Cyber security; awareness, gedrag en informatiebehoefte

Cyber security; awareness, gedrag en informatiebehoefte

Rapportage van een kwantitatief onderzoek in opdracht van DPC en NCTV Resultaten van de 2014 meting Uitgevoerd door: GfK Intomart bv Uw contact: Peter van de Vijver Tel.: +31 (0)35-6258411 / Fax: +31 (0)35-6246532 E-mail: [email protected] Projectnummer: 34723 Datum: 15-10-2014

© Auteursrecht voorbehouden Niets uit dit document mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, digitale verwerking of anderszins, zonder voorafgaande schriftelijke toestemming van de hiervoor genoemde instanties.

34723 - Cyber Security 2014 Rapportage.docx

2/146

INHOUD Pagina Management Summary

Hoofdstuk 1.

Hoofdstuk 2.

6

Inleiding

23

1.1

Achtergrond en doel van het onderzoek

23

1.2 1.3

Opzet van het onderzoek Leeswijzer

24 26

Factoren die van invloed zijn op cyber security awareness

28

2.1

Inleiding

28

2.2

Verschillen in cyberbewustzijn tussen de doelgroepen van het onderzoek

30

2.3

Verschillen per factor tussen de doelgroepen van het onderzoek

Hoofdstuk 3.

Hoofdstuk 4.

Hoofdstuk 5.

31

Resultaten 2014: beelden bij cyber security

33

3.1

33

Beeld van cyber security

Resultaten 2014: Omgaan met cyber security op het werk

34

4.1

Beknopte samenvatting Omgaan met cyber security op het

4.2

werk Beleid over cyber security op het werk

34 36

4.3 4.4

De invulling van het beleid rond cyber security op het werk Instructies over cyber security op het werk

38 40

4.5

Gedrag van collega’s aangaande cyber security

41

4.6 4.7

Eigen gedrag omtrent cyber security op het werk Kennis over risico’s en te ondernemen acties rondom cyber

43

4.8

security in de organisatie Delen van gevoelige bedrijfsinformatie via e-mail

45 51

4.9 Delen van gevoelige bedrijfsinformatie via de cloud 4.10 Delen van gevoelige bedrijfsinformatie via usb-stick

52 53

4.11 Gedrag ten aanzien van cyber security van zakelijke devices

54

Resultaten 2014: Omgaan met cyber security thuis

57

5.1 5.2

Beknopte samenvatting Omgaan met cyber security thuis Internetgedrag thuis

57 57

5.3

Bescherming tegen cyber security risico’s thuis

60


3/146

Hoofdstuk 6.

Hoofdstuk 7.

Hoofdstuk 8.

5.4

Gedrag op social media

61

5.5

Beveiliging op Wi-Fi-netwerk thuis

62

Resultaten 2014: Omgaan met wachtwoorden

64

6.1 6.2

Beknopte samenvatting Omgaan met wachtwoorden Samenstelling wachtwoorden

64 65

6.3 6.4

Veiligheid van wachtwoorden Onthouden van wachtwoorden

66 67

6.5 6.6

Aantal wachtwoorden Wisselen van wachtwoorden

69 70

Resultaten 2014: Risicoperceptie cyber security thuis

71

7.1

Beknopte samenvatting Risicoperceptie cyber security thuis

71

7.2 7.3

Gebruik van internet thuis Zorgen eigen digitale veiligheid

71 74

7.4

Perceptie misbruik via internet

75

7.5

Inschatting digitale veiligheid in de privésituatie

77

Resultaten 2014: Risicoperceptie cyber security op het werk 8.1

Hoofdstuk 9.

Hoofdstuk 10.

78

Beknopte samenvatting Risicoperceptie cyber security op het werk

78

8.2 8.3

Inschatting digitale veiligheid van de organisatie Beoordeling aandacht werkgever voor digitale veiligheid

79 80

8.4 8.5

Inschatting digitale veiligheid van zichzelf op het werk Inschatting digitale veiligheid van collega’s

81 82

8.6

Kennis en inschatting van veiligheidsrisico’s op het werk

83

Resultaten 2014: Verantwoordelijkheid voor veilig internetgebruik

84

9.1

Beknopte samenvatting Verantwoordelijkheid voor veilig internetgebruik

84

9.2 9.3

Gepercipieerde verantwoordelijkheid burgers Gepercipieerde verantwoordelijkheid op het werk

85 86

Resultaten 2014: Thema 2014 - Kennis over cybersecurity

87

10.1 Beknopte samenvatting Thema 2014 - Kennis over cybersecurity 10.2 Informatiebehoefte

87 88

10.3 Redenen voor informatiebehoefte 10.4 Gewenste partijen om informatie van te ontvangen

89 91


4/146

10.5 Informatiegebruik

92

10.6 Informatiebronnen (geholpen) 10.7 Wijze van informatie verkrijgen over veilig internetten

94 96

10.8 Ondernomen acties n.a.v. verkregen informatie over veilig internetten 10.9 Rapportcijfer informatieaanbod over veilig internetten 10.10 Volledigheid informatie over veilig internetten 10.11 Rol van veilig internetten in het basisonderwijs en voortgezet onderwijs

97 99 103 105

BIJLAGEN: 1. 2. 3. 4.

Responsoverzicht en onderzoeksverantwoording Vragenlijst Nadere informatie verdiepende analyse & factoren Certificering


5/146

Management Summary Achtergrond en doel onderzoek In opdracht van NCTV en DPC heeft GfK onder in totaal 3.504 personen (online) onderzoek uitgevoerd naar cyber security awareness. Het onderzoek in 2014 betreft inmiddels al de derde meting: in 2013 heeft GfK de tweede meting uitgevoerd (1-meting) en in 2012 heeft Motivaction het onderzoek voor het eerst uitgevoerd (pilot, 0-meting). De meerjarige uitvoering is waardevol om zo goed te kunnen volgen hoe de cyber security awareness zich gaandeweg ontwikkelt onder de doelgroepen. Het primaire doel van het onderzoek is het verkrijgen van inzicht in het huidige niveau van cyber security awareness, zoals blijkt uit de aanwezige kennis, de houding en het gedrag. De verschillen tussen de doelgroepen en in de tijd zijn bovendien belangrijke input voor het beleid en de communicatie rondom dit thema. Binnen het onderzoek wordt daarnaast jaarlijks extra aandacht besteed aan een specifiek thema. In 2014 betreft dit het thema ‘Kennis over cybersecurity’, waarbinnen specifiek wordt ingezoomd op de bestaande informatiebehoefte en de manier waarop informatie door doelgroepen wordt gebruikt. Onderzoeksopzet in vogelvlucht Het online onderzoek heeft plaatsgevonden van 16 juni 2014 tot en met 14 juli 2014. Er is gebruik gemaakt van enerzijds het GfK online access panel en anderzijds het Flitspanel, een online panel met overheidsmedewerkers, in beheer bij het ministerie van BZK. De volgende doelgroepen zijn voor het onderzoek bevraagd:  Medewerkers van de Rijksoverheid.  Medewerkers van provincies.  Medewerkers van gemeenten.  Medewerkers van waterschappen.  Medewerkers van bedrijven in vitale sectoren. Hierbij moet worden gedacht aan sectoren als energie, transport, telecommunicatie, financiële sector, drinkwater, keren en beheren van oppervlaktewater.  Medewerkers van bedrijven exclusief de voorgenoemde vitale sectoren (organisaties met 10 medewerkers of meer).  Tot slot: burgers van 13 jaar en ouder. In vergelijking met het onderzoek in 2013 zijn medewerkers van provincies en waterschappen in 2014 voor het eerst bij het onderzoek betrokken.

34723 - Cyber Security 2014 Rapportage.docx - Management Summary

6/146

Ten geleide voor de lezer  De management summary bestaat uit een samenvatting, waarin de belangrijkste resultaten worden beschreven. De verdiepende (factor)analyses, waaruit blijkt welke elementen welk belang hebben voor de mate van cyber security awareness, worden voorafgaand aan de samenvatting kort toegelicht, zodat de uitkomsten van het onderzoek ook vanuit dit perspectief kunnen worden beschouwd.  Na de samenvatting van de kern van het onderzoek volgen de resultaten van het verdiepende deel van het onderzoek (thema Kennis over cybersecurity).  Vervolgens volgen generieke aanbevelingen op basis van de resultaten van dit onderzoek.  Tot slot worden per doelgroep de belangrijkste resultaten en conclusies op een rij gezet.  Belangrijk is verder om te beseffen dat het enquête-onderzoek is gebaseerd op de zelfgerapporteerde kennis, houding en gedrag van respondenten. Er is dus geen (kwalitatief) onderzoek verricht om de feitelijke houding en het feitelijke gedrag te bepalen.  Als er in het rapport wordt gesproken over verschillen, betreft het in alle gevallen statistisch significante verschillen.


7/146

Vooraf: wat is nu echt belangrijk voor de mate van cyber security awareness? De voor u liggende rapportage beschrijft de vele facetten die stuk voor stuk te maken hebben met cyber security awareness. Tegelijkertijd roept de grote hoeveelheid aan informatie wel de vraag op wat nu echt de zaken zijn die ‘ertoe doen’ en aangepakt zouden moeten worden om de mate van cyber security awareness naar een hoger peil te tillen. Om hier meer grip op te krijgen is een verdiepende (factor)analyse uitgevoerd, een methode waarbij alle resultaten van het onderzoek in feite worden samengenomen om op een hoger abstractieniveau te kunnen bepalen welke verklaringen er zijn voor de mate van cyber security awareness. Uit de analyse blijkt dat 56% van het begrip kan worden verklaard door zes onderliggende factoren (of indicatoren). In de Sociale Wetenschappen wordt dit gezien als een redelijk goede uitkomst voor een verklarende analyse. Elk van de zes factoren bestaat uit een aantal met elkaar samenhangende resultaten uit de vragenlijst. De factoren die ten grondslag liggen aan cyber security awareness zijn (in volgorde van belang): o

Factor 1: Cyber security bewustzijn op het werk - 15%. Deze factor gaat over het cyber security bewustzijn op het werk. Het omvat enerzijds hoe de organisatie omgaat met cyber security, en anderzijds de kennis, houding en het gedrag van de werknemer ten aanzien van cyber security op het werk.

o

Factor 2: Bewust gedrag en eerdere ervaring(en) - 9%. Deze factor gaat over bewust gedrag om risico’s te voorkomen of te minimaliseren en daarnaast mogelijke eerdere ervaringen met cyber risico’s.

o

Factor 3: Gedrag: bewust omgaan met wachtwoorden - 9%. Deze factor heeft betrekking op het bewust omgaan met wachtwoorden. Het behelst onder andere de eigen inschatting van de veiligheid van de wachtwoorden die men gebruikt en de manier waarop men verder omgaat met wachtwoorden (denk aan: eigenschappen wachtwoord, variatie, vernieuwen).

o

Factor 4: Risicoperceptie en zorgen bij gebruik van internet - 8%. Deze factor omvat de risico’s zoals men die ervaart en de zorgen die men zich daarover maakt bij het gebruiken van internet.

o

Factor 5: Risico-inschatting digitale veiligheid - 8%. Deze factor behelst de door de respondent zelf geuite risico-inschatting van de persoonlijke digitale veiligheid op werkgebied en in de privésituatie.

o

Factor 6: Locus of control & ‘opslag’ wachtwoorden - 7%. Deze factor heeft betrekking op de algemene houding ten aanzien van de zin van beveiliging c.q. perceptie van de eigen weerbaarheid (‘locus of control’), alsook over de wijze waarop wachtwoorden worden herinnerd of bewaard.


8/146

Bij de factoren valt op dat kennis & houding of kennis & gedrag vaak samengaan in één factor, dus vaak met elkaar samenhangen. Dat betekent dat kennis als een belangrijke basisvoorwaarde kan worden beschouwd om tot de gewenste houding of het gewenste gedrag te kunnen komen. Wat verder vooral opvalt aan de factoranalyse is dat het cyber security bewustzijn op het werk de factor is met de grootste invloed op het algehele cyber security bewustzijn. Dat wil zeggen dat de werksituatie voorspellende waarde heeft voor de algehele cyber security awareness. Dit biedt kansen om de werksituatie als ‘vliegwiel’ in te zetten om zo de link te leggen met cyber security in de privésituatie en op die manier ook daar het bewustzijn te bevorderen. Overall samenvatting Voor de algehele leesbaarheid van het rapport is ervoor gekozen om de samenvatting volgens dezelfde structuur te laten verlopen als het tekstuele rapport, zodat in de hoofdstukken altijd relatief eenvoudig de beschrijving kan worden gevonden. Beelden bij cyber security  De dominante elementen in de beeldvorming rondom cyber security zijn - net als vorig jaar de beveiliging tegen bedreigingen van buitenaf door het gebruik van antivirussoftware en firewalls.  De bescherming van de privacy speelt nu een grotere rol in de beeldvorming dan eerder het geval was. Dit geldt voor alle doelgroepen die ook tijdens de vorige meting zijn bevraagd (Rijksoverheid, gemeenten, vitale sectoren, algemeen bedrijfsleven en burgers).  Nog altijd ruim een kwart (circa 27%) kan zich spontaan geen beeld vormen bij cyber security. Hoewel dit aandeel licht is gedaald ten opzichte van 2013, blijft het een aanzienlijk deel. Omgaan met cyber security op het werk  Het merendeel (circa twee derde) geeft aan dat er al sprake is van digitaal veiligheidsbeleid in de organisatie waar zij werken. Toch geeft nog altijd ruim een derde van de werknemers (37%) aan niet goed op de hoogte te zijn van de specifieke aspecten van dat beleid. Voornaamste aandachtspunt is wel de omgang met usb-sticks en openbare Wi-Fiverbindingen, omdat men met beleid op dat vlak veelal niet bekend of niet duidelijk is.  Hoewel wel vaak bekend is dat er beleid is geformuleerd met betrekking tot de digitale omgeving, is de implementatie van dit beleid in de praktijk vaak minder goed zichtbaar voor de werknemers. De maatregelen rondom digitale veiligheid komen bijvoorbeeld lang niet altijd aan de orde bij in- en uitdiensttreding en een aanzienlijk deel van de medewerkers weet niet goed wat te doen als zich een incident voordoet. Werkzame personen in het bedrijfsleven lopen voor op overheidsfunctionarissen (met als uitzondering de Rijksoverheid), want op nagenoeg alle aspecten scoort het bedrijfsleven beter.  Over het algemeen geldt dat men aangeeft al redelijk goed op de hoogte zijn van hoe om te gaan met cyber security op het werk, alhoewel tegelijkertijd geldt dat ‘de uitvoering’ nog


9/146



zeker wel te wensen overlaat. Medewerkers beoordelen hun eigen gedrag doorgaans beter dan het gedrag van hun directe collega’s. Het besef van de cyber risico’s en wat men moet doen in geval van een incident binnen de organisatie is voornamelijk op globaal niveau aanwezig, en in veel mindere mate precies bekend. De kennis hierover is bij het bedrijfsleven en de Rijksoverheid sterker ontwikkeld dan bij provincies, gemeenten en waterschappen.

Omgaan met bedrijfsgevoelige informatie  Bedrijfsgevoelige informatie wordt meestal niet zomaar via een USB-stick verspreid en zeker niet via de cloud. Men geeft aan dat het wel gebruikelijker is om dit soort informatie via e-mail te delen.  Bij het gebruik van zakelijke apparaten geeft men echter aan minder behoedzaam om te springen met de risico’s van openbare Wi-Fi-verbindingen: mensen lijken zich hier veelal niet erg van bewust. Omgaan met cyber security thuis  De onder burgers meest voorkomende vorm van bescherming tegen digitale risico’s is de installatie van antivirussoftware. Dit wordt door hen gezien als de voornaamste garantie tegen misbruik via internet. Burgers geven echter aanzienlijk minder vaak aan actieve beschermingsmaatregelen te nemen, zoals in het algemeen goed opletten, geen onbekende sites bezoeken of geen onbekende links aanklikken. Van de burgers zegt 11% niets te doen om misbruik van hun computer te voorkomen.  Er worden echter ook wel diverse acties ondernomen om de apparatuur die men bezit upto-date te houden. Bijvoorbeeld door de firewall in te schakelen, regelmatig software updates uit te voeren en verdachte mail ongeopend te laten en direct te verwijderen. Toch is er geen grote pro-activiteit te bespeuren, in termen van het specifiek bewaken van de eigen cybersecurity. De meeste maatregelen en acties zijn relatief passief van aard.  Er wordt in de thuissituatie veelal cyber-bewuster omgegaan met pc’s en laptops dan met smartphones en tablets.  Opmerkelijk is dat burgers op social media bijzonder op hun hoede zijn, zo blijkt uit het veelvuldig afschermen van de privacygevoelige gegevens en de voorzichtigheid waarmee gevoelige gegevens sowieso worden vermeld. Bij het gebruik van social media is cyber security awareness dus blijkbaar gemeengoed. Omgaan met wachtwoorden  Steeds vaker worden in wachtwoorden speciale tekens gebruikt, waardoor de sterkte van het wachtwoord toeneemt. Het is aannemelijk te veronderstellen dat men steeds vaker wordt ‘gedwongen’ dit te doen door de bedrijfsnetwerken en bezochte websites waarvoor een logincode vereist is. Ook de ondervraagden zelf beoordelen de sterkte van hun wachtwoord(en) iets beter dan afgelopen jaar het geval was.  Veruit de meesten (circa twee derde) onthouden hun wachtwoorden nog altijd in hun hoofd, alhoewel nog altijd een vijfde hiervoor een briefje gebruikt.


10/146



Bijna de helft gebruikt vaker dan eens hetzelfde wachtwoord, alhoewel bij belangrijke zaken vaker voor een uniek wachtwoord wordt gekozen. Het aanpassen van een wachtwoord doet men meestal pas, als men daar een specifieke melding of verzoek voor krijgt.

Risicoperceptie cyber security in de privésituatie  Over het algemeen is men niet bang of terughoudend voor het gebruik van internet in de thuissituatie. Internetbankieren blijkt de normaalste zaak van de wereld. Het vertrouwen in deze vorm van bankieren is groot.  Velen zeggen zich voldoende bewust te zijn van de risico’s van internet, terwijl toch een even grote groep (en deels ook dezelfde mensen) aangeeft zich in enige mate zorgen te maken over de digitale veiligheid en de bescherming van hun privacy op internet. Wat ook terug te zien is, is dat er een grote groep is die zelf niet het gevoel heeft totale controle te hebben over wat je allemaal kan overkomen op internet (‘locus of control’).  Burgers ervaren de risico’s op het internet vaak niet zo sterk. Zij blijken dan ook weinig kennis te hebben van de risico’s die er zijn en schatten de kans op slachtofferschap van de voorgelegde vormen van cybercrime doorgaans klein of zeer klein in. Risicoperceptie cyber security op het werk  Over het algemeen geven de zakelijke doelgroepen aan dat het goed gesteld is met de aandacht voor digitale veiligheid bij hun werkgever. Vooral de Rijksoverheid en de vitale sectoren onderscheiden zich in positieve zin.  De inschatting van de hoogte van de digitale veiligheid van collega’s - bij de uitvoering van het werk - is minder goed dan die inschatting van de digitale veiligheid van de respondent zelf bij de uitvoering van het werk. In beide gevallen geldt dat de risicoperceptie positiever is bij het bedrijfsleven dan bij de overheid, met de Rijksoverheid als uitzondering.  Opmerkelijk is dat de risicoperceptie van de eigen digitale veiligheid op het werk positiever is dan thuis. Met andere woorden: men voelt zich op het werk ‘digitaal veiliger’ dan thuis.  Als risicovolle handelingen worden met name het bezoek aan onveilige websites genoemd en het openen van onveilige e-mails. Daarna volgen het downloaden van bestanden en het verzenden van vertrouwelijke informatie per e-mail. In potentie risicovolle zaken als het gebruik van cloudoplossingen, zoals Dropbox en iCloud, worden minder vaak genoemd. Wellicht hangt dit samen met de in het onderzoek geconstateerde voorzichtige houding ten opzichte van het gebruik van deze diensten. Verantwoordelijkheid voor veilig internetgebruik  Door burgers wordt de verantwoordelijkheid voor de veiligheid van het thuisgebruik van internet vaak in eerste instantie bij henzelf gelegd. Daarnaast noemt een aanzienlijke groep (de helft) de internetprovider als (mede)verantwoordelijke.  In de werksituatie ziet men zichzelf niet per se als eerstverantwoordelijke, maar wordt een gelijke verantwoordelijkheid voor de digitale veiligheid neergelegd bij de IT-afdeling van de organisatie. In iets beperktere mate wordt ook het management als medeverantwoordelijke beschouwd.


11/146

Samenvatting Thema 2014: Kennis over cybersecurity (informatiebehoefte en – gebruik) Informatiebehoefte  De informatiebehoefte rondom veilig internetten is onder alle doelgroepen groot te noemen. Met name overheidsfunctionarissen hebben behoefte aan informatie over veilig internetten, gevolgd door het bedrijfsleven. Burgers hebben in mindere mate behoefte aan deze informatie, alhoewel ook hier nog bijna de helft aangeeft wel deze behoefte te hebben.  De behoefte is vooral gericht op het op de hoogte blijven van de meest actuele ontwikkelingen. Kernwoorden zijn begrijpelijk, overzichtelijk, concreet, relevant en actueel. Zij die geen behoefte aan informatie hebben, denken meestal al voldoende op de hoogte te zijn.  Burgers geven aan deze informatie te willen ontvangen van één van de volgende partijen: internetproviders, consumentenorganisaties of de overheid. Informatie zoeken en gebruik  Werknemers van de overheid hebben regelmatig informatie gezien, gehoord of gelezen over veilig internetten. Werknemers in het bedrijfsleven en burgers worden momenteel juist minder goed bereikt (dit blijkt uit de omvang van de groep die weleens informatie heeft gezien, gelezen of gehoord over veilig internetten).  De media en in mindere mate het eigen netwerk van familie, vrienden en bekenden vormen een belangrijke bron van informatie voor veilig internetten; men geeft aan vooral via deze bronnen informatie op te doen. Banken en ‘de overheid’ vormen op dit vlak ook een belangrijke informatiebron. Voor werknemers blijken de werkgever en de collega’s het belangrijkst wat betreft huidige informatiebronnen ten aanzien van veilig internetten.  De informatie over veilig internetten wordt vaak gevonden door een combinatie van proactief opzoeken en toevallig tegenkomen; circa een derde heeft hierin echt een passieve houding en komt alleen aan deze informatie wanneer men dit toevallig tegenkomt.  Circa driekwart van degenen die informatie hebben gevonden (gelezen, gezien of gehoord) over veilig internetten, onderneemt daarop ook concrete actie. Dit bevestigt het beeld dat kennisoverdracht vaak daadwerkelijk resulteert in (gewenst) gedrag.  De meest genoemde actie die wordt ondernomen door de groep die wel in actie komt, is het nemen van nieuwe of andere maatregelen om zich te beschermen tegen de risico’s. Ook is het regelmatig aanleiding om met anderen in gesprek te gaan over veilig internetten.  Het informatieaanbod over veilig internetten wordt vaak als voldoende beoordeeld. Let op: dit betekent niet dat er geen informatiebehoefte is. Dat blijkt in de praktijk juist wel het geval te zijn, zo blijkt uit het feit dat veel mensen aangeven informatie te missen. De behoefte kan worden samengevat in de volgende kernwoorden: begrijpelijk, overzichtelijk en concreet.  Een ruime meerderheid is het ermee eens dat er zowel in het basisonderwijs als het voortgezet onderwijs meer aandacht moet worden besteed aan veilig internetten. Vooral burgers vinden dit. Circa een kwart van de ondervraagden is van mening dat aandacht voor veilig internetten meer een taak is voor de school dan voor de ouders.


12/146

Overall conclusies Ondanks dat de resultaten van de huidige meting niet duiden op grote verschuivingen op het gebied van cyber security awareness ten opzichte van 2013, wordt nu wel steeds concreter wat de belangrijkste doelgroepen en aanknopingspunten zijn om daadwerkelijk verandering te kunnen brengen in de mate van cyberbewustzijn. Daarvan volgt nu een overzicht. 

Groepen die over het algemeen op hun werk al in sterke mate aangeven bewust gedrag te vertonen zijn mannen, jongeren, lager opgeleiden en leidinggevenden. Tegelijkertijd schatten deze groepen de risico’s vaak lager in; waarschijnlijk hangt dit samen met het feit dat zij zich meer capabel voelen om met die risico’s om te gaan. Vooral vrouwen en de iets oudere leeftijdsgroepen (middelbaar, hoger) zoeken minder vaak naar informatie en ondernemen hier ook minder vaak actie op.



Een belangrijke constatering uit de verdiepende analyses is dat de werksituatie een belangrijke basis is voor het cyber security bewustzijn. Werknemers in het bedrijfsleven (inclusief de vitale sectoren) en bij de Rijksoverheid blijken beter te scoren op cyber security awareness dan werknemers bij gemeenten, provincies en waterschappen.



Er staat in de beleving van werknemers bij veel bedrijven en overheden al digitaal beleid op papier. De feitelijke kennis over dit beleid bij werknemers blijft echter vaak vrij globaal; in de praktijk is dit beleid vaak niet voldoende zichtbaar. Interessant punt en zeker stof voor discussie in dit kader is dat werknemers doorgaans - al dan niet terecht - menen dat zijzelf beter bezig zijn met digitale veiligheid dan hun collega’s. Een specifiek aandachtspunt is verder het ontwikkelen en in praktijk brengen van beleid rondom het gebruik van USB-sticks en het zakelijk gebruik van openbare Wi-Fiverbindingen.



Uit de omgang met bedrijfsgevoelige informatie blijkt dat werknemers op dat vlak over het algemeen cyberbewust gedrag vertonen, voor hen is vaak echter nog niet duidelijk dat cyber security meer omvat dan alleen het voorzichtig omgaan met bedrijfsgevoelige informatie.



Op het werk voelt men zich in termen van digitale veiligheid een stuk veiliger dan thuis, ondanks dat in beide gevallen de digitale risico’s worden onderschat. Burgers zeggen weliswaar zichzelf bewust te voelen van de mogelijke gevaren, maar tegelijkertijd blijkt dit vertrouwen erg fragiel: wel degelijk is er - onbewust en bewust - een grote behoefte aan meer informatie, sprake van onzekerheid en een behoefte aan meer control.



Het installeren van antivirussoftware wordt door burgers doorgaans als de bescherming tegen misbruik via internet beschouwd. Burgers geven echter aanzienlijk minder vaak aan actieve beschermingsmaatregelen te nemen, zoals in het algemeen goed opletten, geen onbekende sites bezoeken of geen onbekende links aanklikken. Men weet nog onvoldoende wat men zelf nog meer kan doen om vervelende situaties te voorkomen.


13/146



Bewust gedrag vertonen burgers in sterkere mate op social media: men is namelijk erg terughoudend om privacygevoelige informatie via die weg te delen. Uit de verdieping gericht op kennis over cybersecurity blijkt wederom duidelijk de brede kennisbehoefte die er bestaat. De informatie die er is, wordt op zich niet slecht beoordeeld, maar er is duidelijk behoefte aan duidelijkere, meer concreet toepasbare informatie die op een overzichtelijke wijze wordt aangeboden.


