2. Cybersecuritymaatregelen
2.1 Bedrijven
In dit hoofdstuk gaan we in op de maatregelen die bedrijven in Nederland nemen om zichzelf meer cyberweerbaar te maken. We gebruiken hier vooral de cijfers uit de CBS-enquêtes ’ICT-gebruik bedrijven 2017’ (CBS, 2017b, d, c, e, f), ’ICT-gebruik bedrijven 2018’ (CBS, 2018d, f, e, g, h), ’ICT-gebruik bedrijven 2019’ (CBS, 2019b, d, c, e, f) en ’ICT-gebruik bedrijven 2020’ (CBS, 2020b, d, c, e, f).
De jaarlijkse enquête ’ICT-gebruik bedrijven’ (of kortweg: de ICT-enquête) wordt in samenwerking met de andere EU-landen uitgevoerd. Een deel van de uitvoeringskosten van de ICT-enquête wordt door Eurostat gefinancierd. Het Ministerie van Economische Zaken en Klimaat financiert daarnaast extra onderdelen van het onderzoek die niet verplicht zijn op basis van EU-regelgeving.
Via de ICT-enquête wordt jaarlijks het ICT-gebruik van bedrijven in Nederland in kaart gebracht. Dit levert ook cijfers op die iets zeggen over de cyberweerbaarheid van bedrijven: de mate waarin zij bedrijfsprocessen en waardevolle data beveiligen tegen cybercriminelen. In deze monitor besteden we afzonderlijk aandacht aan de maatregelen die door bedrijven worden genomen om het bedrijf te beveiligen tegen aanvallen van buitenaf en de ICT-veiligheidsincidenten. De maatregelen worden in dit hoofdstuk beschreven, terwijl de incidenten in het volgende hoofdstuk aan bod komen.
De ICT-enquête wordt gehouden onder ongeveer 20 duizend aselect getrokken Nederlandse bedrijven van verschillende bedrijfsgrootteklassen en bedrijfscategorieën. In de Appendix wordt in tabellen A.1.2 en A.1.1 een overzicht van respectievelijk alle grootteklassen en bedrijfstakken gegeven. In dit hoofdstuk worden de cijfers van vier grootteklassen uitgelicht: bedrijven met 2 tot 10 werkzame personen, bedrijven met 10 tot 50 werkzame personen, bedrijven met 50 tot 250 werkzame personen en bedrijven met 250 of meer werkzame personen. Daarnaast laten we nog voor een viertal bedrijfstakken de cijfers zien: 1) Energie-, water- en afvalbeheer, 2) Horeca, 3) Gezondheidszorg en 4) de ICT-sector. Een compleet overzicht van de cijfers van alle grootteklassen en bedrijfstakken kan op Statline (CBS, 2020a) gevonden worden.
2.1.1 Maatregelen ter verhoging van de cyberweerbaarheid
Aan de bedrijven die aan de ICT-enquête hebben deelgenomen, zijn verschillende vragen voorgelegd die iets zeggen over hun cyberweerbaarheid. Zo is aan bedrijven gevraagd welke ICT-veiligheidsmaatregelen zijn getroffen. Ook is gevraagd wie de ICT-veiligheidsmaatregelen binnen een bedrijf uitvoert: het eigen personeel, een extern bedrijf, of een combinatie van beide.
Eerst bekijken we hoe vaak verschillende cybersecuritymaatregelen door bedrijven toegepast worden. In figuren 2.1.1(a–l) en 2.1.2(a–l) worden over de jaren 2016–20191) voor verschillende bedrijfsgrootteklasses en bedrijfstakken voor twaalf verschillende maatregelen de percentages getoond van het aantal bedrijven dat de maatregelen dat jaar heeft toegepast. We lichten voor de duidelijkheid slechts vier bedrijfsgrootteklasse en vier bedrijfstakken uit. Het volledige overzicht kan op StatLine (CBS, 2020a) gevonden worden. Uiteraard kan met deze twaalf maatregelen nooit een compleet beeld van het ICT-beveiligingsniveau van bedrijven gegeven worden, maar er ontstaat wel een globale indruk, omdat je toch kan stellen dat elke extra maatregel die een bedrijf neemt een extra bijdrage levert aan de cyberweerbaarheid van het bedrijf.
