Cybersecuritymonitor 2021

2. Cybersecuritymaatregelen

2.1 Bedrijven

Dit hoofdstuk gaat in op de maatregelen die bedrijven in Nederland nemen om zichzelf meer cyberweerbaar te maken. De cijfers komen uit de CBS‐enquêtes ’ICT‐gebruik bedrijven 2017’ (CBS, 2017a,b,c,d,e), ’ICT‐gebruik bedrijven 2018’ (CBS, 2018a,b,c,d,e), ’ICT‐gebruik bedrijven 2019’ (CBS, 2019c,e,d,b,a), ’ICT‐gebruik bedrijven 2020’ (CBS, 2020d,a,e,c,b) en ’ICT‐gebruik bedrijven 2021’ (CBS, 2021b,d,c,a,e). .

De jaarlijkse enquête ’ICT‐gebruik bedrijven’ (of kortweg: de ICT‐enquête) wordt in samenwerking met de andere EU‐landen uitgevoerd onder leiding van Eurostat. Een deel van de uitvoeringskosten van de ICT‐enquête wordt door Eurostat gefinancierd. Het ministerie van Economische Zaken en Klimaat financiert daarnaast extra onderdelen van het onderzoek die niet verplicht zijn op basis van EU‐regelgeving.

Via de ICT‐enquête wordt jaarlijks het ICT‐gebruik van bedrijven in Nederland in kaart gebracht. Dit levert ook cijfers op die iets zeggen over de cyberweerbaarheid van bedrijven: de mate waarin zij bedrijfsprocessen en waardevolle data beveiligen tegen cybercriminelen. In deze monitor besteden we afzonderlijk aandacht aan de maatregelen die door bedrijven worden genomen om het bedrijf te beveiligen tegen aanvallen van buitenaf en de ICT‐veiligheidsincidenten. De maatregelen worden in dit hoofdstuk beschreven, terwijl de incidenten in het volgende hoofdstuk aan bod komen.

De ICT‐enquête wordt gehouden onder ongeveer 20 duizend aselect getrokken Nederlandse bedrijven van verschillende bedrijfsgrootteklassen en bedrijfscategorieën. Daarnaast is afgelopen jaar voor het eerst in opdracht van EZK een beknopte versie van de ICT‐bedrijven enquête uitgestuurd naar zo’n 22 duizend Zelfstandigen Zonder Personeel (ZZP’ers). Deze beknopte versie bevat voornamelijk de ICT‐veiligheidsvragen uit de totale enquête. De resultaten van de ZZP’ers worden dit jaar voor het eerst meegenomen om zo een vergelijking met bedrijven met 2 of meer werknemers te kunnen maken. 

In de Appendix wordt in tabellen A.1.1 en A.1.2 een overzicht van respectievelijk alle grootteklassen en bedrijfstakken gegeven. In dit hoofdstuk worden de cijfers van vijf grootteklassen uitgelicht: ZZP’ers (1 werkzame persoon), bedrijven met 2 tot 10 werkzame personen, bedrijven met 10 tot 50 werkzame personen, bedrijven met 50 tot 250 werkzame personen en bedrijven met 250 of meer werkzame personen. Daarnaast laten we nog voor een viertal bedrijfstakken de cijfers zien: 1) Energie‐, water‐ en afvalbeheer, 2) Horeca, 3) Gezondheidszorg en 4) de ICT‐sector. Een compleet overzicht van de cijfers van alle grootteklassen en bedrijfstakken kan op Statline (CBS, 2022a) gevonden worden.

Maatregelen ter verhoging van de cyberweerbaarheid

Aan de bedrijven die aan de ICT‐enquête hebben deelgenomen, zijn verschillende vragen voorgelegd die iets zeggen over hun cyberweerbaarheid. Zo is aan bedrijven gevraagd welke ICT‐veiligheidsmaatregelen zijn getroffen. Ook is gevraagd wie de ICT‐veiligheidsmaatregelen binnen een bedrijf uitvoert: het eigen personeel, een extern bedrijf, of een combinatie van beide.

2.1.2 Genomen ICT-veiligheidsmaatregelen per bedrijfstak met 2 of meer werkzame personen voor alle twaalf gevraagde maatregelen over de periode 2016—2020. Zie Tabel A.2.2 voor een volledig overzicht.2.1.2 Genomen ICT-veiligheidsmaatregelen per bedrijfstak met 2 of meer werkzamepersonen voor alle twaalf gevraagde maatregelen over de periode 2016—2020.Zie Tabel A.2.2 voor een volledig overzicht.

