Nederland is een van de meest digitaal actieve landen ter wereld. Dit geldt voor zowel burgers als overheid en bedrijfsleven. Om te kijken hoe het is gesteld met de kennis omtrent veilig online zijn, wordt in opdracht van de Nationale Coördinator Terrorisme en Veiligheid jaarlijks het onderzoek Alert Online uitgevoerd. De editie voor 2025 is deze week gepubliceerd.
Naast het hoofdrapport bevat het onderzoek ook een deelrapport voor het Nederlandse bedrijfsleven. Dit is gedaan om de overheid een beter beeld te geven van hoe Nederlandse bedrijven beter ondersteund kunnen worden in het veilig online zaken doen. Voor dit deelrapport is een vragenlijst ingevuld door medewerkers van bedrijven van verschillende grootte. Het gaat in totaal om 734 medewerkers van deze bedrijven, en 754 ICT-verantwoordelijken. Uit dit onderzoek zijn een aantal belangrijke conclusies te trekken.
1. Kleinere bedrijven lopen nog steeds achter bij cyberveiligheid.
20% van de ondervraagde medewerkers van kleine bedrijven (10 of minder werknemers) gaf aan dat hun bedrijf geen enkele actie ondernam ten behoeve van veilig online gedrag. Dit is een zeer groot verschil met middelgrote en grote bedrijven (respectievelijk 10 t/m 199 en 200 of meer werknemers). Van de middelgrote bedrijven gaf slechts 3% aan dat er geen veiligheidsmaatregelen werden genomen, bij grote bedrijven gaf geen enkele respondent dit aan. Positief is wel dat er een sterke daling zichtbaar is ten opzichte van 2024: bij de vorige editie van het onderzoek gaf 32% van de kleine bedrijven aan dat ze geen maatregelen namen.
Dit is al langer een tendens, en het Ministerie van Economische Zaken probeert op verschillende manieren ook de kleine bedrijven te ondersteunen met het veilig online zakendoen. Zo wordt via het Digital Trust Center laagdrempelige informatie aangeboden over een groot aantal onderwerpen gerelateerd aan de cyberveiligheid, en biedt de DTC Community een platform om discussies te houden en informatie uit te wisselen. Subsidies als Mijn Cyberweerbare Zaak moeten te drempel voor kleine bedrijven om maatregelen te nemen verlagen.
2. Er wordt nog steeds te weinig melding gemaakt van aanvallen
Ongeveer de helft van de ondervraagde medewerkers geeft aan dat ze bij een aanval of poging hiertoe geen aangifte doen of melding maken. Kleine bedrijven doen in 8% van de gevallen aangifte, bij grotere bedrijven gebeurt dit slechts bij 1%. Grotere organisaties weten wel beter de weg te vinden naar andere hulpinstanties, zoals hun bank, de Fraudehelpdesk of het Nationaal Cybersecurity Centrum. Er wordt wel meer melding gedaan binnen de organisatie. Bijna de helft van de respondenten in middelgrote en grote bedrijven geeft aan dat bij een poging tot aanval melding wordt gemaakt bij de eigen ICT-afdeling.
Belangrijkste reden om geen melding of aangifte te doen is dat de aanval geen schade deed, of dat het als niet belangrijk werd gezien. Wat ook opvalt is dat 22% van de ICT-medewerkers aangaf dat ze geen aangifte of melding doen omdat ze het gevoel hadden dat dit geen zin zou hebben. Onder reguliere medewerkers gaf 5% dit aan. Zo'n 60% van de respondenten geeft aan dat ze melding doen om een veiligere online omgeving te creëren. Voor bijna 40% speelt ook plichtsgevoel een rol.
Onderzoek eerder dit jaar toont aan dat aangifte doen bij een cyberaanval belangrijk is, niet alleen om daders te kunnen vervolgen maar ook om de kennis omtrent cybercriminaliteit te vergroten en preventie makkelijker te maken, zeker nu er steeds vaker generatieve AI wordt gebruikt om cybercriminele handelingen te plegen. Organisaties als het NCSC gebruiken informatie uit aangiftes en meldingen om bedrijven beter voor te lichten over nieuwe risico's.
3. ICT-medewerkers lijken zich meer bewust van wat cybercriminaliteit is.
Wanneer men kijkt naar de verschillende vormen van cybercriminaliteit die medewerkers het afgelopen jaar hebben ervaren, dan zijn verschillende vormen van phishing het meest voorkomend. 31% van de reguliere medewerkers gaf aan dat ze mails met poging tot phishing hebben ontvangen. Andere vormen van fraude komen veel minder voor, al is er wel een stijging te zien in identiteitsfraude, waarbij criminelen contact zoeken en zich voordoen als een bedrijf of officiële instantie om zo toegang te krijgen tot gegevens of geld te bemachtigen.
Wat opvalt is dat bij vrijwel elke onderzochte vorm van cybercriminaliteit de ICT-medewerkers vaker aangeven dat ze een of meer incidenten hebben ervaren. 64% van de medewerkers geeft aan geen enkele vorm van cybercriminaliteit ervaren te hebben, tegen 49% van ICT-medewerkers. Vraag hierbij is of het hier gaat om een hogere mate van bewustzijn, of dat criminelen vaker ICT-medewerkers benaderen omdat zij meer toegang hebben tot interne systemen.
4. Kennis over generatieve AI blijft achter bij gebruik hiervan.
Voor het eerst wordt dit jaar in de Alert Online monitor ook gevraagd naar kennis over en gebruik van generatieve kunstmatige intelligentie (AI) op de werkvloer. Het gaat hierbij om LLMs als ChatGPT, maar ook beeldgenererende AI-modellen. Ongeveer een derde van de medewerkers ziet hun kennis van deze technologie als uitstekend of goed. Een derde ziet hun eigen kennis als gemiddeld, de rest geeft aan (zeer) weinig of helemaal niets te weten over AI. Bij ICT-verantwoordelijken geeft ruim de helft aan dat hun kennis uitstekend of goed is. Bijna dan de helft van de respondenten geeft aan dat hun organisatie structureel (14%) of soms (35%) generatieve AI gebruikt. Onder de ICT-verantwoordelijkheden zijn deze percentages hoger. Dit lijkt aan te geven dat ICT-medewerkers zich meer bewust zijn van wat generatieve AI is.
Ook bij kennis over eigen richtlijnen omtrent gebruik van AI is er een duidelijke scheiding tussen reguliere en ICT-medewerkers. 28% van de medewerkers geeft aan dat hun organisatie duidelijke richtlijnen heeft, tegenover 45% van ICT-medewerkers. 38% van de reguliere medewerkers weet niet of hun organisatie richtlijnen heeft, tegenover 17% van de ondervraagde ICT'ers.
Verantwoord gebruik van generatieve AI is belangrijk, en zal in de toekomst alleen maar belangrijker worden. Het gebruik van AI kan een organisatie veel geld en tijd besparen, maar introduceert ook nieuwe risico's. Zo kunnen AI-modellen ongewenst toegang krijgen tot gevoelige gegevens en deze meenemen in hun trainingsdata. Ook gebruiken criminelen generatieve AI om bestaande vormen van cyberaanvallen te versterken, zoals phishing en identiteitsfraude, en zijn AI-modellen ook kwetsbaar voor nieuwe vormen van cybercriminaliteit als prompt injection.