Grote bedrijven nemen meer maatregelen tegen cyberdreigingen
In het algemeen kan dus gezegd worden dat het ICT-beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. In figuur 2.1.1 is voor de jaren 2016–2019 te zien dat iedere maatregel vaker door grote dan door kleine bedrijven genomen wordt. Dit is echter voor sommige maatregelen duidelijker waarneembaar dan voor andere. Voor bijvoorbeeld een heel gangbare maatregel als het gebruik van anti-virussoftware (figuur 2.1.1(a)) zijn de verschillen tussen grote en klein bedrijven niet zo groot: meer dan 80 procent van alle bedrijven gebruikt anti-virussoftware, ongeacht de bedrijfsgrootteklasse. Echter, bij een moeilijker toe te passen maatregel zoals het gebruik van een Virtual Private Netwerk (VPN) (figuur 2.1.1(l)) zien we wel grotere verschillen tussen kleine en grote bedrijven: minder dan 30 procent van de bedrijven met 2 tot 10 werknemers maakt gebruik van VPN, tegen meer dan 80 procent van de bedrijven met 250 of meer werknemers. Dat grotere bedrijven meer maatregelen treffen is niet vreemd: grotere bedrijven hebben immers vaker een grotere en meer complexe ICT-infrastructuur en daarom is een breder scala aan beveiligingsmaatregelen nodig om het bedrijf cyberweerbaar te laten zijn.
Toename authenticatie met soft- of hardware-token
Het gebruik van een soft- of hardware token voor het inloggen bij een bedrijf is de laatste vier jaar flink toegenomen. Deze zogenaamde two-factor authenticatie2) is een stuk veiliger omdat naast een wachtwoord ook nog een extra code ingevoerd moet worden die per loginsessie verandert. Deze code kan verkregen worden via een speciaal apparaatje met afleesscherm of via een App op de smartphone zoals Authy, Google Authenticator of RSA SecureID. Op deze manier wordt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, kan de extra gegeneerde code om in te kunnen loggen extra bescherming bieden.
Voor grote bedrijven is het gebruik van soft- of hardware tokens toegenomen van 71 procent in 2016 tot 87 procent in 2019, zoals te zien in figuur 2.1.1(j). We zien bij alle bedrijfsgrootteklassen dat deze manier van inloggen steeds vaker gebruikt wordt. Zo maken de middelgrote bedrijven met 10 tot 50 werknemers een inhaalslag met een dekking die gestegen is van 29 procent in 2016 naar 54 procent in 2019. Voor kleine bedrijven (2 tot 10 werknemers) zien we zelfs bijna een verdubbeling van het gebruik van hardware-tokens van 23 procent 2017 naar 42 procent in 2019. Overigens bieden steeds meer websites de mogelijkheid tot het gebruik van two-factor authenticatie aan, dus het is aannemelijk dat deze manier van inloggen nog meer in gebruik zal groeien.
ICT-veiligheidsmaatregelen per bedrijfstak
Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken zien. Te zien is dat bedrijven die meer met ICT bezig zijn (ICT-sector) of bedrijven die een groot belang hebben bij het beveiligen van hun data (Gezondheidszorg) beter scoren dan andere sectoren waar cybersecurity blijkbaar een minder belangrijke rol speelt, zoals de horeca. Wel moet in het achterhoofd gehouden worden dat ook een rol speelt dat de horecagroep relatief meer kleine bedrijven bevat, wat gezien de hierboven beschreven samenhang van het aantal maatregelen met de bedrijfsgrootte ook minder maatregelen impliceert. Bovendien, een horecaonderneming heeft vaak minder ICT-systemen nodig voor de werkzaamheden, dus ligt het voor de hand dat er ook minder ICT-beveiligingsmaatregelen genomen worden.
Aantal genomen ICT-veiligheidsmaatregelen
We hebben gezien dat grote bedrijven vaker meer verschillende ICT-maatregelen nemen dan kleine bedrijven. Dit wordt meer kwantitatief weergegeven in figuren 2.1.3 en 2.1.4, waarbij we per bedrijfsgrootte en bedrijfstak het percentage bedrijven laten zien dat een zeker aantal maatregelen neemt. Kijkend naar de verdeling van het aantal maatregelen per bedrijfsgrootteklasse (figuur 2.1.3) valt te zien dat kleine bedrijven hoger scoren op een kleiner aantal maatregelen, terwijl grote bedrijven juist vaker meerdere maatregelen tegelijk nemen. Van de bedrijven met 250 of meer werknemers neemt zelfs bijna de helft van de bedrijven alle tien maatregelen die uitgevraagd zijn.3)
In figuur 2.1.4 kunnen we weer zien dat ICT-bedrijven over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker wat minder maatregelen afdoende gevonden wordt. Op zich is dit niet opmerkelijk, omdat de noodzaak in de horeca voor bijvoorbeeld het gebruik van VPN-verbindingen veel minder is.
