ICT-gebruik bij kleine bedrijven; bedrijfsgrootte, 2022

Tabeltoelichting

Toelichting onderwerpen

Toegang en gebruik internet

Bedrijven met website

Bedrijven die een eigen website hebben.

Website bevat

Bedrijven met website die de volgende items bevatten:

Verwijzing naar sociale media

Bedrijven met een website met verwijzingen of links naar pagina's van het bedrijf op sociale media

ICT-veiligheid

Informatie over maatregelen, controles en procedures die een bedrijf toepast met betrekking tot ICT-systemen, met als doel de integriteit, authenticiteit, beschikbaarheid en vertrouwelijkheid van gegevens (data) en systemen te borgen.

Gebruikte ICT-veiligheidsmaatregelen

Maatregelen die bedrijven genomen hebben om hun cyberweerbaarheid te verhogen.

Anti-virussoftware

Het gebruik van antivirussoftware betreft zowel gratis als betaalde software.

Beleid voor sterke wachtwoorden

Wachtwoorden die ten minste acht gemengde karakters hebben, die veranderd moeten worden na een bepaalde periode en/of naar aanleiding van bijvoorbeeld een ICT-veiligheidsincident, en die versleuteld worden verstuurd en opgeslagen

Biometrische methoden

Identificatie en authenticatie van gebruikers worden via biometrische methoden vastgesteld. Authenticatie via bijvoorbeeld een vingerafdruk, de stem of het gezicht.

Authenticatie via soft- of hardwaretoken

Het gaat om identificatie en authenticatie van gebruikers via software of hardware-tokens om toegang te krijgen tot de ICT-systemen (oftewel twee-factor authenticatie), bijvoorbeeld via smartcards, USB-beveiligingssleutels of mobiele telefoons (eenmalige inlogcodes via SMS of app).

Encryptie van data

Het gaat om versleutelingstechnieken (encryptie) van data, documenten of e-mails. In 2017 werd encryptie nog opgedeeld in encryptie van opslagen en verstuurde data; vanaf 2018 is het samengevoegd.

Gegevens op andere fysieke locatie

Het gaat om het op een andere fysieke locatie bewaren van (reserve)gegevens (offsite data-backup). Opslag in de cloud telt ook mee.

Network access control

Alleen apparaten die voldoen aan bepaalde eisen krijgen toegang tot het bedrijfsnetwerk, bijvoorbeeld alleen apparaten die de laatste update van een besturingssysteem hebben geïnstalleerd.

VPN internetgebruik buiten het bedrijf

Het gaat om het gebruik van een Virtual Private Network (VPN) bij internetgebruik buiten het eigen bedrijf. Een VPN zorgt ervoor dat alle internetverkeer tussen de gebruiker en de VPN-server wordt versleuteld. Daardoor kan het verkeer niet worden afgeluisterd, en kan de inhoud van bezochte websites niet worden gemanipuleerd door kwaadwillenden (bijvoorbeeld man-in-the-middle-aanvallen).

Logbestanden voor analyse incidenten

Logbestanden opslaan om incidenten achteraf te analyseren

Methodes voor beoordelen ICT-veiligheid

Het gaat om methodes om de ICT-veiligheid in het bedrijf te kunnen beoordelen, zoals de veiligheidsmaatregelen laten controleren door derden, of tests uitvoeren. Voorbeelden zijn: penetration testing (pen test), red teaming, ethisch hacken, back-up systemen testen of gesimuleerde ICT-veiligheidsincidenten zoals phishing-emails versturen. Dergelijke tests worden uitgevoerd om op een veilige manier kwetsbaarheden in ICT-systemen op te sporen.

Risicoanalyses

Periodiek beoordelen wat de kans is dat het bedrijf wordt getroffen door een incident, en wat daarvan de mogelijke gevolgen zouden zijn

ICT-veiligheid volg- en detectiesysteem

Geavanceerd ICT-veiligheid volg- en detectiesysteem dat verdachte activiteiten op het ICT-systeem van het bedrijf kan detecteren. Dus niet standaard anti-virussoftware, maar systemen zoals Next Generation Intrusion Prevention System (NGIPS), Next Generation Firewall (NGFW) of Intrusion Detection System (IDS).

Informatiebronnen cyberdreiging

Welke informatiebronnen worden gebruikt om op de hoogte te blijven van cyberdreigingen?

Digital Trust Center

Het Digital Trust Center (DTC) is een overheidsorganisatie met als missie het weerbaar maken van bedrijven in Nederland tegen cyberdreigingen door middel van informatieverschaffing en het stimuleren van samenwerkingsverbanden op regionaal- en brancheniveau tussen bedrijven op het gebied van ICT-veiligheid.

DTC-website als bron gebruikt

Bedrijven die bekend zijn met het DTC en de DTC-website als bron van informatie gebruiken om het bedrijf meer cyberweerbaar te maken

E-commerce voor verkoop

E-commerce is het ontvangen of plaatsen van orders voor goederen of diensten over elektronische netwerken, ongeacht de wijze van betalen en afleveren. Denk hierbij bijvoorbeeld aan het bestellen van producten op een website. Bestellingen per telefoon, fax of (handmatig getypte) e-mail tellen niet mee als e-commerce.
Verkoop via externe netwerken of elektronische verkoop is hier gedefinieerd als elektronische orderontvangst (exclusief handgeschreven e-mail). Verkoop kan plaatsvinden via de website van een bedrijf (openbaar, algemeen toegankelijk), of via EDI (Electronic Data Interchange). Met EDI wordt hier bedoeld: het zenden of ontvangen van informatie in een afgesproken format dat automatische verwerking mogelijk maakt, bijvoorbeeld EDIFACT, XML, UBL, XBRL.

Omzet via online platforms

In deze sectie wordt een onderscheid gemaakt tussen de omzet behaald via de eigen website of app van een bedrijf en de website of app van een ander bedrijf, ook wel aangeduid als online platform. Online platformen brengen aanbieders van goederen en diensten in contact met (potentiële) klanten en ondersteunen eventueel transacties. Voorbeelden van online platforms zijn booking.com, bol.com, thuisbezorgd.nl, kieskeurig.nl, werkspot.nl, etc. Een website of app in eigen beheer wordt dus niet gezien als een online platform.

Aantal platforms gebruikt

Aantal platformen gebruikt om orders te ontvangen of om diensten te verkopen

Via één

Via twee

Via drie of meer