bezoekadres
postadres
Marnixkade 109
Postbus 15262
1015 ZL Amsterdam
1001 MG Amsterdam E
[email protected] T +31 (0)20 589 83 83 F +31 (0)20 589 83 00 W www.motivaction.nl
Cyber Security Awareness Een onderzoek naar kennis, bewustzijn en gedrag ten aanzien van cyber security Ministerie van Algemene Zaken / NCTV
Amsterdam, November 2012 Projectnummer: Z1835 drs. Yvette Randsdorp drs. Irene Zondervan
Het auteursrecht op dit rapport ligt bij de opdrachtgever. Voor het vermelden van de naam Motivaction in publicaties op basis van deze rapportage - anders dan integrale publicatie - is echter schriftelijke toestemming vereist van Motivaction International B.V.
Inhoudsopgave
1 Achtergrond
1
2 Doel- en probleemstelling
2
3 Methode en opzet 3.1 Methode 3.2 Doelgroepen 3.3 Steekproef 3.3.2 Weging 3.4 Vragenlijst 3.5 Dataverzameling
3 3 3 4 4 5 5
4 Leeswijzer
6
5 Conclusies en aanbevelingen 5.1 Conclusies 5.1.1 Algemene conclusies 5.1.2 Vitale sector 5.1.3 Rijksoverheid 5.1.4 Bedrijfsleven 5.1.5 Gemeenten 5.1.6 Consumenten 5.2 Aanbevelingen 5.2.1 Vitale sectoren 5.2.2 Rijksoverheid 5.2.3 Bedrijfsleven 5.2.4 Gemeenten 5.2.5 Consumenten
7 7 7 7 8 8 9 9 10 10 10 10 11 11
6 Samenvatting 6.1 Samenvatting zakelijke doelgroepen 6.2 Samenvatting resultaten consumenten
12 12 14
7 Resultaten zakelijke doelgroepen 7.1 Beeld van cyber security en gevaren 7.2 Verantwoordelijkheid 7.3 Cyber security van organisaties 7.4 Cyber security van de medewerkers 7.5 Gedraagt men zich veilig 7.6 Achtergrond respondenten 7.6.1 Bezit en gebruik van zakelijke computers 7.6.2 Overige achtergrondgegevens respondenten
16 17 19 19 23 29 37 37 39
8 Resultaten consumenten 8.1 Beeld van cyber security en gevaren 8.2 Risico-inschatting 8.3 Cyber security van consumenten 8.4 Beveiliging wifi-netwerk 8.5 Veilig gebruik social media
41 41 42 44 47 47
8.6
Achtergrond ondervraagde consumenten 8.6.1 Bezit en gebruik van computers thuis 8.6.2 Overige achtergrondgegevens respondenten
52 52 55
9 Vergelijkingen tussen groepen 9.1 Leidinggevenden en niet-leidinggevenden 9.1.1 Gemeenten 9.1.2 Rijksoverheid 9.1.3 Vitale sectoren 9.1.4 Bedrijfsleven 9.1.5 Leidinggevenden in vier sectoren vergeleken 9.1.6 Niet-leidinggevenden in vier sectoren vergeleken 9.2 Jongere en oudere medewerkers in de organisatie 9.2.1 Gemeenten 9.2.2 Rijksoverheid 9.2.3 Vitale sectoren 9.2.4 Bedrijfsleven
57 57 57 59 60 62 65 67 70 70 72 73 76
Bijlage: Onderzoekstechnische informatie
78
1
Achtergrond In opdracht van het Ministerie van Algemene Zaken DPC en NCTV, heeft Motivaction International B.V. een onderzoek uitgevoerd naar cyber security awareness onder verschillende doelgroepen van de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid). Situatie Ondanks dat de beleidsmatige, wetenschappelijke en commerciële interesse voor cyber security (veilig omgaan met de digitale omgeving) enorm is toegenomen, blijkt het bewustzijn, dat men als burger, bedrijf of professional zelf maatregelen kan nemen om de eigen weerbaarheid te vergroten, nog steeds erg laag. Vanuit de gedachte dat een gecoördineerde aanpak door diverse partijen meer oplevert dan individuele acties van diverse actoren, organiseert de directie Cyber Security van de NCTV dit jaar een campagne, de tiendaagse ‘Alert Online’. Aanleiding 12 november 2012 vindt de kick-off van deze campagne plaats. Tijdens deze start van de campagne wil de NCTV aan de minister van Veiligheid en Justitie onderzoeksresultaten overhandigen die aantonen wat het huidige cyber-awarenessniveau is van verschillende relevante doelgroepen. Exposure in de media is hierbij één van de doelen om het onderwerp onder de aandacht te brengen. Doel Met behulp van een representatief onderzoek wordt het huidige cyber-awarenessniveau van verschillende doelgroepen in kaart gebracht, vertaald naar kennis, houding en gedrag. Enerzijds om publiciteit te creëren rondom de tiendaagse ‘Alert Online’. Anderzijds om de effecten van inspanningen op dit terrein over een jaar in kaart te kunnen brengen.
1
2
Doel- en probleemstelling De onderzoeksdoelstelling luidt: NCTV inzicht bieden in 1. het niveau van kennis, bewustzijn en gedrag ten aanzien van cyber security onder de relevante doelgroepen, 2. redenen waarom de doelgroepen handelen zoals ze doen, 3. de verschillen die zich tussen deze doelgroepen voordoen, om zo haakjes te krijgen voor de communicatie richting de doelgroepen teneinde het onderwerp in de publiciteit te brengen, input te verkrijgen voor te nemen maatregelen en op termijn de mogelijkheid te hebben effecten van maatregelen in kaart te brengen. Hiervan afgeleide probleemstellingen luiden: In welke mate beseffen de doelgroepen dat er een link bestaat tussen het eigen handelen en kwaadwillenden? (houding/bewustzijn) In welke mate zijn de doelgroepen op de hoogte van de gevaren van cybercrime en weten ze hoe ze cybercrime kunnen voorkomen? (kennis) Handelen de doelgroepen conform de richtlijnen omtrent veilig werken met hun digitale omgeving? (gedrag) Met het oog op de 1-meting kunnen nu alvast als probleemstellingen geformuleerd worden: In welke mate dragen activiteiten ten behoeve van het verhogen van cyber security awareness bij aan het veiliger omgaan van de verschillende doelgroepen met hun digitale (werk-)omgeving? Wat betekenen de resultaten uit de 0-meting voor het opzetten van een cyber security awareness programma wat betreft het ontwikkelen of aanpassen van maatregelen/procedures/plannen/systemen?
2
3
Methode en opzet 3.1
Methode
De dataverzameling vond plaats middels CAWI, Computer Assisted Web Interviewing.
3.2
Doelgroepen
Bij het onderzoek zijn vijf doelgroepen betrokken: 1. Rijksoverheid 2. Gemeenten 3. Vitale sectoren 4. Bedrijfsleven 5. Consumenten Bij de vier zakelijke doelgroepen is onderscheid gemaakt tussen leidinggevenden en overige medewerkers. ‘Leidinggevende’ is hierbij als volgt gedefinieerd: een medewerker die leiding geeft aan een groep medewerkers vanuit een formele rol. Onderstaande tabel geeft een overzicht van de samenstelling van de vijf doelgroepen.
1
Doelgroep Rijksoverheid
Beschrijving Rijksambtenaren vanuit verschillende departementen, uitvoeringsorganisaties en agentschappen
Panel Flitspanel
2
Gemeenten
Ambtenaren werkzaam bij een gemeente
Flitspanel
3
Vitale sectoren
PanelClix
4
Bedrijfsleven
Medewerkers van organisaties binnen de vitale sectoren energie, telecommunicatie, financiële sector, drinkwater, keren en beheren oppervlaktewater en transport Medewerkers van organisaties (excl. vitale sectoren) vanaf 10 medewerkers
5
Consumenten
Representatieve steekproef
StemPunt
StemPunt
Steekproef Leidinggevenden: n=84 Overige medewerkers: n=438 Leidinggevenden: n=101 Overige medewerkers: n=449 Leidinggevenden: n=155 Overige medewerkers: n=399 Leidinggevenden: n=146 Overige medewerkers: n=214 n=1283
Computerbezit Voor de vier zakelijke doelgroepen geldt dat alle respondenten door hun werkgever een computer ter beschikking gesteld hebben gekregen voor het uitvoeren van hun werkzaamheden die zij ook voor dat doeleinde gebruiken. De ondervraagde 3
consumenten hebben thuis de beschikking over een privécomputer en een internetverbinding.
3.3
Steekproef
In totaal zijn er drie bronnen gebruikt om de vastgestelde doelgroepen te benaderen: 1. Het Flitspanel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 2. Het StemPunt-panel van Motivaction 3. Het online panel van PanelClix Flitspanel: Rijksoverheid en Gemeenten Voor de doelgroepen Rijksoverheid en Gemeenten is gebruik gemaakt van het Flitspanel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Dit panel bestaat uit werknemers van de verschillende overheidssectoren. Zij zijn geworven door middel van het Personeels- en Mobiliteitsonderzoek, waarvoor zij aselect zijn geselecteerd via het ABP. Hiermee is gewaarborgd dat het panel een afspiegeling is van de populatie per sector. StemPunt: Consumenten en Bedrijfsleven StemPunt is het consumentenpanel van Motivaction. Aangezien veel consumenten ook werkzaam zijn in het bedrijfsleven, is het veldwerk onder beide doelgroepen gecombineerd: panelleden die thuis een privécomputer en internetverbinding hebben en die tevens werkzaam zijn in het bedrijfsleven, zijn zowel als consument als als medewerker bedrijfsleven ondervraagd. Respondenten die slechts in één van beide doelgroepen vallen, hebben ofwel alleen de consumentenvragen voorgelegd gekregen ofwel alleen de vragen voor de zakelijke doelgroepen. Zoals voorzien bevat de consumentensteekproef onvoldoende leidinggevenden uit het bedrijfsleven om hier betrouwbare uitspraken over te kunnen doen. Daarom is voor deze subdoelgroep een boost uitgevoerd. PanelClix: Vitale sectoren Aangezien in het StemPunt-panel niet voldoende leden zitten die werkzaam zijn in de vitale sectoren, is voor deze doelgroep gebruik gemaakt van het panel van PanelClix. Omwille van de representativiteit is ervoor gekozen om de respondenten voor deze doelgroep te werven uit één bron. Consumenten uit het StemPunt-panel die tevens werkzaam zijn in één van de vitale sectoren, zijn derhalve uitgesloten voor de doelgroep Vitale sectoren.