Een kwart van de bedrijven neemt meer dan vijf maatregelen
Uit de verdelingen van het aantal maatregelen kunnen we ook afleiden hoeveel bedrijven minimaal de helft van de gevraagde maatregelen nemen. Dit wordt in figuur 2.1.5 en figuur 2.1.6 per respectievelijk bedrijfsgrootteklasse en bedrijfstak getoond voor de jaren 2016 tot en met 2019. In figuur 2.1.5 is nu goed te zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2018 toegenomen is. In 2019 stagneert deze toename voor de grootste bedrijven met meer dan 50 werknemers, terwijl het aantal bedrijven dat meer dan 5 maatregelen neemt voor bedrijven met 10 tot 50 werknemers zelfs iets afgenomen is. Deze afname moet wel gerelativeerd worden, omdat in 2019 nog steeds meer bedrijven in de groep 10 tot 50 werknemers meer dan vijf maatregelen nemen dan in 2017.
In figuur 2.1.6 wordt per bedrijfstak het aantal bedrijven getoond dat meer dan vijf ICT-veiligheidsmaatregelen treft. Zoals al eerder waargenomen was, is te zien dat in de ICT en in de Zorg een relatief grote groep bedrijven meer dan vijf maatregelen treft (rond de 70 procent), terwijl dit voor de horeca een stuk lager ligt met ongeveer 20 procent. Wel kunnen we zien dat ook per bedrijfstak de afgelopen vier jaar steeds meer bedrijven meer ICT-veiligheidsmaatregelen tegelijkertijd neemt. Ook stagneerde in 2019 het aantal bedrijven met veel ICT-veiligheidsmaatregelen per bedrijfstak in vergelijking met 2018.
| Aantal maatregelen | 2 tot 10 werkzame personen | 10 tot 50 werkzame personen | 50 tot 250 werkzame personen | 250 of meer werkzame personen |
|---|---|---|---|---|
| 0 | 9 | 5 | 2 | 1 |
| 1 | 9 | 3 | 1 | 0 |
| 2 | 13 | 7 | 2 | 0 |
| 3 | 13 | 9 | 2 | 1 |
| 4 | 12 | 9 | 5 | 1 |
| 5 | 10 | 10 | 7 | 3 |
| 6 | 9 | 10 | 10 | 5 |
| 7 | 7 | 10 | 13 | 9 |
| 8 | 6 | 10 | 15 | 14 |
| 9 | 5 | 11 | 17 | 21 |
| 10 | 7 | 14 | 27 | 46 |
| Aantal maatregelen | Zorg | Horeca | ICT | Industrie |
|---|---|---|---|---|
| 0 | 2 | 18 | 4 | 7 |
| 1 | 2 | 18 | 3 | 6 |
| 2 | 4 | 16 | 6 | 10 |
| 3 | 9 | 16 | 7 | 13 |
| 4 | 9 | 10 | 7 | 12 |
| 5 | 10 | 6 | 8 | 10 |
| 6 | 15 | 4 | 8 | 9 |
| 7 | 13 | 2 | 10 | 9 |
| 8 | 11 | 3 | 11 | 9 |
| 9 | 11 | 3 | 12 | 7 |
| 10 | 13 | 3 | 24 | 9 |
| dim_gk | 2016 (% van bedrijven) | 2017 (% van bedrijven) | 2018 (% van bedrijven) | 2019 (% van bedrijven) |
|---|---|---|---|---|
| 250 of meer werkzame personen | 94 | 94 | 98 | 98 |
| 50 tot 250 werkzame personen | 82 | 83 | 89 | 89 |
| 10 tot 50 werkzame personen | 54 | 61 | 69 | 65 |
| 2 tot 10 werkzame personen | 32 | 37 | 43 | 44 |
| Bron: CBS, ICT-gebruik bij bedrijven, 2020 | ||||
| dim_sbi | 2016 (% van bedrijven) | 2017 (% van bedrijven) | 2018 (% van bedrijven) | 2019 (% van bedrijven) |
|---|---|---|---|---|
| ICT | 74 | 73 | 76 | 73 |
| Zorg | 57 | 66 | 74 | 73 |
| Industrie | 42 | 47 | 53 | 53 |