14/146

Belangrijkste conclusies per doelgroep Hieronder wordt per doelgroep ingegaan op de belangrijkste conclusies voor elke doelgroep apart. Een aantal conclusies gelden voor meerdere doelgroepen, maar hebben wel specifieke nuances voor elke doelgroep apart. Het gaat dan om: - Verbeteringen ten aanzien van de verankering van beleid rondom cybersecurity (alle doelgroepen behalve de vitale sectoren). - Verbetering van veilig gebruik van wachtwoorden, het delen van bedrijfsgevoelige informatie via email, het gebruik van openbare Wi-Fi-verbindingen en het naleven van regels rond cybersecurity. Belangrijkste conclusies Rijksoverheid 

 

Hoewel in 2013 nog een duidelijk stijgende lijn binnen de Rijksoverheid zichtbaar was op het gebied van digitale veiligheid, is het niveau van digitale veiligheid in 2014 redelijk stabiel gebleven. Uit de verdiepende analyses blijkt dat medewerkers van de Rijksoverheid binnen de zakelijke doelgroepen qua cyberbewustzijn één van de twee best scorende groepen is. Wel zijn er op verschillende aspecten nog verbeteringen mogelijk, zowel op het gebied van kennis, beleid als van gedrag. Een kort resumé van zaken die nog verbeterd kunnen worden: o

Kennis: - De spontane bekendheid met cyber security (circa 20% kan zich hier geen enkel beeld bij vormen) en de kennis ten aanzien van welke activiteiten een bedreiging kunnen vormen voor de organisatie (ruim 40% is hier niet mee bekend). - De bekendheid met het organisatiebeleid rondom digitale veiligheid kan verbeterd worden; 32% geeft aan niet goed op de hoogte te zijn van het beleid over digitale veiligheid op het werk.

o

Beleid: - Er is verbetering mogelijk ten aanzien van de verankering van diverse aspecten van beleid in de organisatie zoals back-up beleid, beleid voor internetgebruik en beleid voor het gebruik van usb-sticks. 21% weet niet of er beleid is ten aanzien van type websites die wel/niet bezocht mogen worden en 23% weet niet of er beleid is ten aanzien van de omgang met usb-sticks.

o

Gedrag en handhaving beleid: - Veilig gebruik van wachtwoorden kan verbeterd worden (met name het gebruik van meer dan 10 karakters). - Het structureel naleven van het beleid op diverse aspecten kan verbeterd worden, zoals aandacht voor digitale veiligheid bij de komst en vertrek van medewerkers, aandacht voor digitale veiligheid in functioneringsgesprekken, feedback bij


15/146

-

-

incidenten, het naleven van veiligheidsprotocollen, en het toetsen van de kennis hierover. Voorzichtigheid bij gebruik van openbare Wi-Fi-verbindingen kan nader gestimuleerd worden (met betrekking tot handelingen, het wijzigen van wachtwoorden en het gebruik van maatregelen zodat anderen niet kunnen meekijken) en voorzichtigheid bij het gebruik van usb-sticks die buiten de organisatie zijn geweest. Waken voor het delen van gevoelige bedrijfsinformatie via e-mail (20% geeft aan dit regelmatig/vaak te doen). Toezien op naleving van de regels rondom digitale veiligheid bij collega’s kan verbeterd worden (collega’s stimuleren alsmede collega’s erop wijzen indien regels niet in acht worden genomen).

Belangrijkste conclusies provincies    

Uit de verdiepende analyses blijkt dat medewerkers van provincies op een vierde plek staan wat betreft cyberbewustzijn binnen de zakelijke doelgroepen. Medewerkers van de provincies geven het minst vaak aan spontaan géén beeld te hebben bij cyber security (slechts circa 10% geeft dit aan). De doelgroep provincies heeft in 2014 voor het eerst deelgenomen aan het onderzoek, dus een trend over de tijd heen is daarom in dit geval niet mogelijk. Wel zijn er op verschillende aspecten nog verbeteringen mogelijk, zowel op het gebied van kennis, beleid als van gedrag (in dit geval met een zwaartepunt op gedrag). Een kort resumé van zaken die nog verbeterd kunnen worden: o

Kennis: - Kennis over welke activiteiten een bedreiging kunnen vormen voor de organisatie kan verbeterd worden (41% is hier niet mee bekend). - Er is ruimte voor verbetering ten aanzien van de bekendheid met het organisatiebeleid rondom digitale veiligheid; 36% geeft aan niet goed op de hoogte te zijn van het beleid over digitale veiligheid op het werk.

o

Beleid: - De verankering van diverse aspecten van beleid in de organisatie kan verbeterd worden, zoals back-up beleid, beleid voor internetgebruik en beleid voor het gebruik van usb-sticks. 36% weet niet of er beleid is ten aanzien van back-up beleid en 34% weet niet of er beleid is voor internetgebruik (type websites die wel/niet bezocht mogen worden). Een nog grotere groep, 54%, weet niet of er beleid is ten aanzien van omgang met usb-sticks.


16/146

o

Gedrag en handhaving beleid: - Veilig gebruik van wachtwoorden kan verbeterd worden (met name het gebruik van meer dan 10 karakters en het niet gebruiken van woorden die in het woordenboek voorkomen). - Er is ruimte voor verbetering ten aanzien van het structureel naleven van het beleid op diverse aspecten. Denk aan de aanwezigheid van een protocol voor alle medewerkers, hoe te handelen in geval van incidenten, aandacht voor digitale veiligheid bij de komst en het vertrek van medewerkers, aandacht voor digitale veiligheid in functioneringsgesprekken, feedback bij incidenten, het naleven van veiligheidsprotocollen (en het toetsen van de kennis hierover). - Voorzichtigheid bij gebruik van openbare Wi-Fi-verbindingen vormt een aandachtspunt (met betrekking tot handelingen, het wijzigen van wachtwoorden en het gebruik van maatregelen, zodat anderen niet kunnen meekijken), alsmede het gebruik van usb-sticks die buiten de organisatie zijn geweest. In mindere mate verdient ook het onbeheerd achterlaten van PC of laptop enige aandacht (31% doet dit wel eens). - Waken voor het delen van gevoelige bedrijfsinformatie via e-mail (22% geeft aan dit regelmatig/vaak te doen). - Toezien op naleving van de regels rondom digitale veiligheid bij collega’s (collega’s stimuleren alsmede collega’s erop wijzen indien regels niet in acht worden genomen; respectievelijk 57% en 65% doet dit niet).

Belangrijkste conclusies Gemeenten   

Bij gemeenteambtenaren is op een aantal aspecten van cyber security awareness een verbetering in de tijd te zien; met name op het gebied van kennis en gedrag. Toch blijkt uit de verdiepende analyses dat medewerkers van de gemeenten als één na laagste scoren op cyberbewustzijn van de zakelijke doelgroepen. Wel zijn er op verschillende aspecten nog verbeteringen mogelijk, zowel op het gebied van kennis, beleid als van gedrag. Een kort resumé van zaken die nog verbeterd kunnen worden: o

Kennis: - De spontane bekendheid met cyber security (circa 25% kan zich hier geen beeld bij vormen) en welke activiteiten een bedreiging kunnen vormen voor de organisatie (48% is hier niet mee bekend) kunnen verbeterd worden. - De bekendheid met het organisatiebeleid rondom digitale veiligheid (respectievelijk 44% is hier niet of nauwelijks mee bekend).

o

Beleid: - Er is ruimte voor verbetering aangaande de verankering van diverse aspecten van beleid in de organisatie, zoals beleid voor het gebruik van usb-sticks, back-up beleid, beleid voor software updates en beleid voor internetgebruik. Bijvoorbeeld 41% weet niet of er beleid is ten aanzien van omgang met usb-sticks.


17/146

o

Gedrag en handhaving beleid: - Veilig gebruik van wachtwoorden kan verbeterd worden (vooral ten aanzien van het gebruik van meer dan 10 karakters). - Het structureel naleven van het beleid kan op diverse aspecten verbeterd worden. Voorbeelden zijn aandacht voor digitale veiligheid bij de komst en het vertrek van medewerkers, weten hoe te handelen bij incidenten, aandacht voor digitale veiligheid in functioneringsgesprekken, feedback bij incidenten, en het toetsen van de kennis over veiligheidsprotocollen. - Andere aandachtspunten zijn voorzichtigheid bij gebruik van openbare Wi-Fiverbindingen (met betrekking tot handelingen, het wijzigen van wachtwoorden en het gebruik van maatregelen zodat anderen niet kunnen meekijken) en het gebruik van usb-sticks die buiten de organisatie zijn geweest. - Ook het toezien op naleving van de regels rondom digitale veiligheid bij collega’s kan verbeterd worden (collega’s stimuleren alsmede collega’s erop wijzen indien regels niet in acht worden genomen).

Belangrijkste conclusies Waterschappen 

  

Uit de verdiepende analyses blijkt dat medewerkers van de waterschappen op de laatste plek staan voor wat betreft cyberbewustzijn binnen de zakelijke doelgroepen. Slechts een minderheid scoort hoog op de perceptie van digitale veiligheid en de daar bijbehorende risico’s. Opvallend is wel dat weinig medewerkers van de waterschappen spontaan aangeven géén beeld te hebben bij cyber security (16% geeft dit aan). De doelgroep waterschappen heeft in 2014 voor het eerst deelgenomen aan het onderzoek, dus een trend over de tijd heen is daarom helaas niet mogelijk. Er zijn op verschillende aspecten verbeterpunten zichtbaar, zowel op het gebied van kennis, beleid als van gedrag. Een kort resumé van zaken die nog verbeterd kunnen worden: o

Kennis: - Kennis ten aanzien van welke activiteiten een bedreiging kunnen vormen voor de organisatie kan verbeterd worden (42% is hier niet mee bekend). - De bekendheid met het organisatiebeleid rondom digitale veiligheid kan tevens verbeterd worden (respectievelijk 43% is hier niet of nauwelijks mee bekend).

o

Beleid: - Er lijkt ruimte voor verbetering op het gebied van de verankering van diverse aspecten van beleid in de organisatie, zoals het beleid voor het gebruik van usbsticks, beleid voor het updaten van software en beleid voor internetgebruik.


18/146

o

Gedrag en handhaving beleid: - Veilig gebruik van wachtwoorden kan verbeterd worden (met name het gebruik van meer dan 10 karakters en het gebruik van speciale tekens). - Het structureel naleven van het beleid kan op diverse aspecten verbeterd worden. Voorbeelden van deze aspecten zijn: de aanwezigheid van een protocol voor alle medewerkers, hoe te handelen in geval van incidenten, aandacht voor digitale veiligheid bij de komst en het vertrek van medewerkers, aandacht voor digitale veiligheid in functioneringsgesprekken, het toetsen van de kennis over veiligheidsprotocollen. - Voorzichtigheid bij gebruik van openbare Wi-Fi-verbindingen is een aandachtspunt (met betrekking tot handelingen, het wijzigen van wachtwoorden en het gebruik van maatregelen zodat anderen niet kunnen meekijken), alsmede het gebruik van usbsticks die buiten de organisatie zijn geweest. In mindere mate verdienen ook het onbeheerd achterlaten van PC of laptop en het gebruik van PC of laptop door anderen enige aandacht. - Toezien op naleving van de regels rondom digitale veiligheid bij collega’s is mogelijk ook een aandachtspunt (collega’s stimuleren alsmede collega’s erop wijzen indien regels niet in acht worden genomen; 53% doet dit niet).

Belangrijkste conclusies bedrijfsleven vitale sectoren   

Uit de verdiepende analyses blijkt dat medewerkers van het vitale bedrijfsleven één van de twee groepen is die het beste scoort op cyberbewustzijn binnen de zakelijke doelgroepen. Medewerkers binnen de het vitale bedrijfsleven zijn overall gezien wat betreft cyber security awareness relatief stabiel gebleven ten opzichte van vorig jaar. Wel zijn er op verschillende aspecten nog verbeteringen mogelijk, vooral op het gebied van kennis en gedrag. Een kort resumé van zaken die nog verbeterd kunnen worden: o

Kennis: - De spontane bekendheid met cyber security (34% kan zich hier geen beeld bij vormen) en de kennis ten aanzien van welke activiteiten een bedreiging kunnen vormen voor de organisatie (ruim 50% is hier niet mee bekend) kunnen verbeterd worden. - De bekendheid met het organisatiebeleid rondom digitale veiligheid kan verbeterd worden; 29% geeft aan niet goed op de hoogte te zijn van het beleid over digitale veiligheid.

o

Gedrag en handhaving beleid: - Er is ruimte voor verbetering ten aanzien van veilig wachtwoordgebruik (met name het gebruik van meer dan 10 karakters, maar ook op het gebruik van speciale tekens en het niet gebruiken van woorden in het woordenboek). - Het structureel naleven van het beleid verdient op diverse aspecten aandacht. Voorbeelden van deze aspecten zijn: aandacht voor hoe te handelen in geval van


19/146

-

-

incidenten, aandacht voor digitale veiligheid bij de komst en het vertrek van medewerkers, aandacht voor digitale veiligheid in functioneringsgesprekken, feedback bij incidenten en het toetsen van naleving van en kennis over veiligheidsprotocollen. Voorzichtigheid bij gebruik van openbare Wi-Fi-verbindingen vormt een aandachtspunt (met betrekking tot handelingen, het wijzigen van wachtwoorden en het gebruik van maatregelen zodat anderen niet kunnen meekijken), alsmede het gebruik van usb-sticks die buiten de organisatie zijn geweest. Waken voor het delen van gevoelige bedrijfsinformatie via e-mail (19% geeft aan regelmatig/vaak gevoelige bedrijfsinformatie via e-mail te delen). Er is tevens verbetering mogelijk ten aanzien van toezien op naleving van de regels rondom digitale veiligheid bij collega’s (collega’s stimuleren alsmede collega’s erop wijzen indien regels niet in acht worden genomen).

Belangrijkste conclusies bedrijfsleven algemeen 

 

Uit de verdiepende analyses blijkt dat medewerkers van het bedrijfsleven op de derde plek staan wat betreft cyberbewustzijn bij de zakelijke doelgroepen. Vorig jaar stond het bedrijfsleven ook op deze positie. De cyber awareness van medewerkers in het bedrijfsleven is nog altijd relatief hoog (met name vergeleken met de overheidsfunctionarissen, uitgezonderd van het Rijk). Wel zijn er op verschillende aspecten nog verbeteringen mogelijk, zowel op het gebied van kennis, beleid als van gedrag. Een kort resumé van zaken die nog verbeterd kunnen worden: o

Kennis: - De spontane bekendheid met cyber security (circa 25% kan zich hierbij geen beeld vormen) en de kennis aangaande welke activiteiten een bedreiging kunnen vormen voor de organisatie kunnen verbeterd worden (46% is hier niet mee bekend). - Er is ruimte voor verbetering ten aanzien van de bekendheid met het organisatiebeleid rondom digitale veiligheid (39% is hiervan niet goed op de hoogte). Leidinggevenden zijn hier beter van op de hoogte dan overige werknemers.

o

Beleid: - De verankering van diverse aspecten van beleid in de organisatie kan verbeterd worden; zoals beleid voor het gebruik van usb-sticks, back-up beleid en beleid voor internetgebruik. Bijvoorbeeld 30% geeft aan niet te weten of er beleid is ten aanzien van omgang met usb-sticks.

o

Gedrag en handhaving beleid: - Het veilig gebruik van wachtwoorden kan verbeterd worden (met name het gebruik van meer dan 10 karakters).


20/146

-

-

-

Het structureel naleven van het beleid kan tevens op diverse aspecten verbeterd worden. Voorbeelden van deze aspecten zijn: weten hoe te handelen bij incidenten, aandacht voor digitale veiligheid bij de komst en het vertrek van medewerkers, aandacht voor digitale veiligheid in functioneringsgesprekken, feedback bij incidenten, en het toetsen van de kennis over veiligheidsprotocollen. Een aandachtspunt is voorzichtigheid bij gebruik van openbare Wi-Fi-verbindingen (met betrekking tot het wijzigen van wachtwoorden en het gebruik van maatregelen zodat anderen niet kunnen meekijken) en het gebruik van usb-sticks die buiten de organisatie zijn geweest. Toezien op naleving van de regels rondom digitale veiligheid bij collega’s kan tevens verbeterd worden, hoewel dit beter lijkt te gaan dan bij de andere zakelijke doelgroepen.

Belangrijkste conclusies burgers  

Uit de verdiepende analyses blijkt dat burgers onderaan de cyberbewustzijn ladder staan. Vorig jaar was dit ook het geval. Burgers voelen zichzelf meer bewust van de internetrisico’s dan ze werkelijk zijn (op basis van risicoperceptie, kennis en gedrag). Een kort resumé van zaken die nog verbeterd kunnen worden: o

Risicoperceptie en locus of control - Evenals vorig jaar hebben burgers een redelijk passieve houding als het gaat om de risico’s van internet. Aangezien een ruime meerderheid (71%) vindt dat zij zich voldoende bewust zijn van de risico’s van internet, maken veel burgers (39%) zich daar meestal weinig zorgen over. - Tevens denkt men dat de kans klein is om zelf geconfronteerd te worden met internetrisico’s en is men van mening dat men zichzelf ‘toch niet’ kan weren tegen deze risico’s (beperkte ‘locus of control’).

o

Kennis: - 32% kan zich spontaan geen beeld vormen bij cyber security. - Een aanzienlijk deel van de burgers (63%) weet niet op welke manieren er via internet misbruik gemaakt kan worden van hun computer.

o

Gedrag: - Wachtwoorden van burgers blijken bij een aanzienlijk deel niet veilig. Ook het gedrag rondom het omgaan met wachtwoorden is niet altijd veilig (22% noteert bijvoorbeeld wachtwoorden op een briefje dat verstopt wordt). - 48% leest niet of nauwelijks de privacy voorwaarden bij het delen van gegevens op internet. - Een ruime meerderheid gaat bewust om met het opgeven van persoonlijke gegevens op social media (bijvoorbeeld: 79% geeft aan beperkte persoonlijke


21/146

-

informatie in te vullen bij het aanmaken van een social media profiel en 80% heeft een privacyfilter ingesteld). Tegelijkertijd blijft er een aanzienlijk deel dat hier minder bewust of niet bewust mee omgaat (21% geeft aan zoveel mogelijk persoonlijke informatie in te vullen bij het aanmaken van een social media profiel en 19% heeft geen privacyfilter ingesteld). Circa 20% opent wel eens berichten van onbekende afzenders, met name op PC en/of laptop.


22/146

1.

Inleiding

1.1

Achtergrond en doel van het onderzoek

Achtergrond Het aantal cybermisdrijven neemt toe en cybercrime internationaliseert en criminaliseert steeds verder. Ook ons land - dat tot de top behoort wat betreft de internetpenetratie en daardoor kwetsbaar is - wordt hiermee geconfronteerd. Incidenten met DDoS-aanvallen, Phishing en diefstal van e-mailadressen en andere persoonlijke gegevens staan scherp op ons netvlies. Het is duidelijk dat digitale veiligheid van eminent belang is om te voorkomen dat cybercrime onze samenleving en economie verstoort. Er zijn dan ook tal van initiatieven om cybercrime in te dammen, waarbij vaak sprake is van een publiek-private samenwerking om te komen tot een integrale aanpak. Iedereen heeft een aandeel in het “cyber secure” houden van de samenleving: burgers, bedrijven en overheden. Hoewel er met diverse campagnes breed wordt ingezet op het bewustmaken van burgers, overheden en bedrijven van het belang van cyber security en hun rol daarin, is het cyber security bewustzijn en het besef dat je zelf maatregelen (zoals gedragsregels en technische maatregelen) kunt nemen om je weerbaarheid te vergroten nog niet volop aanwezig. In 2012 en 2013 zijn metingen van het Cyber security onderzoek uitgevoerd, waarvan de 2013 meting ook door GfK is uitgevoerd (de 2012 meting is door een ander onderzoeksbureau uitgevoerd). Uit deze voorgaande metingen van dit onderzoek blijkt dat er nog winst te behalen is als het gaat om de digitale veiligheid van verschillende doelgroepen. Doel Ter voorbereiding op en als input voor de komende Alert Online campagne en de communicatie daaromheen heeft GfK in opdracht van NCTV en DPC een representatief onderzoek uitgevoerd dat inzicht biedt in de ontwikkelingen en de wijze waarop zowel de zakelijke doelgroepen als de doelgroep burgers omgaan met digitale veiligheid. De 0-meting van dit onderzoek vond plaats in 2012, dit rapport gaat over de 2014-meting. Specifiek geeft dit onderzoek ieder jaar inzicht in:  Het huidige niveau van cyber security awareness vertaald naar kennis, houding en gedrag;  Verschillen tussen de doelgroepen (overheid, bedrijfsleven en burgers);  Ontwikkelingen in de tijd, welke een indicatie vormen voor het effect van inspanningen rondom het vergroten van de cyber security awareness. Daarnaast heeft het onderzoek een jaarlijks wisselend thema. Dit jaar is gekozen voor het thema “Kennis over cyber security (Informatiebehoefte en –gebruik)”. NCTV gebruikt de inzichten van dit onderzoek op de langere termijn voor het nog beter toespitsen van haar beleid.

34723 - Cyber Security 2014 Rapportage.docx - Hoofdstuk 1

23/146

1.2

Opzet van het onderzoek

Doelgroepen Het onderzoek is uitgevoerd onder zeven doelgroepen, afkomstig uit zowel overheid, bedrijfsleven als burgers. Overheid  Rijksoverheid: Ambtenaren werkzaam bij één van de Rijksoverheid (hieronder vallen ook inspecties, uitvoeringsorganisaties, agentschappen, ZBO’s en diensten zoals Belastingdienst, Rijkswaterstaat, DJI, IND, UWV, NZA, Hoge Colleges van Staat)  Provincies: Ambtenaren werkzaam bij één van de provincies. Dit is een nieuwe doelgroep in de 2014meting.  Gemeenten: Ambtenaren werkzaam bij gemeenten in onder meer beleids-, uitvoerings-, staf-, administratieve- en loketfuncties;  Waterschappen: Medewerkers van een Waterschap op de terreinen drinkwater of oppervlaktewater. Dit is een nieuwe doelgroep in de 2014-meting. Bedrijfsleven  Bedrijfsleven algemeen: Medewerkers uit alle sectoren van het bedrijfsleven die werkzaam zijn voor een organisatie met 10 medewerkers of meer, exclusief medewerkers van organisaties binnen de vitale sectoren;  Bedrijfsleven vitale sectoren: Medewerkers van organisaties binnen de vitale sectoren energie, transport, telecommunicatie, financiële sector, drinkwater, keren en beheren van oppervlaktewater; Burgers  Burgers: Inwoners van Nederland van 13 jaar en ouder. Binnen de zakelijke doelgroepen is onderscheid gemaakt naar leidinggevenden (een medewerker die leiding geeft aan een groep medewerkers vanuit een formele rol) en overige medewerkers. Verder geldt voor de zakelijke doelgroepen dat alle respondenten door hun werkgever een computer (pc, laptop, tablet en/of smartphone) ter beschikking gesteld hebben gekregen voor het uitvoeren van hun werkzaamheden (thuis of op kantoor). Voor de doelgroep burgers geldt dat zij thuis beschikken over een privécomputer (pc, laptop, tablet en/of smartphone).


24/146

Methode en veldwerk Gekozen is voor een kwantitatief online onderzoek. Het onderzoek is uitgevoerd binnen het GfK 1 onderzoekspanel en het Flitspanel van het ministerie van BZK (in de vragenlijstomgeving van het GfK onderzoekspanel). De vragenlijst is aan de hand van een door GfK geprogrammeerde vragenlijst (CAWI) afgenomen. De respondent krijgt via e-mail een uitnodiging voor het onderzoek, in de e-mail is een link opgenomen naar de vragenlijst. Door op de link te klikken opent het onderzoek automatisch en kan de respondent zelf via de computer de vragenlijst invullen. Het veldwerk onder zowel het GfK online panel als het Flitspanel vond plaats van 16 juni tot en met 20 juli 2014. Tijdens de veldwerkperiode zijn meerdere reminders gestuurd om de benodigde respons te halen. Steekproef en respons Voor dit onderzoek zijn in totaal acht steekproeven getrokken: voor elke doelgroep één plus een extra bruto steekproef onder de doelgroepen Rijksoverheid. De steekproeven zijn in overleg met DPC en NCTV als volgt getrokken:  De steekproeven van de doelgroepen Provincies en Waterschappen zijn volledig getrokken uit het Flitspanel van het ministerie van BZK  De steekproeven voor de zakelijke doelgroepen (algemene bedrijfsleven en bedrijfsleven vitale sectoren) zijn volledig getrokken uit het GfK online panel.  De steekproeven van de doelgroepen Rijksoverheid en gemeenten zijn voor de helft getrokken uit het Flitspanel van het ministerie van BZK en voor de helft uit het GfK online panel. Onderstaande tabel geeft de omvang van de bruto en netto steekproef per doelgroep weer. Tabel 1a. Overzicht bruto en netto steekproef en respons Doelgroepen Bruto Netto n steekproef Rijksoverheid Provincie Gemeenten Waterschappen Bedrijfsleven vitale sectoren Bedrijfsleven overig Burgers 13+ Totaal

1.974 1.100 5.398 949 1.000 1.000 2.000 13.421

502 134 549 128 500 484 1.207 3.504

1

Het Flitspanel bestaat uit medewerkers van verschillende overheidssectoren. Zij zijn geworven door middel van het Personeels- en Mobiliteitsonderzoek, waarvoor zij aselect zijn geselecteerd via het ABP. Zo is geborgd dat het panel een afspiegeling is van de populatie per sector.


25/146

De gemiddelde totale respons bedraagt 26%. Dit is aanzienlijk lager dan in 2013; dit komt voor een belangrijk deel door de keuze om dit jaar het Flitspanel van het ministerie van BZK in te zetten, een panel dat gekenmerkt wordt door een lagere respons van panelleden dan het GfK online panel. Alle doelgroepen kregen aan het begin van de vragenlijst diverse selectievragen voorgelegd, op basis waarvan zij - met het oog op de kwaliteit van de data - uiteindelijk zijn toegewezen aan één doelgroep. Respondenten die hebben deelgenomen aan de Cyber security onderzoeken in 2012 of 2013 (of dit niet meer wisten) zijn uitgesloten van deelname. Echter zijn degenen uit de twee Flitspanel- doelgroepen die dit niet meer wisten of ze deel hadden genomen aan eerdere metingen nogmaals uitgenodigd om toch deel te nemen aan het onderzoek. Dit om de respons zoveel mogelijk te maximaliseren onder deze doelgroepen. Representativiteit Om de representativiteit van de steekproeven te borgen is gezorgd voor:  Steekproeven van voldoende omvang (netto n) om betrouwbare uitspraken te kunnen doen.  Een representatieve verdeling op relevante kenmerken. Daartoe zijn de steekproeven uit het GfK panel van tevoren verdeeld (gestratificeerd) naar verhoudingen van relevante kenmerken in de populatie. Waar nodig zijn ze hierop achteraf herwogen. Meer informatie over de weging en de steekproefverdeling treft u aan in bijlage 1.

1.3

Leeswijzer

De rapportage is thematisch opgebouwd; dit betekent dat per thema telkens eerst de overall resultaten worden beschreven, dan de verschillen tussen de doelgroepen en tot slot de verschillen tussen de metingen in 2012, 2013 en 2014. Voorafgaand aan dit inleidende hoofdstuk zijn de samenvatting, de conclusies en aanbevelingen opgenomen. De tabellen van alle vragen tezamen zijn bij dit rapport geleverd als afzonderlijke tabellenrapportages. Verder is in dit rapport achtereenvolgens als bijlage opgenomen:  Onderzoeksverantwoording inclusief responsoverzicht;  Kwantitatieve vragenlijst;  Certificering.


26/146

Ten geleide bij het rapport Aard van de resultaten Alle resultaten betreffen zelfgerapporteerde kennis, houding en gedrag. Weergave van significante verschillen De gevonden percentages zijn getoetst op significantie van de verschillen: o tussen de drie hoofddoelgroepen (overheid, bedrijfsleven, burgers); o tussen de zeven subdoelgroepen; o naar geslacht, leeftijd en opleiding; o naar wel of niet leidinggevend; o in de tijd. In het rapport is alleen melding gemaakt van verschillen wanneer deze significant zijn op het niveau van p < 0,05. Dit betekent dat de kans dat de gevonden verschillen in de steekproef op toeval berusten kleiner is dan vijf procent. Daar waar de som van percentages geen 100 bedraagt, wordt dit veroorzaakt door afrondingsverschillen. Antwoorden op open vragen De vragenlijst bevat een aantal open vragen, waarbij de respondent het gegeven antwoord letterlijk heeft ingetypt. De open antwoorden van sommige open vragen zijn per antwoord nagecodeerd, waardoor een percentering van de resultaten mogelijk is. Voor andere open vragen die niet zijn nagecodeerd, zijn wordclouds gemaakt om toch een indruk te geven van veel genoemde antwoorden. Tevens wordt een uitdraai van alle antwoorden in een afzonderlijk Excel-bestand opgeleverd. Om recht te doen aan de sfeer en achtergrond waarin de antwoorden zijn gegeven, zijn stijl-, taal- en typefouten ondergeschikt gemaakt aan de context, zodat in het tabellenrapport gekozen is voor een letterlijke, ongecorrigeerde weergave van deze antwoorden.