Eerst wordt bekeken hoe vaak verschillende cybersecuritymaatregelen door bedrijven toegepast worden. In figuren 2.1.1(a–l) en 2.1.2(a–l) worden over de jaren 2016–20201) voor verschillende bedrijfsgrootteklassen en bedrijfstakken voor twaalf verschillende maatregelen de percentages getoond van het aantal bedrijven dat de maatregelen dat jaar heeft toegepast. Voor de duidelijkheid worden slechts vier bedrijfsgrootteklassen en vier bedrijfstakken uitgelicht. Het volledige overzicht wordt in tabellen A.2.1 en A.2.2 gegeven en kan op StatLine (CBS, 2022a) gevonden worden. Uiteraard kan met deze twaalf maatregelen nooit een compleet beeld van het ICT‐beveiligingsniveau van bedrijven gegeven worden, maar er ontstaat wel een globale indruk, omdat je toch kan stellen dat elke extra maatregel die een bedrijf neemt een extra bijdrage levert aan de cyberweerbaarheid van het bedrijf.

Grote bedrijven nemen meer maatregelen tegen cyberdreigingen
In het algemeen kan gezegd worden dat het ICT‐beveiligingsniveau van een bedrijf hoger is naarmate er meer maatregelen tegelijkertijd genomen worden. In figuur 2.1.1 is voor de jaren 2016–2020 te zien dat iedere maatregel vaker door grote dan door kleine bedrijven genomen wordt. Dit is echter voor sommige maatregelen duidelijker waarneembaar dan voor andere. Voor bijvoorbeeld een heel gangbare maatregel als het gebruik van anti‐virussoftware (figuur 2.1.1(a)) zijn de verschillen tussen grote en kleine bedrijven niet zo groot: meer dan 80 procent van alle bedrijven gebruikt anti‐virussoftware, ongeacht de bedrijfsgrootteklasse. Echter, bij een moeilijker toe te passen maatregel zoals het gebruik van een Virtual Private Netwerk (VPN) (figuur 2.1.1(l)) zijn wel grotere verschillen tussen kleine en grote bedrijven te zien: minder dan 30 procent van de bedrijven met 2 tot 10 werknemers maakt gebruik van VPN tegen 86 procent van de bedrijven met 250 of meer werknemers. Dat grotere bedrijven meer maatregelen treffen is niet vreemd: grotere bedrijven hebben immers vaker een grotere en meer complexe ICT‐infrastructuur en daarom is een breder scala aan beveiligingsmaatregelen nodig om het bedrijf cyberweerbaar te laten zijn.

In figuur 2.1.1 wordt ten slotte het percentage ZZP’ers getoond die in 2020 de maatregelen namen. Er kan geconstateerd worden dat bij alle ICT‐veiligheidsmaatregelen het percentage ZZP’ers dat deze maatregelen neemt net iets onder de kleinste bedrijfgrootteklasse van 2‐10 werknemers ligt, wat consistent is met de constatering dat kleine bedrijven minder ICT‐veiligheidsmaatregelen nemen dan grote bedrijven.

Toename authenticatie met soft- of hardware-token
Het gebruik van een soft‐ of hardware token voor het inloggen bij een bedrijf is de laatste vier jaar flink toegenomen. Deze zogenaamde two‐factor authenticatie2) is een stuk veiliger omdat naast een wachtwoord ook nog een extra code ingevoerd moet worden die per loginsessie verandert. Deze code kan verkregen worden via een speciaal apparaatje met afleesscherm of via een App op de smartphone zoals Authy, Google Authenticator of RSA SecureID. Op deze manier wordt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt, kan de extra gegenereerde code om in te kunnen loggen extra bescherming bieden. Voor grote bedrijven is het gebruik van soft‐ of hardware tokens toegenomen van 71 procent in 2016 tot 89 procent in 2020, zoals is te zien in figuur 2.1.1(j). Bij alle bedrijfsgrootteklassen is te zien dat deze manier van inloggen steeds vaker gebruikt wordt. Zo maken de middelgrote bedrijven met 10 tot 50 werknemers een inhaalslag met een dekking die gestegen is van 29 procent in 2016 naar 60 procent in 2020. Voor kleine bedrijven (2 tot 10 werknemers) zien we zelfs bijna een verdubbeling van het gebruik van hardware‐tokens van 23 procent in 2016 naar 41 procent in 2020. Overigens bieden steeds meer websites de mogelijkheid tot het gebruik van two‐factor authenticatie aan, dus het is aannemelijk dat deze manier van inloggen nog meer in gebruik zal groeien.