| Horeca | 20 | 18 | 22 | 21 |
| Bron: CBS, ICT-gebruik bij bedrijven, 2020 | ||||
2.1.2 Uitvoering ICT-veiligheidswerkzaamheden
| Aantal Werknemers | Jaar | Eigen personeel (% van bedrijven) | Eigen personeel en extern bedrijf (% van bedrijven) | Uitbesteed aan extern bedrijf (% van bedrijven) |
|---|---|---|---|---|
| 2 - 10 | '18 | 53 | 16 | 31 |
| 2 - 10 | '19 | 51 | 7 | 42 |
| 10 - 50 | '18 | 25 | 27 | 48 |
| 10 - 50 | '19 | 27 | 14 | 59 |
| 50 - 250 | '18 | 21 | 45 | 34 |
| 50 - 250 | '19 | 24 | 34 | 42 |
| 250 - | '18 | 17 | 67 | 16 |
| 250 - | '19 | 22 | 58 | 20 |
| Bedrijfstak | Jaar | Eigen personeel (% van bedrijven) | Eigen personeel en extern bedrijf (% van bedrijven) | Uitbesteed aan extern bedrijf (% van bedrijven) |
|---|---|---|---|---|
| Industrie | '18 | 39 | 21 | 40 |
| Industrie | '19 | 36 | 12 | 52 |
| ICT | '18 | 61 | 27 | 12 |
| ICT | '19 | 69 | 20 | 11 |
| Horeca | '18 | 71 | 9 | 20 |
| Horeca | '19 | 59 | 4 | 37 |
| Zorg | '18 | 29 | 27 | 44 |
| Zorg | '19 | 32 | 14 | 54 |
De organisatie van de ICT-beveiliging wordt in figuur 2.1.7 en figuur 2.1.8 onder de loep genomen. Er wordt per bedrijfsgrootteklasse en bedrijfstak gekeken naar wie in 2018 en 2019 de ICT-veiligheidswerkzaamheden binnen het bedrijf uitvoert: eigen personeel, een extern bedrijf of een mix van beide. Meest opvallend is dat dit voor kleine bedrijven vaker door alleen eigen personeel gedaan wordt: ongeveer de helft van de kleine bedrijven doet de ICT-beveiliging zelf, terwijl dit voor grote bedrijven zo’n 20 procent is. Aan de andere kant wordt in het geval van kleine bedrijven de ICT-beveiliging vaker alleen door een extern bedrijf gedaan: bij ongeveer 40 procent van de kleine bedrijven tegen 20 procent van de grote bedrijven. Bij grote bedrijven zal het dus vaker voorkomen dat zowel externe bedrijven als het eigen personeel de ICT-beveiliging doet. Dit is niet opmerkelijk, omdat een groot bedrijf complexe zaken kan uitbesteden en meer personeel heeft dat de wat meer standaardwerkzaamheden prima zelf kan doen.
Als we in figuur 2.1.8 naar de uitvoering van ICT-veiligheidswerkzaamheden per bedrijfstak kijken, kunnen we zien dat ICT-bedrijven in de meeste gevallen prima in staat zijn alle ICT-beveiliging zelf te doen; zo’n 70 procent van de ICT-bedrijven doet de ICT-beveiliging volledig zelf. Ook dit is niet opmerkelijk omdat je kan verwachten dat binnen ICT-bedrijven bedrijven voldoende expertise voor handen is om de ICT-beveiliging zelf te doen. In de Zorg en in de Industrie worden de ICT-beveiligingswerkzaamheden in de helft van de gevallen uitbesteed.
Ten slotte kunnen we waarnemen dat in 2019 in vergelijking met 2018 bij alle bedrijfsgrootten en bedrijfstakken het aantal bedrijven dat de ICT-beveiliging doet met zowel het eigen personeel als via een extern bedrijf iets is afgenomen.