3.3.2
Weging
Om de representativiteit van de steekproeven te vergroten, zijn de data achteraf gewogen. Vitale sectoren: gewogen op basis van de gegevens die beschikbaar zijn via CBS Statline. De data zijn gewogen op de sectoren. Bedrijfsleven: gewogen op basis van de cijfers van de SBI-indeling van het CBS. De data zijn gewogen op aantal werknemers en sectoren. Consumenten: de data zijn propensity gewogen op leeftijd, geslacht, opleiding, geslacht, Nielsen-regio en Mentality-milieu (waardenoriëntaties),
4
met uitzondering van 13 en 14 jarige respondenten, die alleen op geslacht gewogen zijn. Rijksoverheid: Gemeenten:
Omdat wel universa beschikbaar zijn van gehele steekproeven per sector, maar geen gegevens bekend zijn van de verdeling van achtergrondgegevens binnen substeekproeven 'leidinggevenden' en ‘niet-leidinggevenden’ zijn de resultaten van deze substeekproeven in de paragrafen 9.1.5 en 9.1.6 niet gewogen.
3.4
Vragenlijst
Voor het onderzoek is gebruik gemaakt van een online kwantitatieve vragenlijst. Deze vragenlijst is opgesteld door Motivaction, in nauwe samenwerking met de betrokken personen van het Ministerie van Algemene Zaken en NCTV. Voor alle vijf de doelgroepen is dezelfde vragenlijst gebruikt. Middels routings is bepaald welke vragen aan welke respondenten zijn voorgelegd. In totaal bestaat de vragenlijst uit 55 vragen, waarvan 51 gesloten en 4 open. De vragenlijst bevatte de volgende onderwerpen: Selectievragen (sector, computerbezit en -gebruik, internettoegang) Computergebruik werk (alleen voor de zakelijke doelgroepen) Inschatting eigen mate van cyber security Wijze van vorm en inhoud geven aan cyber security op het werk Kennis over cyber security Wachtwoorden - kennis en gedrag Achtergrondgegevens
3.5
Dataverzameling
De dataverzameling vindt plaats in twee delen: Vitale sectoren, Bedrijfsleven, Consumenten: van 6 t/m 16 oktober 2012 Rijksoverheid, Gemeenten: van 16 t/m 30 oktober 2012 Voor deze opzet is gekozen in verband met de beschikbaarheid van het Flitspanel.
5
4
Leeswijzer Computer In dit onderzoek is een brede definitie van de term ‘computer’ gehanteerd. Hieronder wordt zowel een PC als een laptop, tablet of smartphone verstaan. In de vragenlijst is dit waar nodig steeds toegelicht, zodat er voor de respondenten geen onduidelijkheid kon bestaan welke apparaten het betrof. Uitsplitsingen resultaten naar doelgroepen De resultaten in dit rapport worden grafisch weergegeven voor vier afzonderlijke bedrijfssectoren en de Nederlandse consumenten. Ook wordt tekstueel beschreven welke opvallende verschillen zich binnen de sectoren voordoen tussen leidinggevende en niet-leidinggevende medewerkers en tussen medewerkers uit verschillende leeftijdsgroepen. Naast dit rapport worden tabellenbijlages beschikbaar gesteld waarin alle onderzoeksresultaten worden weergegeven. Het gaat om de volgende bijlages:
1. Voor de vier sectoren tezamen: Een tabellenbijlage waarin de vier sectoren naast elkaar worden weergegeven. Een tabellenbijlage waarin alleen de gegevens van leidinggevenden zijn opgenomen en per sector worden weergegeven. Een tabellenbijlage waarin alleen de gegevens van niet-leidinggevenden zijn opgenomen en per sector worden weergegeven. 2. Per sector: Een tabellenbijlage waarin de leidinggevenden en niet-leidinggevenden naast elkaar worden weergegeven Een tabellenbijlage waarin drie leeftijdsgroepen naast elkaar worden weergegeven 3. Voor de consumentendoelgroep: Een tabellenbijlage waarin drie leeftijdsgroepen naast elkaar worden weergegeven
6
5
Conclusies en aanbevelingen 5.1
Conclusies
5.1.1
Algemene conclusies
Kijkend naar de resultaten van het onderzoek geldt allereerst dat een aantal bevindingen kan worden geformuleerd die gelden ongeacht de sector waarin medewerkers werkzaam zijn. We zetten er een aantal op een rij:
Onder cyber security wordt meer het beveiligen en beschermen van de computer tegen virussen verstaan dan het beschermen van informatie en persoonsgegevens. Medewerkers zijn zelf het vaakst geconfronteerd met phishingmail en virussen. De verantwoordelijkheid voor de veiligheid op het gebied van internetgebruik ligt volgens medewerkers primair bij de IT-afdeling van de organisatie. De cyber security van de eigen organisatie krijgt van medewerkers een rapportcijfer tussen de 7.5 en 8. Veilig wachtwoordgebruik en back-up beleid zijn in alle sectoren de meest vastgelegde onderdelen van het cyber security beleid. De cyber security van collega’s wordt lager ingeschat dan de eigen cyber security: collega’s krijgen gemiddeld een lager rapportcijfer. Leidinggevenden schatten de kennis, het bewustzijn en de betrokkenheid bij veiligheidsbeleid lager in dan de medewerkers zelf.
Naast bovenstaande, meer algemene bevindingen, zien we ook duidelijke verschillen tussen de sectoren. Zowel met betrekking tot kennis, bewustzijn als gedrag kunnen we een zekere rangorde in de sectoren onderscheiden waarbij de vitale sector steeds het beste scoort, gevolgd door de rijksoverheid, bedrijfsleven en ten slotte de gemeenten. Anders gezegd: kennis, bewustzijn en bijbehorend gedrag met betrekking tot cyber security zijn het beste gewaarborgd bij de vitale sector en bieden de meeste ruimte voor verbetering bij gemeenten. We werken de belangrijkste bevindingen per sector hieronder nader uit, daarna volgen conclusies over het cybergedrag van consumenten.
5.1.2
Vitale sector
Binnen deze sector is de kennis, het bewustzijn en bijbehorend gedrag met betrekking tot cyber security hoog. Organisaties zijn in de meeste gevallen het verst gevorderd met hun securitybeleid: zo wordt er meer aandacht aan besteed, worden nieuwe medewerkers structureler ingewerkt, maakt het vaker onderdeel uit van het functioneringsgesprek en wordt er over het algemeen beter op de naleving van een beleid of protocol toegezien. Ook worden collega’s vaker aangesproken wanneer een regel met betrekking tot digitale veiligheid niet wordt nageleefd. Gezien bovenstaande zal het dan ook niet verbazen dat medewerkers in deze sector zowel de organisatie, zichzelf als hun collega’s steeds een hoger rapportcijfer geven met betrekking tot cyber security dan medewerkers uit andere sectoren dat doen. 7
Opvallend is wel dat ondanks de hogere kennis, of wellicht juist dankzij deze kennis, medewerkers uit deze sector iets vaker aangeven ‘overtredingen’ te begaan met hun privé computer. Hun hogere kennis maakt hen net iets meer ‘bewust onverstandig’: zij kunnen (of menen dat althans) de gevaren goed inschatten.
5.1.3
Rijksoverheid
Cyber security wordt door rijksambtenaren als een gedeelde verantwoordelijkheid gezien, waarbij maar liefst driekwart van de medewerkers zich (mede) verantwoordelijk voelt, het hoogste percentage van alle sectoren. Men is op de hoogte van het beleid en de protocollen, de spelregels zijn ook vaak vastgelegd, maar het beleid wordt niet structureel uitgevoerd: het maakt zelden onderdeel uit van beoordelings- of functioneringsgesprekken in het ambtenarenapparaat en collega’s worden niet gestimuleerd dan wel aangesproken wanneer hun gedrag niet in overeenstemming is met de protocollen. In de fout gaan wordt zogezegd niet ‘bestraft’. Ondanks het bestaan van beleid weten rijksambtenaren niet beter hoe zij moeten handelen in geval van een incident, eerder slechter. Hoewel er geen sterke nadruk ligt op compliance met het beleid, zijn rijksambtenaren uit zichzelf terughoudender in de omgang met wifi, delen zij minder vaak gegevens via de Cloud, zijn zij terughoudender met het ingaan op verzoeken om in te loggen, minder geneigd te kijken waar spam over gaat, terughoudender in hun vertrouwen op de veiligheid van bijlages en zouden zij minder vaak een gevonden USB-stick in hun PC stoppen. Hun wachtwoorden zijn echter niet altijd sterk en bovendien houden zij lijstjes bij als geheugensteun voor hun wachtwoorden. Ook op de privécomputer vertonen zij terughoudendheid met het openen van e-mails, links en bestanden van onbekende afzenders.
