Nederlanders maken zich opvallend weinig zorgen over cybersecurity

13 november 2017 Consultancy.nl

Nederlanders blijken zich slechts gematigd druk te maken over hoe het thuis met hun digitale veiligheid gesteld is. Ondanks de vele cyberaanvallen van de afgelopen tijd, stelt iets meer dan de helft van hen zich (zeer) weinig zorgen te maken over cyberaanvallen. Terwijl de grote meerderheid van de Nederlanders meent goed te handelen op het gebied van cybersecurity, nemen maar weinigen concrete maatregelen in het geval van een incident. Mensen die werk verrichten op het gebied van vitale infrastructuur zijn bovengemiddeld alert. Zo blijkt uit onderzoek van Motivaction.

Cybersecurity is vandaag de dag een veelbesproken thema. Met de alsmaar verdergaande digitalisering van de samenleving nemen zowel de kans als de omvang van de mogelijke schade steeds verder toe. Wereldwijd vinden continu cyberaanvallen plaats, soms op grote schaal en met vergaande gevolgen, zoals in het geval van de beruchte WannaCry-ransomware. Volgens cijfers van de Cyber Security Raad (CSR) bedroeg de gerapporteerde economische schade door cybercriminaliteit vorig jaar zo’n €10 miljard. De werkelijke hoogte van de schade ligt echter veel hoger doordat veel incidenten onvermeld blijven. Volgens een onderzoek van Grant Thornton lagen de wereldwijde kosten van cyberdiefstal vorig jaar op zo’n €280 miljard.

Alert Online

Om burgers en bedrijven beter bewust te maken van de risico’s, initieerde het ministerie van Veiligheid en Justitie de campagne ‘Alert Online’. In het kader van deze door het Fonds voor interne veiligheid van de EU gefinancierde campagne en in opdracht van Omnicom Public Relations Group (OPRG), heeft Motivaction – een van de grootste onderzoeksbureaus van Nederland – gekeken hoe het onder de Nederlandse (beroeps-)bevolking is gesteld met het bewustzijn rondom cybersecurity. Zo hoopt men kennis te vergaren van het gedrag van Nederlanders en inzichten te bieden voor een succesvolle Alert Online-campagne.

Voor het onderzoek hebben 2.106 Nederlanders tussen de dertien en tachtig jaar oud vragen beantwoord, waarbij erop is gelet dat de responsgroep zo is samengesteld dat deze een zo goed mogelijke afspiegeling vormt van de Nederlandse bevolking. Uit de resultaten blijkt dat veel Nederlanders zich, ondanks de ruime aandacht voor het thema en de aanzienlijke risico’s, niet zoveel zorgen maken over hun digitale veiligheid. Daarnaast lijken velen hun eigen vaardigheden in het voorkomen en genezen van incidenten te overschatten.

In hoeverre maak je je zorgen over jouw online/digitale veiligheid in je privesituatie

Weinig zorgen

Net iets meer dan de helft van de deelnemers geeft aan zich weinig zorgen te maken over hoe het thuis met de digitale veiligheid gesteld is: 12% ervaart zeer weinig zorgen en 40% ‘gewoon’ weinig zorgen. Dit betekent dat net iets minder dan de helft (46%, de overige 2% antwoordde ‘weet niet’) wel ongerust is. Van deze 46% geeft veruit het grootste deel (38% van alle respondenten) aan zich enige zorgen te maken, terwijl respectievelijk 6% en 2% aangeeft zich veel en heel veel zorgen te maken.

Als reden voor de beperkte ongerustheid wordt gewezen op de lage inschatting van de impact van diverse vormen van cybercrime. De kans op (computer)schade wordt in alle gevallen lager dan 15% ingeschat, mogelijk omdat bij eerdere incidenten de schade klein bleef of van korte duur was.

Vitale infrastructuur

Ook was er aandacht voor de verschillen tussen diverse beroepsgroepen, waarbij de werknemers die zich bezighouden met vitale infrastructuur* consequent meer ongerust blijken dan de gemiddelde Nederlander: “Zij zijn als groep binnen de Nederlandse beroepsbevolking beter op de hoogte van digitale gevaren. Ze hebben meer kennis van online gevaren en schatten de kans dat situaties zich voordoen ook hoger in”, aldus de onderzoekers. Het lijkt aannemelijk dat dit verhoogde bewustzijn een gevolg is van hun functie, het belang van computers daarin en de mogelijk enorme gevolgen als er iets fout gaat.

In hoeverre maak je je zorgen over jouw online - digitale veiligheid

Zo zijn zij duidelijk minder positief gestemd over de digitale veiligheid binnen hun thuissituatie. Slechts 8% geeft aan zich zeer weinig zorgen te maken en zegt 37% ‘gewoon’ weinig zorgen te ervaren. Het is daarmee de enige groep waar meer dan de helft van de respondenten laat weten niet gerust te zijn op de thuisveiligheid: 39% kiest voor enige zorgen, 10% voor veel zorgen en 6% voor heel veel zorgen. Ook onderscheidt de groep zich wat betreft de genomen veiligheidsmaatregelen. Zo wordt er gebruik gemaakt van geavanceerde technieken als spyware scanners en web tracking blockers.