27/146

2.

Factoren die van invloed zijn op cyber security awareness

2.1

Inleiding

Het onderzoek levert een enorme rijkdom aan informatie op over de kennis, de houding en het gedrag van doelgroepen rondom digitale veiligheid. Om deze informatie zo goed mogelijk te 2 kunnen duiden is via een factoren betrouwbaarheidsanalyse onderzocht welke factoren van invloed zijn op cyber security awareness. Er zijn zes ‘factoren’ gevonden’: o

Factor 1: Cyber security bewustzijn op het werk - 15%. Deze factor gaat over het cyber security bewustzijn op het werk. Het omvat enerzijds hoe de organisatie omgaat met cyber security, en anderzijds de kennis, houding en het gedrag van de werknemer ten aanzien van cyber security op het werk.

o

Factor 2: Bewust gedrag en eerdere ervaring(en) - 9%. Deze factor gaat over bewust gedrag om risico’s te voorkomen of te minimaliseren en daarnaast mogelijke eerdere ervaringen met cyber risico’s.

o

Factor 3: Gedrag: bewust omgaan met wachtwoorden - 9%. Deze factor heeft betrekking op het bewust omgaan met wachtwoorden. Het behelst onder andere de eigen inschatting van de veiligheid van de wachtwoorden die men gebruikt en de manier waarop men verder omgaat met wachtwoorden (denk aan: eigenschappen wachtwoord, variatie, vernieuwen).

o

Factor 4: Risicoperceptie en zorgen bij gebruik van internet - 8%. Deze factor omvat de risico’s zoals men die ervaart en de zorgen die men zich daarover maakt bij het gebruiken van internet.

o

Factor 5: Risico-inschatting digitale veiligheid - 8%. Deze factor behelst de door de respondent zelf geuite risico-inschatting van de persoonlijke digitale veiligheid op werkgebied en in de privésituatie.

o

Factor 6: Locus of control & ‘opslag’ wachtwoorden - 7%. Deze factor heeft betrekking op de algemene houding ten aanzien van de zin van beveiliging c.q. perceptie van de eigen weerbaarheid (“locus of control”), alsook over de wijze waarop wachtwoorden worden herinnerd of bewaard.

Onderstaande tabel geeft een overzicht van de zes factoren, de bijbehorende variabelen en items. Tevens hebben we de zogeheten componentladingen vermeld; deze geven aan hoe sterk de variabele samenhangt met de component (= de achterliggende factor). Hoe hoger de componentlading, des te groter de samenhang van de vraag met de component.

2

Zie bijlage 3 voor nadere informatie


28/146

Tabel 4.1 Overzicht factoren en componentladingen 2014 Factor concept-naam 1 Cyber security bewustzijn op het werk

2

Bewust gedrag en eerdere ervaring(en)

3

Gedrag: bewust omgaan met wachtwoorden

4

Risicoperceptie en zorgen bij gebruik van internet

5

Risico-inschatting digitale veiligheid

6

Locus of control & 'opslag' wachtwoorden

Factor Variabelen

items

beleid&gedrag c5 beleid&gedrag c7 houding c5 kennis c1 gedrag c3 gedrag d9 gedrag d9 ervaring b5 gedrag e1 risico-inschatting e2 gedrag e5 gedrag e4 houding b3a houding b3b risico-inschatting b2 risico-inschatting b2 houding b3a gedrag e3 gedrag d7

alles 1,2,3,4,5,6 7,8 alles alles 11,12,14,15,16,17,18,23 1,2,3,4,5,6,7,8,9,10,13,19,20,21,22,24 alles alles alles alles alles 1,6,7,8,10,11,13,14 alles 4 1,2,3 2,12,15 alles alles

1 ,811 ,799 ,741 ,704 ,498

2

3

4

5

6

,827 ,782 ,490 ,751 ,706 ,540 ,362 ,816 -,806 ,754 ,713

0,355

-,754 ,534 ,431

Als we kijken naar de samenstelling van de factoren, dan zien we het volgende:  Kennis en houding of kennis en gedrag gaan erg vaak samen in één factor. Dit betekent dat deze twee constructen met elkaar samenhangen.  De zesde factor is het minst goed benoembaar/eenduidig te interpreteren; dit zien we over het algemeen vaker bij de laatste “restfactor”.


29/146

2.2

Verschillen in cyberbewustzijn tussen de doelgroepen van het onderzoek

Om beter inzicht te kunnen krijgen in de mate van cyber security awareness, is op basis van de factoren bepaald wie hoe vaak een hoge score heeft behaald, wat duidt op een hoog bewustzijn van cyberrisico’s. Binnen elke factor is daartoe op basis van de berekende scores een verdeling gemaakt in drie groepen van gelijke grootte: laag (1/3), midden (1/3) en hoog (1/3). Tabel 4.2 Cyber security awareness, aantal keren hoge score op factoren A a nt a l x 'ho o g'

T o taal

R ijk s o v e rhe id

P ro v inc ie

G e m e e nt e n

Wa t e rs c ha ppe n V it a le s e c t o re n

B e drijf s le v e n

B urge rs 13 +

0

7,9%

5,7%

6,8%

9,1%

9,3%

6,0%

8,5%

8,7%

1

28,3%

22,8%

24,9%

28,8%

32,6%

21,8%

23,8%

34,5%

2

31,2%

30,0%

34,5%

30,1%

30,1%

31,0%

28,9%

32,9%

3

22,8%

25,1%

23,9%

20,3%

20,4%

27,6%

26,5%

19,7%

4

8,3%

12,4%

8,7%

10,0%

6,8%

11,8%

10,3%

3,9%

5

1,5%

4,0%

1,1%

1,7%

0,9%

1,8%

1,8%

0,4%

6

0,0%

0,0%

0,0%

0,0%

0,0%

0,0%

0,2%

0,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

To taal

* Hoe hoger de score, hoe meer ‘cyber-aware’

Tabel 4.2 geeft per doelgroep weer op hoeveel factoren respondenten een hoge score hebben gescoord. De totaalverdeling van de scores over de klassen laag/midden/hoog is als het ware een logische uitkomst van de berekeningswijze, dus is op zichzelf weinig informatief. Wat wel interessant is, zijn de verschillen tussen de doelgroepen. Ambtenaren van de Rijksoverheid en werknemers van de vitale sectoren en het ‘reguliere’ bedrijfsleven scoren gemiddeld relatief beter qua cyberbewustzijn dan ambtenaren van de provincies, gemeenten en waterschappen. Burgers blijken zich het minst bewust te zijn van hun cyber security.


30/146

2.3

Verschillen per factor tussen de doelgroepen van het onderzoek

In deze paragraaf kijken we per factor naar de verdeling van de scores hierop bij de diverse doelgroepen. Dit geeft een overkoepelend beeld van hoe het gesteld is met de cyber security awareness van de doelgroepen op het betreffende gebied. Factor 1: Cyber security bewustzijn op het werk Natuurlijk is de vergelijking tussen de zakelijke doelgroepen vooral in dit geval interessant. Duidelijk is dat het totaalbeeld uit Tabel 4.2 grotendeels wordt bevestigd: rijksambtenaren, werknemers in de vitale sectoren en – in iets mindere mate – het bedrijfsleven hebben een hogere score. Ambtenaren bij provincies, gemeenten en waterschappen scores beduidend lager. Tabel 4.3.1 Onderverdeling score laag, midden, hoog per doelgroep (factor 1) S c o re

T o taal


P ro v inc ie

G e me e nt e n



B urge rs 13 +

laag

33,5%

34,0%

63,0%

53,7%

54,7%

34,0%

42,4%

14,1%

midden

33,5%

14,1%

10,9%

14,5%

16,3%

12,8%

12,2%

71,3%

ho o g

33,0%

51,9%

26,1%

31,8%

29,0%

53,2%

45,4%

14,6%

To taal

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

Factor 2: Bewust risicomijdend gedrag en eerdere ervaringen De verschillen tussen de groepen zijn bij deze factor een stuk kleiner. Wat wel opvalt is dat ambtenaren bij gemeenten en waterschappen op dit gebied iets meer cyberbewustzijn vertonen dan de andere groepen. Tabel 4.3.2 Onderverdeling score laag, midden, hoog per doelgroep (factor 2) S c o re

T o taal


P ro v inc ie

G e me e nt e n



B urge rs 13 +

laag

33,3%

31,0%

25,7%

32,8%

26,5%

38,6%

37,1%

32,6%

midden

33,3%

35,3%

32,7%

32,5%

31,7%

33,6%

32,9%

33,3%

ho o g

33,4%

33,7%

41,6%

34,7%

41,8%

27,8%

30,0%

34,1%

To taal

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

Factor 3: Bewust omgaan met wachtwoorden De omgang met wachtwoorden is iets waar personen in het bedrijfsleven en burgers bewuster aandacht voor hebben dan werkenden in de overige sectoren. Tabel 4.3.3 Onderverdeling score laag, midden, hoog per doelgroep (factor 3) S c o re

T o taal


P ro v inc ie

G e me e nt e n

laag

33,4%

33,7%

36,3%

33,0%

Wa t e rs c ha ppe n V it a le s e c t o re n 45,0%

37,6%

B e drijf s le v e n 30,8%

B urge rs 13 + 31,5%

midden

33,2%

35,9%

32,7%

35,2%

29,9%

31,4%

31,3%

33,2%

ho o g

33,3%

30,5%

31,0%

31,9%

25,1%

31,0%

37,9%

35,3%

To taal

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%


31/146

Factor 4: Risicoperceptie en zorgen bij gebruik van internet De perceptie van digitale veiligheid en risico’s is sterker bij burgers dan bij de zakelijke doelgroepen. Binnen de zakelijke doelgroepen geldt op dit vlak het bedrijfsleven als bewuster dan de overheid. Tabel 4.3.4 Onderverdeling score laag, midden, hoog per doelgroep (factor 4) S c o re

T o taal


P ro v inc ie

G e me e nt e n



B urge rs 13 +

laag

32,8%

34,0%

35,6%

40,1%

45,5%

midden

33,2%

34,8%

35,2%

30,6%

32,6%

33,6%

29,2%

28,3%

31,0%

36,8%

ho o g

34,1%

31,2%

29,3%

29,3%

32,8%

22,0%

35,4%

34,0%

38,8%

To taal

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

Factor 5: Risico-inschatting digitale veiligheid Werknemers in de vitale sectoren en bij de Rijksoverheid zijn meer op hun hoede met betrekking tot de digitale risico’s die zij lopen dan de overige doelgroepen. Tabel 4.3.5 Onderverdeling score laag, midden, hoog per doelgroep (factor 5) S c o re

T o taal


P ro v inc ie

G e me e nt e n



B urge rs 13 +

laag

34,4%

31,8%

43,1%

43,1%

45,5%

28,8%

33,3%

31,6%

midden

33,3%

28,9%

24,4%

24,9%

25,3%

29,4%

33,4%

42,3%

ho o g

32,4%

39,3%

32,5%

32,0%

29,2%

41,8%

33,3%

26,2%

To taal

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

Factor 6: Locus of control en ‘opslag’ wachtwoorden Op deze laatste factor, overigens de minst sterke factor van de zes, blijkt dat ambtenaren van de Rijksoverheid en provincies sterker het gevoel hebben dat zij zelf invloed kunnen hebben op de risico’s die zij lopen. Zij voelen zich meer ‘in control’. Voor burgers geldt dit het minst. Tabel 4.3.6 Onderverdeling score laag, midden, hoog per doelgroep (factor 6) S c o re

T o taal


P ro v inc ie

G e me e nt e n

laag

33,0%

26,8%

32,2%

28,0%

31,5%

midden

33,0%

32,1%

22,2%

33,5%

30,1%

ho o g

34,0%

41,1%

45,7%

38,5%

38,5%

33,6%

31,8%

27,9%

To taal

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%

100,0%




B urge rs 13 +

31,8%

31,6%

39,3%

34,6%

36,6%

32,8%

32/146

3.

Resultaten 2014: beelden bij cyber security

3.1

Beeld van cyber security

In dit hoofdstuk komt de vraag naar de spontane associaties bij cyber security aan bod. Figuur B1: Waar denkt u aan bij cyber security oftewel een veilige digitale omgeving?

Overall beeld Men denkt bij cyber security vooral aan antivirussoftware en beveiliging tegen aanvallen van buitenaf, door virussen en hackers. Daarnaast worden wachtwoorden, privacy, het al dan niet hebben van een firewall en beveiliging van netwerken en verbindingen vaak genoemd. Opvallend is dat een aanzienlijk deel van de respondenten (circa een vijfde) geen antwoord weet op de vraag wat cyber security inhoudt. Ontwikkelingen in de tijd Werknemers van de Rijksoverheid noemen vaker hackers, wachtwoorden, privacy, beveiliging netwerken dan in 2013. Gemeenteambtenaren noemen vaker firewall en weet niet dan in 2013; beveiliging computer/laptop wordt minder vaak genoemd door deze doelgroep. Werknemers van het bedrijfsleven vitaal noemen vaker wachtwoorden en privacy dan in 2013. Werknemers van het bedrijfsleven algemeen noemen vaker hackers, wachtwoorden, privacy en firewall dan in 2013; deze doelgroep geeft minder vaak aan niet te weten waar men spontaan aan denkt bij cyber security. Burgers noemen vaker privacy, beveiliging netwerken dan in 2013.


33/146

4.

Resultaten 2014: Omgaan met cyber security op het werk

4.1

Beknopte samenvatting Omgaan met cyber security op het werk

Aanwezigheid van beleid Circa drie kwart van de medewerkers geeft aan dat er in hun organisatie beleid is rond veilig wachtwoordgebruik en voor de veilige omgang met de pc, laptop, tablet en smartphone. Ruim drie kwart van de medewerkers die een laptop, tablet of smartphone ter beschikking gesteld hebben gekregen door de werkgever, heeft daarbij instructies ontvangen voor de veilige omgang met het apparaat. Een derde van de medewerkers geeft aan dat er beleid is voor het melden van incidenten rond digiterg wale veiligheid, voor het bezoeken van websites en het updaten van virussoftware. Weinig medewerkers zijn bekend met beleid voor veilig gebruik van usb-sticks. Invulling van het beleid Ongeveer de helft van de ondervraagde leidinggevenden geeft aan dat nieuwe medewerkers worden ingewerkt op de maatregelen rondom veilig digitaal werken, ook de helft geeft aan dat er veiligheidsmaatregelen worden uitgevoerd bij vertrek van medewerkers. Bijna een kwart van de medewerkers geeft aan dat het naleven van regels rond digitale veiligheid onderdeel uitmaakt van de functioneringsgesprekken en ook een kwart geeft aan dat de medewerkers regelmatig worden getoetst op hun kennis en gedrag ten aanzien van het digitale veiligheidsbeleid. Bijna de helft van de leidinggevenden geeft aan dat alle medewerkers een terugkoppeling ontvangen na een incident met digitale veiligheid. Bewustzijn van gevaren en verantwoordelijkheden Ruim drie kwart van de medewerkers geeft aan voldoende bewust te zijn van de mogelijke gevaren op het gebied van digitale veiligheid. Een ruime meerderheid van de werknemers vindt zich voldoende bewust van het belang van digitale veiligheid en zegt voldoende op de hoogte te zijn van de eigen verantwoordelijkheden. Kennis Binnen alle organisaties geeft nagenoeg iedereen aan minimaal globaal te weten welke informatie gevoelig is. Slechts een zeer klein deel van de medewerkers geeft aan dit niet of nauwelijks te weten. Ongeveer de helft van de ondervraagden weet exact of globaal wat binnen de organisatie de zwakke plekken in de digitale veiligheid zijn, ongeveer de helft weet dit niet of nauwelijks. Ruim een derde van de medewerkers geeft toe niet goed op de hoogte te zijn van het beleid met betrekking tot digitale veiligheid. Gemiddeld weet circa één op de vijf medewerkers niet of nauwelijks wat te doen in het geval van een incident dat de digitale veiligheid van het bedrijf in gevaar brengt. Een derde van de medewerkers weet precies wat hij of zij op zo’n moment moet doen.


34/146

Een klein deel van de medewerkers weet niet of nauwelijks waarop te letten bij ontvangst van een e-mail met een link. Een kleine minderheid (circa één op de tien) van de medewerkers weet niet welke informatie wel en welke informatie niet gedeeld mag worden per e-mail. Circa één op de tien werknemers weet niet welke websites zij wel en niet mogen bezoeken met hun zakelijke computer. Gedrag Bijna drie kwart van de medewerkers zegt zich strikt aan de afspraken rondom de uitvoering van de protocollen te houden. Iets minder dan de helft stimuleert collega’s om zich volgens de regels te gedragen. Bijna de helft van de ondervraagden geeft aan nooit gevoelige bedrijfsinformatie te delen via email, ruim één op de tien doet dat regelmatig. De cloud of een usb-stick worden nauwelijks gebruikt om gevoelige bedrijfsinformatie te delen. Slechts één op de tien medewerkers laat een usb-stick die extern is gebruikt controleren op virussen. Met ter beschikking gestelde apparaten wordt door sommige medewerkers risicogedrag vertoond. Gemiddeld laat acht op de tien medewerkers de zakelijke smartphone of tablet niet door anderen gebruiken, maar laptops en pc’s worden in de helft van de gevallen door anderen gebruikt. Bij een openbare Wi-Fi-verbinding denkt circa de helft van de medewerkers na over welke handelingen men beter niet kan verrichten en slechts een selecte groep past na het gebruik van een openbare Wi-Fi-verbinding de wachtwoorden aan. Een derde laat de computer wel eens onbeheerd achter.


35/146

4.2

Beleid over cyber security op het werk

Figuur C4: Zijn onderstaande zaken binnen uw organisatie vastgelegd in een beleid?

Overall beeld Minstens drie kwart van de respondenten geeft aan dat er binnen hun organisatie sprake is van beleid voor veilig wachtwoordgebruik en voor de omgang met apparaten (pc’s, laptops, tablets, smartphones). Ongeveer twee derde geeft aan dat er beleid is voor het melden van incidenten, voor het bezoeken van websites en voor het updaten van antivirussoftware. Evenals in 2012 is er relatief weinig aandacht voor beleid voor het gebruik van usb-sticks. Ontwikkeling in de tijd In vergelijking met de meting van 2013 zijn er vooral bij gemeenteambtenaren positieve ontwikkelingen zichtbaar. Zo is er een toename in het percentage gemeenteambtenaren dat aangeeft dat er beleid op het gebied van back-up is (van 58% in 2013 naar 67% in 2014). Ook is er volgens de gemeenteambtenaren vaker sprake van beleid over de omgang met usb-sticks (van 33% in 2013 naar 41% in 2014) en is er vaker beleid over het omgaan met incidenten (van 56% in 2013 naar 67% in 2014). Binnen de overige sectoren is er geen verschil zichtbaar ten opzichte van 2013. Verschillen tussen groepen Overheidsfunctionarissen hebben in vergelijking met de personen werkzaam in het bedrijfsleven vaker aangegeven dat er beleid is voor veilig wachtwoordgebruik (87% versus 78%) en voor de omgang met pc’s, laptops, tablets en smartphones (77% versus 71%). Binnen de groep overheidsfunctionarissen is een aantal verschillen zichtbaar. Over het algemeen geven rijksambtenaren vaker aan dat hun organisatie beleid voert op veiligheidsaspecten dan de overige ambtenaren. De verschillen doen zich vooral voor ten opzichte van de gemeenteambtenaren. Voor sommige onderwerpen is er ook sprake van een verschil ten opzichte van de andere groepen ambtenaren. De verschillen zijn het grootst als het gaat om het beleid ten aanzien van usb-sticks. Volgens 70% van de rijksambtenaren wordt hier beleid op gevoerd, in vergelijking met 41% van de gemeenteambtenaren, 26% van de provincieambtenaren en 26% van de ambtenaren van het waterschap.


36/146

Ook binnen het bedrijfsleven is er wat dit betreft sprake van een opvallend verschil: 57% van de respondenten uit de vitale sector geeft aan dat er beleid is over de omgang met usb-sticks in vergelijking met 43% van de respondenten in de groep ‘overig bedrijfsleven’. Verschillen in achtergrondkenmerken Mannen geven vaker aan dat er beleid op een bepaald aspect is dan vrouwen. Het verschil is het grootst ten aanzien van het beleid van het updaten van antivirussoftware (mannen 70% en vrouwen 54%) en ten aanzien van het back-up beleid (mannen 73% en vrouwen 59%). Ook zijn er behoorlijke verschillen tussen de leeftijdsgroepen; vijftigplussers geven over het algemeen vaker aan dat er beleid aanwezig is dan de jongere respondenten. Ook hier zijn de verschillen het grootst voor het updaten van antivirussoftware (18-30 jarigen 43%, 19-50 jarigen 60% en vijftigplussers 70%) en het back-up beleid (18-30 jarigen 49%, 19-50 jarigen 64% en vijftigplussers 74%). Tot slot geven leidinggevenden vaker aan dat er sprake is van beleid op de diverse veiligheidsaspecten dan niet-leidinggevenden. Dit verschil is vooral zichtbaar binnen de Rijksoverheid, de provincie en de gemeente.


37/146

4.3

De invulling van het beleid rond cyber security op het werk

Figuur C5: In hoeverre vindt u de volgende stellingen van toepassing op uw organisatie? (weergave percentage “wel van toepassing” + “meer wel dan niet van toepassing”)

Overall beeld Gemiddeld geeft twee derde van de ondervraagden aan dat de organisatie een beleid heeft op het gebied van de digitale omgeving voor alle werknemers. De helft geeft aan dat medewerkers binnen hun organisatie weten hoe te handelen bij incidenten. Ruim een derde van de medewerkers geeft aan dat nieuwe medewerkers worden ingewerkt op de maatregelen rondom veilig digitaal werken en bijna de helft geeft aan dat er bij ontslag en/of vertrek van medewerkers maatregelen worden uitgevoerd in het kader van digitale veiligheid. Bijna een kwart van de ondervraagden geeft aan dat het naleven van regels rondom digitale veiligheid deel uitmaakt van de functioneringsgesprekken en bijna de helft zegt dat alle medewerkers een terugkoppeling ontvangen na een incident. Ruim een derde van de respondenten geeft aan dat leidinggevenden erop toezien dat alle medewerkers op de hoogte zijn van het beleid en bijna de helft van de respondenten geeft aan dat medewerkers er op worden aangesproken als zij zich niet houden aan de afspraken over digitale veiligheid. Een kwart van de ondervraagden geeft aan dat medewerkers regelmatig worden getoetst op hun kennis over en het naleven van het digitale veiligheidsbeleid. Ontwikkeling in de tijd Onder de gemeenteambtenaren is een aantal positieve ontwikkelingen zichtbaar ten opzichte van 2013. Zij zijn het onder andere vaker eens met de stellingen over de aanwezigheid van beleid/protocollen (van 52% in 2013 naar 61% in 2014), over het inwerken van nieuwe medewerkers (van 22% naar 30%) en over het terugkoppelen na een incident (van 32% naar 41%).


38/146

Binnen de Rijksoverheid wordt er in 2014 minder door leidinggevenden op toegezien dat medewerkers op de hoogte zijn van het beleid rond digitale veiligheid dan in 2013. Binnen de vitale sectoren heeft deze ontwikkeling zich ook voorgedaan, tussen 2012 en 2014. Binnen de Rijksoverheid heeft zich tussen 2014 en 2012 een afname voorgedaan van de gewoonte om na een incident een terugkoppeling te geven aan alle medewerkers. Vergelijking tussen groepen Personen werkzaam in het bedrijfsleven geven voor nagenoeg alle stellingen vaker aan dat deze van toepassing zijn dan de overheidsfunctionarissen. Binnen de Rijksoverheid wordt meer aangegeven dat digitale veiligheid is ingebed in de organisatie dan binnen de overige overheidsorganen. Over alle stellingen geven rijksambtenaren vaker aan dat dit van toepassing is op de organisatie de overige overheidsorganen. In het bedrijfsleven geven de medewerkers uit de vitale sectoren vaker aan dat zij getoetst worden op hun kennis van digitale veiligheid en wordt dit onderwerp vaker besproken tijdens functioneringsgesprekken dan in de overige sectoren. Verschillen in achtergrondkenmerken Mannen zijn het vaker eens met de stellingen dan vrouwen en vijftigplussers zijn het hier vaker mee eens dan respondenten uit de jongere leeftijdsgroepen. Tot slot zijn leidinggevenden het vaker eens met alle stellingen dan niet-leidinggevenden. Binnen de Rijksoverheid geven leidinggevenden vaker dan niet-leidinggevenden aan dat zij een rol spelen bij het digitale veiligheidsbeleid; doordat nieuwe medewerkers worden ingewerkt op digitale veiligheid, door aan het onderwerp aandacht te besteden in de functioneringsgesprekken, door erop toe te zien dat de medewerkers het beleid kennen en door het toetsen van de kennis van medewerkers. Ook binnen de gemeenten geven leidinggevenden vaker aan een rol te spelen bij digitale veiligheid dan niet-leidinggevenden. Binnen de vitale sectoren geven de medewerkers zonder een leidinggevende functie vaker aan dat nieuwe medewerkers worden in gewerkt in de maatregelen rond digitaal werken dan leidinggevenden.


39/146

4.4

Instructies over cyber security op het werk

Aan medewerkers die een laptop, tablet of smartphone ter beschikking hebben gekregen van de werkgever, is gevraagd of zij daarbij instructies hebben ontvangen voor veilige omgang met het apparaat. Figuur S3e: Heeft u van uw werkgever instructies ontvangen voor het veilig gebruik van uw laptop, tablet of smartphone?

Overall beeld Ruim drie kwart van de respondenten geeft aan instructies te hebben ontvangen van de werkgever omtrent het veilig gebruik van laptop, tablet of smartphone. Ontwikkelingen in de tijd Er zijn geen significante ontwikkelingen zichtbaar ten opzichte van vorig jaar. Vergelijking tussen groepen Medewerkers van de Rijksoverheid ontvangen vaker instructies voor het veilig gebruik van devices dan de overige doelgroepen.


40/146

4.5

Gedrag van collega’s aangaande cyber security

Figuur C6: In hoeverre vindt u de volgende stellingen van toepassing op de medewerkers in uw organisatie? (weergave percentage “wel van toepassing” + “meer wel dan niet van toepassing”) Selectie: leidinggevenden

Overall beeld Deze vraag is alleen gesteld aan leidinggevenden. Gemiddeld geeft twee derde van de leidinggevenden aan dat de organisatie voor alle werknemers een beleid heeft op het gebied van de digitale omgeving. Circa de helft geeft aan dat medewerkers weten hoe te handelen bij incidenten en dat er maatregelen worden uitgevoerd bij vertrek van medewerkers. Gemiddeld zegt bijna de helft dat alle medewerkers een terugkoppeling ontvangen na een incident en dat nieuwe medewerkers worden ingewerkt op de maatregelen rondom veilig digitaal werken. Vier op de tien respondenten geeft aan dat leidinggevenden erop toe zien dat alle medewerkers op de hoogte zijn van het beleid en een kwart dat het naleven van regels rondom digitale veiligheid deel uitmaakt van de functioneringsgesprekken. Ontwikkeling in de tijd Binnen de Rijksoverheid is door leidinggevenden tussen 2013 en 2014 een achteruitgang waargenomen van bewustzijn van medewerkers van de gevaren op het gebied van digitale veiligheid. Ook menen leidinggevenden dat rijksambtenaren in 2014 minder op de hoogte zijn van hun eigen verantwoordelijkheid rondom digitale veiligheid dan in 2013. Bij gemeenten zijn leidinggevenden positiever gestemd over het naleven van protocollen; in 2012 was 11% van de leidinggevenden van mening dat medewerkers de regels consequent volgen, in 2014 is dat percentage gestegen naar 39%.


41/146

Vergelijking tussen groepen Leidinggevenden uit het bedrijfsleven schatten de kennis en het gedrag van hun medewerkers positiever in dan leidinggevenden bij overheidsorganen; zij zijn vaker in de veronderstelling dat medewerkers op de hoogte zijn van het beleid rond digitale veiligheid, dat als helder en eenduidig ervaren en dat zij de protocollen opvolgen. Binnen de Rijksoverheid zijn de leidinggevenden over het algemeen het best te spreken over het kennisniveau en het gedrag van de werknemers. De verschillen zijn vanwege de kleine aantallen leidinggevenden per subgroep slechts bij één stelling significant. Alleen bij het opvolgen van de protocollen antwoorden leidinggevenden binnen de Rijksoverheid significant positiever dan de leidinggevenden bij de provincies.