5.1.4
Bedrijfsleven
Binnen deze sector lijkt het onderwerp cyber security het minst te leven. De helft van de medewerkers heeft geen concreet beeld bij het onderwerp, de groep medewerkers die niet weet of er beleid is, is binnen deze sector het grootst en er lijkt binnen deze sector ook daadwerkelijk het minst vaak beleid met betrekking tot digitale veiligheid te zijn. Zo is er vaak geen beleid voor wachtwoordgebruik en het omgaan met het noteren van wachtwoorden, geen regels voor internetgebruik (welke sites wel/niet) en omgang met USB-sticks, etc. Daarnaast weet een derde van de medewerkers binnen deze sector niet wat te doen bij een incident, het hoogste cijfer van alle sectoren. Het ontbreken van beleid en protocollen maakt dat organisaties in deze sector meer dan andere sectoren afhankelijk zijn van het verstandig gedrag van hun medewerkers. Qua gedrag laten medewerkers uit deze sector echter een wisselend beeld zien. Op sommige aspecten doen zij het goed op het gebied van cyber security: zo zijn zij op de privélaptop terughoudend met mails van onbekende afzenders, voorzichtig met doorlinkjes en melden zij het vaker op het werk wanneer er zich iets verdachts voordoet. Aan de andere kant zijn zij vaker geneigd een gevonden USB-stick in de PC te stoppen om te kijken wat er op staat en is de antivirussoftware zeker niet altijd up to date.
8
5.1.5
Gemeenten
Cyber security wordt door gemeenteambtenaren als een gedeelde verantwoordelijkheid gezien, waarbij twee derde van de medewerkers zich (mede) verantwoordelijk voelt. De helft van de gemeenteambtenaren geeft aan dat er beleid is met betrekking tot digitale veiligheid, maar men is relatief slecht op de hoogte van de inhoud van dit beleid. Men weet niet precies hoe te handelen en nieuwe medewerkers worden op dit gebied niet ingewerkt. Ook weet men vaak niet of er specifiek beleid is, bijvoorbeeld ten aanzien van het noteren van wachtwoorden en de omgang met USB-sticks, of men denkt dat hiervoor geen beleid is. Positieve uitschieter is kennis over het melden van incidenten rondom digitale veiligheid. Het digitale veiligheidsbeleid is bij gemeenten het minst sterk geborgd. Het is geen onderdeel van functioneringsgesprekken en leidinggevenden zien er ook niet op toe dat men het veiligheidsbeleid kent. Van alle sectoren voelen gemeenteambtenaren zich het minst betrokken en zijn zij ook het minst geneigd collega’s op hun cyber security gedrag aan te spreken. Gelukkig zijn gemeenteambtenaren het minst geneigd digitaal veiligheidsbeleid aan hun laars te lappen. Het schetst dan ook geen verbazing dat gemeenteambtenaren de laagste rapportcijfers geven voor cyber security, zowel aan de organisatie, aan collega’s als aan zichzelf. Deze lagere rapportcijfers lijken terecht; zo hebben gemeenteambtenaren de meest onveilige wachtwoorden. Opgemerkt dient te worden dat medewerkers in deze sector de hoogste gemiddelde leeftijd hebben van alle sectoren, hetgeen van invloed is op hun kennisniveau. In deze groep is derhalve meer sprake van veel onbekwaamheid, maar men is zich er van bewust.
5.1.6
Consumenten
Het begrip cyber security oftewel digitale veiligheid roept niet bij alle consumenten een duidelijk beeld op, de helft weet eigenlijk niet precies wat het is. Het meest wordt gedacht aan het beschermen tegen virussen en minder aan het beschermen van informatie. Ondanks dat men er bij het begrip ‘cyber security’ misschien niet direct aan denkt, schatten consumenten de kans dat er op internet iets ongewenst met hun persoonsinformatie gebeurt, het grootst, groter dan bijvoorbeeld het risico dat er iets met de bankrekening gebeurt. Jongere consumenten zijn actiever, maar ook beter beschermd op social media: zij geven meer informatie prijs, maar schermen deze ook beter af van de wereld buiten de eigen vriendenkring. Phishing is inmiddels een bekend fenomeen bij de Nederlandse burgers en men heeft er inmiddels net zo veel ervaring mee als met virussen. De beveiliging van wifi-netwerken is inmiddels goed ingeburgerd. Wachtwoorden van consumenten voldoen nog vaak niet aan de drie veiligheidstrucjes (meer dan 10 karakters, geen ‘echte woorden’ en speciale leestekens)
9
5.2
Aanbevelingen
5.2.1
Vitale sectoren
De organisaties in de vitale sectoren zijn het meest cyber secure van alle sectoren uit het onderzoek. Vastlegging en naleving van beleid zijn relatief goed geregeld en de medewerkers hebben bovengemiddeld veel kennis van wat digitaal veilig is. De enige passende aanbeveling zou zijn dit goed te onderhouden. De verankering van het security beleid in de organisaties in deze sector kan bovendien als voorbeeld dienen voor het bedrijfsleven en de overige sectoren. Het grootste gevaar voor de digitale veiligheid van de vitale sectoren schuilt in het zakelijk gebruik van privécomputers: de medewerkers zijn op het werk en op zakelijke apparaten dan wel bewust en bekwaam, maar op de privécomputers wenden zij risico’s minder consequent af: ze vertonen zelfs bewust meer risicogedrag. Belangrijkste aanbeveling voor de vitale sectoren is dan ook het zakelijk gebruik van privécomputers te ontmoedigen ofwel de invloed van deze computers verder te beperken door het gebruik van VPN-netwerken / remote werkplekken die alleen kunnen opstarten op beschermde, up to date computers ofwel de privécomputers van hun medewerkers op regelmatige basis te controleren. 5.2.2
Rijksoverheid
Bij de rijksoverheid is bewustzijn van het belang van cyber security goed doorgedrongen bij medewerkers en organisaties, hier hoeft dan ook geen extra aandacht aan geschonken te worden. Er is meestal bestaand beleid voor veilig digitaal gedrag, maar aan praktijkkennis bij medewerkers ontbreekt het nog wel eens. Ook is de verankering van beleid in de rijksorganisaties voor verbetering vatbaar en zou men een voorbeeld kunnen nemen aan de vitale sectoren waarbij bijvoorbeeld in de beoordeling van medewerkers rekening wordt gehouden met hun veiligheidsgedrag. Hoewel rijksambtenaren van nature terughoudend zijn in hun gedrag op wifinetwerken en computers, schuilt het grootste gevaar in deze sector erin dat men de eigen veiligheid overschat en ook niet altijd weet hoe te handelen in geval van een incident. Trainen op concrete gedragsvoorbeelden en verankering van goed cyber security gedrag in de organisatie is dan ook de belangrijkste aanbeveling voor deze sector.
5.2.3
Bedrijfsleven
Van alle sectoren hebben organisaties in deze sector het minst vaak een cyber security beleid. Allereerste aanbeveling is dan ook om het bedrijfsleven te informeren dat zij aan relatief veel gevaren blootstaan en hen te adviseren beleid en protocollen op te stellen, zodat zij minder afhankelijk worden van de inschattingen van hun medewerkers. Het cyber security bewustzijn van medewerkers in het bedrijfsleven is namelijk vrij laag en het cyber security gedrag van medewerkers in het bedrijfsleven (zowel zakelijk als privé) is niet zeer consistent: de ene keer tonen medewerkers zich verstandig, de andere keer onverstandig. De tweede aanbeveling is daarom om het 10
bewustzijn van medewerkers te vergroten door te informeren welk gedrag cyber secure en welk gedrag cyber insecure is en hoe men mogelijk onbedoeld een gevaar kan vormen voor de organisatie.
5.2.4
Gemeenten
De organisaties bij de gemeentelijke overheden blijven op alle punten, behalve het bewustzijn van het belang van veiligheid, achter bij de andere sectoren. Voor de gemeenten gelden derhalve alle aanbevelingen die voor de andere sectoren ook gelden: Medewerkers moeten beter en vaker geïnformeerd worden over welk gedrag nu precies veilig en onveilig is. Ook is verankering van beleid in organisaties een belangrijk aandachtspunt. Training, inwerkprotocollen en toezicht op de naleving van beleid verdient structurele verbetering. Gezien de lage praktijkkennis en de lage inschatting die gemeenteambtenaren hebben van hun eigen cyber security gedrag is ook hier het concretiseren van gedragsvoorbeelden aan te bevelen.
5.2.5
Consumenten
Richting consumenten past de overheid een informerende rol, de meeste consumenten zien hen namelijk niet als verantwoordelijke voor veiligheid maar wel als belangrijke verantwoordelijke partij voor informatie over veiligheid. De belangrijkste consumentendoelgroep voor die informatie is de doelgroep oudere consumenten. Zij zijn steeds vaker ook actief op social media, maar beschermen zich daarop minder goed dan jongeren. Social media is meteen ook één van de twee belangrijkste onderwerpen waarover informatie verstrekt dient te worden, omdat consumenten het risico dat zich iets ongewenst voordoet met hun persoonlijke informatie groot achten, ondanks dat de meesten een afgeschermd profiel hebben. Zij achten deze kans groter dan bijvoorbeeld gevaren met internetbankieren. Toch let een derde van de consumenten nog steeds niet op het https-slotje wanner ze inloggen bij hun bank. Dit is daarom een blijvend punt van aandacht. Jongeren hebben meer kennis over gevaren op internet dan ouderen, maar hierin schuilt tegelijk een gevaar: jongeren zijn mogelijk juist door zelfoverschatting van hun kennis van gevaren, eerder geneigd informatie over zichzelf te delen, omdat zij denken alles goed te hebben afgeschermd. Shock-campagnes zoals ‘Stanislav’ in 2009 kunnen het bewustzijn bij jongeren op peil houden of verbeteren. Onderwerpen die geen primair onderwerp van communicatie hoeven te zijn omdat zij reeds relatief bekend zijn bij consumenten, zijn: de noodzaak van beveiliging op het wifi-netwerk, het fenomeen phishing en het gevaar van virussen. De overgrote meerderheid weet al wat dit is en heeft er ervaring mee.