Voorgaande jaren

Wanneer de resultaten van dit jaar worden afgezet tegen die van eerdere edities, blijkt dat de bezorgdheid over de digitale veiligheid thuis dit jaar ongeveer op hetzelfde niveau uitkomt als in 2015 (51%), nadat deze in 2016 met slechts 29% nog een stuk lager was. Dat de angst in vergelijking met vorig jaar weer is toegenomen, komt volgens de onderzoekers mogelijk door de sterk gestegen aandacht voor cybergevaren in de media en publiekscampagnes.

Ben je er weleens bezorgd over dat je zelf te maken krijgt met een cyberaanval

Uit een vergelijking tussen de thuis- en de werksituatie komt daarnaast naar voren dat Nederlanders thuis aanzienlijk ongeruster zijn dan op hun werk, waar de laatste drie jaar steeds zo ongeveer driekwart van de werknemers zich weinig tot zeer weinig zorgen maakte. Voor dit verschil van risico-inschatting wordt in het rapport geen verklaring gegeven.

Angst voor aanvallen

Van alle Nederlanders blijkt bijna twee derde (63%) weleens bang te zijn om te maken krijgt met een cyberaanval. Dit aandeel is opgebouwd uit 55% die soms zorgen heeft, 6% die ze regelmatig heeft en 2% die zegt altijd bezorgd te zijn. Mannen en negentien- tot en met vierendertigjarigen geven bovengemiddeld vaak aan nooit bang te zijn voor een aanval. De gemiddelden van de verschillende beroepsgroepen vertonen geen opvallende afwijkingen, wederom met uitzondering van de medewerkers in de vitale infrastructuur, die vaker aangeven regelmatig (12%) of altijd (7%) bezorgd te zijn voor een cyberaanval.

Als reactie op het nieuws over cyberaanvallen zijn mensen vooral voorzichtiger geworden

Cybercrime in de media

De ruime aandacht voor cybersecurity in de media blijkt bij de meeste Nederlanders niet onopgemerkt te zijn gebleven. 73% van de respondenten zegt in de afgelopen zes maanden iets gehoord, gezien of gelezen te hebben over een cyberaanval. Voor 14% geldt het tegenovergestelde en de overige 13% weet het niet. Tussen de verschillende groepen bestaat op deze gebieden niet zo veel variantie. Wel blijkt dat mannen en hoogopgeleiden vaker aangeven via de media iets te hebben meegekregen van aanvallen.

Interessanter wordt het wanneer er wordt gekeken naar de respondenten die aangaven wel iets van de media-aandacht voor cybersecurity te hebben gemerkt. 34% van hen stelt voorzichtiger te zijn geworden terwijl niet meer dan 12% ook echt maatregelen trof. Meer dan de helft (54%) van de groep die zich via de media bewust is van cyberrisico’s stelt echter niets aan zijn of haar gedrag te hebben aangepast. Wederom springen de werkers in de vitale infrastructuur eruit. Daar stelt 55% voorzichtiger te zijn geworden en is slechts 29% op dezelfde weg verdergegaan.

Heb je in een privesituatie ooit weleens te maken gehad met een van de onderstaande voorvallen

Eigen ervaring

Het grootste deel van de respondenten heeft ook weleens persoonlijk te maken gehad met (pogingen tot) cyberaanvallen. Phishing-mails blijken met afstand het meest gebruikte wapen van cybercriminelen: 55% van de respondenten stelt thuis weleens zo’n e-mail te hebben ontvangen. Iets meer dan de helft van hen (52%) zegt hierdoor voorzichtiger te zijn geworden, maar niet meer dan 17% nam ook concrete maatregelen. 32% laat weten op social media weleens te zijn gevraagd op een onbekende link te klikken, wat bij 53% leidde tot meer voorzichtigheid en waardoor wederom 17% van hen daadwerkelijk actie ondernam.

Opvallend is dat het percentage mensen dat werkelijk concreet iets onderneemt in de meeste gevallen onder de 20% blijft. Alleen zij die ooit een foute link aanklikten (14% van de respondenten) of te maken kregen met ransomware (8% van de respondenten) blijken eerder geneigd ook echt iets te doen, met respectievelijk 24% en 32% die aangeeft voorzorgsmaatregelen te hebben getroffen. En opnieuw kan worden geconcludeerd dat mensen werkzaam op het gebied van vitale infrastructuur eruit springen. Voor elk van de type cyberaanvallen, met uitzondering van de phishing-mail, geldt dat zij veel vaker dan gemiddeld aangeven hiermee te maken te hebben gehad.

De onderzoekers waarschuwen echter voor onze blinde vlek ten opzichte van minder traditionele manieren van cybercriminaliteit. Onderweg en buitenshuis zijn er vele manieren waarop kwaadwillenden toe kunnen slaan, bijvoorbeeld wanneer een telefoon of laptop automatisch verbinding maakt met een openbaar netwerk zonder dat de gebruiker hier erg in heeft. En bij USB-oplaadpunten kan men slachtoffer worden van juice jacking, waarbij de USB-poort gegevens uitleest of malware installeert. Ook kunnen banners op websites of in apps geïnfecteerde software bevatten.