ICT-veiligheidsmaatregelen per bedrijfstak
Figuur 2.1.2 laat het aantal maatregelen voor enkele bedrijfstakken met 2 of meer werknemers zien (de ZZP’ers zijn hier dus niet in meegenomen). Te zien is dat bedrijven die meer met ICT bezig zijn (ICT‐sector) of bedrijven die een groot belang hebben bij het beveiligen van hun data (Gezondheidszorg) beter scoren dan andere sectoren waar cybersecurity blijkbaar een minder belangrijke rol speelt, zoals de horeca. Wel moet in het achterhoofd gehouden worden dat ook een rol speelt dat de horecagroep relatief meer kleine bedrijven bevat, wat gezien de hierboven beschreven samenhang van het aantal maatregelen met de bedrijfsgrootte ook minder maatregelen impliceert. Bovendien, een horecaonderneming heeft vaak minder ICT‐systemen nodig voor de werkzaamheden, dus ligt het voor de hand dat er ook minder ICT‐beveiligingsmaatregelen genomen worden.

Aantal genomen ICT-veiligheidsmaatregelen
Het was te zien dat grote bedrijven vaker meer verschillende ICT‐maatregelen nemen dan kleine bedrijven. Dit wordt meer kwantitatief weergegeven in figuren 2.1.3 en 2.1.4, waarbij we per bedrijfsgrootte en bedrijfstak het percentage bedrijven laten zien dat een zeker aantal maatregelen neemt. Kijkend naar de verdeling van het aantal maatregelen per bedrijfsgrootteklasse (figuur 2.1.3) valt te zien dat kleine bedrijven hoger scoren op een kleiner aantal maatregelen, terwijl grote bedrijven juist vaker meerdere maatregelen tegelijk nemen. Van de bedrijven met 250 of meer werknemers neemt zelfs bijna de helft van de bedrijven alle tien maatregelen die uitgevraagd zijn.3)

In figuur 2.1.4 is weer te zien dat ICT‐bedrijven over het algemeen de meeste maatregelen nemen, terwijl in de horeca vaker wat minder maatregelen afdoende gevonden wordt. Op zich is dit niet opmerkelijk, omdat de noodzaak in de horeca voor bijvoorbeeld het gebruik van VPN‐verbindingen veel minder is.

Een kwart van de bedrijven neemt meer dan vijf maatregelen
Uit de verdelingen van het aantal maatregelen is ook af te leiden hoeveel bedrijven minimaal de helft van de gevraagde maatregelen nemen. Dit wordt in figuur 2.1.5 en figuur 2.1.6 respectievelijk per bedrijfsgrootteklasse en bedrijfstak getoond voor de jaren 2016 tot en met 2020. In figuur 2.1.5 is nu goed te zien dat het aantal bedrijven dat vijf of meer maatregelen neemt tot 2018 toegenomen is. In 2019 stagneert deze toename voor de grootste bedrijven met meer dan 50 werknemers, terwijl het aantal bedrijven dat meer dan 5 maatregelen neemt voor bedrijven met 10 tot 50 werknemers zelfs iets afgenomen is. Deze afname moet wel gerelativeerd worden, omdat in 2019 nog steeds meer bedrijven in de groep 10 tot 50 werknemers meer dan vijf maatregelen nemen dan in 2017. Ten slotte is te zien dat ongeveer één derde van de ZZP’ers vijf of meer van de gevraagde ICT‐veiligheidsmaatregelen neemt. In figuur 2.1.6 wordt per bedrijfstak het percentage bedrijven met 2 of meer werknemers getoond die meer dan vijf ICT‐veiligheidsmaatregelen treffen. Zoals al eerder waargenomen was, is te zien dat in de ICT en in de Zorg een relatief grote groep bedrijven meer dan vijf maatregelen treft (rond de 70 procent), terwijl dit voor de horeca een stuk lager ligt met ongeveer 20 procent. Wel kunnen we zien dat ook per bedrijfstak de afgelopen vier jaar steeds meer bedrijven meer ICT‐veiligheidsmaatregelen tegelijkertijd nemen. Ook stagneerde in 2019 het aantal bedrijven met veel ICT‐veiligheidsmaatregelen per bedrijfstak in vergelijking met 2018.