11
6
Samenvatting 6.1
Samenvatting zakelijke doelgroepen
Ambtenaren weten beter wat ‘cyber security’ betekent Op de vraag waar men aan denkt bij het begrip cyber security oftewel digitale veiligheid weet de helft van de medewerkers in bedrijfsleven en vitale sectoren geen antwoord te geven, bij ambtenaren is deze groep kleiner. Opvallend is dat men in alle sectoren bij cyber security in eerste instantie vooral denkt aan het beveiligen van de computer tegen virussen en veel minder aan het beveiligen tegen het stelen van informatie of persoonsgegevens. Ambtenaren leggen meer verantwoordelijkheid digitale veiligheid bij medewerkers De primaire verantwoordelijkheid voor cyber security ligt bij de IT-afdeling, althans dat vinden medewerkers in het bedrijfsleven, de vitale sectoren en gemeenten. Rijksambtenaren wijzen in absolute zin het vaakst naar de medewerkers zelf. Ambtenaren zijn sowieso geneigd méér verantwoordelijke partijen aan te wijzen voor veilig internet gebruik in organisaties: voor hen is de primaire verantwoordelijkheid veel meer een gedeelde verantwoordelijkheid. Medewerkers van gemeenten hebben naar eigen zeggen vaker te maken met cyber crime. Vitale sectoren hebben best verankerde cyber security beleid, gevolgd door rijk Vitale sectoren zijn het meest vergevorderd met hun securitybeleid: zo wordt er meer aandacht aan besteed, worden nieuwe medewerkers structureler ingewerkt, maakt het vaker onderdeel uit van het functioneringsgesprek en wordt er over het algemeen beter op de naleving van een beleid of protocol toegezien. Na de vitale sectoren is er binnen het rijk het vaakst sprake van een cyber security beleid. Opvallend is dat hoewel de overheden in meerderheid een protocol of beleid hebben, het zelden onderdeel uitmaakt van beoordelings- of functioneringsgesprekken in het ambtenarenapparaat. In de fout gaan wordt zogezegd niet ‘bestraft’. Ambtenaren weten ook niet beter dan bijvoorbeeld het bedrijfsleven hoe zij moeten handelen in geval van een incident, eerder slechter. Het cyber security beleid van vitale sectoren en de rijksoverheid is beter vastgelegd dan dat in het bedrijfsleven en de bij gemeenten: er zijn vaker regels over wachtwoorden, omgang met apparaten en USB-sticks. Medewerkers in alle sectoren vinden zichzelf meer cyber secure dan collega’s Voor de eigen cyber security geven de medewerkers zichzelf een 7,5 à een 8 als rapportcijfer, terwijl zij de collega’s voor hun cyber security een half tot acht tiende punt minder geven. Leidinggevenden schatten cyber security van medewerkers lager in dan medewerkers zelf De inschatting van de eigen kennis, het bewustzijn en de houding ten aanzien van het cyber security beleid in organisaties valt ook hoger uit dan de inschatting die leidinggevenden maken over hun medewerkers.
12
Cyber security van medewerkers is het best in vitale sectoren en slechtst bij gemeenten Bij de rijksoverheid is het bewustzijn van het belang van digitale veiligheid bij medewerkers het grootst, maar kunnen de medewerkers qua kennis, bewustzijn en betrokkenheid net niet het niveau benaderen van de vitale sectoren. Zowel de door medewerkers zelf gemaakte inschatting van hun eigen kennis, houding en bewustzijn van cyberveiligheidsbeleid in de organisatie als de inschatting van hun leidinggevenden is namelijk het meest positief in de vitale sectoren en het meest negatief bij de gemeenten. Zo is men zich in de vitale sectoren bewuster van de eigen verantwoordelijkheden, weet men beter wat te doen in geval van een incident, voelt men zich meer gemotiveerd om regels na te leven en collega’s erop aan te spreken. Ambtenaren hebben slechtere wachtwoorden en wijzigen pas bij melding Medewerkers in de vitale sectoren en de rijksoverheid vinden de sterkte van de eigen wachtwoorden beter dan de medewerkers in het bedrijfsleven en bij gemeenten. Wanneer we kijken naar de kenmerken van deze wachtwoorden (lengte, wel of geen gebruik van ‘echte’ woorden en het gebruik van speciale tekens) blijkt dat wachtwoorden van medewerkers in de vitale sectoren inderdaad het sterkst zijn, maar de wachtwoorden van rijksambtenaren minder sterk. Wachtwoorden in het bedrijfsleven zijn iets sterker dan die bij de rijksoverheid, de wachtwoorden van gemeenteambtenaren zijn, gekeken naar de drie criteria, het zwakst, wat strookt met hun eigen inschatting. Ambtenaren van zowel rijk als gemeenten noteren vaker hun wachtwoorden op een briefje dan medewerkers van de twee commerciële sectoren uit het onderzoek. Ook zeggen zij vaker dat ze hun wachtwoord alleen wisselen als ze daar een melding over krijgen. Ambtenaren die privécomputers inzetten voor werk zijn voorzichtiger Een gevaar voor organisaties schuilt erin dat medewerkers de eigen computer ook weleens gebruiken voor werkdoeleinden en de werkcomputer gebruiken op het draadloze thuisnetwerk. Wat betreft het thuisnetwerk kunnen organisaties gerust zijn: onbeveiligde wifi-netwerken zijn inmiddels een zeldzaamheid geworden. Wat betreft het gebruik van computers doen zich opvallende verschillen voor tussen sectoren. Het meest opmerkelijke is dat de medewerkers van de vitale sectoren, die op het werk veel bewuster, betrokkener en compliant zijn met protocollen, op de privécomputers vaker cyber insecure gedrag vertonen. Mogelijk doen zij dit juist omdat ze op het werk al aan zoveel regels gebonden zijn of hebben zij meer kennis van de eventuele gevolgen waardoor zij beter kunnen inschatten of een bepaalde actie veilig is, of hebben zij thuis minder vertrouwelijke gegevens te beschermen. Ambtenaren, en rijksambtenaren in het bijzonder, zijn op hun privécomputers wat voorzichtiger in die zin dat ze minder snel op een link in een e-mail klikken, e-mail van onbekenden minder snel vertrouwen en geen spam openen, ook niet uit nieuwsgierigheid naar het onderwerp. Gemeenteambtenaren hebben minst vaak beschikking over laptop van de zaak Gemeenteambtenaren hebben het vaakst van alle medewerkers een vaste computer van de zaak gekregen en medewerkers van de vitale sectoren en het rijk hebben bovengemiddeld vaak een laptop van de zaak. Vier op de tien rijksambtenaren heeft een smartphone van de zaak, een percentage dat in de andere sectoren lager ligt. 13
6.2
Samenvatting resultaten consumenten
Nederlandse consument heeft een beperkt beeld bij het begrip cyber security Opvallend is dat men bij cyber security in eerste instantie vooral denkt aan het beveiligen van de computer tegen virussen en veel minder aan het beveiligen tegen het stelen van informatie of persoonsgegevens. De helft van de consumenten weet echter helemaal niets te noemen over cyber security. Phishing is een bekend fenomeen Wanneer er concreter wordt gevraagd op welke manieren er via internet misbruik van de computer kan worden gemaakt, blijkt phishing een bekend gevaar. Deze vorm van cyber crime wordt even vaak genoemd als virussen. Veel consumenten hebben zelf ook ervaring met phishingmails en ook de campagne van de Nederlandse Vereniging van Banken over dit onderwerp die momenteel op de Nederlandse televisie te zien is, speelt mogelijk een rol in de bekendheid van het fenomeen. Men ziet ongewenst delen van persoonlijke informatie als een groot risico Dat er ongewenst geld van de rekening wordt gehaald middels cyber crime, vinden veel Nederlanders niet zo waarschijnlijk. Volgens hen is het risico veel groter dat via het internet persoonlijke informatie van hen ongewenst wordt gedeeld. Met name jongeren zijn hier bang voor, wat naar alle waarschijnlijkheid samenhangt met hun grotere activiteit op social media. Consumenten vinden zichzelf redelijk cyber secure Consumenten beoordelen hun eigen cyber security gemiddeld met een 7,2. Hun eigen wachtwoorden geven zij een 7,0. Sommige consumenten zijn zich erg bewust van hun eigen onbekwaamheid: 9% geeft aan dat zij onvoldoende cyber secure zijn en 16% geeft toe dat hun wachtwoorden onvoldoende veilig zijn. Oordeel over eigen cyber security niet altijd realistisch Andere consumenten zijn juist onbekwamer dan zij zelf inschatten. 14% van de consumenten die hun eigen wachtwoorden inschatten als voldoende veilig, geven verderop in de vragenlijst toe dat hun wachtwoorden aan geen van de drie voorgelegde veiligheidsaspecten voldoen (lengte, type karakters, bestaande woorden). De veiligheid van wachtwoorden laat nog te wensen over De meerderheid van de Nederlandse consumenten neemt weliswaar geen bestaande woorden op in zijn of haar wachtwoorden, maar minder dan de helft geeft aan dat hun wachtwoorden bestaan uit meer dan 10 karakters of speciale tekens bevatten. Het bewustzijn van het belang van sterke wachtwoorden is mogelijk nóg lager. Bij veel diensten moeten aangemaakte wachtwoorden verplicht voldoen aan bepaalde veiligheidskenmerken. Het is maar de vraag hoeveel consumenten sterke wachtwoorden zouden aanmaken wanneer deze wachtwoordeisen er niet zouden zijn. Ook het regelmatig wijzigen van belangrijke wachtwoorden is bij veel consumenten nog geen automatisme. De meesten wijzigingen hun wachtwoorden minder vaak dan eens per drie maanden of nooit. Daarnaast wordt hetzelfde wachtwoord veelal voor meerdere doeleinden gebruikt. Om de eigen wachtwoorden te kunnen onthouden, doet een meerderheid van de consumenten een beroep op zijn of haar 14
