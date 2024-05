Veel Nederlandse bedrijven nemen onvoldoende maatregelen tegen cyberdreigingen, zo stelt TNO op basis van eigen onderzoek (pdf). Bedrijven geven hiervoor allerlei redenen. Zo zien ze zichzelf niet als potentieel slachtoffer, Onderschatten de gevolgen van onveilige digitaal ondernemen, weten niet hoe ze moeten beginnen, vinden veilig digitaal ondernemen niet belangrijk genoeg, vinden dit niet hun verantwoordelijkheid of hebben hier niet de middelen voor.

TNO voerde het onderzoek uit voor het Digital Trust Center (DTC), waarbij onder andere de vraag centraal stond hoe de actiebereidheid van Nederlandse niet-vitale bedrijven kan worden vergroot als het om cybersecurity gaat. De onderzoekers kwamen tot vijf doelgroepen met elk hun eigen weerbaarheidsniveau en onderliggende gedragsbepalers. De eerste groep zijn de Voorlopers, bedrijven die alle vereiste beschermende maatregelen nemen. 22 procent van de ondernemingen valt in deze categorie.

Uitbesteders'

Twaalf procent van de ondernemingen wordt aangemerkt als Uitbesteders. Deze groep scoort hoog op veilig digitaal ondernemen, maar niet zo hoog als de Voorlopers. Bedrijven in deze categorie besteden hun cybersecurity in grote mate uit aan externe it-serviceproviders. De derde groep wordt door TNO 'Overmoedigen' genoemd. Deze bedrijven nemen beschermende maatregelen, maar minder dan Voorlopers en Uitbesteders.

Deze groep onderschat de gevolgen van een cyberbeveiligingsincident. "Deze organisaties geven niet veel om hoe hun organisatie bekend staat bij hun klanten en relaties wat betreft de mate van cyberveiligheid in hun bedrijfsvoering en denken dat de kans om slachtoffer te worden klein is", aldus TNO. "Bedrijven in deze groep kunnen worden aangemoedigd om hun response op een cyberincident uit te werken." Dertig procent van de bedrijven valt in deze categorie.

De vierde groep die het TNO-rapport noemt zijn de 'Machtelozen'. Deze bedrijven nemen onvoldoende beschermende maatregelen. Ze hebben weinig kennis, vaardigheden en hulpbronnen om zichzelf te beschermen. Ze onderschatten de gevolgen van een cyberbeveiligingsincident echter niet, en denken dat de kans om slachtoffer te worden aanwezig is, zo legt TNO uit. Het gaat om achttien procent van de bedrijven. Deze ondernemingen kan het belang van tweefactorauthenticatie worden uitgelegd en het updaten van systemen.

'Onverschilligen'

Achttien procent van de bedrijven valt in de laatste groep, de 'Onverschilligen'. Net als de Machtelozen nemen ook deze bedrijven onvoldoende beschermende maatregelen. Tegelijkertijd zijn ze niet overtuigd dat het nemen van aanbevolen maatregelen daadwerkelijk de dreiging zal verminderen, ze zijn niet gemotiveerd om hun organisatie te beschermen en denken dat de kans om slachtoffer te worden klein is.

"Gedragsmodellen zijn belangrijk om te begrijpen hoe gedrag beïnvloed kan worden. Maar net zo belangrijk is om te snappen welk type interventie aansluit bij welk type organisatie. Bijvoorbeeld als het gaat om de manier van overbrengen van informatie rondom een specifiek advies is het essentieel om de boodschap te laten aansluiten bij de ontvanger", aldus TNO. Dat wijst naar Brits onderzoek waaruit blijkt dat bedrijven via eenvoudige boodschappen kunnen worden aangezet tot het nemen van actie en dat het uitmaakt op welke manier deze boodschap wordt gebracht.