2.1.3 Verdeling van het aantal cybersecuritymaatregelen per bedrijfsgrootteklasse, 2020.
Aantal maatregelen1 werkzame persoon (ZZP'er)2 tot 10 werkzame personen10 tot 50 werkzame personen50 tot 250 werkzame personen250 of meer werkzame personen
01010311
11011310
21714710
31713721
413101041
51091063
6881194
74711128
846111514
925111820
1047163148
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfsgrootte, 2021 (CBS, 2021b)

2.1.4 Verdeling van het aantal cybersecuritymaatregelen per bedrijfstak voor bedrijven met 2 of meer werknemers, 2020.
Aantal maatregelenZorgHorecaICTIndustrie
021927
132247
2419714
3109912
4991110
51261510
6118128
7133118
8122148
99177
10153910
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2021 (CBS, 2021d)

2.1.5 Percentage van bedrijven die in 2020 minimaal vijf van de tien gevraagde cybersecuritymaatregelen namen per bedrijfsgrootteklasse.
dim_gk2016 (% van bedrijven)2017 (% van bedrijven)2018 (% van bedrijven)2019 (% van bedrijven)2020 (% van bedrijven)
250 of meer werkzame personen9494979897
50 tot 250 werkzame personen8283898991
10 tot 50 werkzame personen5461696570
2 tot 10 werkzame personen3237434442
1 werkzame persoon (ZZP'er)32
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfsgrootte, 2021 (CBS, 2021b)

2.1.6 Percentage van bedrijven met 2 of meer werknemers die in 2020 minimaal vijf van de tien gevraagde cybersecuritymaatregelen namen per bedrijfstak.
dim_sbi2016 (% van bedrijven)2017 (% van bedrijven)2018 (% van bedrijven)2019 (% van bedrijven)2020 (% van bedrijven)
Zorg5766747372
ICT7473767368
Industrie4247535351
Horeca2018222123
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak, 2021 (CBS, 2021d)

Uitvoering ICT-veiligheidswerkzaamheden

De organisatie van de ICT‐beveiliging wordt in figuur 2.1.7 en figuur 2.1.8 onder de loep genomen. Er wordt per bedrijfsgrootteklasse en bedrijfstak gekeken wie in 2018, 2019 en 2020 de ICT‐veiligheidswerkzaamheden binnen het bedrijf uitvoert: eigen personeel, een extern bedrijf of een mix van beide. Voor het jaar 2020 is dit ook voor het eerst voor ZZP’ers weergegeven. Er moet aangetekend worden dat de vraagstelling in 2020 iets veranderd is: het is in dat jaar ook mogelijk om de vraag als ’niet van toepassing’ aan te duiden, wat weergeven wordt met de donkergroene kleur van de ’20‐staafjes uit de grafiek. In de jaren daarvoor was deze mogelijkheid er niet en moest je aangeven of je de ICT‐veiligheidswerkzaamheden zelf deed of uitbesteedde (of een mix daarvan). Deze verandering is er waarschijnlijk ook de oorzaak van dat uitkomsten ten opzichte van voorgaande jaren wat verschoven zijn, met name voor de kleine bedrijven. Om deze reden wordt met name naar de categorie ’Extern’ gekeken, d.w.z het percentage van bedrijven dat de ICT‐veiligheidswerkzaamheden volledig door een extern bedrijf laat uitvoeren en daar derhalve niks zelf aan doet. Deze categorie lijkt redelijk constant gebleven over de overgelopen drie jaren. ZZP’ers besteden relatief gezien het minst van de ICT‐veiligheidswerkzaamheden volledig extern uit en het percentage dat deze vraag als ’niet van toepassing’ heeft aangeduid, is het grootst.

2.1.7 Uitvoering ICT-veiligheidswerkzaamheden per bedrijfsgrootteklasse voor de periode 2018-2020.
 JaarExtern (% van bedrijven)Zelf/eigen personeel (% van bedrijven)Extern en zelf/eigen personeel (% van bedrijven)N.v.t. (% van bedrijven)
1 (ZZP'ers)'18
1 (ZZP'ers)'19
1 (ZZP'ers)'201434448
2 - 10'183153160
2 - 10'19425170
2 - 10'202622646
10 - 50'184725280
10 - 50'195927140
10 - 50'2049171618
50 - 250'183421450
50 - 250'194224340
50 - 250'203922336
250 -'181717660
250 -'192022580
250 -'201923553
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e)