geheugen. Anderen gebruiken meer of minder veilige hulpmiddelen zoals het laten onthouden van het wachtwoord door de computer middels het plaatsen van een vinkje of het noteren van de wachtwoorden op een briefje. Wifi-beveiliging goed ingeburgerd De meerderheid van de consumenten heeft een beveiliging op zijn of haar wifinetwerk, al weten zij niet allemaal welk type beveiliging zij hebben. WPA2 is het meest voorkomende type beveiliging. Een kleine groep weet niet of hun wifi beveiligd is. Zij zijn ofwel onbewust onbekwaam ofwel onbewust bekwaam. Jongeren actiever maar ook beter beschermd op social media Bijna driekwart van de Nederlandse consumenten maakt gebruik van social media. De jongeren geven meer persoonlijke informatie prijs op dergelijke sites dan de oudere consumenten, maar zij hebben hun gegevens ook beter afgeschermd. Velen hebben een privacyfilter ingeschakeld en hun profiel afgeschermd voor onbekenden. Ook bij het plaatsen van informatie maken met name jongeren bewuste keuzes, bijvoorbeeld door GPS-informatie uit hun foto’s te verwijderen. 50-plussers steunen meer op beveiligingssoftware De oudere consumenten zijn zorgvuldiger in het activeren en up-to-date houden van beveiligingssoftware zoals antivirussoftware, antispyware en een personal firewall dan consumenten van 30 jaar of jonger. Deze jongste groep heeft vaker te maken gehad met cyber crime. Dit kan komen door slechtere beveiliging, maar ook door de activiteiten die zij uitvoeren op internet, zowel het type als de frequentie. Overheid moet niet zorgen, maar ondersteunen De meerderheid van de consumenten vindt dat gebruikers zelf verantwoordelijk zijn voor veilig internetgebruik. Daarnaast dichten zij ook de internetproviders en in mindere mate website-eigenaren een belangrijke rol toe. Slechts een vijfde verwacht dat de overheid hier verantwoordelijkheid in neemt. Voor de overheid ziet men een andere rol weggelegd: het verstrekken van informatie over hoe men zich kan beschermen tegen de risico’s van internet. Met name de 50-plussers verwachten hierover ook informatie vanuit internetproviders. PC en laptop vaak gedeeld, maar gescheiden gebruikt De meeste van de ondervraagde consumenten zijn in het bezit van een PC of laptop. Een kleiner deel bezit een tablet of smartphone. Bij PC’s, laptop en tablets is het veel gangbaarder om deze apparaten te delen met anderen, dan bij smartphones, met dát verschil dat bij PC’s en laptops iets vaker aparte accounts zijn aangemaakt per gebruiker, terwijl men op de tablet de verschillende gebruikers vaak vanaf hetzelfde account werken.
15
7
Resultaten zakelijke doelgroepen In deze resultatensectie worden achtereenvolgens besproken: Welk beeld medewerkers in vier sectoren hebben van cyber security en gevaren en of men er ervaring mee heeft Wie volgens de medewerkers in vier sectoren primair verantwoordelijk is voor de digitale veiligheid van organisaties Hoe cyber secure zij inschatten dat hun eigen organisatie is en hoe securitybeleid eruit ziet Hoe cyber secure zij inschatten dat hun collega’s zijn Hoe cyber secure zij inschatten dat zij zelf zijn en op welke vlakken zij goed of slecht op de hoogte zijn Hoe cyber secure zij bevonden worden door hun leidinggevenden en op welke vlakken zij goed of slecht op de hoogte zijn Hoe zij omgaan met computers (ook thuis) Hoe zij omgaan met wachtwoorden Welke apparaten zij bezitten en waarvoor ze die gebruiken
16
7.1
Beeld van cyber security en gevaren
Op de vraag waar medewerkers aan denken bij het begrip cyber security oftewel digitale veiligheid blijven velen het antwoord schuldig. Ongeveer de helft van de medewerkers in de vitale sectoren en een derde van de medewerkers in het bedrijfsleven geeft aan dat ze niet weten waar aan te denken bij dit begrip. De kennis over het begrip lijkt groter bij de ambtenaren in gemeenten en rijksoverheden. Bij hen weet ongeveer één vijfde (gemeente 19%, rijksoverheid 22%) niets te noemen. De ambtenaren van gemeenten en rijksoverheid die wel een beeld hebben, reageren grofweg met gelijksoortige antwoorden op deze vraag. Ook in hun antwoorden ligt de nadruk op beveiligen en beschermen van de computer tegen virussen, en minder op het beschermen informatie en persoonsgegevens.
Vraagstelling: Als we het hebben over cyber security oftewel een veilige digitale omgeving, waar denkt u dan aan, wat roept dit bij u op? N.B. de antwoorden afkomstig uit het ambtenarenflitspanel zijn niet nagecodeerd in antwoordcategorieën. De antwoorden afkomstig uit het StemPuntpanel van Motivaction en het Panelclix panel wel.
Wanneer wordt gevraagd welke werkzaamheden en handelingen over internet een risico kunnen vormen voor de organisatie waar men werkt, noemen medewerkers uit alle vier sectoren vergelijkbare dingen: sommigen geven aan dat in alles een potentieel gevaar schuilt, anderen noemen specifieke voorbeelden: online bankieren, downloaden van bestanden of software, e-mailen, surfen op internet, werken met persoonlijke klantgegevens, en de zakelijke computer voor 17
privédoeleinden gebruiken. Veel medewerkers willen of kunnen deze vraag echter niet beantwoorden. Phishing mail en virussen meest voorkomende vorm van cyber security Ongeveer een derde tot de helft van de medewerkers in de verschillende sectoren heeft nog nooit last gehad van een virus op de computer.
Overheden en dan met name de gemeenten, hebben volgens hun medewerkers vaker last van computervirussen, al zijn de ondervraagde medewerkers op de eigen werkcomputer ongeveer even vaak getroffen. Gemeenten hebben ook vaker last van computeruitval door virussen en malware dan alle andere sectoren. Ook hebben gemeenteambtenaren op de eigen computer vaker last van computeruitval door virussen en malware dan medewerkers van rijksoverheid en bedrijfsleven en vitale sectoren. Mails met phishing komen op de privécomputers van werknemers bijna ongeveer even vaak voor als een virus: grofweg een derde heeft deze wel eens op de privécomputer gekregen. Phishingmail komt echter vaker voor op de werkcomputer dan een virus, bijna twee op de tien medewerkers hebben wel eens phishingmail gekregen op de werkcomputer. Toch geeft men minder vaak aan dat de organisatie hierdoor getroffen is. Mogelijke verklaringen hiervoor zijn dat men ook privémail leest op de werkcomputer of dat men een phishingmail aan het eigen werkadres niet als een aanval op de organisatie ziet. Bij rijksoverheden zeggen minder medewerkers dat ze nog nooit phishing hebben meegemaakt. Ook zeggen zij vaker dat de organisatie waar zij werken er mee te maken heeft gehad. Zelf zijn rijksambtenaren (maar ook gemeenteambtenaren) op de privécomputer én op de werkcomputer vaker getroffen. 7% à 8% van de medewerkers van het bedrijfsleven en de vitale sectoren is wel eens getroffen door identiteitsfraude. Dit komt bij hen zakelijk ongeveer even vaak voor als privé. Ambtenaren hebben minder ervaring met identiteitsdiefstal: bij 18
gemeenten en rijksoverheden komt identiteitsdiefstal niet of nauwelijks voor in de organisaties en ook minder vaak in de privésituatie.
7.2
Verantwoordelijkheid
De IT-afdeling is primair verantwoordelijk voor cyber security Grofweg zeven van de tien medewerkers vinden dat de verantwoordelijkheid voor veilig internetten bij de IT-afdeling moet liggen. Toch bagatelliseert men het eigen aandeel niet: de helft van de medewerkers in het bedrijfsleven vindt zichzelf (mede)verantwoordelijk voor veilig internetgebruik. In de gemeenten en rijksoverheid is dit percentage nog veel hoger (respectievelijk 65% en 78%). Bij de rijksoverheid komt de medewerker hiermee zelfs op de eerste plaats. Op de derde plaats komt het management van de organisatie. Ambtenaren wijzen in de regel méér partijen aan als verantwoordelijke. Opvallend is dat ambtenaren vaker de overheid aanwijzen als verantwoordelijke partij, maar dit wordt logischerwijs verklaard voor het feit dat dit voor hen ook de werkgever is.
7.3
Cyber security van organisaties
Medewerkers geven rapportcijfer 7,5 à 8 voor cyber security van werkgever Medewerkers van de vitale sectoren geven een 8,08 voor de cyber security van de organisatie waar ze werken. Zij oordelen hiermee het meest positief van alle sectoren. De rijksoverheid komt op de tweede plaats met een 7,85. De gemeenten worden door hun medewerkers slechter beoordeeld dan het bedrijfsleven en komen laatste met een gemiddelde beoordeling van 7,49 van hun medewerkers.