42/146

4.6

Eigen gedrag omtrent cyber security op het werk

Figuur C7: In hoeverre vindt u de volgende stellingen van toepassing op uzelf in uw werksituatie? (weergave “wel van toepassing” + “meer wel dan niet van toepassing”)

Overall beeld Een ruime meerderheid van de werknemers vindt zich voldoende bewust van het belang van digitale veiligheid en zegt voldoende op de hoogte te zijn van de eigen verantwoordelijkheden. Ruim drie kwart geeft aan dat ze voldoende bewust zijn van de mogelijke gevaren op het gebied van digitale veiligheid en geeft aan te weten bij wie ze een incident dienen te melden. Bijna drie kwart van de werknemers zegt zich strikt aan de afspraken rondom de uitvoering van de protocollen te houden. Iets minder dan de helft stimuleert collega’s om zich volgens de regels te gedragen en ruim een derde geeft toe niet goed op de hoogte te zijn van het beleid met betrekking tot digitale veiligheid. Ontwikkeling in de tijd Binnen de gemeenten beschouwt men de informatie over digitale veiligheid in 2014 helderder en eenduidiger dan in 2013. Wel is men in 2014 bij de gemeenten minder geneigd collega’s aan te spreken op het correct toepassen van de regels op het gebied van digitale veiligheid. Bij de Rijksoverheid maken in 2014 meer medewerkers dan in 2012 collega’s erop attent wanneer ze een regel veronachtzamen. Vergelijking tussen groepen In het bedrijfsleven acht men de eigen kennis en het eigen gedrag ten aanzien van digitale veiligheid op het werk positiever dan bij de overheid. Dit geldt voor nagenoeg alle voorgelegde stellingen. Overheidsmedewerkers geven vaker aan niet goed op de hoogte te zijn van het beleid rond digitale veiligheid, op nagenoeg alle andere stellingen scoort het bedrijfsleven beter.


43/146

Van de verschillende overheidsorganisaties is men zich bij de Rijksoverheid het meest bewust van de gevaren, is men meer op de hoogte van de eigen verantwoordelijkheid, volgt men de protocollen het best en wijst men collega’s erop als zij dat niet doen. Bij de provincie en gemeenten is men het minst goed op de hoogte van het beleid rond digitale veiligheid. Binnen het bedrijfsleven verschillen de vitale sectoren en het algemene bedrijfsleven niet significant van elkaar op het gebied van de kennis en het gedrag in de werksituatie. Verschillen in achtergrondkenmerken Mannen hebben een betere kennis van de gevaren en gedragen zich verantwoordelijker ten aanzien van digitale veiligheid op het werk dan vrouwelijke werknemers. Vijftigplussers zijn op het gebied van digitale veiligheid verantwoordelijkere werknemers dan de jongere leeftijdsgroepen. Datzelfde geldt voor leidinggevenden in vergelijking met medewerkers met een niet-leidinggevende functie. Werknemers met een lage opleiding geven vaker aan volgens de protocollen te werken, collega’s te stimuleren hetzelfde te doen en ze te attenderen wanneer ze dat niet doen dan werknemers met een hoge opleiding. Binnen alle sectoren zijn leidinggevenden meer geneigd dan niet-leidinggevenden collega’s te stimuleren zich volgens de regels te gedragen en het aan te kaarten wanneer zij dit niet doen. Binnen de Rijksoverheid zijn leidinggevenden beter op de hoogte bij wie zij een incident dienen te melden. In gemeenten zijn niet-leidinggevenden vaker niet goed op de hoogte van het digitale veiligheidsbeleid. In de vitale sectoren zijn leidinggevenden vaker van mening dat de beschikbare informatie helder en eenduidig is.


44/146

4.7

Kennis over risico’s en te ondernemen acties rondom cyber security in de organisatie

Figuur C1_1: In hoeverre weet u welke informatie binnen uw organisatie gevoelig is?

Overall beeld Binnen alle organisaties weet nagenoeg iedereen minimaal globaal welke informatie gevoelig is. Slechts een zeer klein deel geeft aan dit niet of nauwelijks te weten. Ontwikkeling in de tijd Er zijn geen significante verschillen ten opzichte van 2013. Vergelijking tussen groepen Medewerkers van de Rijksoverheid en het bedrijfsleven vitaal weten vaker precies welke informatie binnen de organisatie gevoelig is vergeleken met de andere doelgroepen. Van alle voorgelegde overheidsniveaus weten medewerkers van de Rijksoverheid veruit het best welke informatie vertrouwelijk is. In het bedrijfsleven zijn de vitale sectoren vaker op de hoogte welke informatie vertrouwelijk is dan het algemene bedrijfsleven. Verschillen in achtergrondkenmerken Leidinggevenden van het rijk, de provincies, de waterschappen en het algemene bedrijfsleven weten beter wat de bedrijfsmatig gevoelige informatie is dan niet-leidinggevenden in die doelgroepen.


45/146

Figuur C1_2: In hoeverre weet u wat u moet doen wanneer er een incident plaatsvindt die de digitale veiligheid in het gevaar brengt?

Overall beeld Gemiddeld weet circa een op de vijf medewerkers niet of nauwelijks wat te doen in het geval van een incident die de digitale veiligheid van het bedrijf in gevaar brengt. Een derde van de medewerkers weet precies wat hij of zij op zo’n moment moet doen. Ontwikkeling in de tijd Er hebben zich geen significante ontwikkelingen voorgedaan tussen 2013 en 2014. Vergelijking tussen groepen Binnen de Rijksoverheid gemeenteambtenaren.

weet

men

beter

wat

te

doen

bij

een

incident

dan

Verschillen in achtergrondkenmerken Mannen weten vaker precies wat ze moeten doen, vrouwen weten het vaker niet of nauwelijks. Vijftigplussers weten het vaker precies, de jongere leeftijdsgroepen weten het vaker niet of nauwelijks. Binnen het Rijk, de provincies en in het algemene bedrijfsleven weten leidinggevenden beter dan niet-leidinggevenden wat ze moeten doen bij een incident.


46/146

Figuur C1_3: In hoeverre weet u waar u op moet letten wanneer u een e-mail ontvangt met daarin een link?

Overall beeld Een zeer klein deel van de medewerkers weet niet of nauwelijks waar men op moeten letten wanneer zij een e-mail ontvangen met daarin een link. Ontwikkeling in de tijd Medewerkers van gemeenten en het algemene bedrijfsleven weten vaker wat ze moeten doen vergeleken met de andere doelgroepen; ze geven minder vaak aan het niet of nauwelijks te weten. Vergelijking tussen groepen In het bedrijfsleven weet men beter waarop te letten dan bij de overheid. Medewerkers van de waterschappen weten het minst goed wat zij moeten doen wanneer zij een link ontvangen in een e-mail. Verschillen in achtergrondkenmerken Mannen weten beter waar ze op moeten letten wanneer ze een e-mail ontvangen met daarin een link dan vrouwen en leidinggevenden weten dit beter dan niet-leidinggevenden.


47/146

Figuur C1_4: In hoeverre weet u welke websites u wel en niet mag bezoeken op uw zakelijke computer?

Overall beeld Niet alle werknemers weten welke websites zij wel en niet mogen bezoeken met hun zakelijke computer: ruim een op de tien medewerkers geeft aan dit niet te weten. In het bedrijfsleven weet men beter welke sites wel en welke ze niet mogen bezoeken dan medewerkers van de overheid. Ontwikkeling in de tijd In het algemene bedrijfsleven weten in 2014 meer werknemers globaal welke websites ze wel en niet mogen bezoeken. Bij de overige doelgroepen zijn geen ontwikkelingen zichtbaar. Vergelijking tussen groepen Binnen de Rijksoverheid en het bedrijfsleven vitaal weet men beter welke websites wel en niet bezocht mogen worden met de zakelijke computer dan bij de provincies en gemeenten. Verschillen in achtergrondkenmerken Mannen weten beter dan vrouwen welke websites zij wel en niet mogen bezoeken met hun zakelijke computer, vijftigplussers weten dit beter dan de jongere leeftijdsgroepen, leidinggevenden hebben hier over het algemeen meer kennis over dan werknemers in een nietleidinggevende functie.


48/146

Figuur C1_5: In hoeverre weet u wat de zwakke plekken zijn in de digitale veiligheid van uw organisatie?

Overall beeld Ongeveer de helft van de ondervraagden weet exact of globaal wat binnen de organisatie de zwakke plekken in de digitale veiligheid zijn, ongeveer de helft weet dit niet of nauwelijks. Ontwikkeling in de tijd In het algemene bedrijfsleven weten in 2014 minder medewerkers precies wat de zwakke plekken zijn ten opzichte van 2013 (9% vs. 14%). Bij de overige doelgroepen zijn geen significante verschuivingen zichtbaar. Vergelijking tussen groepen De overheidsgroep geeft vaker aan niet te weten wat binnen de organisatie de zwakke plekken in de digitale veiligheid zijn vergeleken met het bedrijfsleven. Binnen de Rijksoverheid weet men beter dan bij de andere overheidsorganen wat de zwakke plekken zijn in de organisatie. Verschillen in achtergrondkenmerken Mannen zeggen beter te weten waar de zwakke plekken zitten dan vrouwen. Bij de Rijksoverheid, gemeenten en in het bedrijfsleven (vitale en algemene bedrijfsleven) weten leidinggevenden beter dan niet-leidinggevenden waar de zwakke plekken qua digitale veiligheid zitten.


49/146

Figuur C1_6: In hoeverre weet u welke informatie u wel of niet per e-mail mag delen?

Overall beeld Een kleine minderheid (circa één op de tien) van de medewerkers geeft aan niet te weten welke informatie wel en welke informatie niet gedeeld mag worden per e-mail. Ontwikkeling in de tijd De vraag over welke informatie wel en niet gedeeld mag worden via e-mail is in 2014 voor het eerst voorgelegd. Een historische vergelijking is daarom niet mogelijk. Vergelijking tussen groepen Het bedrijfsleven geeft vaker aan precies te weten welke informatie per e-mail gedeeld mag worden dan de overheid. Binnen de overheidsgroep weet de Rijksoverheid het best welke informatie via e-mail gedeeld mag worden en welke niet. Verschillen in achtergrondkenmerken De oudere leeftijdsgroepen, lager opgeleiden en leidinggevenden weten vaker precies welke informatie per e-mail gedeeld mag worden dan jongere leeftijdsgroepen, hoger opgeleiden en niet-leidinggevenden.


50/146

4.8

Delen van gevoelige bedrijfsinformatie via e-mail

Figuur C2_1: Hoe vaak deelt u gevoelige bedrijfsinformatie via e-mail?

Overall beeld Bijna de helft van de ondervraagden geeft aan nooit gevoelige bedrijfsinformatie te delen via email, ruim een op de tien doet dat regelmatig. Ontwikkeling in de tijd Er zijn geen significante verschuivingen tussen 2013 en 2014 wat betreft het delen van gevoelige bedrijfsinformatie per e-mail. Vergelijking binnen groepen De zes groepen laten een vergelijkbaar beeld zien als het gaat om het delen van informatie via e-mail. Verschillen in achtergrondkenmerken Mannen delen vaker gevoelige bedrijfsinformatie via e-mail dan vrouwen, door de jongere leeftijdsgroepen wordt vaker gevoelige informatie gedeeld via die weg dan door vijftigplussers, laagopgeleiden delen minder vaak gevoelige informatie via e-mail dan hoogopgeleiden en leidinggevenden delen vaker informatie via die weg dan werknemers zonder leidinggevende functie.


51/146

4.9

Delen van gevoelige bedrijfsinformatie via de cloud

Figuur C2_2: Hoe vaak deelt u gevoelige bedrijfsinformatie via de cloud?

Overall beeld Een ruime meerderheid van de ondervraagden geeft aan nooit gevoelige bedrijfsinformatie via de cloud te delen. Ontwikkeling in de tijd Er zijn geen significante verschuivingen tussen 2013 en 2014 wat betreft het delen van gevoelige bedrijfsinformatie via de cloud. Vergelijking binnen groepen Door het bedrijfsleven wordt vaker gevoelige informatie gedeeld via de cloud dan door de overheidsorganisaties. Door werknemers van de Rijksoverheid wordt minder vaak gevoelige bedrijfsinformatie gedeeld in de cloud dan werknemers van de provincies en gemeenten (en het algemene bedrijfsleven). Verschillen in achtergrondkenmerken Door de jongere leeftijdsgroepen wordt vaker gevoelige informatie gedeeld via de cloud dan door vijftigplussers, en leidinggevenden delen vaker informatie via die weg dan werknemers zonder leidinggevende functie.


52/146

4.10

Delen van gevoelige bedrijfsinformatie via usb-stick

Figuur C2_3: Hoe vaak deelt u gevoelige bedrijfsinformatie via een usb-stick?

Overall beeld Gemiddeld 71% van de ondervraagden deelt nooit gevoelige bedrijfsinformatie via een usbstick, 3% doet dat regelmatig en 1% soms. Ontwikkeling in de tijd Tussen 2013 en 2014 zijn geen significante verschuivingen zichtbaar bij de verschillende groepen. Vergelijking tussen groepen In het bedrijfsleven vitaal wordt vaker gevoelige informatie gedeeld via een usb-stick dan in het bedrijfsleven algemeen. Verschillen in achtergrondkenmerken Mannen delen vaker gevoelige bedrijfsinformatie via een usb-stick dan vrouwen, hoger opgeleiden vaker dan laagopgeleiden en leidinggevenden vaker dan niet-leidinggevenden.


53/146

4.11

Gedrag ten aanzien van cyber security van zakelijke devices

Figuur C3: Zijn de volgende stellingen op u van toepassing? (weergave percentage “van toepassing”)

Overall beeld Gemiddeld geeft acht op de tien aan de zakelijke smartphone of tablet niet door anderen te laten gebruiken. Evenmin geeft ruim de helft aan de pc of laptop te delen. Daarnaast geeft ruim de helft aan een beveiligde verbinding te gebruiken voor het werk. Bij een openbare Wi-Fiverbinding geeft bijna de helft van de ondervraagden aan na te denken over welke handelingen men wel of niet kan verrichten, een derde zegt zijn computer wel eens onbeheerd achter te laten, een kwart geeft aan bij gebruik van apparaten in een openbare ruimte maatregelen te nemen (zoals een privacy screen) zodat anderen niet kunnen meekijken. Slechts een op de tien geeft aan een usb-stick te laten controleren op virussen als deze extern is geweest. Na gebruik van een openbare Wi-Fi-verbinding geeft slechts een zeer kleine minderheid aan zijn wachtwoorden aan te passen. Ontwikkeling in de tijd De stelling over het vergrendelen van de apparaten met een code en het gebruik van bijvoorbeeld een privacy screen in openbare ruimten zijn in de 2014-meting aan de vragenlijst toegevoegd. Bij die stellingen is een historische vergelijking niet mogelijk.


54/146

Bij de beweringen waar wel een vergelijking mogelijk is, is meestal geen significante verschuiving waarneembaar tussen 2013 en 2014. De significante verschuivingen die zijn aangetroffen, zijn:  Ambtenaren van het rijk en de gemeente zijn minder geneigd hun tablet of smartphone door anderen te laten gebruiken;  In het bedrijfsleven (vitaal en algemeen) worden wachtwoorden in 2014 minder vaak veranderd na het gebruik van een openbare Wi-Fi-verbinding dan in 2012;  In de algemene bedrijfssectoren laat men in 2014 een usb-stick die buiten de organisatie is geweest minder vaak controleren op virussen dan in 2012. Vergelijking tussen groepen Overheidsmedewerkers gaan over het algemeen verstandiger om met de apparaten die door de werkgever ter beschikking zijn gesteld ten opzichte van medewerkers in het bedrijfsleven. Zij geven in mindere mate aan apparaten door anderen te laten gebruiken, geven vaker aan te werken via een veilige verbinding en geven aan de apparaten vaker met een code te vergrendelen. Met apparaten die door de Rijksoverheid zijn verstrekt, wordt over het algemeen verstandiger omgegaan dan met apparaten die door de gemeente zijn verstrekt. Medewerkers van de Rijksoverheid geven aan dat hun apparaten in mindere mate door anderen worden gebruikt en ze geven aan vaker met een veilige verbinding te werken. Tevens geven medewerkers van de Rijksoverheid aan vaker maatregelen te nemen die het anderen beletten om mee te kijken en geven ze vaker aan apparaten te vergrendelen. In het vitale bedrijfsleven wordt vaker aangegeven dat maatregelen worden genomen die anderen belet om mee te kijken dan in het algemene bedrijfsleven. Verschillen in achtergrondkenmerken Mannen geven over het algemeen aan verantwoordelijker om te gaan met zakelijke apparaten dan vrouwen en 31 tot 49-jarigen geven aan hier verantwoordelijker mee om te gaan dan vijftigplussers. Daarnaast geven hoger opgeleiden aan verantwoordelijker om te gaan met zakelijke apparaten dan lager opgeleiden en hetzelfde geldt voor leidinggevenden vergeleken met niet-leidinggevenden. Dat blijkt met name uit de antwoorden ten aanzien van werkzaamheden die men wel of niet verricht bij openbare verbindingen, of er met een veilige verbinding wordt gewerkt en of de apparaten met een code worden vergrendeld. Leidinggevenden geven aan verantwoordelijker om te gaan met de apparaten die zij tot hun beschikking krijgen ten opzichte van niet-leidinggevenden. Dat geldt binnen de Rijksoverheid voor het wijzigen van het wachtwoord na gebruik van een openbaar Wi-Fi-netwerk en het vergrendelen van de apparaten met een code. Wel geven leidinggevenden van de Rijksoverheid aan hun pc of laptop iets vaker onbeheerd achter te laten vergeleken met nietleidinggevenden. Voor leidinggevenden van de gemeente geldt dat zij vaker aangeven via een beveiligde verbinding te werken dan niet-leidinggevenden, vaker aangeven maatregelen te treffen opdat anderen niet kunnen meekijken en vaker aangeven hun apparaat te vergrendelen met een code.


55/146

Met name binnen het bedrijfsleven (dit geldt meer voor het algemene bedrijfsleven dan voor het vitale bedrijfsleven) geven leidinggevenden aan verantwoordelijker om te gaan met de apparaten die zij tot hun beschikking hebben voor werkgerelateerde doeleinden. Voor alle voorgelegde maatregelen voor veilig gebruik geven leidinggevenden uit het algemene bedrijfsleven aan dit vaker te doen dan niet-leidinggevenden; leidinggevenden uit het vitale bedrijfsleven geven aan vaker hun wachtwoord te wijzigen na het gebruik van een openbare Wi-Fi-verbinding en geven aan vaker een usb-stick te laten controleren na extern gebruik.


56/146

5.

Resultaten 2014: Omgaan met cyber security thuis

5.1

Beknopte samenvatting Omgaan met cyber security thuis

Men gaat thuis over het algemeen verstandiger om met vaste computers en laptops dan met tablets en smartphones. Tablets en smartphones worden bijvoorbeeld minder vaak uitgerust met antivirussoftware. De meest genoemde beschermingsmaatregel tegen misbruik van de computer is de installatie van antivirussoftware. Veel Nederlanders zijn in de veronderstelling dat ze daarmee voldoende beveiligd zijn, want de antivirussoftware wordt pas op ruime afstand gevolgd door een firewall en het niet openen of direct verwijderen van verdachte e-mails. Men geeft aan dat het Wi-Finetwerk over het algemeen via WPA2 beveiligd is. Het eigen gepercipieerde gedrag op social media is zorgvuldig te noemen. Veel Nederlanders geven aan hun privacygevoelige gegevens te hebben afgeschermd; slechts een enkeling geeft aan via social media te melden dat men gaat reizen.

5.2

Internetgedrag thuis

De respondenten zijn voor vier apparaten (pc, laptop, tablet en smartphone) gevraagd naar de mate waarin rekening gehouden wordt met cyber security. De resultaten hiervan staan op de volgende pagina.


57/146

Figuur D9: Kunt u voor de apparaten waar u thuis beschikking over heeft aangeven welke van de volgende uitspraken op u van toepassing zijn? (weergave percentage “van toepassing”)


58/146

Overall beeld Als gekeken wordt naar verstandig of minder verstandig gedrag valt op dat men over het algemeen verstandiger zegt om te gaan met vaste computers en laptops dan met tablets en smartphones. Tablets en smartphones worden bijvoorbeeld minder vaak uitgerust met antivirussoftware. Ontwikkeling in de tijd Dit jaar zijn de uitspraken geherformuleerd, waardoor zij zich moeilijk laten vergelijken met de vorige meting. In het algemeen valt wel op dat het gedrag over het algemeen niet veiliger is geworden. Zo is men bijvoorbeeld minder geneigd het webadres en het certificaat van een website (https/slotje) te controleren. Vergelijking tussen groepen Op de pc vertonen burgers thuis verstandiger gedrag dan de zakelijke doelgroepen; op de laptop, tablet en smartphone vertonen overheidsfunctionarissen het verstandigste gedrag ten opzichte van het bedrijfsleven en burgers. Tussen de groepen is geen significant verschil gevonden in de omgang met laptops, tablets en smartphones, maar wel voor het gebruik van de pc. Daar gaan bijvoorbeeld medewerkers van de Rijksoverheid verstandiger mee om dan de overige overheidsgroepen (met name die van de gemeente) en daar gaan werknemers uit het vitale bedrijfsleven verstandiger mee om dan werknemers uit het algemene bedrijfsleven. Rijksambtenaren hebben bijvoorbeeld vaker een firewall ingeschakeld, maken vaker gebruik van automatische updates en weten beter hoe zij cookies kunnen verwijderen ten opzichte van de andere overheidsgroepen. Werknemers uit het vitale bedrijfsleven zeggen vaker geen gevoelige gegevens over openbare en onbeveiligde netwerken te versturen dan werknemers uit het algemene bedrijfsleven en zeggen vaker niet in te gaan op berichten waarin wordt verzocht in te loggen op een systeem of gegevens te bevestigen. Verschillen in achtergrondkenmerken Onder burgers is te zien dat mannen op alle apparaten vaker verstandig gedrag vertonen dan vrouwen. Verder vertoont men veiliger gedrag naarmate men ouder en hoger opgeleid is. De enige uitzondering is dat in de jongere leeftijdsgroepen meer burgers aangeven kennis te hebben over het verwijderen van cookies dan vijftigplussers. Leidinggevenden vertonen over het algemeen verstandiger gedrag dan niet-leidinggevenden. Leidinggevenden vertonen binnen de verschillende sectoren verstandiger gedrag dan nietleidinggevenden ten aanzien van het installeren van updates (alle onderzochte sectoren binnen overheid en bedrijfsleven), de juiste acties bij het vinden van een usb (waterschappen, algemene bedrijfsleven), het gebruik van two-factor authentication (gemeente en algemene bedrijfsleven), het regelmatig opslaan van back-ups (vitale sectoren) en kennis over het verwijderen van cookies (vitale sectoren).


59/146

5.3

Bescherming tegen cyber security risico’s thuis

Figuur D4: Wat doet u zelf om uzelf te beschermen tegen misbruik van uw computer via internet? Selectie: Burgers

Overall beeld De meest genoemde beschermingsmaatregel tegen misbruik van de computer thuis is de installatie van antivirussoftware. Daarnaast geeft 16% aan een firewall geïnstalleerd te hebben en zegt 13% onbekende of verdachte e-mails niet te openen. 11% geeft aan zelf niets te doen tegen misbruik van de computer via internet. Ontwikkelingen in de tijd In 2014 geven burgers vaker aan zichzelf te beschermen via antivirussoftware dan in 2013. Tevens geeft men in 2014 vaker aan in het algemeen goed op te letten, geen onbekende websites te bezoeken / links aan te klikken en regelmatig de software te updaten.


60/146

5.4

Gedrag op social media

Figuur D6: Welke van de volgende uitspraken met betrekking tot uw social media gebruik zijn op u van toepassing? Selectie: Burgers

Overall beeld De meeste burgers gaan zorgvuldig om met de weergave van persoonlijke informatie op social media. Een ruime meerderheid (circa 80%) weet hoe de privacy-instellingen aangepast kunnen worden en stelt op social media een privacy filter in. Een op de vijf vult zijn profiel(en) zo volledig mogelijk in. Ook gaan burgers over het algemeen veilig om met het vermelden van afwezigheid: 90% van de burgers vermeldt niet op social media dat ze op reis zijn of op vakantie gaan. Ontwikkelingen in de tijd Het gebruik van voorzorgsmaatregelen op social media van burgers is in 2014 niet significant veranderd ten opzichte van 2013. Verschillen in achtergrondkenmerken Jongeren plaatsen vaker dan ouderen op social media dat zij op reis gaan of zijn (18-30 jaar: 13% tot 15%, 50+: 2% tot 4%). Maar jongeren weten beter dan ouderen hoe zij hun privacyinstellingen moeten aanpassen (18-30 jaar: 94%, 50+: 71%), dus zullen het bij jongeren vaker de directe contacten zijn die de vakantiemeldingen kunnen zien. Hoger opgeleiden weten beter hoe zij hun privacy-instellingen kunnen aanpassen dan laagopgeleiden (hoge opleiding: 86%, lage opleiding: 77%).


61/146

5.5

Beveiliging op Wi-Fi-netwerk thuis

Figuur D7: Welke beveiliging heeft u thuis op uw Wi-Fi-netwerk?

Overall beeld Beveiliging via WPA2 is nog steeds de meest toegepaste beveiliging. Gemiddeld een derde van de ondervraagden weet wel dat het netwerk beveiligd is, maar weet niet wat voor beveiliging dat is. Ontwikkeling in de tijd Tussen 2013 en 2014 hebben zich in de meeste doelgroepen geen verschuivingen voorgedaan in de Wi-Fi-beveiliging. Alleen gemeenteambtenaren laten een lichte verschuiving zien, in de vorm van een stijging van de andere beveiliging en iets meer personen die aangeven niet te weten of ze beveiliging hebben. Vergelijking tussen groepen Burgers geven vaker aan niet te weten of zij beveiliging hebben op hun Wi-Fi netwerk (9%) of een andere beveiliging hebben (6%) dan overheidsfunctionarissen en werknemers uit het bedrijfsleven.


62/146

Verschillen in achtergrondkenmerken Mannen geven vaker aan goed geïnformeerd te zijn over hun Wi-Fi-beveiliging. Vrouwen geven vaker aan niet te weten welke beveiliging ze hebben (45%) of niet te weten óf ze beveiliging hebben (10%). Vijftigplussers geven vaker aan andere beveiliging te hebben of zelfs niet over Wi-Fi te beschikken dan de jongere respondentgroepen. Laagopgeleiden geven vaker dan hoogopgeleiden aan geen Wi-Fi te hebben, een andere beveiliging te hebben of niet te weten welke beveiliging men heeft. Werknemers in een niet-leidinggevende functie weten vaker niet of zij beveiliging hebben op hun Wi-Fi-netwerk en hebben vaker geen Wi-Fi-netwerk thuis dan leidinggevenden. Leidinggevenden die bij provincies werken, hebben thuis vaker een WPA2 beveiliging dan overige ambtenaren die bij een provincie werken. Hetzelfde geldt voor leidinggevenden uit de vitale sectoren.


63/146

6.