2.1.8 Uitvoering ICT-veiligheidswerkzaamheden per bedrijfstak voor bedrijven met 2 of meer werknemers voor de periode 2018-2020.
 JaarExtern (% van bedrijven)Zelf/eigen personeel (% van bedrijven)Extern en zelf/eigen personeel (% van bedrijven)N.v.t. (% van bedrijven)
Industrie'184039210
Industrie'195236120
Industrie'2036171136
ICT'181261270
ICT'191069210
ICT'209521920
Horeca'18207190
Horeca'19375940
Horeca'201620163
Zorg'184429270
Zorg'195432140
Zorg'2045211123
Bron: CBS, ICT-gebruik bij bedrijven; bedrijfstak en bedrijfsgrootte, 2021 (CBS, 2019a, 2020b, 2021e)

Bij grote bedrijven komt het vaker voor dat het eigen personeel in ieder geval een deel van de ICT‐veiligheidsmaatregelen uitvoert. Bovendien komt ’Niet van toepassing’ bij grote bedrijven nauwelijks voor. Dit is niet opmerkelijk omdat een groot bedrijf complexe zaken kan uitbesteden en meer personeel heeft dat de wat meer standaardwerkzaamheden prima zelf kan doen.

Als we in figuur 2.1.8 naar de uitvoering van ICT‐veiligheidswerkzaamheden per bedrijfstak kijken, kunnen we zien dat ICT‐bedrijven in de meeste gevallen prima in staat zijn alle ICT‐beveiliging zelf te doen; zo’n 70 procent van de ICT‐bedrijven doet de ICT‐beveiliging volledig zelf. Ook dit is niet opmerkelijk omdat je kan verwachten dat bij bedrijven in de ICT voldoende expertise voor handen is om de ICT‐beveiliging zelf te doen. In de Zorg en in de Industrie worden de ICT‐beveiligingswerkzaamheden in de helft van de gevallen uitbesteed. De Horeca heeft het meest gebruik gemaakt van de nieuwe categorie ’Niet van toepassing’: bijna twee derde van de horecabedrijven zegt dat ICT‐beveiligingswerkzaamheden niet van toepassing.

2.2 Websites

Deze paragraaf beschrijft de maatregelen die bedrijven nemen om de beveiliging en betrouwbaarheid van hun websites te verhogen. Het gebruik van veilige en moderne internetstandaarden speelt hierbij een belangrijke rol.

Aandeel .nl-domeinnamen met DNSSEC-beveiliging stijgt

Medio 2022 was het aandeel .nl‐domeinnamen met DNSSEC‐beveiliging toegenomen tot 57 procent (figuur 2.2.1). Tussen eind april 2012 en eind mei 2022 is het percentage met DNSSEC‐beveiligde .nl‐websites nagenoeg continu toegenomen. Hierbij verliep de toename in de eerste jaren van deze periode sneller dan in de latere jaren.

DNSSEC is een beveiligingssysteem voor DNS (het internettelefoonboek dat zorgt voor de vertaling van domeinnamen naar IP‐adressen). DNSSEC breidt DNS uit met een extra beveiliging. Met alleen DNS is de vertaling van een domeinnaam namelijk niet beveiligd. Hierdoor kan een kwaadwillende het internetverkeer van een gebruiker omleiden naar een vals IP‐adres en vervolgens vertrouwelijke gegevens of zelfs geld ontfutselen. Met DNSSEC wordt bij de vertaling van domeinnaam naar IP‐adres een digitale handtekening toegevoegd die een internetgebruiker automatisch kan laten controleren. Hierdoor wordt het omleiden naar een vals IP‐adres voorkomen. DNSSEC is daarmee een belangrijk wapen in de strijd tegen phishing en pharming. De domeinregistratie en het bijhouden van het gebruik van DNSSEC in Nederland wordt uitgevoerd door de Stichting Internet Domeinregistratie Nederland (SIDN).

1) Let op dat data van een bepaald jaar vaak komt uit de ICT‐enquête van het jaar daarna. Zo komt de data die betrekking heeft op 2020 uit de ICT‐enquête van 2021(CBS, 2021b).
2) Strikt genomen is er nog een onderscheid te maken tussen two‐factor authenticatie en two‐step authenticatie, maar dat laten we verder buiten beschouwing omdat beide vormen sowieso een extra beveiliging opleveren ten opzichte van het inloggen met enkel een wachtwoord.
3) Van de twaalf maatregelen die in figuur 2.1.1 en figuur 2.1.2 getoond worden, nemen we er maar tien mee in figuur 2.1.3 en figuur 2.1.4 waar we het totaal aantal maatregelen tonen dat bedrijven nemen. Dit omdat de maatregelen ’ICT‐cursus aan specialisten’ (d) en ’Updaten software’ (k) niet over alle jaren beschikbaar zijn.