19
Rapportcijfers
Gemiddelde
% voldoendes
% onvoldoendes
% weet niet
1 2 3
Rijksoverheid Gemeenten Vitale sectoren
7,85 7,49 8,08
94% 93% 94%
4% 6% 4%
1% 1% 3%
4
Bedrijfsleven
7,67
88%
5%
7%
Vraagstelling: Op een schaal van 1 tot 10, hoe hoog schat u de digitale veiligheid van de organisatie waar u werkt? (Hierbij staat 1 voor heel laag en 10 voor heel hoog)
De aandacht die er in organisaties voor cyber security is (volgens medewerkers), is het grootst in de vitale sectoren, gevolgd door de rijksoverheid. Op de derde plaats komt het bedrijfsleven en de aandacht in gemeenten is het kleinst. Rapportcijfers
Gemiddelde
% voldoendes
% onvoldoendes
% weet niet
1 2 3
Rijksoverheid Gemeenten Vitale sectoren
7,95 7,66 8,21
92% 89% 92%
6% 8% 4%
2% 2% 3%
4
Bedrijfsleven
7,77
88%
7%
6%
Vraagstelling: Op een schaal van 1 tot 10, hoe beoordeelt u de mate waarin de organisatie waarvoor u werkt aandacht heeft voor digitale veiligheid? (Hierbij staat 1 voor heel laag en 10 voor heel hoog)
In alle sectoren geeft het merendeel van de medewerkers die een mobiele device in bruikleen hebben van de werkgever aan dat zij van die werkgever instructies hebben ontvangen voor het veilig gebruik van dit apparaat. Medewerkers van de rijksoverheid en de vitale sectoren hebben vaker dan in het bedrijfsleven en bij gemeenten instructies ontvangen van de werkgever.
Rijksoverheden en vitale sectoren hebben vaakst een cyber security protocol 59% van de rijksambtenaren en 54% van de medewerkers van de vitale sectoren geeft aan dat er in hun organisatie sprake is van een protocol of beleid op het gebied van digitale veiligheid. In het bedrijfsleven geeft slechts 41% van de medewerkers dit aan en in de gemeenten 52%. Ook weet van de medewerkers in
20
het bedrijfsleven een groter deel niet óf er binnen de organisatie beleid bestaat op het gebied van digitale veiligheid (20%). In de vitale sectoren is de onwetendheid over het al dan niet bestaan van beleid het kleinst: 10%. Medewerkers in de vitale sectoren lijken ook beter op de hoogte van hoe men geacht wordt te handelen in geval van een cyber security incident. 34% van de medewerkers in de vitale sectoren zegt dat medewerkers weten wat te doen in zo’n geval en nog eens 28% denkt dat dit waarschijnlijk zo is; bij elkaar is dus 62% van de medewerkers min of meer voorbereid. Bij de rijksoverheid en in het bedrijfsleven ligt dit percentage lager, maar niet zo laag als bij de gemeenten, waar opgeteld slechts 43% van de ondervraagde ambtenaren inschat dat medewerkers dan weten hoe te handelen. Vitale sectoren zijn in de meeste gevallen het verst gevorderd met hun securitybeleid: zo wordt er meer aandacht aan besteed, worden nieuwe medewerkers structureler ingewerkt, maakt het onderdeel uit van het functioneringsgesprek en wordt er over het algemeen beter op de naleving van een beleid of protocol toegezien. Opvallend is dat hoewel de overheden in meerderheid een protocol of beleid hebben, het zelden onderdeel uitmaakt van beoordelings- of functioneringsgesprekken in het ambtenarenapparaat. In de fout gaan wordt zogezegd niet ‘bestraft’. Ambtenaren weten ook niet beter dan bijvoorbeeld het bedrijfsleven hoe zij moeten handelen in geval van een incident, eerder slechter. Collega’s binnen de verschillende sectoren praten onderling even vaak over digitale veiligheid, De kennis die medewerkers hebben van het al dan niet nemen van maatregelen na vertrek van een medewerker verschilt wel behoorlijk per sector: de beide groepen ambtenaren weten minder goed of er maatregelen worden genomen nadat een collega vertrekt. Dat onderwerp scoort overigens in alle sectoren het grootste percentage ‘weet niet’, wat erop kan duiden dat dergelijke handelingen niet of juist alleen minder openlijk plaatsvinden. Toch is men in de vitale sectoren en het bedrijfsleven beter op de hoogte van dergelijke maatregelen.
21
Veilig wachtwoordbeleid en back-up beleid meest vastgelegde onderdelen cyber security beleid Veilig wachtwoordgebruik en het back-upbeleid zijn binnen de meeste sectoren de vaakst vastgelegde onderdelen van het securitybeleid (zie onderstaande figuur). Er doen zich tussen sectoren wel aanzienlijke verschillen voor. Meer dan drie kwart van medewerkers in de vitale sectoren (76%) heeft binnen de organisatie een vastgelegd beleid voor veilig wachtwoordgebruik, terwijl dit in het bedrijfsleven en bij gemeenten bij nog geen twee op de drie organisaties zo is (respectievelijk 64% en 65%). Beleid voor het noteren van wachtwoorden is over het algemeen minder goed geregeld in organisaties: afgezien van de vitale sectoren is dit bij de meerderheid niet vastgelegd in een beleid. Onderstaande grafiek toont eveneens dat in de vitale sectoren en de rijksoverheid op vrijwel alle onderdelen van het securitybeleid meer is vastgelegd dan in het bedrijfsleven en bij gemeenten. Opvallende verschillen doen zich voor bij het beleid voor omgang met USB-sticks, dat bij de meerderheid van rijksorganisaties en vitale sectoren is vastgelegd, maar bij een minderheid van de gemeenten en commerciële bedrijven Een ander verschil tekent zich af bij het beleid voor de omgang met computers; ook dat is vaker vastgelegd bij het rijk en de vitale sectoren.
22
7.4
Cyber security van de medewerkers
Medewerkers geven collega’s een rapportcijfer rond de zeven voor veiligheid Desgevraagd geven medewerkers in de vitale sectoren een 7,43 voor de digitale veiligheid van de medewerkers in hun organisatie. In deze sector geeft men de collega’s een hoger rapportcijfer en ook vaker een voldoende dan in de andere sectoren. Op de tweede plaats komt het bedrijfsleven: daar geven medewerkers hun collega’s een 7,25. Bij de overheden oordeelt men minder positief over de collega’s: ze krijgen een magere zeven (rijk: 7,07, gemeenten: 6,75) voor cyber security. Rapportcijfers
Gemiddelde
% voldoendes
% onvoldoendes
% weet niet
1 2 3
Rijksoverheid Gemeenten Vitale sectoren
7,07 6,75 7,43
83% 81% 90%
12% 15% 6%
4% 3% 4%
4
Bedrijfsleven
7,25
81%
9%
10%
Vraagstelling: Op een schaal van 1 tot 10, hoe hoog schat u de digitale veiligheid van de medewerkers in de organisatie bij de uitvoering van uw werk? (Hierbij staat 1 voor heel laag en 10 voor heel hoog)
Leidinggevenden vitale sectoren verreweg meest positief over cyber security kennis en -bewustzijn van medewerkers Leidinggevenden in het bedrijfsleven zijn in 24% van de gevallen van mening dat hun medewerkers goed op de hoogte zijn van het organisatiebeleid over digitale veiligheid. In de vitale sectoren ziet dit er heel anders uit: hier denkt een grotere groep, namelijk 39% van de leidinggevenden positief over de kennis van de medewerkers omtrent het organisatiebeleid. Opvallend is dat hier ook de totale 23
groep leidinggevenden die een negatieve indruk hebben van de kennis bij medewerkers een stuk kleiner is dan in de drie andere sectoren (6%+11%= 17% versus bijvoorbeeld 7%+43%=50% bij de gemeenten). Naast kennis en bewustzijn van beleid en gevaren valt of staat een goed cyber securitybeleid ook bij compliance en onderhoud. Vooral bij de overheden schort het hieraan: een zeer kleine minderheid van de leidinggevenden zegt dat de ambtenaren van het rijk en gemeenten elkaar stimuleren compliant te zijn en een zeer kleine groep geeft aan dat er regelmatig sessies zijn om de laatste regels door te nemen (in beide gevallen 7%). In de vitale sectoren worden dergelijke sessies vaker gehouden: 25% zegt dat dit gebeurt. Soortgelijke verhoudingen, zij het minder sterk, bestaan bij bijna alle facetten van de mate van cyber security van medewerkers: leidinggevenden in de vitale sectoren zijn vaker positief over de cyber security van hun medewerkers dan de leidinggevenden in het bedrijfsleven, bij het rijk en de gemeenten en minder vaak negatief. Gemiddeld genomen zijn het de leidinggevenden van gemeentelijke overheden die het vaakst negatief oordelen over kennis en bewustzijn in de organisatie. De enige uitzondering hierop is het meldingsbeleid in geval van een incident dat de digitale veiligheid in gevaar brengt: in zo’n geval weten de gemeenteambtenaren volgens hun leidinggevenden wel goed bij zie ze dit moeten melden (56% +20% = 76%).