2.2 Websites
In de vorige paragraaf is getoond hoe bedrijven met maatregelen hun ICT-infrastructuur weerbaar maken tegen dreigingen. In deze paragraaf staan de maatregelen centraal die bedrijven nemen om de beveiliging en betrouwbaarheid van hun websites te verhogen. Het gebruik van veilige en moderne internetstandaarden speelt hierbij een belangrijke rol. We kijken eerst naar het gebruik van een van die maatregelen, namelijk het toepassen van DNSSEC om de authenticiteit van .nl-domeinnamen te beschermen. Vervolgens besteden we nog aandacht aan het gebruik van internetstandaarden in het algemeen bij bedrijven.
2.2.1 Punt-nl domeinnamen met DNSSEC
Een manier om de veiligheid van een website te verhogen is het toepassen van DNSSEC. DNSSEC is een beveiligingssysteem voor DNS, het internettelefoonboek dat zorgt voor de vertaling van domeinnamen naar IP-adressen. Op zich werkt DNS prima, maar de vertaling van domeinnaam naar IP-adres is niet beveiligd. Dat is een risico, want een kwaadwillende kan verkeer van een gebruiker omleiden naar een vals IP-adres. Het op deze manier misleiden van een internetgebruiker is een beproefde methode om iemand vertrouwelijke gegevens of zelfs geld te ontfutselen. DNSSEC breidt DNS uit met een extra beveiliging: de vertaling van domeinnaam naar IP-adres wordt voorzien van een digitale handtekening. Een internetgebruiker kan die handtekening automatisch laten controleren. Op die manier wordt voorkomen dat hij of zij naar een vals IP-adres wordt geleid. DNSSEC is hiermee een belangrijk wapen in de strijd tegen phishing en pharming. Beide methoden zijn immers gebaseerd op het omleiden van internetgebruikers naar een valse website.
In figuur 2.2.1 is te zien dat het percentage .nl-domeinnamen met DNSSEC gestaag toeneemt. Tussen 1 juni 2012 en 1 oktober 2020 is dit percentage toegenomen van 0 tot 56 procent. Hierbij verliep de toename in de eerste jaren van deze periode wat sneller dan in de latere jaren. De domeinnaamregistratie en het bijhouden van het gebruik van DNSSEC wordt door de Stichting Internet Domeinregistratie Nederland (SIDN, 2020) uitgevoerd.4)
| Jaar | % van aantal .nl-domeinnamen (% van .nl-domeinnamen) |
|---|---|
| jul '12 | 3,8 |
| aug '12 | 15,3 |
| sep '12 | 25,5 |
| okt '12 | 25,9 |
| nov '12 | 26,3 |
| dec '12 | 26,6 |
| jan '13 | 26,9 |
| feb '13 | 27,1 |
| mrt '13 | 27,5 |
| apr '13 | 27,6 |
| mei '13 | 28,5 |
| jun '13 | 28,7 |
| jul '13 | 28,8 |
| aug '13 | 28,8 |
| sep '13 | 30,2 |
| okt '13 | 30,3 |
| nov '13 | 31,1 |
| dec '13 | 31,1 |
| jan '14 | 31,0 |
| feb '14 | 31,2 |
| mrt '14 | 31,2 |
| apr '14 | 31,1 |
| mei '14 | 31,2 |
| jun '14 | 31,7 |
| jul '14 | 32,2 |
| aug '14 | 33,8 |
| sep '14 | 33,8 |
| okt '14 | 33,9 |
| nov '14 | 34,6 |
| dec '14 | 40,7 |
| jan '15 | 40,7 |
| feb '15 | 41,0 |
| mrt '15 | 43,6 |
| apr '15 | 43,7 |
| mei '15 | 43,6 |
| jun '15 | 43,7 |
| jul '15 | 43,6 |
| aug '15 | 43,8 |
| sep '15 | 43,7 |
| okt '15 | 44,0 |
| nov '15 | 43,9 |
| dec '15 | 44,3 |
| jan '16 | 44,3 |
| feb '16 | 44,1 |
| mrt '16 | 44,5 |
| apr '16 | 44,2 |
| mei '16 | 44,3 |
| jun '16 | 44,3 |
| jul '16 | 44,7 |
| aug '16 | 45,0 |
| sep '16 | 45,0 |
| okt '16 | 45,0 |
| nov '16 | 45,5 |
| dec '16 | 45,5 |
| jan '17 | 45,5 |
| feb '17 | 45,6 |
| mrt '17 | 45,7 |
| apr '17 | 46,0 |
| mei '17 | 46,4 |
| jun '17 | 47,2 |
| jul '17 | 47,7 |
| aug '17 | 48,5 |
