Cybersecurity in kaart gebracht
De moderne samenleving is steeds afhankelijker van informatie- en communicatietechnologie (ICT). Burgers, instellingen en bedrijven delen grote hoeveelheden - vaak privacygevoelige – informatie. Overheden en bedrijven maken steeds meer gebruik van big data om tot nieuwe inzichten te komen en betere besluitvorming. Daarbij krijgen ze steeds vaker te maken met de schaduwkanten van ICT zoals storingen, datalekken, privacy-schendingen of zelfs cybercriminaliteit. Het CBS schetst in de Cybersecuritymonitor 2018 aan de hand van een twintigtal indicatoren een beeld van het aantal cyberdelicten, incidenten en problemen en de maatregelen die burgers, bedrijven en overheden er tegen nemen.
Waarom een Cybersecuritymonitor?
Statistisch onderzoeker Andries Kuipers van het CBS is als projectleider verantwoordelijk voor de totstandkoming van de Cybersecuritymonitor. ‘We merkten bij beleidsmakers en organisaties die veel te maken hebben met cybersecurity een behoefte om cijfermatig zicht te krijgen op dit onderwerp. Wat zijn de dreigingen die op ons af komen? Wat doen we er tegen? Hoe ernstig is het?’ Door bestaande indicatoren samen te brengen in de Cybersecuritymonitor ontstaat een beeld van welke informatie er voor handen is en op welke terreinen er nog geen of maar weinig informatie beschikbaar is. Kuipers: ‘Doel is deze monitor uit te bouwen tot een volwaardige monitor, die een evenwichtig beeld geeft van de situatie op het gebied van cybersecurity in Nederland.’
Klassieke waarden
De eerste twee edities zijn in samenwerking met het ministerie van Economische Zaken en Klimaat (EZK) tot stand gekomen. Volgens Kuipers ziet niet alleen het ministerie van EZK een belangrijke rol voor het CBS bij het in kaart brengen van dit onderwerp, maar ook andere partijen. ‘De redenen waarom de buitenwereld naar het CBS kijkt om op het gebied van cybersecurity statistische informatie te produceren, heeft te maken met de klassieke waarden en kwaliteiten van het CBS. Denk aan: onafhankelijkheid, methodologisch sterk, toegang tot overheidsadministraties met relevante data, mogelijkheden om te koppelen met andere binnen het CBS beschikbare datasets en het uiteindelijk beschikbaar stellen - onder strikte voorwaarden - van de datasets voor verder onderzoek.’
Wat is cybersecurity?
Er is niet alleen behoefte aan zicht op cybersecurity door middel van indicatoren (bijvoorbeeld het gebruik van betaalde clouddiensten), ook op het terrein van de begripsvorming zijn er nog een aantal vragen. Kuipers: ‘Er is ook behoefte aan begrips- en kadervorming, definities en classificaties. In de wereld van de cybersecurity is er nog lang geen sprake van één taal. Sommigen vinden bijvoorbeeld cyberpesten niet behoren tot het domein van de cybersecurity, terwijl anderen dat juist heel belangrijk vinden. Daarnaast bestaat er niet zo iets als een ‘totaal aan cybersecurity’, het is dus nog een hele uitdaging om een volledig en evenwichtig beeld te schetsen.’
Begrippenkader
Naast het gebruik van bestaande indicatoren en het verder invullen van het begrippenkader zoekt het CBS ook naar nieuwe bronnen en gegevens. Dat is ook te zien in de Cybersecuritymonitor 2018, die op een aantal punten aanvullend is ten opzichte van 2017. Kuipers: ‘De monitor telt net als de versie van vorig jaar een twintigtal indicatoren. In deze tweede editie is echter ook veel nieuws te lezen. Door extra vragen over cybersecurity op te nemen in de enquête over het ICT-gebruik van bedrijven zijn er bijvoorbeeld cijfers over ICT-incidenten bij bedrijven en de daarvan ondervonden financiële schade.’ Omdat de ontwikkelingen snel gaan, valt het niet mee om indicatoren te definiëren die een aantal jaren gebruikt kunnen worden en in de tijd vergelijkbaar zijn. Kuipers: ‘De vorm waarin cybercriminaliteit zich zal voordoen en de maatregelen die men ertegen kan nemen, veranderen per jaar. Nog maar kort geleden had niemand van ransomware (een programma dat een computer blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te laten werken, red.) gehoord, terwijl bedrijven en personen er nu serieus last van hebben.’
Samenwerking met andere partijen
De komende jaren is het de bedoeling om – naast de uitbreiding van de eigen CBS-enquêtes met vragen over cybersecurity – nieuwe databronnen en gegevens van externe partijen te gaan verwerken. Daarnaast kunnen andere partijen expertise inbrengen over het fenomeen cybersecurity, dat nog een relatief nieuw vakgebied is. Kuipers: ‘Het CBS voelt zich zeker aangesproken om ook op het terrein van cybersecurity – nadrukkelijk in samenwerking met andere partijen – zijn bijdrage te leveren om te komen tot betrouwbare en transparante statistische informatie. Wij hopen daarbij nog meer gegevens en bronnen van andere instanties aan te kunnen bieden. Er is immers een grens aan wat je personen en bedrijven in enquêtes over hun cybersecurity kunt vragen.’
Relevante links
- Publicatie - Cybersecuritymonitor 2017
- Publicatie - Cybersecuritymonitor 2018