24
Inschatting eigen mate van cyber security: rapportcijfer rond de 8 Medewerkers geven een rapportcijfer van rond de acht voor hun eigen cyber security op het werk. Medewerkers in de vitale sectoren geven zichzelf gemiddeld het hoogste cijfer. Bij deze self assessment eindigt niet het bedrijfsleven op de tweede plaats (zoals bij de inschatting door collega’s), maar de rijksoverheid. Dit komt omdat de rijksambtenaren zichzelf een beduidend hoger cijfer geven dan de eigen collega’s: gemiddeld 0,8 punt hoger. In het bedrijfsleven schatten medewerkers hun eigen cyber security ook wel iets hoger in dan die van de collega’s, maar dit verschil is geringer. Ook bij de inschatting van de eigen digitale veiligheid is de laagste score voor de gemeenteambtenaren. Rapportcijfers
Gemiddelde
% voldoendes
% onvoldoendes
% weet niet
1 2 3
Rijksoverheid Gemeenten Vitale sectoren
7,87 7,51 8,04
96% 93% 95%
3% 5% 3%
1% 1% 2%
4
Bedrijfsleven
7,75
91%
3%
6%
Vraagstelling: Op een schaal van 1 tot 10, hoe hoog schat u de digitale veiligheid van uzelf, in de uitvoering van uw werk? (Hierbij staat 1 voor heel laag en 10 voor heel hoog)
Medewerkers in de vitale sectoren geven iets vaker dan de medewerkers in de andere sectoren aan dat zij de kennis en de juiste werkhouding hebben om digitale veiligheid te waarborgen. Op negen van de elf kenniselementen in de onderstaande grafiek geven zij hij het vaakst aan dat deze wel op hen van toepassing zijn. Zo is men zich in deze sector net iets vaker bewust van de regelgeving (43%) en ook iets vaker geneigd zich eraan te houden (49%). Bij twee elementen is het kennisniveau nét hoger bij de rijksoverheden: rijksambtenaren zijn zich vaker dan welke medewerkers dan ook bewust van het belang van cyber security (72%) en zeggen ook vaker de eigen verantwoordelijkheden te kennen (63%). De kennis over cyber security is bij gemeenteambtenaren het minst goed geborgd, gevolgd door de rijksambtenaren: zij rapporteren het vaakst dat ze niet op de hoogte zijn, zich niet bewust zijn van gevaren of verantwoordelijken of zich niet betrokken voelen bij het cyber security beleid van hun organisatie. Ze begaan daarentegen ook minder vaak bewuste overtredingen dan medewerkers in de andere sectoren naar eigen zeggen doen.
25
In bovenstaande paragraaf zagen we eerst leidinggevenden een inschatting maken van de cyber security van medewerkers en daarna de medewerkers over zichzelf. Enkele items worden in onderstaande grafiek naast elkaar gelegd zodat zichtbaar wordt op welke elementen een ‘gap’ aanwezig is. In de vitale sectoren (rode lijnen) is zichtbaar dat de stippellijn ongeveer dezelfde vorm heeft als de doorgetrokken lijn: dit betekent dat de leidinggevenden de kennis van de medewerkers over digitale veiligheid op alle elementen iets lager inschatten dan de medewerkers zelf, maar hen ook minder overtredingen toedichten dan de medewerkers zelf toegeven. In het bedrijfsleven (groene lijnen) schatten medewerkers hun eigen kennisniveau eveneens op de meeste elementen iets hoger in dan de leidinggevenden hen toedichten, maar is het percentage dat aangeeft het beleid wel eens te overtreden is juist kleiner dan de leidinggevenden inschatten. Bij de rijksoverheid (grijs) onderschatten de leidinggevenden de kennis en het bewustzijn van de medewerkers op veel elementen sterk: de stippellijn en dichte lijn liggen ver uit elkaar. De inschatting van het bewust overtreden van protocollen komt echter wel goed overeen met wat de medewerkers zelf zeggen. Ongeveer hetzelfde patroon toont zich af bij de gemeenten, al zijn zowel leidinggevenden als medewerkers zelf hier meestal iets negatiever over de kennis en het bewustzijn.
26
Men weet wat vertrouwelijke informatie is, maar niet wat zwakke plekken zijn In alle sectoren is een meerderheid van de medewerkers naar eigen zeggen op de hoogte van welke informatie als vertrouwelijk gezien wordt. Ambtenaren geven dit vaker aan dan medewerkers van vitale sectoren en bedrijfsleven. Ook zegt een grote meerderheid te weten waarop men moet letten wanneer men een e-mail ontvangt met een link erin. Gemeenteambtenaren zijn zich hiervan het minst bewust (27% weet het niet) en vitale sectoren het meest. Een kwart (vitale sectoren en rijksoverheid) tot een derde van de medewerkers (bedrijfsleven en gemeenten) weet echter niet wat men moet doen wanneer er een incident plaatsvindt dat de digitale veiligheid in gevaar brengt. Soortgelijke aantallen medewerkers weten niet welke typen websites men wel of niet mag bezoeken op de werkcomputer, al weten medewerkers van de vitale sectoren dit wel iets beter (22% van hen weet het niet). Slechts een minderheid van de medewerkers weet wat de zwakke plekken van de organisatie zijn op het gebied van digitale veiligheid. Dit ligt in lijn met het eerder beschreven resultaat in paragraaf 5.2 waarbij de primaire verantwoordelijkheid voor cyber security aan de IT-afdeling wordt toegedicht. Blijkbaar gaat de kennis over zwakke plekken de grenzen van het ‘leken’-domein voorbij. In gemeenten is men hier overigens het minst goed van op de hoogte.
27
Kwart gemeenteambtenaren geeft onvoldoende voor eigen wachtwoord De meeste medewerkers in de ondervraagde sectoren geven zichzelf een voldoende voor de veiligheid van de eigen wachtwoorden en gemiddeld komen de rapportcijfers voor het eigen wachtwoordgebruik in alle sectoren rond de 7 uit. Medewerkers in de vitale sectoren en het bedrijfsleven geven zichzelf een iets hogere score dan medewerkers uit het bedrijfsleven en gemeenteambtenaren, waar ook meer medewerkers aangeven dat de veiligheid van het eigen wachtwoord onvoldoende is. Rapportcijfers
Gemiddelde
% voldoendes
% onvoldoendes
1
Rijksoverheid
7,08
85%
15%
2
Gemeenten
6,64
76%
24%
3
Vitale sectoren
7,08
85%
14%
4
Bedrijfsleven
6,88
81%
19%
Vraagstelling: Hoe veilig (‘sterk’) denkt u dat (de meeste) wachtwoorden van u zijn? Uiteenlopend van ‘zeer onveilig/zwak’ - tot ‘zeer veilig/sterk’ Sterke wachtwoorden bestaan uit minimaal 8 tekens, bevatten geen herkenbare woorden (of verschillende woorden achter elkaar), bevatten zowel hoofdletters als kleine letters, vreemde tekens en cijfers
28
7.5
Gedraagt men zich veilig
6 op 10 medewerkers mailt wel eens gevoelige bedrijfsinformatie Voor het delen van gevoelige bedrijfsinformatie gebruikt men het vaakst de e-mail, daarna de USB-stick en het minst vaak de cloud. Binnen het bedrijfsleven en de vitale sectoren zijn er meer medewerkers die nooit gevoelige informatie via e-mail delen. Medewerkers van rijksoverheid delen hun gevoelige informatie het minst via de cloud. De USB-stick wordt in alle sectoren door ongeveer een derde van de medewerkers regelmatig of vaak ingezet bij het delen van gevoelige informatie.
Laptops bedrijven en gemeenten in helft gevallen ook door anderen gebruikt Iets minder dan een kwart van de medewerkers in de vier sectoren en het bedrijfsleven laat een smartphone of tablet van de werkgever ook wel eens door iemand anders gebruiken. Bij een laptop van de baas ligt dit percentage hoger: ruim een derde (vitale sectoren) tot ongeveer de helft (bedrijfsleven en gemeenten) van de medewerkers deelt dit apparaat met anderen. Binnen de vitale sectoren en de rijksoverheid geven medewerkers vaker dan binnen het bedrijfsleven en gemeenten aan dat zij gebruik maken van een Virtual Private Network of een andere beveiligde verbinding. Bij gebruik van een openbare wifi-verbinding kiest ongeveer de helft van de medewerkers in de vitale sectoren bewust voor het al dan niet uitvoeren van handelingen. De andere helft staat hier dus niet bij stil. In het bedrijfsleven en bij de overheden is het aandeel medewerkers dat hier bewust keuzes in maakt kleiner dan in de vitale sectoren, waarbij rijksambtenaren zich verstandiger tonen dan gemeenteambtenaren en medewerkers van het bedrijfsleven hier tussenin vallen. Een kleine minderheid van de medewerkers in vitale sectoren en bedrijfsleven (resp. 17% en 13%) wijzigt een wachtwoord na blootstelling aan openbaar wifi-netwerk. Ambtenaren van het rijk en de gemeenten doen dit in nog geringere mate. 29
USB-sticks die buiten de organisatie zijn geweest worden door één à twee op de tien medewerkers ter controle op virussen ingeleverd bij de systeembeheerder. Ook dit gebeurt het vaakst in de vitale sectoren. Net als bij de meeste resultaten die tot nu toe in dit rapport beschreven werden is er een tendens zichtbaar waarbij er in de vitale sectoren en de rijksoverheid het beste wordt omgegaan met de cyber security, en bij bedrijfsleven en gemeenten minder goed (zie onderstaande figuur).