Resultaten 2014: Omgaan met wachtwoorden

6.1

Beknopte samenvatting Omgaan met wachtwoorden

Over het algemeen wordt de sterkte van het eigen wachtwoord door de respondenten beoordeeld als (ruim) voldoende. Circa een op de tien beoordeelt de eigen wachtwoorden als onvoldoende veilig. De meeste respondenten geven aan sterke wachtwoorden samen te stellen. Door 62% van de ondervraagden worden geen woorden uit het woordenboek gebruikt in de wachtwoorden, 59% van de ondervraagden gebruikt speciale tekens en 41% stelt wachtwoorden samen van meer dan 10 karakters. Vergeleken met 2013 zijn de wachtwoorden zelfs iets sterker geworden; onder enkele doelgroepen is het gebruik van speciale tekens gestegen. Ondanks het samenstellen van sterke wachtwoorden vertonen veel Nederlanders risicogedrag met hun wachtwoordgebruik. De wachtwoorden worden namelijk genoteerd op briefjes, voor meerdere accounts gebruikt en over het algemeen pas na een melding gewijzigd. Twee derde leert de wachtwoorden uit het hoofd, maar een vijfde (20%) schrijft de wachtwoorden op een briefje dat verstopt wordt. Men beschikt meestal over een aantal verschillende wachtwoorden, waarvan sommige voor meerdere accounts worden gebruikt. Bijna een kwart van de respondenten gebruikt voor belangrijke zaken iedere keer een ander wachtwoord en voor minder belangrijke zaken meestal steeds hetzelfde wachtwoord. Alle doelgroepen opereren voornamelijk reactief in het wisselen van wachtwoorden. De meest gehanteerde strategie ten aanzien van het wijzigen van het wachtwoord is dat er wordt gewacht totdat men een melding ontvangt.


64/146

6.2

Samenstelling wachtwoorden

Figuur E1: Samenstelling van wachtwoorden (weergave percentage “van toepassing”)

Overall beeld Zes op de tien ondervraagden geeft aan geen woorden uit het woordenboek te gebruiken in de wachtwoorden en geeft aan speciale tekens te gebruiken in de wachtwoorden. Vier op de tien geeft aan wachtwoorden samen te stellen van meer dan 10 karakters. Burgers (47%) geven vaker aan wachtwoorden te hebben bestaande uit meer dan 10 karakters dan werknemers van de overheid (36%) en het bedrijfsleven (40%). Ontwikkelingen in de tijd Vergeleken met 2013 zijn de wachtwoorden iets sterker geworden. Binnen de Rijksoverheid, gemeenten, het algemene bedrijfsleven en onder burgers is het gebruik van speciale tekens gestegen. Vergelijking binnen groepen Tussen de overheidsdoelgroepen en de doelgroepen uit het bedrijfsleven bestaat geen significant verschil in de samenstelling van de wachtwoorden. Verschillen in achtergrondkenmerken Jongeren hebben vaker 10 of meer tekens dan vijftigplussers, en lager opgeleiden hebben dat vaker dan hoogopgeleiden. Lager opgeleiden gebruiken wel vaker woorden uit het woordenboek en minder vaak speciale tekens dan hoger opgeleiden. Leidinggevenden gebruiken vaker speciale tekens dan werknemers die geen leiding geven.


65/146

6.3

Veiligheid van wachtwoorden

Figuur E2: Hoe veilig (‘sterk’) denkt u dat (de meeste) van uw wachtwoorden zijn? Uiteenlopend van ‘1=zeer onveilig/zwak’ - tot ‘10= zeer veilig/sterk’

Overall beeld Over het algemeen wordt de sterkte van het wachtwoord beoordeeld als (ruim) voldoende. Circa een kleine minderheid beoordeelt de eigen wachtwoorden als onvoldoende veilig. Ontwikkeling in de tijd Vergeleken met 2012 zijn de gemiddelde beoordelingen van de sterkte van het wachtwoord gestegen onder gemeenteambtenaren, het algemene bedrijfsleven en burgers. Vergelijking tussen groepen Burgers beschouwen hun wachtwoorden als iets veiliger dan medewerkers van de overheid; ook medewerkers van het bedrijfsleven beschouwen hun wachtwoorden als iets veiliger dan medewerkers van de overheid. Verschillen in achtergrondkenmerken Mannen (7,3) en laagopgeleiden (7,3) schatten hun wachtwoorden sterker in dan vrouwen (7,0) en hoogopgeleiden (7,1). Leidinggevenden (7,3) schatten hun wachtwoorden veiliger in dan werknemers die geen leiding geven (7,1).


66/146

6.4

Onthouden van wachtwoorden

Figuur E3: Hoe zorgt u ervoor dat u uw wachtwoorden kunt onthouden?


67/146

Overall beeld Gemiddeld twee derde leert de wachtwoorden uit het hoofd, daarna is het meest gegeven antwoord dat wachtwoorden op een briefje geschreven worden (een op de vijf). Ontwikkeling in de tijd In vergelijking met 2013 maken in 2014 meer Rijksambtenaren, gemeenteambtenaren en medewerkers uit de vitale sectoren gebruik van een versleuteld document waarin de wachtwoorden worden opgeslagen. Vergelijking tussen groepen Werknemers uit het bedrijfsleven noteren minder vaak hun wachtwoorden op een briefje dan werknemers van de overheid en burgers. Medewerkers van waterschappen maken meer gebruik van hulpmiddelen bij het onthouden van wachtwoorden; zij slaan vaker hun wachtwoorden op in een device en ze delen hun wachtwoorden vaker met iemand die ze vertrouwen. Verschillen in achtergrondkenmerken Vijftigplussers schrijven hun wachtwoorden juist vaker op een briefje (27%), jongeren laten hun wachtwoorden vaker onthouden door middel van het aanvinken van die optie op de inlogpagina (21%). Leidinggevenden slaan hun wachtwoorden iets vaker op in hun telefoon dan nietleidinggevenden (6% versus 3%) en vragen vaker bij ieder bezoek een nieuw wachtwoord aan (3% versus 1%). Leidinggevenden bij de Rijksoverheid vertellen vaker hun wachtwoord aan iemand die ze vertrouwen dan niet-leidinggevenden bij de Rijksoverheid.


68/146

6.5

Aantal wachtwoorden

Figuur E4: Hoeveel verschillende wachtwoorden gebruikt u voor de verschillende computers, programma’s en/of websites die u gebruikt?

Overall beeld Het meest gegeven antwoord is dat men een aantal verschillende wachtwoorden heeft waarvan sommige voor meerdere accounts worden gebruikt. Bijna een kwart van de respondenten gebruikt voor belangrijke zaken iedere keer een ander wachtwoord en voor minder belangrijke zaken meestal steeds hetzelfde wachtwoord. Ontwikkeling in de tijd Wat betreft het aantal wachtwoorden zijn er geen verschillen tussen 2013 en 2014, behalve dat werknemers van het bedrijfsleven vitaal in 2014 minder vaak aangeven één type wachtwoord te hebben waarvan diverse variaties worden gebruikt dan in 2013. Vergelijking binnen groepen Medewerkers van de provincies gebruiken relatief vaak één bepaald type wachtwoord in diverse varianten. Burgers hebben vaker één wachtwoord dat ze voor alles gebruiken. Verschillen in achtergrondkenmerken Laagopgeleiden gebruiken vaker voor elk account een ander wachtwoord. Hoger opgeleiden maken vaker een onderscheid tussen belangrijke accounts met verschillende wachtwoorden en minder belangrijke accounts dan lager opgeleiden. Leidinggevenden gebruiken vaker verschillende wachtwoorden, waarvan sommige voor meerdere accounts worden gebruikt (50%), dan niet-leidinggevenden (44%).


69/146

6.6

Wisselen van wachtwoorden

Figuur E5: Welke uitspraak is het meeste op uw wachtwoord(en) van toepassing? Met “regelmatig” wordt bedoeld “eens per drie maanden of vaker”.

Overall beeld Alle groepen opereren voornamelijk reactief in het wisselen van wachtwoorden. De meest gehanteerde strategie ten aanzien van het wijzigen van het wachtwoord is dat er wordt gewacht totdat men een melding ontvangt. Ontwikkeling in de tijd Vergeleken met 2013 zijn er enkele significante verschuivingen in het wisselen van wachtwoorden. Medewerkers van de Rijksoverheid en het algemene bedrijfsleven geven minder vaak aan eigenlijk nooit van wachtwoorden te wisselen dan in 2013. Vergelijking tussen groepen Burgers geven vaker aan eigenlijk nooit van wachtwoord te wisselen ten opzichte van werknemers van de overheid of het bedrijfsleven. Van alle overheidsmedewerkers geven medewerkers van waterschappen het vaakst aan niet te wisselen van wachtwoorden. Verschillen in achtergrondkenmerken Mannen wisselen vaker dan vrouwen spontaan van wachtwoord voor hun belangrijkste accounts. Leidinggevenden wisselen vaker hun belangrijkste wachtwoorden dan nietleidinggevenden. Leidinggevenden binnen de Rijksoverheid wisselen regelmatiger alle wachtwoorden dan niet-leidinggevenden in die beroepsgroep.


70/146

7.

Resultaten 2014: Risicoperceptie cyber security thuis

7.1

Beknopte samenvatting Risicoperceptie cyber security thuis

Het merendeel van de respondenten acht zichzelf voldoende bewust van de risico’s van internet. Tegelijkertijd maakt het overgrote deel zich enige zorgen over hun digitale veiligheid. Een zeer kleine minderheid maakt zich veel zorgen en een kwart maakt zich geen zorgen. Men is in de veronderstelling dat kwaadwillenden toch wel slagen en dat je je daarom tegen grote gevaren niet kan weren (ruim de helft is het hier mee eens). De meest genoemde bedreigingen zijn gehackt worden, het oplopen van een virus, phishing en het achterhalen en misbruiken van privé- of inloggegevens. Burgers schatten het risico klein in dat men stiekem gefilmd wordt, dat er geld van hun rekening of creditcard wordt gehaald, dat er iets gekocht wordt uit hun naam, dat de computer wordt gebruikt om een misdaad te plegen of dat hun identiteit wordt gestolen. Het vertrouwen in de veiligheid van internetbankieren is groot en men ziet geen gevaar bij het online kopen van producten bij bekende merken en websites. Het vertrouwen dat internetbedrijven privacygevoelige gegevens alleen na toestemming afgeven, is laag (een derde is het hier mee eens); toch leest ruim de helft de privacy voorwaarden meestal niet of nauwelijks.

7.2

Gebruik van internet thuis

Figuur B3a: Stellingen risicoperceptie internet (percentage “zeer mee eens” + “mee eens”)


71/146

Overall beeld Het vertrouwen in de veiligheid van internetbankieren is groot en men ziet geen gevaar bij het online kopen van producten bij bekende merken en websites. Opvallend is dat het merendeel van de respondenten zichzelf voldoende bewust acht van de risico’s van internet, maar dat slechts vier op de tien respondenten zich weinig zorgen maakt over deze risico’s. Men is in de veronderstelling dat kwaadwillenden toch wel slagen en dat je je daarom tegen grote gevaren niet kan weren (ruim de helft is het hier mee eens). Het vertrouwen dat internetbedrijven privacygevoelige gegevens alleen na toestemming afgeven, is laag (een derde is het hiermee eens); toch leest ruim de helft de privacy voorwaarden meestal niet of nauwelijks. Ontwikkelingen in de tijd De risicoperceptie is vrij constant. De volgende verschuivingen hebben zich voorgedaan:  Binnen de Rijksoverheid denken in 2014 meer werknemers dan in 2013 dat zij minder risico lopen dan anderen. In 2014 menen minder medewerkers binnen de Rijksoverheid dan in 2013 dat men zich eigenlijk niet kan weren tegen gevaren op internet;  In de vitale sectoren is men zich tussen 2013 en 2014 meer zorgen gaan maken over de risico’s van internet;  In het algemene bedrijfsleven heeft men minder afspraken gemaakt met de kinderen over het omgaan met digitale veiligheid. In deze doelgroep zijn tevens minder mensen gaan begrijpen waarom er zorgen zijn over online betalen met een creditcard, aangezien je je geld toch wel terugkrijgt als er iets mis gaat. Vergelijking tussen groepen Burgers vertrouwen er meer op dat hun gegevens niet aan derden worden verstrekt vergeleken met medewerkers van de overheid en het bedrijfsleven. Werknemers binnen de Rijksoverheid zijn minder bezorgd over online betalen met een creditcard en zijn minder huiverig voor internetbankieren dan bij de Waterschappen. Rijksambtenaren zijn vaker dan gemeenteambtenaren in de veronderstelling minder gevaar te lopen dan anderen. Niet-leidinggevenden bij de Rijksoverheid zijn het vaker eens met de stelling dat je je tegen grote gevaren op internet niet kan weren dan leidinggevenden. Binnen de provincie zijn leidinggevenden het vaker dan de overige ambtenaren eens met de stelling dat van iedereen veel gegevens bekend zijn op internet en dat je daar zelf weinig invloed op hebt. Overige provincieambtenaren maken zich tevens meer zorgen over de bescherming van hun privacy op internet dan hun leidinggevenden. Binnen de gemeente betalen overige ambtenaren hun online aankopen minder graag met een creditcard dan leidinggevenden en zijn leidinggevenden minder huiverig voor internetbankieren. Overige gemeenteambtenaren zijn het vaker eens met de stelling dat je je tegen grote gevaren op internet niet kan weren dan hun leidinggevende. In de vitale sectoren zijn leidinggevenden vaker dan niet-leidinggevenden in de veronderstelling dat zij minder gevaar lopen dan anderen.


72/146

Verschillen in achtergrondkenmerken Mannen schatten de risico’s van het internet lichter in dan vrouwen. Zij geven vaker dan vrouwen aan dat ze de zorgen over internetrisico’s niet begrijpen, zijn minder huiverig voor internetbankieren, voelen zich vaker voldoende beschermd en weinig bedreigd en hebben vaker het idee minder risico te lopen op een nare internetervaring dan anderen. Vijftigplussers schatten de risico’s van internetgebruik groter in dan jongere respondenten. Zij maken zich meer zorgen, betalen online minder graag met een creditcard.18 tot 30-jarigen hebben vaker het idee geen gevaar te lopen bij online aankopen. Het beeld van de verschillen tussen de opleidingsniveaus is divers. Laagopgeleiden zeggen de zorgen minder te begrijpen, maar zijn minder geneigd online met een creditcard te betalen. Ze voelen zich vaker voldoende beschermd, maar kunnen de ontwikkelingen van de internetrisico’s voor hun gevoel minder bijbenen. Leidinggevenden zijn minder huiverig voor internetbankieren dan niet-leidinggevenden. Ook maken zij zich in het algemeen minder zorgen, want zij zeggen vaker die zorgen niet te begrijpen.


73/146

7.3

Zorgen eigen digitale veiligheid

Figuur B3b: In hoeverre maakt u zich zorgen over uw digitale veiligheid?

Overall beeld Het overgrote deel van de respondenten maakt zich enige zorgen over hun digitale veiligheid en een kleine minderheid maakt zich veel zorgen. Een kwart maakt zich geen zorgen. Vergelijking tussen groepen Werknemers van de overheid maken zich iets vaker enige zorgen (76%) dan werknemers in het bedrijfsleven (71%) en burgers (68%), in het bedrijfsleven en burgers maken zich vaker geen zorgen. Tussen de overheidsdoelgroepen en de doelgroepen van het bedrijfsleven zijn geen significante verschillen in de zorgen over de eigen digitale veiligheid. Dit geldt ook voor de leidinggevenden binnen deze groepen. Verschillen in achtergrondkenmerken Jongeren en lager opgeleiden maken zich vaker geen zorgen dan ouderen en hoger opgeleiden (18-30 jaar: 39%, 50+: 21%, lage opleiding: 31%, hoge opleiding: 21%). Tussen personen die wel of geen leiding geven, is geen verschil in de zorgen om de eigen digitale veiligheid.


74/146

7.4

Perceptie misbruik via internet

Figuur D3: Op welke manieren kan er via internet misbruik gemaakt worden van uw computer?

Overall beeld De meest genoemde bedreigingen zijn hacken, oplopen van een virus en phishing. Opvallend is dat bijna twee derde aangeeft niet te weten op welke manieren er via internet misbruik gemaakt kan worden van hun computer.


75/146

Figuur D5: Inschatting van de kans dat tegen uw zin in het volgende op internet gebeurt:

Overall beeld Wanneer we kijken in hoeverre burgers inschatten dat zij zelf risico lopen op bepaalde vormen van cybercrime, dan zien we dat de meerderheid van de burgers de kans klein achten dat ze gefilmd worden, dat er geld van hun rekening of creditcard wordt gehaald, dat er iets gekocht wordt uit hun naam, dat de computer wordt gebruikt om een misdaad te plegen of dat hun identiteit wordt gestolen. Ook de overige risico’s worden door een aanzienlijke groep als klein ingeschat, maar hierbij zien we ook een groep die de risico’s als groot beschouwen. Het risico dat men wordt getagd op social media, dat onbekenden kunnen zien met wie de respondent bevriend is en het automatisch vermelden van locatiegegevens worden dan relatief het vaakst als groot beschouwd (26% tot 31% schat dit risico groot in). Wat verder opvalt is dat bij alle risico’s circa 7% geen inschatting kan maken van de kans dat dit hen overkomt. Ontwikkeling in de tijd Van de vormen van cybercrime die de vorige meting ook werden voorgelegd wordt in een enkel geval de kans in 2014 kleiner geacht dan in 2013. Zo wordt het risico dat een product na betaling niet wordt geleverd, de kans op identiteitsfraude, het gebruiken en verspreiden van persoonlijke gegevens en het vermelden van de locatie kleiner ingeschat. Verschillen in achtergrondkenmerken Van nagenoeg alle voorgelegde incidenten schatten mannen, 50-plussers en laagopgeleiden de kans kleiner in dan vrouwen, jongeren en hoger opgeleiden. Zo achten zij bijvoorbeeld de kans op identiteitsfraude, phishing, het afschrijven van geld en het gebruik en de verspreiding van hun persoonlijke gegevens kleiner. Mannen, ouderen en lager opgeleiden wanen zich op internet iets veiliger dan vrouwen, jongeren en hoger opgeleiden.


76/146

7.5

Inschatting digitale veiligheid in de privésituatie

Figuur B2_4. Rapportcijfer digitale veiligheid respondent in privésituatie

Overall beeld Over het algemeen voelt men zich in het privéleven digitaal veilig. Circa een op de tien respondenten verwacht dat de digitale veiligheid in de privésituatie onvoldoende is. Ontwikkeling in de tijd Tussen 2012 en 2013 liet het gevoel van digitale veiligheid een lichte stijging zien; in 2014 is deze stijging weer tenietgedaan (burgers 13+: 2012: 7,2, 2013: 7,4, 2014: 7,2). Vergelijking tussen groepen Werknemers van het bedrijfsleven schatten hun cyber security hoger in dan werknemers van de overheid (bedrijfsleven: 7,5, overheid: 7,3). Verschillen in achtergrondkenmerken Mannen en oudere respondenten schatten hun digitale veiligheid positiever in dan vrouwen en jongere respondenten (man: 7,4, vrouw: 7,2, 50+: 7,5, 18-30 jaar: 7,1). Leidinggevenden schatten hun persoonlijke digitale veiligheid hetzelfde in als werknemers zonder leidinggevende functie.


77/146

8.

Resultaten 2014: Risicoperceptie cyber security op het werk

8.1

Beknopte samenvatting Risicoperceptie cyber security op het werk

Om inzicht te krijgen in de perceptie van de mate van digitale veiligheid van de werkgever, de medewerkers, de respondent zelf in de rol van werknemer en de respondent zelf als privépersoon, is respondenten gevraagd de digitale veiligheid in een rapportcijfer uit te drukken. Evenals de voorgaande twee jaren wordt ook dit jaar de digitale veiligheid van de werkgever het hoogst ingeschat en als goed beoordeeld, gevolgd door de eigen digitale veiligheid als werknemer. De eigen digitale veiligheid op het werk wordt hoger ingeschat dan de digitale veiligheid van collega’s en de digitale veiligheid thuis. Met name het bezoeken van onveilige websites en het openen van onveilige e-mails worden als risicovolle handelingen aangemerkt voor de organisatie waar men werkt. Het downloaden van bestanden en het verzenden van vertrouwelijke informatie per e-mail worden iets minder risicovol beschouwd. Veel respondenten geven overigens aan niet te weten welke handelingen risicovol zijn voor de organisatie waar men werkt.


78/146

8.2

Inschatting digitale veiligheid van de organisatie

Figuur B2_1. Rapportcijfer digitale veiligheid werkgever

Overall beeld Over het algemeen wordt de digitale veiligheid van de werkgever als goed beoordeeld. Slechts een zeer klein deel verwacht dat dit onvoldoende is. Ontwikkelingen in de tijd Waar er zich tussen 2012 en 2013 een stijging heeft voorgedaan van de inschatting van de digitale veiligheid van de werkgever, is de gemiddelde beoordeling van de digitale veiligheid van de werkgever tussen 2013 en 2014 gelijk gebleven. Vergelijking tussen groepen Werkgevers uit het bedrijfsleven krijgen een hogere beoordeling dan de overheid en burgers (bedrijfsleven: 8,1, overheid: 7,9, burgers: 7,8). De digitale veiligheid van de werkgever wordt door medewerkers van de Rijksoverheid en de vitale sectoren als het hoogst beoordeeld, ook in het algemene bedrijfsleven scoort de digitale veiligheid van de werkgever hoog. Onder medewerkers van de provincies beoordeelt 9% de informatie met een onvoldoende. Verschillen in achtergrondkenmerken Oudere respondenten en laagopgeleiden beoordelen de werkgever beter op digitale veiligheid dan jongere en hoog opgeleide respondenten (50+: 8,1, 18-30 jaar: 7,6, lage opleiding: 8,2, hoge opleiding: 7,9). Leidinggevenden en niet-leidinggevenden schatten de digitale veiligheid van de werkgever hetzelfde in (gemiddeld 8,0). Leidinggevenden in de vitale sectoren schatten de digitale veiligheid van het bedrijf lager in dan werknemers zonder leidinggevende functie (leidinggevend vitale sector: 8,0, niet-leidinggevend vitale sector: 8,4).


79/146

8.3

Beoordeling aandacht werkgever voor digitale veiligheid

Figuur B3: Rapportcijfer aandacht werkgever voor digitale veiligheid

Overall beeld De werknemers geven aan dat het goed gesteld is met de aandacht van de werkgever voor de digitale veiligheid. Slechts een kleine minderheid beoordeelt dit met een onvoldoende. Ontwikkeling in de tijd De gemiddelde waardering van de aandacht van de werkgever voor digitale veiligheid is tussen 2013 en 2014 gelijk gebleven. Ook binnen de werknemersdoelgroepen zijn geen significante ontwikkelingen tussen 2013 en 2014. Vergelijking tussen groepen In het bedrijfsleven wordt de aandacht voor digitale veiligheid met een 8,1 hoger gewaardeerd dan bij de overheid (7,9). De gemiddelde score varieert van een 7,4 van de medewerkers van de provincies tot een 8,4 voor de Rijksambtenaren. In het vitale bedrijfsleven wordt de aandacht voor digitale veiligheid positiever ingeschat dan in het algemene bedrijfsleven. Verschillen in achtergrondkenmerken Oudere werknemers en laag opgeleide werknemers beoordelen de aandacht voor digitale veiligheid hoger dan jongere en hoog opgeleide werknemers (50+: 8,1, 18-30 jaar: 7,5, lage opleiding: 8,2, hoge opleiding: 7,9). Werknemers die wel en geen leiding geven, antwoorden op dezelfde manier (8,0). De gemiddelde score laat tussen werknemers die wel en geen leiding geven over het algemeen geen significant verschil zien; alleen binnen de vitale sectoren is een verschil. Nietleidinggevenden beoordelen de aandacht voor digitale veiligheid van de werkgever gemiddeld beter (8,4) dan leidinggevenden in die sectoren (8,0).


80/146

8.4

Inschatting digitale veiligheid van zichzelf op het werk

Figuur B2_3. Rapportcijfer digitale veiligheid uzelf op het werk

Overall beeld Over het algemeen wordt de digitale veiligheid van de respondent tijdens de uitvoering van het werk ingeschat als goed. Een zeer klein deel beoordeelt dit als onvoldoende. Ontwikkelingen in de tijd Tussen 2013 en 2014 is de gemiddelde beoordeling van de digitale veiligheid van de werknemer bij de werkgever gelijk gebleven. Vergelijking tussen groepen In het bedrijfsleven schatten werknemers hun eigen digitale veiligheid hoger in dan bij de overheid (bedrijfsleven: 8,0, overheid: 7,8). Rijksambtenaren schatten hun eigen digitale veiligheid op het werk gunstiger in dan ambtenaren die bij de provincie of gemeente werken. Werknemers van vitale sectoren schatten hun digitale veiligheid tijdens hun werk gemiddeld hoger dan werknemers van de overige sectoren. Verschillen in achtergrondkenmerken Oudere respondenten en laag opgeleiden beoordelen hun digitale veiligheid op het werk beter dan jongere en hoog opgeleide respondenten (50+: 7,9, 18-30 jaar: 7,6, lage opleiding: 8,1, hoge opleiding: 7,7). Leidinggevenden en niet-leidinggevenden verschillen niet van elkaar in hun antwoorden. Leidinggevenden in het vitale bedrijfsleven schatten hun eigen digitale veiligheid hoger in dan werknemers zonder leidinggevende functie (leidinggevend vitale sector: 8,2, niet-leidinggevend vitale sector: 7,9). In het algemene bedrijfsleven zien we dit beeld ook terug (leidinggevend: 8,1, niet-leidinggevend: 7,8).


81/146

8.5

Inschatting digitale veiligheid van collega’s

Figuur B2_2. Rapportcijfer digitale veiligheid collega’s bij uitvoering van hun werk

Overall beeld Circa een op de tien respondenten beoordeelt de digitale veiligheid van de collega’s bij de uitvoering van hun werk als onvoldoende. Ontwikkelingen in de tijd Tussen 2013 en 2014 is de gemiddelde beoordeling van de digitale veiligheid van de medewerkers bij de uitvoering van hun werk gelijk gebleven. Vergelijking tussen groepen In het bedrijfsleven schatten werknemers de digitale veiligheid van hun collega’s hoger in dan bij de overheid (bedrijfsleven: 7,5, overheid: 7,1). Medewerkers van de Rijksoverheid schatten de digitale veiligheid van hun collega’s op het werk gunstiger in dan medewerkers die bij de provincie of gemeente werken. Leidinggevenden in de vitale sectoren schatten de digitale veiligheid van werknemers lager in dan werknemers zonder leidinggevende functie (leidinggevend vitale sector: 7,3, nietleidinggevend vitale sector: 7,7). Verschillen in achtergrondkenmerken Oudere respondenten en laagopgeleiden beoordelen de digitale veiligheid van hun collega’s op het werk beter dan jongere en hoog opgeleide respondenten (50+: 7,4, 18-30 jaar: 7,1, lage opleiding: 7,7, hoge opleiding: 7,1).


82/146

8.6

Kennis en inschatting van veiligheidsrisico’s op het werk

Figuur B4: Kunt u aangeven welke werkzaamheden en handelingen op internet een risico kunnen vormen voor de digitale veiligheid van de organisatie waar u voor werkt?

Overall beeld Met name het bezoeken van onveilige websites en het openen van onveilige e-mails worden als risicovolle handelingen aangemerkt. Iets minder risicovol wordt het downloaden van bestanden en het verzenden van vertrouwelijke informatie per e-mail beschouwd. Bijna de helft van de ondervraagden geeft aan niet te weten welke handelingen risicovol zijn. Ontwikkelingen in de tijd Medewerkers van de Rijksoverheid geven vaker aan dat het bezoeken van onbekende websites en het openen van onveilige e-mails als onveilig worden beschouwd ten opzichte van vorig jaar; medewerkers van de Rijksoverheid en het algemene bedrijfsleven geven iets minder vaak aan dit niet te weten. Medewerkers van de gemeenten geven vaker aan niet te weten welke activiteiten op internet een risico kunnen vormen. Vergelijking tussen groepen Medewerkers van de provincies geven vaker aan dat het bewaren/wisselen of delen van gegevens in de cloud een risico kunnen vormen. Medewerkers van de Rijksoverheid en provincies geven vaker aan dat het openen van onveilige e-mails een risico kunnen vormen. Medewerkers in het vitale bedrijfsleven geven vaker aan niet te weten welke handelingen een risico kunnen vormen ten opzichte van medewerkers in het algemene bedrijfsleven.


83/146

9.