| sep '17 | 48,7 |
| okt '17 | 49,0 |
| nov '17 | 49,2 |
| dec '17 | 49,3 |
| jan '18 | 49,3 |
| feb '18 | 49,4 |
| mrt '18 | 49,7 |
| apr '18 | 52,0 |
| mei '18 | 52,2 |
| jun '18 | 52,4 |
| aug '18 | 52,6 |
| sep '18 | 52,8 |
| okt '18 | 53,1 |
| nov '18 | 53,3 |
| dec '18 | 53,4 |
| jan '19 | 53,5 |
| feb '19 | 53,8 |
| feb '19 | 54,0 |
| apr '19 | 54,2 |
| mei '19 | 54,3 |
| jun '19 | 54,5 |
| jul '19 | 54,4 |
| aug '19 | 54,4 |
| sep '19 | 54,5 |
| okt '19 | 54,6 |
| nov '19 | 54,6 |
| dec '19 | 54,7 |
| jan '20 | 54,8 |
| feb '20 | 54,9 |
| mrt '20 | 55,0 |
| apr '20 | 55,2 |
| mei '20 | 55,4 |
| jun '20 | 55,4 |
| jul '20 | 55,6 |
| aug '20 | 55,5 |
| sep '20 | 55,5 |
| okt '20 | 55,5 |
| Bron: SIDN, 2020 | |
2.2.2 Gebruik internetstandaarden bij bedrijven
Achtergrond
In 2020 is het CBS in opdracht van het Ministerie van Economische Zaken en Klimaat in samenwerking met Forum Standaardisatie een onderzoek begonnen naar het gebruik van internetstandaarden bij websites van bedrijven in Nederland. In dit onderzoek heeft het CBS gebruikgemaakt van de website Internet.nl (Platform Internetstandaarden, 2021). Uitgebreide resultaten van het onderzoek zullen medio 2021 worden gepubliceerd (CBS, 2021). Hieronder worden al wat eerste resultaten gepresenteerd.
De website Internet.nl is een testtool ontwikkeld in opdracht van Platform Internetstandaarden (2021). Het doel is om het gebruik van moderne en veilige Internetstandaarden te vergroten, om daarmee het Internet veiliger en betrouwbaarder te maken. Het idee is dat iedereen Internet.nl kan gebruiken om de domeinnaam van een website van een persoon of bedrijf in te voeren om een test uit te laten uitvoeren waarmee de veiligheid van de website getoetst wordt. Internet.nl toetst op de volgende aspecten:
- IPv6: bereikbaarheid via een modern internetadres.
- DNSSEC: gebruik van een ondertekende domeinnaam.
- https: gebruik van een beveiligde verbinding.
- Beveiligingsopties: gebruik van ingestelde Applicatie-beveiligingsopties.
Nadat de scan afgerond is, wordt een test rapport opgeleverd samen met een eindbeoordeling: een score tussen de 0 en 100 procent. Bedrijven die een 100 procent score halen, worden in de Hall of Fame opgenomen.
Uiteraard kan deze tool al direct door bedrijven gebruikt worden om hun eigen domeinnaam op veiligheid te toetsen. Indien het resultaat tegenvalt, kan dit bedrijven motiveren om extra beveiligingsmaatregelen toe te passen. In principe is het echter ook mogelijk om de tool te gebruiken om een statistische analyse op domeinnamen van bedrijven in Nederland uit te voeren. Op deze manier kunnen we per bedrijfstak en bedrijfsgrootte in kaart brengen hoe het met de veiligheid van websites van bedrijven is gesteld. Dit is het doel van het onderzoek dat het CBS in 2020 in samenwerking met Platform Internetstandaarden (2021) is gestart.
In het onderzoek wordt gebruikgemaakt van alle ongeveer 12 duizend domeinnamen die in de ICT-enquête door bedrijven zijn aangeleverd. Omdat deze bedrijven een representatieve steekproef vormen van alle bedrijven in Nederland kunnen we de resultaten van het onderzoek gebruiken om wat te zeggen over de veiligheid van websites van alle bedrijven. De eerste resultaten van de statistische analyse worden in het vervolg van deze paragraaf getoond. Medio 2021 wordt in een onderzoeksrapport een diepere analyse gepresenteerd CBS (2021).