In hoeverre denk je dat je op een veilige wijze omgaat met de volgende zaken

Eigen vaardigheden

Een van de redenen waarom Nederlanders zich desondanks maar weinig zorgen lijken te maken over cybersecurity, is wellicht dat ze denken zeer bekwaam te zijn in hun omgang met de risico’s. In bijna alle voorgelegde situaties stelt meer dan de helft goed, zeer goed of uitstekend te handelen. Zo zegt 79% goed tot uitstekend om te gaan met phishing-mails, 72% met de inhoud van wachtwoorden, 71% met updates en 70% met het bewaren van wachtwoorden. Het enige aspect waarbij minder dan de helft (43%) verzekerd is van het eigen handelen, is bij het werken in de cloud. Ook wat betreft het veilige gebruik van wifi-netwerken onderweg (52%) en het beschermen van de eigen gegevens (55%) is men relatief onzeker.

En weer zijn het de medewerkers in de vitale infrastructuur die opvallen: ze denken vaker goed om te gaan met wachtwoorden, wifi-netwerken, gegevensbescherming, updates en USB-sticks. Gezien hun hogere veiligheidsbewustzijn dat in het hele onderzoek naar voren komt, is het niet ondenkbaar dat zij de risico’s inderdaad beter beheersen. Ook mannen schatten zichzelf op dit gebied hoog in. Behalve ten aanzien van social media, denken zij op alle vlakken beter te zijn dan vrouwen, hoewel hier geen duidelijke redenen voor aan te dragen zijn.

Ondanks de hoge pet die men op heeft van de eigen vaardigheden op het gebied van cybersecurity, geeft echter slechts 24% van de respondenten aan voorbereid te zijn op een aanval. Een grotere groep van 32% laat weten juist niet klaar te zijn voor een dergelijk incident, terwijl het grootste deel van de ondervraagden (44%) het simpelweg niet weet.

Zes op de tien Nederlanders zou nooit betalen bij ransomware

Concrete maatregelen

Gekeken naar de concrete maatregelen die mensen wel nemen om zich te wapenen tegen cyberrisico’s, blijkt dat iets meer dan de helft (52%) stelt er met anderen over te praten als ze een virus hebben gedownload op hun werkcomputer, terwijl 6% dit soms wel en soms niet doet en 3% nooit of meestal niet. Wat betreft de thuiscomputer laat 50% weten dit meteen te delen met anderen, terwijl dit bij 16% per geval verschilt en 11% het altijd of meestal voor zich houdt.

Vrouwen blijken er vaker dan mannen voor uit te komen dat ze een virus op de computer hebben. 39% van de respondenten zegt zich altijd of meestal te schamen indien hij of zij op een link in een phishing-mail zou klikken en nog eens 17% zou zich in een deel van deze gevallen schamen. Gevraagd naar wat men zou doen als hun computer gegijzeld zou worden door ransomware, blijkt 60% in geen geval bereid ‘losgeld’ te betalen, terwijl 7% dit meestal niet is en 5% zegt soms wel en soms niet geld te zullen betalen. Slechts 3% laat weten altijd of meestal wel het gevraagde geld over te maken.

De onderzoekers merken op dat Nederlanders zich op zich wel zorgen maken over internetveiligheid, maar daar vervolgens weinig mee doen. Dat een ruime meerderheid desondanks zegt (zeer) goed of zelfs uitstekend om te kunnen gaan met potentieel gevaarlijke situaties noemen de onderzoekers dan ook “naïef”. Deze conclusie lijkt ook in lijn met de meest genoemde reden om thuis niet op een cyberaanval te zijn voorbereid, namelijk dat men niet goed weet hoe dit te doen.

Mensen die cyberrisico’s onvoldoende op waarde weten te schatten, kunnen volgens Willis Towers Watson grote gevaren opleveren binnen organisaties. Niet alleen particulieren onderschatten echter de gevaren van cybercriminaliteit. Onlangs kwam uit onderzoek van Berenschot naar voren dat HR-afdelingen maar weinig prioriteit toekennen aan privacy en databeveiliging. Eerder concludeerde het bureau ook al dat de Nederlandse politieke partijen het niet goed doen op het gebied van cybersecurity.

* De vitale infrastructuur wordt in het onderzoek gedefinieerd als personen die van hun werkgever een pc, laptop, smartphone of tablet ter beschikking hebben gekregen en die werken in een organisatie die zich bezighoudt met één van de onderstaande processen: transport en distributie elektriciteit, gasproductie en -distributie, internettoegang, drinkwatervoorziening, keren en beheren waterkwantiteit, vlucht- en vliegtuigafhandeling, scheepvaartafwikkeling, grootschalige productie/verwerking en/of opslag (petro)chemische stoffen, opslag, productie en verwerking nucleair materiaal, toonbankbetalingsverkeer, massaal giraal betalingsverkeer, effecten- en betalingsverkeer tussen banken.