 2018 in Blog.

Driekwart van de Nederlandse burgers is getroffen door cybercriminaliteit.

Dit is een van de belangrijkste resultaten uit het onderzoek van NCTV en Alert Online. Slechts de helft van hen neemt maatregelen. Sander: “Dreigingen van cybercriminaliteit mogen niet gebagatelliseerd worden. Ik vind het ook heel belangrijk dat burgers en medewerkers weerbaarder worden. Wel ben ik kritisch op de conclusies die getrokken zijn in dit onderzoek. Naast mijn kritische blik doe ik graag een suggestie om wellicht tot een ander beeld te komen.”

‘Te maken hebben met’ vs ‘slachtoffer zijn’.

Het persbericht over het rapport start met de zin ‘driekwart van de Nederlanders is weleens getroffen door cybercrime’. Er is gevraagd of burgers wel eens een vorm van cybercrime hebben meegemaakt. Of ze daadwerkelijk ‘getroffen zijn’ is een andere vraag.

In de meeste gevallen blijkt dat niet zo te zijn. Iedereen krijgt dagelijks phishingmails, maar dat maakt ons niet direct slachtoffer. Zelfs als je klikt en je neemt de juiste maatregelen hoef je nog steeds geen slachtoffer te zijn. Het lijkt meer op de vraag: Heb je wel eens bijna een auto-ongeluk meegemaakt?

’Nederlanders nemen geen maatregelen’.

Een andere conclusie. ‘Nederlanders zijn hardleers, want slechts de helft neemt maatregelen.’ In dezelfde alinea staat dat driekwart van de Nederlanders zichzelf verantwoordelijk voelt voor het nemen van maatregelen. Een flinke meerderheid dus.

Er zijn veel verschillende factoren die invloed hebben of mensen gewenst gedrag laten zien, oftewel maatregelen nemen. Wil ik het, kan ik het, zie ik de maatregel als zinvol, heeft de maatregel in het verleden laten zien zinvol te zijn, weegt de moeite van de maatregel op tegen wat het oplevert? Sander: “Voor ons als professionals de vraag: Zijn de tips die wij geven misschien lastig toepasbaar? Worden ze wel als ‘functioneel’ gezien door de burger? Geven we ze wel op het juiste moment.”

Impact van cybercrime.

De gemiddelde kosten van cybercrime voor slachtoffers bedroegen bij benadering in 2017 € 140,-. Slachtoffers waren gemiddeld 5,6 uur bezig om de problemen op te lossen (2). Deze cijfer zijn niet ‘wetenschappelijk’ verkregen. Ze laten wel een mogelijk andere reden zien waarom burgers extra maatregelen nemen, bovenop de maatregelen die de software- of netwerkleverancier zelf bieden. De kans dat ze slachtoffer worden is nog relatief klein en de impact relatief laag, namelijk €140- en een paar uur ‘hinder’. Uiteraard zijn er uitzonderingen, maar gemiddeld genomen is de impact laag en is er weinig emotionele schade. De impact is tot nu toe meer voelbaar bij bestuurders en ondernemers, waarbij imagoschade leidt tot directe en indirecte financiële schade. Een recent trendonderzoek naar de impact van datalekken op de beurskoers laat dit ook zien (3).

Alert op risico’s.

Ik pleit ervoor om Nederlandse burgers niet als ‘hardleers’ neer te zetten, maar als logisch denkende mensen. Burgers die zelf nooit slachtoffer zijn geweest van cybercriminaliteit schatten de kans klein in dat dit hen overkomt. Voor hen is het misschien juist een keer goed als het ‘mis’ gaat. Daarmee bedoel ik niet dat ze gelijk voor de rest van hun leven getraumatiseerd worden, maar dat zij in ieder geval voelen dat de risico’s reëel zijn. Dit maakt hen bereid voor verandering.

Voor burgers die wel slachtoffer zijn geworden moeten we het zo gemakkelijk mogelijk maken om dit te kunnen melden. Bij de politie, bij de Internet Service Providers of via andere instanties. Wanneer burgers zich melden is dit gelijk een moment om ze nieuwe kennis en nieuwe vaardigheden te geven om herhaling te voorkomen.

De focus voor communicatiecampagnes richting de burger zou misschien dus moeten liggen op het melden van incidenten of potentiële incidenten en niet op het voorkomen. Dit klinkt misschien tegenstrijdig, maar vergelijk het met een dubbel slot op je fiets. Op een poster lees je dat een dief twee keer zoveel tijd nodigt heeft om een fiets te stelen wanneer het een dubbel slot heeft. Jij denkt: Het is bij mij nooit misgegaan, dus één slot is voldoende. Totdat je fiets wel een keer gestolen wordt. Wanneer je dan die dezelfde poster weer ziet is de kans een stuk groter dat je toch maar wel die maatregel neemt en een tweede slot koopt, voor op je nieuwe fiets….

(1) Alert Online

(2) Symantec

(3) CompariTech

Sander Ebbers

By Sander Ebbers

Awareness & Training

Any questions about this post or our services? Just mail me or call me on +31 6 29 624 303.

Contact us

The world of cybersecurity is complex and rapidly evolving, we know. Qbit guides you. Feel free to contact us.

Contact us