Eindscore niet afhankelijk van bedrijfsgrootte, wel van bedrijfstak
In figuur 2.2.2 wordt de verdeling van de eindscore van Internet.nl per bedrijfsgrootteklasse getoond. Opvallend is dat de gemiddelde eindscores voor bedrijven bij alle bedrijfsgrootteklassen ongeveer 60 procent zijn. Waar we eerder hierboven nog constateerden dat kleine bedrijven vaak minder maatregelen dan grote bedrijven treffen om hun ICT-systemen te beveiligen, lijkt het er dus op dat de beveiliging van websites van kleine bedrijven even goed, zo niet beter, uitgevoerd wordt dan bij websites van grote bedrijven. Een verklaring zou kunnen zijn dat kleine bedrijven vaker ICT-specialisten inhuren om hun website te bouwen en dat hierbij nieuwere standaarden worden gebruikt. Grote bedrijven hebben wellicht vaker een website die al wat langer geleden ontwikkeld is in een tijd dat er nog minder aandacht was voor standaarden en dat deze later ook niet alsnog zijn toegepast bij onderhoudswerkzaamheden.
| gk3_stat_wp | Values (Score %) |
|---|---|
| 250 of meer werkzame personen | 59,2 |
| 50 tot 250 werkzame personen | 57,8 |
| 10 tot 50 werkzame personen | 59,1 |
| 2 tot 10 werkzame personen | 60,6 |
Een ander interessant inzicht is de gemiddelde eindscore per bedrijfstak zoals in figuur 2.2.3 getoond wordt. Hierbij zijn duidelijkere verschillen in gemiddelde eindscore te zien: de websites van de branch ’Energie/water/afval’ scoren gemiddeld zo’n 55 procent op basis van Internet.nl, terwijl dit voor de websites van bedrijven in de Horeca bijna 10 procentpunt hoger is, namelijk een gemiddelde eindscore van 64 procent. Ook dit lijkt weer strijdig met onze eerdere constatering dat de Horeca vaak wat achterloopt op het gebied van cyberweerbaarheid van gebruikte ICT-systemen. Wederom ligt als meest voor de hand liggende verklaring voor de hand dat de bouw van veel websites van horeca ondernemingen recenter en vaker door ICT-specialisten is uitgevoerd.
| sbi_digit1_statline | Values (Score %) |
|---|---|
| Horeca | 63,1 |
| Verhuur/overige zakelijke dnst. | 62,8 |
| Gezondheid en welzijnszorg | 62,3 |
| Informatie/Communicatie | 61,4 |
| Special. zakelijke dienstver. | 60,6 |
| Verhuur/handel ontr.goed | 59,6 |
| Handel | 59,1 |
| Financiële dienstverlening | 57,7 |
| Industrie | 57,6 |
| Bouwnijverheid | 57,4 |
| Vervoer/Opslag | 56,9 |
| Energie/water/afval | 56,7 |
Verdeling van de eindscore aanzienlijk
Alhoewel de gemiddelde score van alle websites van bedrijven in Nederland zo rond de 60 procent ligt, is er wel sprake van een behoorlijke spreiding. De verdeling van de eindscore voor alle bedrijven in Nederland is te zien in figuur 2.2.4. De verdeling kent een aantal pieken rond de 30, 50, 70 en 90 procent. Dit zou te maken kunnen hebben met het feit dat de eindscore bepaald wordt aan de hand van meer dan 200 kenmerken die op een website gescand worden, en dat sommige van die kenmerken mogelijk in clusters voorkomen. In figuur 2.2.4 zijn verder nog drie kwartielen Q1, Q2, en Q3 weergegeven. Het eerste kwartiel Q1 geeft aan dat 25 procent van de bedrijven een eindscore lager dan 44 procent haalt. Het tweede kwartiel Q2, ook bekend als de mediaan, geeft aan dat de helft van alle bedrijven een score hoger dan 64 procent haalt. Het derde kwartiel geeft ten slotte aan dat 25 procent van de bedrijven een score hoger dan 76 procent haalt.
Verdeling van de eindscore per kenmerk
Alhoewel we tot nu toe geconcludeerd hebben dat grote en kleine bedrijven ongeveer dezelfde gemiddelde eindscore van 60 procent halen, zien we toch verschillen als we de verschillende kenmerken op bedrijfsniveau gaan analyseren. Voor deze analyse verwijzen we graag door naar de nog te publiceren rapportage (CBS, 2021) waarin deze verschillen zullen worden besproken en ook wat dieper op de methodologie van het onderzoek zal worden ingegaan.