Resultaten 2014: Verantwoordelijkheid voor veilig internetgebruik

9.1

Beknopte samenvatting Verantwoordelijkheid voor veilig internetgebruik

De verantwoordelijkheid voor de veiligheid van het internetgebruik verschilt sterk tussen thuis en de werkplek. De meeste burgers geven aan thuis voornamelijk zelf verantwoordelijk te zijn voor internetveiligheid. Daarnaast worden internetproviders (door circa de helft van de burgers genoemd) en website-eigenaren (door een vijfde genoemd) aangewezen als verantwoordelijken voor de internetveiligheid thuis. Op het werk wordt de verantwoordelijkheid voor internetveiligheid primair bij de IT-afdeling neergelegd. De meerderheid van de zakelijke respondenten vindt dat de verantwoordelijkheid voor veilig internetgebruik op de werkplek vooral bij de IT-afdeling ligt. Vervolgens worden de medewerkers en in mindere mate het management als verantwoordelijken aangewezen.


84/146

9.2

Gepercipieerde verantwoordelijkheid burgers

Figuur D12: Bij wie vindt u dat de verantwoordelijkheid voor de veiligheid op het gebied van internetgebruik voornamelijk moet liggen?

Overall beeld Wanneer het gaat over internetveiligheid thuis geven de meeste burgers aan dat zij hier voornamelijk zelf voor verantwoordelijk zijn. Ook internetproviders (door ongeveer de helft van de burgers genoemd) en website-eigenaren (door een vijfde genoemd) wordt verantwoordelijkheid hiervoor toegedicht. Ontwikkeling in de tijd Er zijn geen significante verschuivingen zichtbaar ten opzichte van 2013. Verschillen in achtergrondkenmerken Mannen kijken vaker naar de internetprovider voor de veiligheid van hun internetgebruik, vrouwen zeggen vaker niet te weten wie verantwoordelijk is. Jongeren en hoger opgeleiden leggen de verantwoordelijkheid eerder bij zichzelf, ouderen kijken vaker naar de internetprovider.


85/146

9.3

Gepercipieerde verantwoordelijkheid op het werk

Figuur C8: Bij wie vindt u dat de verantwoordelijkheid voor de veiligheid op het gebied van internetgebruik voornamelijk moet liggen? Er zijn maximaal twee antwoorden mogelijk.

Overall beeld De meerderheid van de werknemers vindt dat de verantwoordelijkheid voor veilig internetgebruik op de werkplek vooral moet liggen bij de IT-afdeling. Vervolgens worden de medewerkers en in mindere mate het management als verantwoordelijken aangewezen. Ontwikkeling in de tijd Binnen het algemene bedrijfsleven is te zien dat men tussen 2012 en 2014 bij elke meting de verantwoordelijkheid voor veilig internetgebruik minder neerlegt bij website-eigenaren dan het voorgaande jaar. Vergelijking tussen groepen Medewerkers van de overheid noemen de verantwoordelijkheid van de werknemers vaker dan medewerkers in het bedrijfsleven. Verschillen in achtergrondkenmerken Vrouwelijke werknemers wijzen vaker naar de IT-afdeling dan mannelijke, mannen en hoogopgeleiden achten vaker de werknemers verantwoordelijk. Niet-leidinggevenden kijken vaker naar de IT-afdeling dan werknemers in een leidinggevende functie.


86/146

10.

Resultaten 2014: Thema 2014 - Kennis over cybersecurity

In dit hoofdstuk worden de resultaten behandeld van de themavragen over Kennis over cybersecurity (informatiebehoefte en –gebruik) rond cyber security.

10.1

Beknopte samenvatting Thema 2014 - Kennis over cybersecurity

De informatiebehoefte is groot. Meer dan de helft van de respondenten heeft een beetje of veel behoefte aan informatie over veilig internetten. Informatie over veilig internetten wordt verkregen door een combinatie van zelf proactief te zoeken en het toevallig tegenkomen of aangereikt krijgen. Burgers kijken naar hun internetprovider, consumentenorganisaties en de overheid voor informatie. Medewerkers noemen hun werkgever, collega’s en de media als voornaamste huidige informatiebron ten aanzien van veilig internetten. Op basis van de informatie worden geregeld maatregelen genomen voor betere bescherming tegen de risico’s van internetgebruik. De informatie wordt over het algemeen met een voldoende of goed beoordeeld, slechts een minderheid beoordeelt het aanbod met een onvoldoende. Ontevreden respondenten vinden de informatie met name te moeilijk, moeilijk vindbaar of kunnen moeilijk inschatten of de informatie objectief is of ‘bangmakerij’ van de beveiligingsindustrie. Een groot deel van de respondenten geeft aan dat kinderen op jonge leeftijd bewust moeten worden gemaakt van de gevaren voor veilig internetten. Een meerderheid van de respondenten ziet hierin een rol weggelegd voor het basis- en voortgezet onderwijs.


87/146

10.2

Informatiebehoefte

De informatiebehoefte van alle doelgroepen rond digitale veiligheid is groot. Meer dan de helft van de respondenten (59%) heeft veel of enige behoefte aan informatie over veilig internetten. Figuur G1: Behoefte aan informatie over veilig internetten

Overall beeld Burgers hebben aanzienlijk minder behoefte aan informatie (46%) dan medewerkers uit het bedrijfsleven (58%) en overheidsfunctionarissen (71%). Vergelijking tussen groepen Binnen de provincies is de informatiebehoefte het grootst (76%), binnen de Rijksoverheid is die het laagst (68%). Verschillen in achtergrondkenmerken Ouderen en hoogopgeleiden hebben een grotere informatiebehoefte dan jongeren en laagopgeleiden (50+: 65%, 18-30 jaar: 44%, hoge opleiding: 66%, lage opleiding: 47%). Leidinggevenden (60%) hebben een iets lagere informatiebehoefte dan personen die geen leiding geven (66%).


88/146

10.3

Redenen voor informatiebehoefte

Figuur G2: Redenen behoefte aan informatievoorziening rondom veilig internetten Selectie: veel behoefte & een beetje behoefte aan informatie

Overall beeld Over het algemeen geven ondervraagden die (enige) behoefte hebben aan informatie over veilig internetten aan dat ze dit willen, omdat het internet constant aan het ontwikkelen is (en daarmee dus ook de risico’s zich ontwikkelen) en men op de hoogte wil blijven over hoe ze het meest veilig en probleemloos actief kunnen zijn op internet.


89/146

Figuur G2: Redenen behoefte aan informatievoorziening rondom veilig internetten Selectie: weinig behoefte & geen behoefte aan informatie

Overall beeld Ondervraagden die weinig of geen behoefte hebben aan informatie over veilig internetten, geven hiervoor diverse redenen. Men geeft vooral aan van mening te zijn al voldoende op de hoogte te zijn, maar zaken zoals desinteresse, lage risicoperceptie, lage internetactiviteit, het zelf kunnen opzoeken van informatie en zaken laten regelen door naasten worden ook veelvuldig genoemd.


90/146

10.4

Gewenste partijen om informatie van te ontvangen

Figuur D11: Van welke partijen wilt u informatie over hoe u zich kunt beschermen tegen de risico’s van internet? Selectie: behoefte aan informatie (D10)

Overall beeld Burgers verwachten door internetproviders, consumentenorganisaties en de overheid geïnformeerd te worden over bescherming tegen de risico’s van internet. Ontwikkeling in de tijd De partijen, waarvan men informatie verlangt over de bescherming tegen de risico’s van internet, zijn tussen 2013 en 2014 constant gebleven. Verschillen in achtergrondkenmerken Mannen (77%), vijftigplussers (73%) en lager opgeleiden noemen internetproviders vaker dan vrouwen (59%), jongeren (51%) en hoogopgeleiden (59%). Vrouwen kiezen liever voor consumentenorganisaties (73%).


91/146

10.5

Informatiegebruik

Figuur G3 (1): Informatie gezien / gelezen / gehoord over veilig internetten

Overall beeld Over het algemeen heeft ruim de helft van de ondervraagden wel eens informatie gezien, gehoord of gelezen over veilig internetten. Opvallend is dat een vijfde van de ondervraagden aangeeft niet te weten of ze wel eens informatie over veilig internetten hebben gezien, gehoord of gelezen. Vergelijking tussen groepen Medewerkers binnen de overheid (67%) geven vaker aan informatie over veilig internetten te hebben gezien, gelezen of gehoord ten opzichte van medewerkers binnen het bedrijfsleven (60%) en burgers (53%). Verschillen in achtergrondkenmerken Vijftigplussers (63%) en hoogopgeleiden (69%) geven vaker aan informatie over veilig internetten te hebben gezien, gelezen of gehoord dan jongeren (54%) en laagopgeleiden (47%) en middelbaaropgeleiden (56%).


92/146

Figuur G3 (2): Eerstgenoemde informatiebron rondom veilig internetten (open)

Overall beeld Men geeft aan vooral via internet, de werkgever, de televisie en de krant informatie over veilig internetten te zien, lezen of horen.


93/146

10.6

Informatiebronnen (geholpen)

Figuur G4: Waar doet u informatie op over veilig internetten? Selectie: Indien informatie wordt opgezocht (G3)

Overall beeld Overheidsfunctionarissen en personen werkzaam in het bedrijfsleven noemen hun werkgever/collega en de media het vaakst als bron van informatie over veilig internetten. Daarnaast krijgen zij vaak informatie via het eigen netwerk van familie, vrienden en bekenden. Voor burgers staan de media en het eigen netwerk eveneens in de top-3 van belangrijkste informatiebronnen, maar de werkgever en collega’s worden in veel mindere mate door burgers als informatiebron genoemd. Overheidsfunctionarissen en personen werkzaam in het bedrijfsleven noemen in vergelijking met burgers ook vaker het zakelijk netwerk en een opleiding/training/cursus als informatiebron. Daarnaast krijgen overheidsfunctionarissen in vergelijking met de zowel medewerkers van het bedrijfsleven als burgers deze informatie vaker via de bank. Vergelijking tussen groepen Tussen de drie overheidsdoelgroepen onderling en de twee doelgroepen uit het bedrijfsleven zijn geen significante verschillen gevonden in de bronnen van informatie over veilig internetten.


94/146

Verschillen in achtergrondkenmerken Vrouwen noemen vaker familie, vrienden en bekenden als informatiebron dan mannen (vrouwen 56% en mannen 36%) en vrouwen noemen ook vaker de sociale media als informatiebron (vrouwen 16% en mannen 12%). De andere informatiebronnen worden bijna allemaal vaker door mannen genoemd. De verschillen zijn het grootst ten aanzien van het gebruik van een internetprovider als informatiebron (mannen 45% en vrouwen 25%), een vakblad/magazine (mannen 23% en vrouwen 8%) en een professioneel bedrijf op het gebied van internetbeveiliging (14% mannen en 7% vrouwen). Vijftigplussers krijgen hun informatie over veilig internetten in vergelijking met de jongere leeftijdsgroepen vaker via hun internetprovider, via de bank, via een e-mail-alert/nieuwsbrief of via een vakblad/magazine. De groep 18-30-jarigen ontvangt deze informatie vaker via de sociale media. Hoogopgeleiden noemen in vergelijking met laagopgeleiden vaker een werkgerelateerde informatiebron, zoals hun werkgever/collega, hun zakelijk netwerk en een opleiding/training/cursus. Ook noemen hoogopgeleiden vaker de overheid en de bank als informatiebron. Tot slot zijn er enkele verschillen tussen leidinggevenden en niet-leidinggevenden. Leidinggevenden noemen vaker hun werkgever/collega, een professional op het gebied van veilig internetten en het zakelijk netwerk als informatiebron. Niet-leidinggevenden halen de informatie vaker uit de media en krijgen de informatie vaker uit het eigen netwerk van familie, vrienden en kennissen.


95/146

10.7

Wijze van informatie verkrijgen over veilig internetten

Figuur G5: Informatie zelf opgezocht of bij toeval tegengekomen

Overall beeld De meerderheid van de respondenten komt door een combinatie van ‘zelf actief zoeken’ en het ‘toevallig tegenkomen’ aan de informatie over internetveiligheid. Circa één op de drie respondenten heeft een passieve houding op dit gebied en komt alleen aan deze informatie wanneer men dit toevallig tegenkomt.

Vergelijking tussen groepen Medewerkers uit het bedrijfsleven en burgers geven vaker aan zelf informatie te hebben opgezocht dan medewerkers van de overheid; medewerkers van de overheid geven vaker aan dat ze door een combinatie van zelf opzoeken en toevallig tegengekomen aan de informatie zijn gekomen. Kijkend naar de zeven doelgroepen zijn er geen significante verschillen zichtbaar. Verschillen in achtergrondkenmerken Vrouwen hebben een passievere houding op dit gebied dan mannen. Van de vrouwen komt 43% aan deze informatie omdat men dit toevallig tegenkomt zonder dat men hier actief naar zoekt, in vergelijking met 25% van de mannen. Vijftigplussers hebben in vergelijking met jongeren een actievere houding; 27% van de vijftigplussers geeft aan deze informatie toevallig tegen te komen zonder hiernaar op zoek te zijn, in vergelijking met 36% van de 31-49 jarigen en 44% van de 18-30 jarigen.


96/146

10.8

Ondernomen acties n.a.v. verkregen informatie over veilig internetten

Figuur G6: Ondernomen acties naar aanleiding van verkregen informatie

Overall beeld De meest genoemde actie die men heeft ondernomen naar aanleiding van informatie over veilig internetten is dat men nieuwe maatregelen heeft genomen om zichzelf te beschermen tegen de risico’s van internetgebruik. Vergelijking tussen groepen Overheidsfunctionarissen (47%) hebben vaker nieuwe maatregelen genomen om zichzelf te beschermen dan personen werkzaam in het bedrijfsleven (39%) en burgers (37%). Ook hebben overheidsfunctionarissen vaker verder naar informatie gezocht via een andere informatiebron (7%) dan personen werkzaam in het bedrijfsleven en burgers (beide 3%).Opvallend is dat de hierboven beschreven verschillen tussen leidinggevenden en niet-leidinggevenden alleen zichtbaar zijn bij het bedrijfsleven.


97/146

Verschillen in achtergrondkenmerken Mannen hebben in vergelijking met vrouwen vaker actie ondernomen. Zij hebben niet alleen vaker maatregelen genomen om zichzelf te beschermen tegen risico’s voor veilig internetten (mannen 47% en vrouwen 36%), maar hebben ook vaker anderen geholpen om zich beter te beschermen (mannen 28% en vrouwen 11%). Een ander opvallend verschil is dat mannen zich vaker hebben aangemeld op een website om nieuwsberichten/feeds/een nieuwsbrief te ontvangen (10% mannen en 2% vrouwen). Ook is er een opvallend verschil tussen de leeftijdsgroepen: 18-30 jarigen hebben vaker geen enkele actie ondernomen dan vijftigplussers (18-30 jarigen 36% en vijftigplussers 30%). Hoogopgeleiden hebben vaker maatregelen genomen om zichzelf te beschermen tegen risico’s dan laagopgeleiden (hoogopgeleiden 48% en laagopgeleiden 34%). Daarnaast hebben hoogopgeleiden ook vaker anderen geholpen om zich te beschermen (hoogopgeleiden 22% en laagopgeleiden 15%). Tot slot zijn er verschillen tussen leidinggevenden en niet-leidinggevenden: leidinggevenden hebben zich vaker aangemeld op een website om nieuwsberichten/feeds/een nieuwsbrief te ontvangen (10% versus 5%) en hebben vaker anderen geholpen om zich beter te beschermen tegen de risico's voor veilig internetten (28% versus 19%). Binnen het vitale bedrijfsleven hebben leidinggevenden zich vaker aangemeld op een website om nieuwsberichten/feeds/een nieuwsbrief te ontvangen dan niet-leidinggevenden (14% versus 2%) en hebben leidinggevenden vaker anderen geholpen om zichzelf beter te beschermen tegen de risico's voor veilig internetten (27% versus 12%). Ook binnen de sector ‘bedrijfsleven overig’ hebben de leidinggevenden dit vaker gedaan dan niet-leidinggevenden. Daarnaast hebben leidinggevenden in de sector ‘bedrijfsleven overig’ vaker informatie met anderen gedeeld op sociale media en hebben zij vaker met anderen gesproken over wat men weet over veilig internetten.


98/146

10.9

Rapportcijfer informatieaanbod over veilig internetten

Figuur G7: Rapportcijfer aanbod aan informatie over veilig internetten

Overall beeld De meeste ondervraagden beoordelen het aanbod aan informatie als voldoende: gemiddeld geeft ruim de helft een rapportcijfer 6 of 7. Gemiddeld geeft men een 6,6. Vergelijking tussen groepen Er is geen verschil tussen overheidsfunctionarissen, personen uit het bedrijfsleven en burgers Van de overheidsdoelgroepen zijn medewerkers van provincies het minst tevreden over het aanbod: zij geven het informatieaanbod een gemiddeld rapportcijfer van 6,3 (één op de vijf medewerkers vindt het aanbod onvoldoende). Medewerkers van de Rijksoverheid zijn het meest tevreden: zij geven gemiddeld een 6,8. Verschillen in achtergrondkenmerken Mannen zijn iets positiever (6,8) dan vrouwen (6,5). Vrouwen geven ook vaker een onvoldoende (vrouwen 15% en mannen 12%). Er zijn geen verschillen tussen de leeftijdsgroepen, tussen laag- en hoogopgeleiden of tussen leidinggevenden en nietleidinggevenden.


99/146

Figuur G8: Toelichting gegeven rapportcijfer - onvoldoende Selectie: rapportcijfer huidig informatieaanbod 1-5

Overall beeld Over het algemeen beoordeelt een kleine minderheid van de ondervraagden het huidige informatieaanbod met een onvoldoende. De toelichting hiervoor loopt nogal uiteen. Vergelijking tussen groepen Burgers (24%) en medewerkers uit het algemene bedrijfsleven (33%) die ontevreden zijn met het huidige informatieaanbod geven als reden hiervoor vooral aan dat er onvoldoende aandacht is voor veilig internetten. Medewerkers van de Rijksoverheid die ontevreden zijn, geven vaak aan dat de huidige informatie te technisch is (24% geeft dit aan). Let op dat bij bepaalde doelgroepen (met name provincies en waterschappen) de steekproefaantallen laag zijn en de resultaten indicatief zijn.


100/146

Figuur G8: Toelichting gegeven rapportcijfer - voldoende Selectie: rapportcijfer huidig informatieaanbod 6-7

Overall beeld Het overgrote deel van de ondervraagden beoordeelt het huidige informatieaanbod met een voldoende. De meest genoemde reden hiervoor is dat er voldoende informatie te vinden is over veilig internetten.

Vergelijking tussen groepen Er zijn geen grote verschillen zichtbaar tussen de verschillende doelgroepen.


101/146

Figuur G8: Toelichting gegeven rapportcijfer – ruim voldoende Selectie: rapportcijfer huidig informatieaanbod 8-10

Overall beeld Degenen die zeer tevreden zijn over het huidige aanbod aan informatie over veilig internetten geven als reden hiervoor vooral aan dat er voldoende informatie beschikbaar is vanuit verschillende bronnen. Vergelijking tussen groepen Opvallend is dat vooral medewerkers van de Rijksoverheid aangeven voldoende informatie te krijgen over veilig internetten. Let op dat bij bepaalde doelgroepen (provincies en waterschappen) de steekproefaantallen laag zijn en de resultaten indicatief zijn.


102/146

10.10

Volledigheid informatie over veilig internetten

Figuur G9: Mist er informatie over veilig internetten?

Overall beeld Vier op de tien ondervraagden geeft aan informatie te missen over veilig internetten; bijna de helft geeft aan geen informatie hierover te missen.

Vergelijking tussen groepen Medewerkers bij de overheid geven vaker aan informatie te missen over veilig internetten ten opzichte van medewerkers uit het bedrijfsleven en burgers; vooral medewerkers bij de provincies (62%), gemeenten (51%) en waterschappen (56%) geven aan informatie te missen.

Verschillen in achtergrondkenmerken Vrouwen (48%), 31-49 jarigen (46%) en hoogopgeleiden (50%) geven vaker aan informatie te missen over veilig internetten ten opzichte van mannen (40%), 13-17 jarigen (30%), 18-30 jarigen (36%), lager opgeleiden (36%) en middelbaaropgeleiden (41%).


103/146

Figuur G9: Welke informatie over veilig internetten mist u?

Overall beeld De informatie die men mist, is erg uiteenlopend, maar de rode draad in de antwoorden is dat men aangeeft vooral behoefte te hebben aan duidelijke, simpele, begrijpelijke en praktische informatie om de digitale veiligheid te bevorderen.


104/146

10.11

Rol van veilig internetten in het basisonderwijs en voortgezet onderwijs

Figuur G10: Stellingen over de rol van veilig internetten in het basisonderwijs en voortgezet onderwijs (weergave percentage “(zeer) mee eens”)

Overall beeld Een meerderheid van de respondenten is het eens met de stelling dat in het basisonderwijs en het voortgezet onderwijs meer aandacht besteed zou moeten worden aan internetrisico’s. Een derde van de respondenten is van mening dat aandacht voor veilig internetten meer een taak is van de ouders dan van de school. Als het gaat om het leren programmeren, is bijna een derde het eens met de stelling dat leerlingen in het basisonderwijs de mogelijkheid zouden moeten hebben om dit te leren en een vijfde is van mening dat dit een verplicht onderdeel zou moeten worden. Voor het voortgezet onderwijs liggen deze percentages hoger: ruim de helft vindt dat leerlingen in het voortgezet onderwijs de mogelijkheid moeten hebben om te leren programmeren en bijna een derde vindt dat dit een verplicht onderdeel moet zijn. Vergelijking tussen groepen Burgers zijn het vaker eens met de stelling dat er meer aandacht zou moeten zijn voor veilig internetten op de basisschool (36%) dan overheidsfunctionarissen (29%). Ook vinden burgers vaker dat hier meer aandacht aan zou moeten worden besteed in het voortgezet onderwijs (burgers 68%, overheidsfunctionarissen en personen werkzaam in het bedrijfsleven 62%).


105/146

BIJLAGE 1: Responsoverzicht en onderzoeksverantwoording De responsoverzichten zijn hieronder weergegeven, eerst voor de totale steekproef en vervolgens per doelgroep. Totaal De respons voor de totale steekproef is 45%. Bruto steekproef

13.421

Vers sample / niet gereageerd

7.325

Non-respons

2.592

Groep vol / quotafail

468

Niet volledig ingevulde vragenlijsten

630

Voldoet niet aan de criteria / screeningseisen

1.494

Complete vragenlijsten

3.504

Rijksoverheid De respons voor deze doelgroep is 30% Bruto steekproef

1.974


1.388

Non-respons Groep vol / quotafail Niet volledig ingevulde vragenlijsten Voldoet niet aan de criteria / screeningseisen Complete vragenlijsten

34723 - Cyber Security 2014 Rapportage.docx - Bijlage 1

84 2 81 1 502

106/146

Provincies De respons voor deze doelgroep is 17%. Bruto steekproef

1.100


917

Non-respons Groep vol / quotafail

49 47


1


1


134

Gemeenten De respons voor deze doelgroep is 14%. Bruto steekproef

5.398


4.658

Non-respons Groep vol / quotafail Niet volledig ingevulde vragenlijsten Voldoet niet aan de criteria / screeningseisen

191 54 136 1


549

Waterschappen De respons voor deze doelgroep is 18%. Bruto steekproef

949


781



40 2 36 2 128

107/146

Bedrijfsleven vitale sectoren De respons voor deze doelgroep is 55%. Bruto steekproef

1.000


453

Non-respons Groep vol / quotafail

47 7


40


-


500

Bedrijfsleven overig De respons voor deze doelgroep is 59%. Bruto steekproef

1.000


413

Non-respons

103

Groep vol / quotafail

27


54


22


484

Burgers 13+ De respons voor deze doelgroep is 83%. Bruto steekproef

2.000


335



458 375 82 1 1.207

108/146

Onderstaande tabel geeft een overzicht van de steekproef- en weegkenmerken. Doelgroepen

Kenmerken waarop de steekproef is gestratificeerd

Kenmerken waarop de steekproef is gewogen

Rijksoverheid

Geslacht, leeftijd, leidinggevendheid Geen (dit was niet mogelijk binnen het Flitspanel) Geslacht, leeftjid, leidinggevendheid Geen (dit was niet mogelijk binnen het Flitspanel) Geslacht, leeftijd, branche, leidinggevendheid Geslacht, leeftijd, bedrijfsgrootte, branche, leidinggevendheid Geslacht, leeftijd, opleiding, werkzaamheid, regio, internetgebruik

Geslacht, leeftijd

Provincies Gemeenten Waterschappen Bedrijfsleven vitale sectoren Bedrijfsleven overig Burgers 13+


Geslacht, leeftijd Geslacht, leeftijd Geslacht, leeftijd Geen Bedrijfsgrootte Geslacht, leeftijd , opleiding, regio, internetgebruik

109/146

BIJLAGE 2: Vragenlijst 34723 Cyber security 2013 Online vragenlijst QUOTA: Total net n IRPD = 2.700, divided as follows: Gemeenten: 250 Rijksoverheid: 250 Vitale sector: 500 Bedrijfsleven overig: 500 Burgers: 1200 Total net n Flitspanel = 1.000, divided as follows: Gemeenten: 250 Provincies: 250 Rijksoverheid: 250 Waterschappen: 250 Total net n IRPD + Flitspanel = 3.700

S_Bron: 2 = IRPD 12 = Flitspanel S. Selection questions Om te bepalen of u tot de doelgroep van dit onderzoek behoort, volgt nu eerst een aantal selectievragen.

S0 Selection = S-bron = 12 flitspanel

S0. Heeft u aan de volgende onderzoeken meegedaan? (M) Grid, answers in row 1. Cyber security 2012. Een online onderzoek naar de digitale veiligheid van personen in hun privé-leven en op het werk


110/146

2. Cyber security 2013. Een online onderzoek naar de digitale veiligheid van personen in hun privé-leven en op het werk. Grid, answers in column 1. Ja 2. Nee 97. Weet niet meer

If S0_1 = a or c AND/OR S0 2 = a or c --> screen-out. Display screen-out text 0: Hartelijk dank voor uw bereidheid om deel te nemen aan dit onderzoek. De doelgroep van dit onderzoek zijn alleen personen die nog niet eerder aan het onderzoek Cyber Security hebben deelgenomen. U heeft aangegeven reeds eerder aan dit onderzoek te hebben deelgenomen, of dit niet meer te weten. Daarom valt u buiten de doelgroep van dit onderzoek.

Selection: ALL

S1.(0.0) Welke van de volgende omschrijvingen past bij uw persoonlijke situatie? (S) 1. Ik ben schoolgaand/studerend (if sample source =Flitspanel > screen out) 2. Ik ben werkloos/werkzoekend/werkzaam in een niet-betaalde baan/niet werkzaam/gepensioneerd (if sample source = flitspanel > screen out> 3. Ik werk in een betaalde baan bij een organisatie met meer dan 10 medewerkers (met een vaste aanstelling) 4. Ik werk in een betaalde baan bij een organisatie met minder dan 10 medewerkers 5. Ik ben een zelfstandige zonder personeel (ZZP’er) (if sample source = flitspanel > screen out>

Selection: S1 = 3, 4 or 5

S2.

In welke sector bent u werkzaam? (S) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

Landbouw, bosbouw en visserij Delfstoffenwinning Industrie Energievoorziening Waterbedrijven en afvalbeheer Bouwnijverheid Handel Vervoer en opslag Horeca Informatie en communicatie Financiële dienstverlening Verhuur en handel van onroerend goed


111/146

13. 14. 15. 16. 17. 18. 19. 20. 21.

Specialistische zakelijke diensten Verhuur en overige zakelijke diensten Openbaar bestuur en overheidsdiensten Onderwijs Gezondheids- en welzijnszorg Cultuur, sport en recreatie Overige dienstverlening Huishoudens Extraterritoriale organisaties 96 Anders, namelijk…(O)

IF flitspanel (S_bron = 12) & S2 <> 15 then screened out: Hartelijk dank voor uw bereidheid om deel te nemen aan dit onderzoek. De doelgroep van dit onderzoek zijn alleen personen werkzaam in Openbaar bestuur en overheidsdiensten. U heeft aangegeven niet (meer) in deze sector werkzaam te zijn. Een actueel en volledig profiel van u als deelnemer is van groot belang voor het Flitspanel. Allereerst kunnen wij op basis van uw profielgegevens de onderzoeken beter op uw persoonlijke situatie afstemmen. U ontvangt zo alleen uitnodigingen die voor u van belang zijn. Daarnaast zijn actuele gegevens essentieel voor een correct duiding van de onderzoeksresultaten. Om deze redenen willen wij u vragen om uw profielgegevens te actualiseren. Dit kunt u doen door met uw inloggegevens op uw persoonlijke profielpagina in te loggen.

