ICT-gebruik bij bedrijven; bedrijfstak, 2023

Tabeltoelichting

Toelichting onderwerpen

Clouddiensten

Het gebruik van cloud-computing of de cloud betreft ICT-diensten via internet. Bedrijven kunnen hiermee bijvoorbeeld opslagcapaciteit, software en rekenkracht gebruiken via internet in plaats van lokaal op hun eigen servers of computers. Clouddiensten zoals gemeten in dit onderzoek voldoen aan de volgende criteria: servers van de aanbieder leveren de diensten; de gebruiker kan de diensten eenvoudig zelf uitbreiden of juist verminderen (bijvoorbeeld de benodigde opslagcapaciteit verhogen of verlagen); de gebruiker heeft na installatie altijd toegang tot de diensten, zonder tussenkomst van de aanbieder; de gebruiker betaalt voor de diensten. Een verbinding via VPN (Virtual Private Network) kan ook tot de cloud behoren.

Clouddiensten gebruikt voor

Bedrijven die clouddiensten gebruiken voor de volgende doeleinden:

Veiligheidssoftware

Veiligheidssoftware, zoals antivirus programmatuur, network acces control (als clouddienst)

ICT-veiligheid

Informatie over maatregelen, controles en procedures die een bedrijf toepast met betrekking tot ICT-systemen, met als doel de integriteit, authenticiteit, beschikbaarheid en vertrouwelijkheid van gegevens (data) en systemen te borgen.

Gebruikte ICT-veiligheidsmaatregelen

Maatregelen die bedrijven genomen hebben om hun cyberweerbaarheid te verhogen.

Antivirussoftware

Het gebruik van antivirussoftware betreft zowel gratis als betaalde software.

Beleid voor sterke wachtwoorden

Wachtwoorden die ten minste acht gemengde karakters hebben, die veranderd moeten worden na een bepaalde periode en/of naar aanleiding van bijvoorbeeld een ICT-veiligheidsincident, en die versleuteld worden verstuurd en opgeslagen

Biometrische methoden

Identificatie en authenticatie van gebruikers worden via biometrische methoden vastgesteld. Authenticatie via bijvoorbeeld een vingerafdruk, de stem of het gezicht.

Authenticatie via soft- of hardwaretoken

Het gaat om identificatie en authenticatie van gebruikers via software of hardware-tokens om toegang te krijgen tot de ICT-systemen (oftewel twee-factor authenticatie), bijvoorbeeld via smartcards, USB-beveiligingssleutels of mobiele telefoons (eenmalige inlogcodes via SMS of app).

Encryptie van data

Het gaat om versleutelingstechnieken (encryptie) van data, documenten of e-mails. In 2017 werd encryptie nog opgedeeld in encryptie van opslagen en verstuurde data; vanaf 2018 is het samengevoegd.

Gegevens op andere fysieke locatie

Het gaat om het op een andere fysieke locatie bewaren van (reserve)gegevens (offsite data-backup). Opslag in de cloud telt ook mee.

Network access control

Alleen apparaten die voldoen aan bepaalde eisen krijgen toegang tot het bedrijfsnetwerk, bijvoorbeeld alleen apparaten die de laatste update van een besturingssysteem hebben geïnstalleerd.

VPN internetgebruik buiten het bedrijf

Het gaat om het gebruik van een Virtual Private Network (VPN) bij internetgebruik buiten het eigen bedrijf. Een VPN zorgt ervoor dat alle internetverkeer tussen de gebruiker en de VPN-server wordt versleuteld. Daardoor kan het verkeer niet worden afgeluisterd, en kan de inhoud van bezochte websites niet worden gemanipuleerd door kwaadwillenden (bijvoorbeeld man-in-the-middle-aanvallen).

Logbestanden voor analyse incidenten

Logbestanden opslaan om incidenten achteraf te analyseren

Methodes voor beoordelen ICT-veiligheid

Het gaat om methodes om de ICT-veiligheid in het bedrijf te kunnen beoordelen, zoals de veiligheidsmaatregelen laten controleren door derden, of tests uitvoeren. Voorbeelden zijn: penetration testing (pen test), red teaming, ethisch hacken, back-up systemen testen of gesimuleerde ICT-veiligheidsincidenten zoals phishing-emails versturen. Dergelijke tests worden uitgevoerd om op een veilige manier kwetsbaarheden in ICT-systemen op te sporen.