Selection: S2 = 15

S2a.

Waar bent u werkzaam? (S) 1. Rijksoverheid (hieronder vallen ook inspecties, uitvoeringsorganisaties, agentschappen, ZBO’s en diensten zoals Belastingdienst, Rijkswaterstaat, DJI, IND, UWV, NZA, Hoge Colleges van Staat) 2. Provincie 3. Gemeente 4. Waterschap 5. Overige overheid/overig openbaar bestuur (If S-bron = 12 flitspanel --> screen-out, display screen-out tekst 1) 6. Ik ben niet (meer) werkzaam binnen de (semi-) publieke sector (Only show S2a = 6 if S-bron = 12 flitspanel; if S2a = 6 --> screen-out, display screen-out tekst 2)

Only for S_bron = 12 flitspanel <screenout tekst 1:> Hartelijk dank voor uw bereidheid om deel te nemen aan dit onderzoek. De doelgroep van dit onderzoek zijn alleen personen werkzaam in de sectoren Rijk, Gemeenten, Provincies, Waterschappen. U heeft aangegeven niet (meer) in een van deze sectoren werkzaam te zijn. Een actueel en volledig profiel van u als deelnemer is van groot belang voor het Flitspanel. Allereerst kunnen wij op basis van uw profielgegevens de onderzoeken beter op uw


112/146

persoonlijke situatie afstemmen. U ontvangt zo alleen uitnodigingen die voor u van belang zijn. Daarnaast zijn actuele gegevens essentieel voor een correct duiding van de onderzoeksresultaten. Om deze redenen willen wij u vragen om uw profielgegevens te actualiseren. Dit kunt u doen door met uw inloggegevens op uw persoonlijke profielpagina in te loggen. <screenout tekst 2:> U heeft aangegeven niet meer werkzaam te zijn in de (semi-) publieke sector. Hiermee valt u buiten de doelgroep van het Flitspanel. Wij willen u vragen of u zich wilt uitschrijven voor het panel. Dit kunt u doen door met uw inloggegevens op uw persoonlijke profielpagina in te loggen. Helemaal onderaan deze pagina kunt u zich uitschrijven door op ‘lidmaatschap beëindigen’ te klikken. Wij zullen uw persoonlijke gegevens verwijderen en ervoor zorgen dat u in de toekomst geen uitnodigen meer ontvangt.

Selection: S2 = 8

S2b.

U geeft aan dat u werkzaam bent in de sector ‘vervoer en opslag’. Bent u werkzaam binnen de transportsector? (S) 1. Ja 2. Nee

Selection: S2 = 5

S2c.

Op welk gebied bent u werkzaam? (S) 1. Drinkwater 2. Keren en beheren oppervlaktewater 95. Geen van bovenstaande

Selection: S2 = 10, 13, 14 or 96

S2d.

Bent u werkzaam binnen de telecommunicatie? (S) 1. Ja 2. Nee

<Scripter: if S2 = 4, S2 = 11, ,S2 = 15, S2b = 1, S2c = 1 or 2, S2d = 1, the respondent can not be appointed to quota group “Bedrijfsleven overig”> --> zie 34723 Groups-.docx Selection: S1 = 3 or 4 S3a. (0.1) Welke van de volgende omschrijvingen past bij uw werksituatie? (S) 1. Ik geef leiding aan een groep medewerkers vanuit een formele rol


113/146

2. Ik werk als medewerker en geef zelf geen leiding Selection: S1 = 3 or 4 S3b. (0.2) Heeft uw werkgever u een computer (pc, laptop, tablet en/of smartphone) ter beschikking gesteld voor het uitvoeren van uw werkzaamheden? (S) 1. Ja 2. Nee (Indien Flitspanel and S1 =3 end of questionnaire)

Selection: S3b = 1

S3c. (0.3) Welke van onderstaande apparaten heeft uw werkgever aan u ter beschikking gesteld (thuis of op kantoor) voor werkgerelateerde doeleinden? Er zijn meerdere antwoorden mogelijk. (M) 1. 2. 3. 4.

Pc Laptop Tablet Smartphone 95 Geen van deze (S)

Selection: S3c = 1,2,3 or 4 S3d. (0.4) Welke van deze apparaten, door uw werkgever aan u ter beschikking gesteld, gebruikt u tevens voor privézaken? (M) <Show answer(s) S3c 1 – 4> 1. Pc 2. Laptop 3. Tablet 4. Smartphone 95. Ik gebruik deze apparaten niet voor privézaken [S]

Selection: S3d = 2,3 or 4

S3e. (0.5) Heeft u van uw werkgever instructies ontvangen voor het veilig gebruik van uw laptop, tablet of smartphone? (S) 1. Ja 2. Nee 97.Weet niet


114/146

ALL

S4a. (0.6) Heeft u thuis de beschikking over een computer (pc, laptop, tablet, smartphone)? (M) 1. Ja, een pc (niet van mijn werk) 2. Ja, een laptop (niet van mijn werk) 3. Ja, een tablet (niet van mijn werk) 4. Ja, een smartphone (niet van mijn werk) 5. Ja, een computer (pc, laptop, tablet, smartphone) van mijn werk 95. Nee <<screen out if: S1 = 3 or 4 AND S3b = 2 S1 = 3 or 4 AND S3c = 95 S1 = 5


115/146

ALL

S4b. (0.7) Heeft u thuis beschikking over een internetverbinding? (S) 1. Ja 2. Nee screen out >

ALL

S5a. (0.8) Maken er weleens anderen gebruik van deze computer(s) die u thuis ter beschikking heeft? (S) <show as a grid question> Answers in column 1. Ja, zij gebruiken hiervoor hetzelfde account om in te loggen als ik 2. Ja, zij gebruiken hiervoor een ander account om in te loggen dan ik 3. Nee, ik ben de enige die dit apparaat gebruikt Answers in row <show answer(s) S4a = 1,2,3,4. If S4a=5, also show answers 1 through 4 of S3c that are not mentioned in S4a > a. Pc b. Laptop c. Tablet d. Smartphone

Selection: S5a = 1 or 2 (for pc, laptop, tablet or smartphone) S5b. Wie maken er dan weleens gebruik van deze computer(s) (pc, laptop, tablet, smartphone)? (M) 1. 2. 3. 4. 5. 6.

Mijn partner Mijn kind(eren) Vriendjes van mijn kind(eren) Familieleden Vrienden/bekenden Collega’s


116/146

ALL

S5c . (0.9) Kunt u aangeven voor welke doeleinden u deze apparaten gebruikt? (S) Answers in column 1. Alleen voor privédoeleinden 2. Alleen voor zakelijke doeleinden 3. Voor zowel privé als zakelijke doeleinden 4. Ik gebruik dit apparaat niet Answers in row <show answer(s) S4a = 1,2,3,4. If S4a= 5, also show answers 1 through 4 of S3c that are not mentioned in S4a> a. Pc b. Laptop c. Tablet d. Smartphone

<Scripter instructions: Define the appointment to target groups on the basis of the previous selection questions, conform the quota description and definition of the target groups at the beginning of this document. If respondent belongs to target group “consumenten” AND S5c a,b,c, and d are all 4 > screen out. If the respondent belongs to both the target group “consumenten” as well as the target group “bedrijfsleven overig”:  please appoint the respondent to the target group for which the relatively the most net respons is needed at that moment.  depending on the target group to which the respondent is appointed, show the following text at the beginning of the questionnaire: Wilt u deze vragenlijst invullen als consument en niet zozeer als werknemer. Wilt u deze vragenlijst invullen als werknemer en niet zozeer als consument.

ALL S5d

Kunt u aangeven wie verantwoordelijk is voor (eventuele) beveiliging van deze apparaten? (S) Answers in column 1. Niemand, het apparaat is niet beveiligd 2. Ikzelf 3. Mijn partner


117/146

4. 5. 6. 7. 96.

Mijn kind(eren) Familie of vrienden Een professioneel bedrijf Mijn werkgever Anders

Answers in row <show answer(s) S4a = 1,2,3,4. If S4a=5, also show answers 1 through 4 of S3c that are not mentioned at S4a > a. Pc b. Laptop c. Tablet d. Smartphone Basisvragenlijst

ALL Bedankt voor het beantwoorden van enkele vragen over uw computergebruik. Welkom bij het hoofddeel van het onderzoek naar cyber security. Met dit onderzoek willen we in kaart brengen hoe Nederlanders op het werk en in hun privésituatie aankijken tegen veilig omgaan met hun digitale omgeving. Meewerken gebeurt zoals altijd op anonieme basis. Waar we in de vragenlijst spreken over “organisatie” bedoelen we: de organisatie, overheidsinstantie of het bedrijf waar u werkzaam bent. SELECTION: target groups “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” A. Computergebruik werk De volgende vragen gaan over het gebruik van computers in uw werksituatie A1_2014 (1.1). Hoeveel uur per week maakt u gemiddeld gebruik van uw computer (pc, laptop, tablet en/of smartphone) voor het uitvoeren van uw betaalde werkzaamheden? (S) 1. 2. 3. 4. 5. 6.

Minder dan 1 uur per week 1 tot en met 5 uur per week 6 tot en met 10 uur per week 11 tot en met 20 uur per week 21 tot en met 30 uur per week 31 tot en met 40 uur per week


118/146

7. 41 uur en meer per week SELECTION: target groups “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” A2 (1.2) Waarvoor gebruikt u de computer (pc, laptop, tablet en/of smartphone) die u voor uw werk ter beschikking is gesteld? (M) 1. Tekstverwerking, rekenen en tekenen (offline software) 2. Tekstverwerking, rekenen en tekenen online in een zogenaamde cloud (Google Drive, iCloud e.d.) 3. Online bankieren 4. Online aankoop artikelen 5. Online verkoop artikelen 6. E-mailen 7. Chatten 8. Belllen, zoals met Skype 9. Surfen op het internet om informatie te zoeken 10. Surfen op het internet voor vermaak 11. Downloaden van software, muziek, films e.d 15. Apps 12. Online gamen 13. Gebruik van netwerksites zoals Facebook, LinkedIn 16. Informatie plaatsen op internet (website, blog) 17. Verwerken van foto’s en video’s 96. Anders, namelijk…(O) B. Inschatting eigen mate van cyber security ALL

B1 (2.1). Als we het hebben over cyber security oftewel een veilige digitale omgeving, waar denkt u dan aan? (O) 1. (O) 97. Weet niet/geen antwoord ALL B2 (2.2) Op een schaal van 1 tot 10, hoe hoog schat u de digitale veiligheid in: (O) (Hierbij staat 1 voor heel laag en een 10 voor heel hoog) Answers in column: <1 – 10> 97. Weet niet/niet van toepassing (S)


119/146

Answers in row: a. van de organisatie waar u werkt <do not show to target group “consumers” who haven’t got a company computer at home S3b = 2 or S3b is missing> b. van de medewerkers in de organisatie bij de uitvoering van hun werk <do not show to target group “consumers” who haven’t got a company computer at home S3b = 2 or S3b is missing > c. van uzelf, in de uitvoering van uw werk <do not show to target group “consumers” who haven’t got a company computer at home S3b = 2 or S3b is missing> d. van uzelf, in uw privésituatie ALL B3a. Hieronder staat een aantal stellingen over het gebruik van internet. Kunt u aangeven in hoeverre u het (on)eens bent met de stellingen? (S) Answers in column: 1. Zeer mee eens 2. Mee eens 3. Neutraal 4. Mee oneens 5. Zeer mee oneens 97. Weet niet Answers in row, randomize: a) Ik vertrouw erop dat internetbedrijven mijn gegevens niet zonder mijn toestemming aan derden verstrekken. b) Van iedereen zijn nu eenmaal veel gegevens bekend op internet, dat heb je zelf niet echt in de hand. c) Bij online aankopen betaal ik liever niet met een creditcard. d) Ik begrijp de zorgen over online betalen met een creditcard niet, als het mis gaat krijg je je geld toch wel terug. e) De privacyvoorwaarden bij het verstrekken van gegevens op internet lees ik meestal niet of nauwelijks. f) Ik ben niet huiverig voor internetbankieren. g) Ik maak me meestal weinig zorgen over de risico’s van internet. h) Ik maak me zorgen om de bescherming van mijn privacy op internet. i) Ik ben me voldoende bewust van de risico’s van internet j) Ik voel me voldoende beschermd tegen de risico’s van internet. k) Risico’s van internet zijn vervelend, maar niet echt bedreigend voor mij. l) Er komen telkens nieuwe risico’s bij op internet, dat kun je toch niet bijbenen m) Ik zie geen gevaar bij het online aankopen van producten bij grote merken of bekende sites. n) Ik loop minder risico dan anderen op een nare ervaring met internet o) Tegen grote gevaren op internet kun je je eigenlijk niet weren, kwaadwillenden slagen toch wel p) Ik heb met mijn kind(eren) afspraken gemaakt over omgaan met digitale veiligheid tijdens het internetten


120/146

ALL B3b.

In hoeverre maakt u zich zorgen over uw digitale veiligheid? 1. Veel zorgen 2. Enige zorgen 3. Geen zorgen

SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” B3 (2.3) Op een schaal van 1 tot 10, hoe beoordeelt u de mate waarin de organisatie waarvoor u werkt aandacht heeft voor digitale veiligheid? (O) (Hierbij staat een 1 voor heel laag en een 10 voor heel hoog) <1 – 10> 97. Weet niet/geen antwoord (S) SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” B4. (2.4) Kunt u aangeven welke werkzaamheden en handelingen op internet een risico kunnen vormen voor de digitale veiligheid van de organisatie waar u werkt? (O) 1. 97. Weet niet/geen antwoord SELECTION: all: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig”, “Consumenten” B5. (2.5) Heeft u op uw werk of thuis wel eens last gehad van: (S) Answers in column 1. Ja , ikzelf 2. Nee, ik zelf niet maar wel een familielid/vriend/kennis/collega 3. Nee 97. Weet niet / geen antwoord Answers in row, random 1. Computervirus verspreid via e-mail 2. Computervirus verspreid via het downloaden van geïnfecteerde software/bestanden 3. Computeruitval door een virus of malware 4. Identiteitsdiefstal / misbruik van uw persoonsgegevens 5. .Ongeoorloofde afschrijving via telebankieren 6. Mails met phishing 7. Ongewenste e-mail (SPAM)


121/146

8. Mensen die gegevens opvragen door zich voor te doen als telefonische helpdesk, een betrouwbare of bekende organisatie 9. Online pesten 10. Online chantage 11. Oplichting bij online aankopen 12. Online oplichting met behulp van een zielig verhaal <show the following information balloon at 5 “mails met phishing”:> Phishing is een verzamelnaam voor digitale activiteiten die tot doel hebben persoonlijke informatie aan mensen te ontfutselen. Deze persoonlijke informatie kan direct worden misbruikt voor het doen van bijvoorbeeld grote uitgaven (in het geval van creditcardnummers) of voor wat in het Engels 'identity theft' wordt genoemd, het stelen van een identiteit. In dit geval zijn bijvoorbeeld gegevens als burgerservicenummers, adressen en geboortedata nodig. <show the following information balloon at 3. “computeruitval door een virus of malware”:> Malware is een verzamelnaam voor kwaadaardige en/of schadelijke software. <show the following information balloon at 10. “online chantage”:> Online chantage gebeurt bijvoorbeeld via Ransomware: een chantagemethode op internet door middel van malware. Letterlijk vertaald betekent ransom: losgeld. Ransomware is een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te 'bevrijden'. Betalen blijkt echter niet tot ontsluiting van de computer te leiden, zo waarschuwt de Nederlandse overheid. <show the following information balloon at 11. “oplichting bij online aankopen”:> Dagelijks kopen en verkopen vele particulieren nieuwe en tweedehands artikelen van en aan elkaar op online marktplaatsen en veilingen, zoals Marktplaats en eBay. Het grootste deel van de transacties verloopt probleemloos, maar soms krijgen particulieren te maken krijgen met oplichters. Deze oplichters betalen het ontvangen artikel niet, of betalen het met een ongedekte cheque waarvan de bank het bedrag vervolgens terugvordert. <show the following information balloon at 12. “Nigeriaanse online oplichting”:> Bij deze vorm van oplichting, ook wel de 419-scam of ‘advance fee fraud’ genoemd, neemt een onbekend persoon – vaak iemand in het buitenland - contact met een burger op per email. Via een zielig verhaal probeert hij geld en/of persoonlijke gegevens af te troggelen, door grote sommen geld in het vooruitzicht te stellen als de burger hem met een aanbetaling helpt om geld of kostbare spullen vrij te maken.

C. Wijze van vorm en inhoud geven aan cyber security op het werk

SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” C1. (3.7) In hoeverre weet u:


122/146

Answers in column 1. precies 2. globaal 3. niet of nauwelijks Answers in row a. Welke informatie binnen uw organisatie gevoelig/vertrouwelijk is? b. Wat u moet doen wanneer er een incident plaatsvindt die de digitale veiligheid in het gevaar brengt? c. Waar u op moet letten wanneer u een e-mail ontvangt met daarin een link? d. Welke websites u wel en niet mag bezoeken op uw zakelijke computer? e. Wat de zwakke plekken zijn in de digitale veiligheid van uw organisatie? f. Welke informatie u wel of niet per e-mail mag delen? SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” C2. (3.5) Hoe vaak deelt u gevoelige bedrijfsinformatie via e-mail, de cloud of usb-stick? Answers in column 1. Nooit 2. Soms 3. Regelmatig 4. Vaak

Answers in row a. E-mail b. De cloud c. Usb-stick Informatie delen via de cloud: informatie via internet beschikbaar stellen, bijvoorbeeld via sites als WeTransfer.

SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” C3. (3.8) Zijn de volgende stellingen op u van toepassing?

Answers in column 1. Wel van toepassing 2. Niet van toepassing Answers in row a. Ik laat mijn zakelijke tablet en/of smartphone niet door anderen gebruiken


123/146

b. Ik laat mijn pc en/of laptop niet door anderen gebruiken c. Wanneer ik gebruik maak van een openbare Wi-Fiverbinding (bijv. in de trein, een café, etc.), maak ik bewuste keuzes welke handelingen ik wel en welke ik niet verricht op mijn zakelijke computer (pc, laptop, tablet, smartphone) d. Wanneer ik een openbare Wi-Fiverbinding heb gebruikt (bijv. in de trein, een café, etc.), wijzig ik daarna mijn wachtwoord(en) e. Ik maak voor mijn werk gebruik van een VPN-verbinding of een andere beveiligde verbinding met bijvoorbeeld een authenticatietoken f. Een usb-stick die buiten de organisatie is geweest, laat ik eerst door de systeembeheerder controleren op virussen g. Ik laat wel eens een PC of laptop onbeheerd achter h. Ik neem maatregelen (zoals een privacy screen) zodat anderen niet mee kunnen kijken als ik mijn zakelijke laptop, smartphone en/of tablet gebruik in een openbare ruimte zoals een trein of café. i. Ik vergrendel mijn zakelijke laptop, smartphone en/of tablet met een code. SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” C4. (3.2) Zijn onderstaande zaken binnen uw organisatie vastgelegd in een beleid? Answers in column 1. Ja 2. Nee 97. Weet niet/geen antwoord Answers in row a. Beleid voor veilig wachtwoordgebruik b. Beleid voor updaten antivirussoftware c. Beleid voor internetgebruik: welk type websites wel/niet te bezoeken d. Back-up beleid e. Beleid voor omgang met usb-sticks f. Beleid voor omgang met pc’s, laptops, tablets en/of smartphones g. Beleid voor melden van incidenten h. Beleid voor het updaten van software van programma’s die op de computer draaien <show the following information balloon at h.”Beleid voor het updaten van programmasoftware”:> Hierbij gaat het om software voor de programma’s die op de computer draaien zoals Adobe Reader, Flash Player, Orcale Java, Microsoft Office enzovoorts. SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig”

C5. (3.1) In hoeverre vindt u de volgende stellingen van toepassing op uw organisatie?


124/146

Answers in column 1. Niet van toepassing 2. Meer niet dan wel van toepassing 3. Meer wel dan niet van toepassing 4. Wel van toepassing 97. Weet niet/geen antwoord Answers in row a. Onze organisatie heeft een beleid (protocol) voor alle werknemers met betrekking tot de digitale omgeving b. De medewerkers weten hoe te handelen bij incidenten op het gebied van digitale veiligheid c. Nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken d. Bij ontslag en/of vertrek van medewerkers worden maatregelen uitgevoerd in het kader van digitale veiligheid e. Het naleven van de regels rondom digitale veiligheid maakt binnen onze organisatie onderdeel uit van de functionerings-/beoordelingsgesprekken f. Na een incident op het gebied van digitale veiligheid is het de gewoonte dat alle medewerkers hier direct een terugkoppeling over ontvangen g. De leidinggevenden zien er op toe dat alle medewerkers op de hoogte zijn van het bestaan en de inhoud van het beleid met betrekking tot de digitale werkomgeving h. Medewerkers worden er op aangesproken als zij zich niet houden aan de afspraken over digitale veiligheid i. Medewerkers worden regelmatig getoetst op hun kennis over en het naleven van het digitale veiligheidsbeleid SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” AND S3a = 1

C6. (3.3) In hoeverre vindt u de volgende stellingen van toepassing op de medewerkers in uw organisatie? Answers in column 1. Niet van toepassing 2. Meer niet dan wel van toepassing 3. Meer wel dan niet van toepassing 4. Wel van toepassing 97. Weet niet/geen antwoord 6. Onze organisatie heeft geen beleid/protocol op dit gebied Answers in row a. Medewerkers zijn goed op de hoogte van het organisatiebeleid over digitale veiligheid b. Medewerkers zijn zich voldoende bewust van het belang van digitale veiligheid c. Medewerkers zijn zich voldoende bewust van de mogelijke gevaren op het gebied van digitale veiligheid die zich binnen onze organisatie kunnen voordoen d. Medewerkers ervaren de informatie over digitale veiligheid als helder en eenduidig e. Medewerkers zijn op de hoogte van hun eigen verantwoordelijkheden rondom digitale veiligheid


125/146

f.

Medewerkers houden zich strikt aan de afspraken rondom de uitvoering van de protocollen op het gebied van digitale veiligheid; zij volgen consequent de regels die hieraan verbonden zijn op g. Medewerkers zijn niet op de hoogte van het beleid over digitale veiligheid h. Medewerkers die op de hoogte zijn van het beleid over digitale veiligheid, passen niet alle veiligheidsprotocollen toe i. Medewerkers weten waar zij terecht kunnen voor informatie over digitale veiligheid SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig”

C7. (3.4) In hoeverre vindt u de volgende stellingen van toepassing op uzelf in uw werksituatie? Answers in column 1. Niet van toepassing 2. Meer niet dan wel van toepassing 3. Meer wel dan niet van toepassing 4. Wel van toepassing 97. Weet niet/geen antwoord 6. Onze organisatie heeft geen beleid/protocol op dit gebied Answers in row a. Ik weet bij wie ik een incident op het gebied van digitale veiligheid dien te melden b. Ik ben me voldoende bewust van het belang van digitale veiligheid c. Ik ben me voldoende bewust van de mogelijke gevaren op het gebied van digitale veiligheid die zich binnen onze organisatie kunnen voordoen d. Informatie over digitale veiligheid ervaar ik als helder en eenduidig e. Ik ben voldoende op de hoogte van mijn eigen verantwoordelijkheden rondom digitale veiligheid f. Ik houd me strikt aan de afspraken rondom de uitvoering van de protocollen op het gebied van digitale veiligheid; ik volg consequent de regels die hieraan verbonden zijn op g. Ik maak collega's er op attent wanneer deze een bepaalde regel op het gebied van digitale veiligheid veronachtzamen h. Ik stimuleer mijn collega's zich volgens de regels op het gebied van digitale veiligheid te gedragen i. Ik ben niet goed op de hoogte van het beleid over digitale veiligheid SELECTION: target groups: “Rijksoverheid”, “Provincies”, “Gemeenten”, “Waterschappen”, “Bedrijfsleven vitale sectoren”, “Bedrijfsleven overig” C8. (3.6) Bij wie vindt u dat de verantwoordelijkheid voor de veiligheid op het gebied van internetgebruik voornamelijk moet liggen? Er zijn maximaal twee antwoorden mogelijk. (M) TPM: max 2 answers 1. Werknemers 2. Het management van mijn organisatie


126/146

3. 4. 5. 6.

De IT-afdeling van mijn organisatie Internet providers Website-eigenaren De overheid 97. Weet niet [S]

D. Kennis over cyber security SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 Target groups: “Rijksoverheid”, “provincies”, “gemeenten”, “waterschappen”, “bedrijfsleven vitale sectoren”, “bedrijfsleven overig” with a private computer which is also used for work purposes S5c = answers 2 or 3. De volgende vragen gaan over uw privésituatie en het gebruik van uw privécomputer. SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 D1. (4.2b) Hoeveel uur per week maakt u gemiddeld gebruik van uw computer(s) (pc, laptop, tablet en/of smartphone) in uw privétijd? 1. 2. 3. 4. 5.

Minder dan 1 uur per week 1 tot en met 5 uur per week 6 tot en met 10 uur per week 11 tot en met 20 uur per week 21 uur tot en met 30 uur per week 6. 31 tot en met 40 uur per week 7. 41 uur en meer per week

SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 D2. (4.3) Welke van de onderstaande activiteiten onderneemt u op internet? (M) 1. Tekstverwerking, rekenen en tekenen online in een zogenaamde cloud (Google Drive, iCloud e.d.) 2. Online bankieren 3. Online aankoop artikelen 4. Online verkoop artikelen 5. E-mailen 6. Chatten 7. Skype 8. Surfen op het internet om informatie te zoeken 9. Surfen op het internet voor vermaak 10. Downloaden van software, muziek, films e.d 11. Online gamen 12. Gebruik van netwerksites / social media, zoals twitter, facebook, LinkedIn


127/146

96. Anders, namelijk…(O)

SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 D3 (4.1) Op welke manieren kan er via internet misbruik gemaakt worden van uw computer? (O) 1. 97. Weet niet/geen antwoord (S) SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4

D4. (4.2) Wat doet u zelf om uzelf te beschermen tegen dergelijk misbruik? (O) 1. 2. Niets [S] 97. Weet niet/geen antwoord (S) SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 D5. (4.4) Hoe groot denkt u dat de kans is dat tegen uw zin in het volgende op internet gebeurt: (S) Answers in column 1. Zeer klein 2. Klein 3. Niet groot, niet klein 4. Groot 5. Zeer groot 97. Weet niet/geen antwoord Answers in row, randomize a. Er wordt zomaar geld van mijn rekening of creditcard gehaald b. Er wordt iets gekocht uit mijn naam c. Een product waarvoor ik betaald heb, wordt niet geleverd en de verkoper is niet meer te bereiken d. Iemand doet alsof hij mij is e. Persoonlijke gegevens (zoals vakantiefoto’s, persoonlijke berichten of persoonsgegevens) die ik op internet heb gezet, worden zonder mijn toestemming door anderen gebruikt en verspreid f. Bij het plaatsen van een foto of berichtje op social media worden automatisch locatiegegevens vermeld g. Er wordt met anderen gedeeld waar ik mij op dat moment bevind h. Onbekenden kunnen zien met wie ik bevriend ben i. Anderen proberen persoonlijke gegevens van mij te ontfutselen j. Mijn naam wordt op foto’s op sociale media vermeld / getagd k. Ik word gefilmd via de webcam l. Mijn computer wordt gebruikt om een misdaad te pleggen plegen (bijvoorbeeld door hackers)


128/146

SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 AND D2 = 12 D6. (4.11) Welke van de volgende uitspraken met betrekking tot uw social media gebruik zijn op u van toepassing: (S) Indien u meerdere typen social media gebruikt en een uitspraak is van toepassing voor minimaal één daarvan, antwoordt u dan ‘van toepassing’. Answers in column 1. Van toepassing 2. Niet van toepassing Answers in row a. Bij het aanmaken van een profiel op social media (Twitter, Facebook, LinkedIn, Flickr) vul ik zoveel mogelijk persoonlijke informatie in b. Ik heb op social media een privacyfilter ingesteld zodat ik zelf kan bepalen wie welke gegevens van mij kan zien c. Wanneer ik op vakantie ga, vermeld ik dat op social media d. Wanneer ik op reis ben, vermeld ik dat op social media e. Iedereen kan mijn profiel op social media zien f. Op de social media die ik gebruik, kan iedereen zien waar ik werk g. Ik verwijder de GPS-informatie van foto’s en/of andere documenten voordat ik die op social media plaats h. Ik weet hoe ik de privacy-instellingen van mijn social-media-account kan aanpassen

SELECTION: All target groups, S4a = 1 or 2 or 3 or 4 or 5 D7. (4.9) Welke beveiliging staat er thuis aan op uw Wi-Fi-netwerk (draadloos netwerk)? (S) 1. WPA 2. WPA2 3. WEP 4. Andere beveiliging 5. Ik heb beveiliging op mijn Wi-Fi-netwerk, maar ik weet niet welke 6. Ik weet niet of ik beveiliging op mijn Wi-Fi-netwerk heb 7. Ik heb geen beveiliging op mijn Wi-Fi-netwerk 8. Ik heb geen Wi-Fi-netwerk thuis

SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 Target groups: “Rijksoverheid”, “provincies”, “gemeenten”, “waterschappen”, “bedrijfsleven vitale sectoren”, “bedrijfsleven overig” with a private computer which is also used for work purposes S5c = 2 or 3.