Risicoanalyses

Periodiek beoordelen wat de kans is dat het bedrijf wordt getroffen door een incident, en wat daarvan de mogelijke gevolgen zouden zijn

ICT-veiligheid volg- en detectiesysteem

Geavanceerd ICT-veiligheid volg- en detectiesysteem dat verdachte activiteiten op het ICT-systeem van het bedrijf kan detecteren. Dus niet standaard antivirussoftware, maar systemen zoals Next Generation Intrusion Prevention System (NGIPS), Next Generation Firewall (NGFW) of Intrusion Detection System (IDS).

Training personeel ICT-veiligheid

Het aanbieden van trainingen (al dan niet verplicht) aan het personeel als methode om het eigen personeel meer bewust te maken van hun verplichtingen ten opzichte van ICT-veiligheidszaken

Vrijwillige training

Vrijwillige training of het aanbieden van intern beschikbare informatie (bijvoorbeeld informatie op het intranet)

Verplichte training

Verplichte trainingen of cursussen of het verplicht bekijken van documenten of instructiefilmpjes

Met contract

Met een contract (bijvoorbeeld een arbeidscontract)

Documentatie van ICT-veiligheid

Welke ICT-veiligheid gerelateerde zaken heeft het bedrijf gedocumenteerd en wanneer zijn deze voor het laatst gereviewd.

ICT-veiligheidsdocumenten aanwezig

Documenten over ICT-veiligheid en datavertrouwelijkheid hebben betrekking op training in ICT gebruik, ICT-veiligheidsmaatregelen, de evaluatie van ICT-veiligheidsmaatregelen, schema’s om ICT-veiligheidsdocumenten te updaten, enz.

Uitvoering ICT-veiligheidswerkzaamheden

Uitvoerenden binnen het bedrijf van ICT-veiligheid gerelateerde zaken (zoals veiligheidstesten, ICT-veiligheidstrainingen, oplossen van ICT-veiligheidsincidenten)

Uitbesteed aan extern bedrijf

Eigen personeel

Eigen personeel en extern bedrijf

Niet van toepassing

Optreden van ICT-veiligheidsincidenten

Soort van ICT-veiligheidsincidenten die bij bedrijven zijn voorgevallen in 2022, opgesplitst naar incidenten door een aanval van buitenaf en incidenten door systeemfouten of onbedoeld toedoen van eigen personeel.

Incident met interne oorzaak gehad

Het gaat om bedrijven waarbij een of meerdere onbedoelde ICT-incidenten zijn voorgevallen in 2022, zoals incidenten door onopzettelijk toedoen van eigen personeel of incidenten door een hardware of systeem fout.

Incident door aanval van buiten gehad

Bedrijven waarbij een of meerdere ICT-incidenten veroorzaakt door een aanval van buitenaf zijn voorgevallen in 2022

Soorten interne oorzaken

Soort van interne oorzaken van ICT-veiligheidsincidenten. Interne oorzaken zijn systeemfouten of onbedoelde acties van eigen personeel.

Uitval ICT-dienst door veiligheidsinc.

Het gaat om bedrijven waarbij een of meerdere ICT-incidenten zoals een storing in hardware of software zijn opgetreden in 2022. Een aanval door kwaadwillenden valt hier niet onder.

Vernietiging data door veiligheidsinc.

Vernietiging of verminking van data als gevolg van ICT-gerelateerde veiligheidsincidenten (bv storing in hardware of software)

Kosten ICT-veiligheidsincidenten

Kosten als gevolg van zowel externe of interne ICT-veiligheidsincidenten.

Kosten incident intern gehad

Bedrijven die kosten hebben gehad voor een of meerdere ICT-incidenten in 2022 veroorzaakt door onopzettelijk toedoen van eigen personeel.

Kosten incident aanval buitenaf gehad

Bedrijven die kosten hebben gehad voor een of meerdere ICT-incidenten in 2022 veroorzaakt door een aanval van buitenaf

Kosten gehad naar soort intern incident

Kosten gehad naar soorten interne ICT-veiligheidsincidenten.

Uitval ICT-dienst door veiligheidsinc.

Kosten door uitval van ICT-diensten als gevolg van ICT-gerelateerde veiligheidsincidenten, zoals een storing in hardware of software

Vernietiging data door veiligheidsinc.

Kosten door vernietiging of verminking van data als gevolg van ICT-gerelateerde veiligheidsincidenten, zoals een storing in hardware of software storing in hardware of software

Verzekering ICT-veiligheidsincidenten

Bedrijf verzekerd voor ICT-veiligheidsincidenten