129/146

D8. (4.8b) Weet u wat cookies zijn? (S) 1. Ja 2. Nee SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 Target groups: “Rijksoverheid”, “provincies”, “gemeenten”, “waterschappen”, “bedrijfsleven vitale sectoren”, “bedrijfsleven overig” with a private computer which is also used for work purposes S5c = 2 or 3. D9_2014. (4.8) Kunt u voor het apparaat/de apparaten waar u thuis beschikking over heeft aangeven welke van de volgende uitspraken op u van toepassing zijn? (Multiple Grid) Answers in column 1. Pc
2. Laptop 3. Tablet 4. Smartphone <S> 97. Weet niet [S] Rows a. b. c. d. e.

Ik heb een antivirusprogramma geïnstalleerd Ik laat mijn computer(s) maandelijks scannen op infecties < applies to P,L> Ik heb een firewall ingeschakeld Ik heb mijn firewall gepersonaliseerd Ik maak zoveel mogelijk gebruik van de mogelijkheid om automatische updates te installeren f. Ik controleer maandelijks bij softwareleveranciers of er nieuwe updates zijn en installeer deze direct g. Wanneer ik een melding ontvang dat er software-updates beschikbaar zijn, dan installeer ik deze direct h. Ik deïnstalleer software die ik niet gebruik i. Ik weet hoe ik cookies in mijn browser kan verwijderen j. Ik gebruik waar mogelijk two-factor-authentication k. Ik verstuur geen gevoelige gegevens over openbare en onbeveiligde netwerken l. Ik vind e-mail voldoende veilig om vertrouwelijke informatie te versturen m. Mijn thuisnetwerk is versleuteld met WPA2 n. Ik open geen berichten (e-mails, postings, SMS) met een bijlage wanneer ik deze niet verwacht o. Ik ga niet in op berichten waarin mij wordt verzocht om in te loggen op een systeem of om gegevens te bevestigen p. Ik open soms wel eens berichten waarvan ik de afzender niet ken q. Ik klik niet op ingekorte hyperlinks


130/146

r. Ik verwijder spam direct en ongeopend s. Ik installeer apps alleen via de officiële applicatiewinkels en gebruik geen illegale kopieën t. Ik controleer altijd het webadres (URL) en het certificaat (hangslotje) om vast te stellen of ik de juiste site bezoek. u. Ik weet hoe ik pop-ups moet afsluiten en klik dus niet op ‘akkoord’, ‘ok’, of de ‘x’ in de pop-up zelf. v. Ik maak geregeld een back-up van mijn computer. w. Als ik een USB-stick vind of krijg, stop ik hem in mijn computer om te kijken wat er op staat. x. Mijn smartphone is vergrendeld met een code of wachtwoord. <show the following information balloon at:i: Cookies>: Een cookie is een hoeveelheid data die een server naar de browser (zoals Internet Explorer, Firefox, Google Chrome) stuurt met de bedoeling dat deze opgeslagen wordt en bij een volgend bezoek weer naar de server teruggestuurd wordt. Zo kan de server de browser opnieuw herkennen en bijhouden wat de gebruiker, c.q. de webbrowser, in het verleden heeft gedaan.

<show the following information balloon at:J: two-factor authentication>: Dit is een methode waarbij voor het inloggen op een systeem twee verschillende identificatiemiddelen worden gebruikt, te kiezen uit “iets wat je weet” zoals een wachtwoord of pincode, “iets wat je hebt” zoals een chipkaart, en “iets wat je bent” zoals een vingerafdruk of irisscan. Als een aanvaller één van de identificatiemiddelen weet te stelen, dan kan hij alsnog niet inloggen zonder een van de andere identificatiemiddelen. <show the following information balloon at: M. WPA2>: WPA staat voor Wi-Fi Protected Acces. Hiermee worden gegevens versleuteld en wordt gecontroleerd of netwerkbeveiligingssleutel niet is gewijzigd. Gebruikers worden bovendien geverifieerd zodat alleen mensen met de juiste machtigingen toegang tot het netwerk hebben. WPA2 is veiliger dan WPA. <show the following information balloon at: Q: hyperlinks>: Een koppeling naar een andere locatie op het internet (bijvoorbeeld een website) of een bestand. <show the following information balloon at: U: pop-ups>: Dit is een nieuw, meestal kleiner venster dat vanzelf tevoorschijn komt tijdens het bekijken van een website op het internet. Pop-ups worden veel gebruikt voor reclamedoeleinden, maar ook voor het installeren van kwaadaardige software op uw computer. SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 D10. (4.5) Heeft u behoefte aan informatie over hoe u zich kunt beschermen tegen de risico’s van internet? (S) 1. Ja 2. Nee 97. Weet ik niet / geen antwoord


131/146

SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 AND D10 = 1. D11. (4.6) Van welke partijen wilt u informatie over hoe zich kunt beschermen tegen de risico’s van internet? (M) 1. Overheid 2. Softwareleveranciers 3. Internet providers 4. Consumentenorganisaties 96. Anders, namelijk…(O) SELECTION: Target group: “consumenten” with a private computer S4a= 1,2,3 or 4 D12. (4.7) Bij wie vindt u dat de verantwoordelijkheid voor de veiligheid op het gebied van internetgebruik voornamelijk moet liggen? (M) 1. 2. 3. 4.

De gebruiker zelf Internet providers Website-eigenaren De overheid 97. Weet niet [S]

E. Wachtwoord kennis en gedrag ALL E1. (5.2) Welke van onderstaande eigenschappen zijn van toepassing op de meeste van uw wachtwoorden? Answers in column 1. Van toepassing 2. Niet van toepassing Answers in row a. Mijn wachtwoorden bestaan uit meer dan 10 karakters b. Mijn wachtwoorden bevatten geen woorden die in het woordenboek voorkomen c. Mijn wachtwoorden bevatten speciale tekens (anders dan letters uit het alfabet of cijfers) ALL


132/146

Sterke wachtwoorden bestaan uit minimaal 8 tekens, bevatten geen herkenbare woorden (of verschillende woorden achter elkaar), bevatten zowel hoofdletters als kleine letters, vreemde tekens en cijfers. E2. (5.1) Hoe veilig (‘sterk’) denkt u dat (de meeste) wachtwoorden van u zijn? (Q) Uiteenlopend van ‘1=zeer onveilig/zwak’ - tot ‘10=zeer veilig/sterk’ [cijfer 1 / 10] ALL

E3. (5.3) Hoe zorgt u ervoor dat u uw wachtwoorden kunt onthouden? (M) 1. Ik noteer mijn wachtwoorden op een briefje dat ik verstop 2. Ik sla mijn wachtwoorden op in mijn telefoon 3. Ik sla mijn wachtwoorden op in mijn laptop/tablet/PC/smartphone 4. Ik zet bij het inloggen een vinkje bij ‘onthoud mijn wachtwoord’ 5. Ik vertel mijn wachtwoorden aan iemand die ik vertrouw 6. Ik onthoud mijn wachtwoorden via een e-mail aan mezelf 7. Ik vraag bij ieder bezoek een nieuw wachtwoord aan 8. Ik gebruik speciale software die steeds automatisch een nieuw veilig wachtwoord genereert 9. Ik gebruik speciale software waarin ik mijn wachtwoorden opsla 10. Ik onthoud mijn wachtwoorden in mijn hoofd 11. Ik onthoud mijn wachtwoorden niet 96. Anders fixed as the single last category 13. Ik sla mijn wachtwoorden op in een versleuteld (beveiligd) document op in mijn laptop/tablet/pc/smartphone 97. Wil niet zeggen [S] fixed as the last category ALL E4. (5.5) Hoeveel verschillende wachtwoorden gebruikt u voor de verschillende computers, programma’s en/of websites die u gebruikt? (S) Kiest u het antwoord dat het best bij uw situatie past. Roulate 1. Ik heb één wachtwoord dat ik voor alles gebruik 2. Ik heb één type wachtwoord waarvan ik diverse variaties gebruik 3. Ik heb een aantal verschillende wachtwoorden, maar sommige gebruik ik voor meerdere accounts en/of diensten 4. Voor belangrijke zaken gebruik ik overal een ander wachtwoord, voor de onbelangrijke accounts en/of diensten gebruik ik meestal steeds hetzelfde wachtwoord 5. Ik gebruik overal een ander wachtwoord voor


133/146

ALL E5. (5.4) Hieronder staat een aantal uitspraken over het wisselen van wachtwoorden. Welke uitspraak is het meeste op uw wachtwoord(en) van toepassing? Met “regelmatig” wordt bedoeld “eens per drie maanden of vaker”, met “wel eens” wordt bedoeld “minder vaak dan eens per drie maanden” (S) 1. 2. 3. 4. 5. 6.

Ik wissel eigenlijk nooit mijn wachtwoorden Ik wissel mijn wachtwoorden alleen als ik daar een melding over krijg Ik wissel wel eens mijn belangrijkste wachtwoorden Ik wissel regelmatig mijn belangrijkste wachtwoorden Ik wissel wel eens al mijn wachtwoorden Ik wissel regelmatig al mijn wachtwoorden 97. Weet niet / wil niet zeggen


134/146

G. Themavragenlijst Subthema 1. Informatiebehoefte – en gebruik TPM DISPLAY TEKST: De volgende vragen gaan onder andere over de informatievoorziening rondom veilig internetten. Het gaat daarbij zowel om uw privésituatie als uw werksituatie (indien u werkzaam bent).

SELECTION: All G1.

In hoeverre heeft u behoefte aan informatie over veilig internetten? (S) 1. Veel behoefte 2. Een beetje behoefte 3. Weinig behoefte 4. Geen behoefte 99. Weet niet

SELECTION: G1 = 1 or 2 or 3 or 4 G2

Kunt u aangeven waarom u behoefte heeft aan het opdoen van informatie op over veilig internetten? (O) 1. ……(O) 99. Weet niet. (S)

SELECTION: ALL G3.

Waar heeft u – afgezien van via dit onderzoek - weleens informatie gezien, gelezen of gehoord over veilig internetten? [O] Noteert u alstublieft elke informatiebron afzonderlijk in een tekstvak. U kunt maximaal 5 verschillende informatiebronnen noteren. Als u meer dan 5 informatiebronnen heeft, noteert u dan de 5 voor u belangrijkste informatiebronnen. 1. ……(O) 2. Ik heb geen informatie over veilig internetten gezien, gelezen of gehoord (S) 99. Weet niet. (S)


135/146

SELECTION: G3 = 1 G4.

Waar doet u informatie op over veilig internetten? Het kan zijn dat u een of meer van onderstaande informatiebronnen zelf al heeft genoemd bij de vorige vraag. Geeft u alstublieft ook nu aan welke informatiebronnen u gebruikt, ook als u die al eerder heeft genoemd. (M) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

Via mijn werkgever/ collega’s Via een professioneel bedrijf op het gebied van veilig internetten Via de overheid Via een internetprovider Via een bank Via mijn zakelijke netwerk (klanten/leveranciers) Via familie, vrienden, bekenden Via een nieuwsbrief/e-mail alert, namelijk van…..(O) Via een specifieke website die ik rechtstreeks bezoek, namelijk……(O) Via een zoekmachine op internet (bijv. Google) Via de media (radio, tv, krant) Via social media (Twitter, Facebook, Linkedin) Via een vakblad/magazine, namelijk….(O) Via een boek Via een opleiding / training / cursus

16. Anders, namelijk….. (O) (fixed) 17. Weet niet (S) (fixed) <no back-button> Scripter: if you chose G4 = 8,9,13 or 16 but don’t fill in an open answer, the text “Specificeer alstublieft waarom ….is gekozen” --> please change this text to “Specificeer alstublieft via welke
Heeft u de informatie over veilig internetten zelf opgezocht, kwam u deze informatie toevallig ergens tegen, of beide? [S] 1. Ik heb de informatie zelf opgezocht 2. Ik kwam de informatie toevallig ergens tegen, ik was er niet zelf naar op zoek 3. Beide: Ik heb een deel van de informatie zelf opgezocht en kwam een deel van de informatie toevallig ergens tegen.

SELECTION: G3 = 1 G6. Heeft u wel eens een van de volgende acties ondernomen naar aanleiding van informatie die u heeft gezien, gelezen of gehoord over veilig internetten? (M)


136/146

1. Nee (S) (fixed) 2. Ik heb verdere informatie gezocht via een andere informatiebron, namelijk….(O) 3. Ik heb me aangemeld op een website om nieuwsberichten/feeds/een nieuwsbrief te ontvangen 4. Ik heb de informatie gedeeld met anderen via social media 5. Ik heb nieuwe of andere maatregelen** genomen om mezelf te beschermen tegen de risico’s voor veilig internetten 6. Ik heb met anderen gesproken over wat ik weet over veilig internetten 7. Ik heb anderen geholpen om zichzelf beter te beschermen tegen de risico’s voor veilig internetten 99. Weet niet

** TPM: add information balloon: Bijvoorbeeld: het installeren of updaten van anti-virus software, het installeren of updaten van een firewall, het versterken van mijn wachtwoorden, het verwijderen van cookies uit de browser.

SELECTION: G3 = 1 G7.

Hoe beoordeelt u het huidige aanbod van informatie over veilig internetten in het algemeen? Het gaat om het totale aanbod van informatie dat voor u toegankelijk is. Geeft u dit aan met behulp van een rapportcijfer van 1 t/m 10, waarbij 1 staat voor zeer slecht en 10 staat voor uitstekend. [S] (TPM dropdown) Q 1-10 99. Weet niet (S)

SELECTION: G7 IS NOT 99 G8. Kunt u toelichten waarom u het huidige aanbod van informatie over veilig internetten met een <scripter if G7 = 1 up to and including 5, display: onvoldoende. If G7 is 6 up to and including 7 10, display: voldoende. If G7 = 8 up to and including 10, display: ruim voldoende> beoordeelt? 1. …… 99. Weet niet.

SELECTION: ALL G9.

Mist u bepaalde informatie over veilig internetten? (O) 1. Ja, namelijk…….(O) 2. Nee (S) 99. Weet niet


137/146

ALL G10

Tot slot volgt hieronder nog een aantal stellingen over de rol van veilig internetten in het basisonderwijs (daarmee bedoelen we de lagere school) en het voortgezet onderwijs (daarmee bedoelen we de middelbare school). Kunt u van de volgende stellingen aangeven in welke mate u het met de stelling eens of oneens bent? (S) Answers in column 1. Zeer mee oneens 2. Mee oneens 3. Neutraal 4. Mee eens 5. Zeer mee eens. 99. Weet niet Answers in row, random a. Kinderen zouden zo jong mogelijk bewust moeten worden gemaakt van de gevaren voor veilig internetten b. Op dit moment wordt in het basisonderwijs te weinig aandacht besteed aan veilig internetten c. In het basisonderwijs zou meer aandacht aan veilig internetten moeten worden besteed d. Op dit moment wordt in het voortgezet onderwijs te weinig aandacht besteed aan veilig internetten e. In het voortgezet onderwijs zou meer aandacht aan veilig internetten moeten worden besteed f. Aandacht voor veilig internet is meer een taak van de ouders dan van de school g. Het leren programmeren moet een verplicht onderdeel worden van het basisonderwijs h. Het leren programmeren moet een verplicht onderdeel worden van het voortgezet onderwijs i. Leerlingen in het basisonderwijs zouden de mogelijkheid moeten hebben om te leren programmeren j. Leerlingen in het voortgezet onderwijs zouden de mogelijkheid moeten hebben om te leren programmeren


138/146

Z. Achtergrondgegevens Selection: sample source = flitspanel, target group = Rijksoverheid, gemeenten, provincies, waterschappen Z1.(6.1) Wat is uw geslacht? (S) 1. Man 2. Vrouw Selection: s_bron = 12 flitspanel, target group = Rijksoverheid, gemeenten, provincies, waterschappen Z2. (6.2) Wat is uw leeftijd? (O) <max. = 99>

Selection: S_bron = 12 flitspanel, target group = Rijksoverheid, gemeenten, provincies, waterschappen Z3_2014. Wat is uw hoogst voltooide opleiding? 1. Geen onderwijs/ basisonderwijs/ cursus inburgering/ cursus Nederlandse taal 2. LBO/ VBO/ VMBO (kader- en beroepsgerichte leerweg)/ MBO 1 (assistentenopleiding) 3. MAVO/ HAVO of VWO (eerste drie jaar)/ ULO/ MULO/ VMBO (theoretische of gemengde leerweg)/ voortgezet speciaal onderwijs 4. MBO 2, 3, 4 (basisberoeps-, vak-, middenkader- of specialistenopleiding) of MBO oude structuur (vóór 1998) e 5. HAVO of VWO (overgegaan naar de 4 klas)/ HBS/ MMS/ HBO propedeuse of WO propedeuse of WO propedeuse 6. HBO (behalve HBO master), WO-kandidaats of WO-bachelor 7. WO-doctoraal of WO-master of HBO-master/ postdoctoraal onderwijs 97. Weet niet/ wil niet zeggen 99. Niet van toepassing INDIEN LEEFTIJD < 20 DAN VOLGENDE LABELS: 2. VMBO (kader- en beroepsgerichte leerweg)/ MBO 1 3. HAVO of VWO (eerste drie jaar)/ VMBO theoretische of gemengde leerweg)/ voortgezet speciaal onderwijs


139/146

Selection: s_bron = 2 flitspanel OR 12 IRPD & target group = Rijksoverheid Z5. (6.5) Waar bent u werkzaam? (S) 1. 2. 3. 4. 5. 6.

Departement Uitvoeringsorganisatie of Inspectie Agentschap of ZBO Hoog College van Staat of Adviescollege Medewerkers Rechterlijke macht Medewerkers onderwijs (primair, voortgezet, middelbaar, hbo, wetenschappelijk) en onderzoeksinstellingen 7. Medewerkers politie 8. Medewerkers defensie: burgerpersoneel en militair personeel 96. Anders, namelijk.. (O)

Selection: Z5=1 s_bron = 2 IRPD or 12 flitspanel, target group = Rijksoverheid Z6

Op welk departement bent u werkzaam? (S) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Algemene Zaken Binnenlandse Zaken en Koninkrijksrelaties Buitenlandse Zaken Defensie Economische Zaken Financiën Infrastructuur en Milieu Onderwijs, Cultuur en Wetenschap Sociale Zaken en Werkgelegenheid Veiligheid en Justitie Volksgezondheid, Welzijn en Sport

Selection: s_bron =2 IRPD or 12 flitspanel,& target groups = Rijksoverheid, gemeenten, provincies, waterschappen Z7. (6.5) Wat voor soort functie heeft u? (S) 1. 2. 3. 4. 5.

Beleidsfunctie Uitvoeringsfunctie Staffunctie Administratieve functie Loketfunctie 96. Anders, namelijk…(O)


140/146

Selection: s_bron =2 IRPD or 12 flitspanel,& target groups = Rijksoverheid, gemeenten, provincies, waterschappen

Z10. In welke regio bevindt
West en Midden (provincies Noord-Holland, Zuid-Holland, Flevoland, Utrecht) Noord (provincies Groningen, Friesland, Drenthe) Oost (provincies Overijssel, Gelderland) Zuid (provincies Noord-Brabant, Limburg, Zeeland)

Selection: s_bron =2 IRPD or 12 flitspanel,& target groups = gemeenten

Z11 Wat is de grootte van de gemeente waarvoor u werkt? (S) 1. 2. 3. 4. 5. 6. 97.

Minder dan 5.000 inwoners 5.000 tot 10.000 inwoners 10.000 tot 20.000 inwoners 20.000 tot 50.000 inwoners 100.000 tot 300.000 inwoners 300.000 inwoners of meer Weet niet

Selection: S_bron = 12 flitspanel, target groups = Rijksoverheid, provincies, gemeenten, waterschappen Z8

Kunt u aangeven in hoeverre u de volgende uitspraken van toepassing vindt op de vragenlijst die u zojuist heeft ingevuld?

Row: 1. 2. 3. 4.

Zinvol onderwerp Leuk om in te vullen Duidelijke vragen De invulduur was niet te lang

Grid, answers in column: a) 1. Helemaal niet van toepassing b) 2 c) 3 d) 4 e) 5 – Helemaal van toepassing


141/146

Selection: S_bron = 12 flitspanel, target groups = Rijksoverheid, provincies, gemeenten, waterschappen Z9.

Heeft u nog opmerkingen over dit onderzoek? 97. Geen opmerkingen

ALL Hartelijk dank voor uw medewerking!


142/146

BIJLAGE 3: Nadere informatie verdiepende analyses & factoren Opzet databewerking en analyse Samengevat bestaat de analyse bestaat uit de volgende stappen: 

Variabelen in dezelfde richting brengen Om respondenten scherp te houden en een antwoordcadans te voorkomen, zijn tijdens de bevraging diverse items als het ware “omgekeerd” voorgelegd. Voor een eenduidige interpretatie is het voor de analyses echter van belang dat alle variabelen dezelfde richting hebben. Dat wil zeggen: een lage score getuigt van een lage cyber security awareness, een hoge score van een hoge cyber security awareness qua kennis, houding en/of gedrag. Met dit als doel zijn een aantal vragen gehercodeerd.



Standaardiseren van variabelen Standaardiseren is vervolgens noodzakelijk omdat de originele variabelen niet allemaal op dezelfde manier gemeten zijn. Om de variabelen onderling goed met elkaar te kunnen vergelijken en voor de analyse te kunnen benutten, hebben we ze omgerekend naar een schaal van 0 tot 10. De kennis, houding of het gedrag van de respondent wordt dus uitgedrukt in een schaalscore tussen de 0 en 10. Hoe hoger de score, hoe beter de cyber security awareness voor de betreffende vraag. Dit kan bij verschillende vragen dus verschillende zaken betekenen: bij een kennisvraag betekent een hoge schaalscore dat de respondent een hoog kennisniveau heeft wat betreft digitale veiligheid. Bij een gedragsvraag betekent een hoge schaalscore dat de cyber security awareness van de respondent zich vertaalt naar het vertonen van het gewenste, veilige gedrag.



Ontwikkelen van sterke, betekenisvolle schalen Om de data verder te aggregeren, hebben we de volgende stappen genomen: o Factoranalyse op vragen die bestaan uit meerdere items (bijvoorbeeld stellingen, aspecten) om na te gaan of items één of meerdere factoren meten. o Betrouwbaarheidsanalyse op de items die samen één factor vormen om na te gaan op basis van welke items we de meest betrouwbare, robuuste schalen kunnen maken. Daartoe is telkens gekeken naar: de betrouwbaarheid van de totale schaal (met behulp van Cronbach’s Alpha) en vervolgens naar de bijdrage van de individuele items aan de schaal. Items die de schaalbetrouwbaarheid naar beneden halen, zijn niet opgenomen in de schaal. Hiernaast is voor de items van vraag D9 op inhoudelijke gronden besloten om de items aan “factoren” toe te wijzen, omdat de factoranalyse slecht interpreteerbare factoren opleverde.


143/146

o

Berekenen gemiddelde schaalscores. Voor de geconstrueerde “optimale” schalen hebben we vervolgens voor elke respondent de gemiddelde score op de schaal gemeten en deze opgenomen in een nieuwe variabele. Deze score is een getal tussen 0 en 10. Een voorwaarde bij factoranalyse is dat alle respondenten die in de analyse betrokken worden een geldige waarde op de betreffende vragen hebben. Vanwege selecties in de vragenlijst is dit niet altijd voor iedereen bij elke vraag het geval. Als oplossing hiervoor is het gemiddelde als waarde ingevuld in geval van missende waarden.



Nagaan of er onderliggende factoren zijn Via een factoranalyse op de nieuwe variabelen (met voor elke respondent een gemiddelde schaalscore) zijn we nagegaan of er in de data onderliggende componenten/factoren aanwezig zijn. In totaal kwamen er 7 factoren naar voren uit deze analyse.



Interpreteren en aanscherpen resultaten factoranalyse. Om na te gaan in hoeverre de gevonden factoren betekenisvol zijn, hebben we: o Berekend op hoeveel factoren elke respondent hoog scoort en dit afgezet tegen alle nieuwe variabelen. Zo konden we zien in hoeverre een hoge score op meerdere factoren samenvalt met een hoge score op de variabele. o Variabelen die hierin niet of nauwelijks variatie lieten zien uit de analyse gehaald. o Opnieuw factoranalyse uitgevoerd op de resterende variabelen en vervolgens de gemiddelde factorscore per respondent berekend. Dit resulteert uiteindelijk in 6 factoren.



Indelen van de factorscores naar een ordinale schaal Uit praktische overwegingen hebben we de factorscores omgezet naar een ordinale schaal met 3 categorieën: laag, midden en hoog.



Berekenen van de score op het totaal van factoren Om inzicht te krijgen in hoeverre er bepaalde groepen zijn, die cyberbewust zijn op meerdere gebieden, hebben we voor elke respondent het aantal keren berekend dat men hoog, midden of hoog, of laag scoort over de zes factoren.

Tot slot nog iets over de factoranalyses zoals die dit jaar zijn uitgevoerd ten opzichte van de analyses die tijdens de vorige meting zijn uitgevoerd: de veranderingen in de vragenlijst hebben ertoe geleid dat de factoren niet langer op identieke wijze kunnen worden opgebouwd als op basis van het onderzoek in 2013. Desalniettemin valt te zien dat de factoranalyse dermate robuust is, dat de factoren die eruit naar voren komen, sterke gelijkenissen vertonen met de factoren zoals die eerder op basis van de 2013-gegevens werden doorgerekend. Dat is een sterk gegeven en wil zeggen dat de verklarende kracht van het model en de onderliggende factoren in sterke mate stabiel blijft.


144/146

De verklaringskracht van het model is 56,5% Uiteindelijk zijn er zes duidelijk benoembare, betrouwbare factoren uit de data gedestilleerd, die ten grondslag liggen aan de cyber security awareness. Een groot deel van de informatie uit de vragen over kennis, houding en gedrag blijkt samen te vatten in deze zes factoren, die samen 56% van de variantie verklaren, net enkele procentpunten meer dan in de verdiepende factoranalyse op de data van het onderzoek in 2013.


145/146

BIJLAGE 4: Certificering Het onderzoek is uitgevoerd in overeenstemming met het quality systeem van GfK dat is gecertificeerd volgens de normen van NEN-EN-ISO 9001, ISO 20252 en ISO 26362. GfK onderschrijft de gedragsregels van E.S.O.M.A.R. (European Society for Opinion and Market Research) en is lid van de brancheorganisatie MOA (zie http://www.moaweb.nl). Het is toegestaan de uitkomsten van onderzoek extern te publiceren. Wel dient in dat geval bij de onderzoeksresultaten als bron "GfK " te worden vermeld. Exclusiviteit van verzamelde gegevens is gebaseerd op de Gedragscode van de MOA, art. 5 (zie http://www.moaweb.nl).


146/146

Cyber security; awareness, gedrag en informatiebehoefte

Recommend Documents