Ambtenaren gaan verstandiger om met hun privé computers, medewerkers in vitale sectoren juist onverstandiger Met het stimuleren en regelen van veilig gedrag op de computers van de werkgever is de cyber security van organisaties nog niet gewaarborgd. Medewerkers gebruiken vaak ook eigen apparaten voor de uitvoering van werktaken. 1
In de tabel op pagina 32 en 33 zijn de meest in het oog springende verschillen op het gebied van cyber secure gedrag met kleuren weergegeven. Rood staat voor minder verstandig gedrag en groen duidt erop dat medewerkers in deze sectoren juist verstandiger gedrag vertonen. Hieronder worden ze toegelicht: Vaste PC’s Vaste PC’s die privé-eigendom zijn, maar ook zakelijk worden gebruikt, worden op veel vlakken met meer voorzichtigheid behandeld door rijksambtenaren dan de privé-PC’s waar de andere sectoren mee te maken krijgen: rijksambtenaren zijn terughoudender met het openen van mails en sites van onbekende afzenders ze zijn terughoudender met het ingaan op verzoeken om in te loggen ze zijn minder geneigd te kijken waar spam over gaat ze zijn terughoudender in hun vertrouwen op de veiligheid van bijlages 1
Voor een uitputtend overzicht van alle voorkomende verschillen, getoetst op siginificanties tussen alle sectoren, verwijzen we naar de tabellenbijlage. 30
ze zouden minder vaak een gevonden USB-stick in hun PC stoppen wanneer ze een melding krijgen over een benodigde software update volgen zij deze het vaakst op ze hebben in vrijwel alle gevallen antivirussoftware op deze PC geïnstalleerd Op veel van deze gedragskenmerken scoren de medewerkers in de vitale sectoren juist negatiever. Gemeenteambtenaren vertonen net als rijksambtenaren minder vaak onverstandig gedrag op de PC, maar zij zijn minder oplettend als het gaat om websitebeveiligingscertificaten en nieuwe software releases. Laptops Privélaptops van medewerkers in de vitale sectoren staan aan relatief veel gevaren bloot door minder verstandig gedrag van medewerkers. medewerkers in deze sector zijn minder terughoudend in het vertrouwen van e-mails van onbekenden, e-mails met linkjes erin of met inlogverzoeken medewerkers in deze sector vertonen op hun privélaptop vaker onverstandig gedrag medewerkers van deze sectoren hebben minder vaak antivirussoftware of fireware actief op hun laptops Wel voeren zij vaker dan de medewerkers van andere sectoren automatische software-updates uit. De privélaptops van medewerkers in het bedrijfsleven zijn relatief gezien redelijk cyber secure in die zin dat medewerkers vaker terughoudend zijn met mails van onbekende afzenders en doorlinkjes erin en dat zij het ook vaker melden als zich iets verdachts voordoet op het apparaat. Gemeenteambtenaren zijn in sommige gevallen juist verstandiger, maar in andere juist weer niet: zo is men bijvoorbeeld oplettender bij het inloggen op een bankwebsite en minder oplettend bij een nietbankwebsite. Smartphones Smartphones zijn in alle sectoren minder frequent beveiligd dan laptops en PC’s maar worden ook minder blootgesteld aan risicogedrag omdat veel activiteiten niet op de smartphone gedaan worden. Over alle aspecten heen vertonen medewerkers van de vitale sectoren op de smartphone het minst veilige gedrag en rijksambtenaren het meest. De steekproef tabletbezitters die deze ook voor werk gebruiken is in alle sectoren te klein om uitspraken over te doen evenals de steekproef smartphonebezitters die deze ook zakelijk inzetten ook. Opvallend is dat medewerkers van de vitale sectoren op hun privé PC, laptop of smartphone vaker cyber insecure gedrag vertonen dan de medewerkers van de andere sectoren, terwijl tot nu toe uit alle resultaten bleek dat deze sector juist het meest cyber secure is van de vier onderzochte sectoren. Mogelijk vertonen de medewerkers dit gedrag juist op privécomputers omdat ze op het werk aan meer regels gebonden zijn of hebben zij meer kennis van de eventuele gevolgen waardoor ze beter kunnen inschatten of een bepaalde actie veilig is. Een voorbeeld is dat zij vaker aangeven uit nieuwsgierigheid het onderwerp van spam te bekijken: mogelijk weten zij beter welk type spam risico’s met zich meebrengt en welke niet.
31
Op de PC Terughoudendheid / gezond verstand Voorzichtig met e-mails en websites die men niet kent/vertrouwt Nooit bestanden openen van onbekende afzender Nooit ingaan op ongevraagde e-mail verzoeken om in te loggen Niet op links in e-mails klikken omdat deze naar gevaarlijke websites kunnen sturen
Op de Laptop
Op de tablet
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
NB Rood staat voor minder verstandig gedrag en groen duidt erop dat medewerkers in deze sectoren juist verstandiger gedrag vertonen.
Op de smartphone
94%
89%
83%
85%
91%
95%
77%
95%
nb
nb
nb
nb
84%
75%
55%
nb
69%
72%
64%
68%
71%
75%
65%
80%
nb
nb
nb
nb
66%
62%
50%
nb
77%
72%
66%
80%
78%
70%
63%
78%
nb
nb
nb
nb
74%
67%
58%
nb
51%
48%
57%
62%
51%
43%
44%
63%
nb
nb
nb
nb
57%
48%
40%
nb
34%
29%
33%
33%
32%
31%
37%
42%
nb
nb
nb
nb
25%
19%
14%
nb
81%
67%
82%
82%
85%
74%
84%
79%
nb
nb
nb
nb
64%
49%
38%
nb
Uit nieuwsgierigheid kijken waar de spam over gaat
6%
10%
33%
19%
5%
6%
24%
17%
nb
nb
nb
nb
2%
0%
10%
nb
Email voldoende veilig vinden voor vertrouwelijke informatie
61%
65%
73%
61%
59%
64%
65%
65%
nb
nb
nb
nb
35%
48%
42%
nb
24%
28%
48%
38%
21%
23%
47%
36%
nb
nb
nb
nb
7%
15%
22%
nb
46%
52%
53%
49%
33%
45%
45%
40%
nb
nb
nb
nb
1%
1%
14%
nb
11%
16%
28%
23%
7%
14%
20%
15%
nb
nb
nb
nb
0%
0%
6%
nb
21%
27%
32%
25%
19%
24%
27%
13%
nb
nb
nb
nb
8%
23%
8%
nb
15%
10%
26%
23%
7%
13%
28%
21%
nb
nb
11%
25%
16%
Verdachte zaken op apparaat melden bij helpdesk Weten hoe je cookies kunt verwijderen (alleen resultaten van mensen die weten wat cookies zijn) Minder verstandig gedrag
Vertrouwen hebben in de veiligheid van bijlages (want het is veiliger dan gewone mailtekst) Een USB-stick (relatiegeschenk) in het apparaat stoppen om te kijken wat er op staat Een gevonden USB-stick in het apparaat stoppen om te kijken wat er op staat Nog steeds het default wachtwoord op de router hebben staan Gebruik maken van de cloud voor het maken van een backup
nb
nb
32
nb
Op de PC Laatste updates Automatische software updates Software updaten bij melding
Op de Laptop
Op de tablet
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
Bedrijfsleven
Vitale Sectoren
Gemeenten
Rijksoverheid
NB Rood staat voor minder verstandig gedrag en groen duidt erop dat medewerkers in deze sectoren juist verstandiger gedrag vertonen.
Op de smartphone
75% 86%
67% 76%
74% 76%
76% 72%
75% 83%
71% 77%
79% 82%
74% 75%
nb nb
nb nb
nb nb
nb nb
60% 77%
52% 74%
41% 59%
nb nb
72%
64%
72%
67%
68%
53%
73%
77%
nb
nb
nb
nb
57%
43%
38%
nb
Anti-spywaresoftware actief Personal firewall actief
96% 79% 84%
95% 78% 80%
84% 83% 83%
87% 72% 80%
95% 74% 82%
92% 79% 78%
81% 80% 75%
93% 83% 82%
nb nb nb
nb nb nb
nb nb nb
nb nb nb
45% 18% 29%
32% 16% 13%
35% 28% 16%
nb nb nb
Altijd up-to-date versie van anti-software
87%
85%
83%
69%
82%
87%
75%
79%
nb
nb
nb
nb
48%
31%
37%
nb
70%
63%
73%
66%
70%
61%
70%
72%
nb
nb
nb
nb
44%
37%
39%
nb
79%
75%
80%
63%
76%
77%
71%
66%
nb
nb
nb
nb
50%
42%
41%
nb
71%
62%
70%
69%
69%
63%
65%
67%
nb
nb
nb
nb
43%
48%
34%
nb
Regelmatig controleren of er nog updates zijn bij de leverancier van software Anti virussoftware en firewall Anti-virussoftware actief
Weten bij wie je je gegevens achterlaat https-slotje of certificaat van een niet-bankwebsite controleren voor het inloggen https-slotje of certificaat van een bankwebsite controleren voor het inloggen https-slotje of certificaat van een website waar je persoonsgegevens invult controleren voor het inloggen/ registreren
33
Vrijwel alle thuisnetwerken van medewerkers zijn beveiligd Medewerkers die ook hun privécomputer gebruiken voor zakelijke doeleinden kunnen, wanneer zij dit apparaat niet goed beveiligd hebben, een risico met zich meebrengen, maar hetzelfde geldt voor het thuisnetwerk waarop zij actief zijn. Grofweg heeft ongeveer 9 op de 10 medewerkers (die op een privécomputer werken) een wifi-netwerk thuis. Netwerken zijn over het algemeen goed beveiligd: slechts 1% (bedrijfsleven) à 2% (vitale sectoren) van de medewerkers heeft bewust een onbeveiligd wifi-netwerk, bij ambtenaren komt dit niet voor. Het aandeel medewerkers met een netwerk waarvan men niet weet of het beveiligd is, bedraagt 3% (vitale sectoren) tot 9% (bedrijfsleven). De overige medewerkers hebben een beveiligd wifi-netwerk waarvan WPA2 de meest voorkomende vorm is. Ambtenaren weten vaker dan niet-ambtenaren niet welke beveiliging ze hebben.
Wachtwoorden ambtenaren minder cyber secure Eerder zagen we dat de medewerkers gemiddeld een voldoende geven voor de sterkte van de eigen wachtwoorden, maar dat ook ongeveer één à twee op de tien medewerkers de sterkte van de eigen wachtwoorden met een onvoldoende waarderent. Drie eenvoudige eigenschappen die de sterkte van het wachtwoord verbeteren zijn: geen ‘echte’ woorden opnemen, wachtwoorden langer dan 10 karakters gebruiken en wachtwoorden met speciale tekens gebruiken. Ambtenaren gebruiken alle drie de trucs minder vaak dan medewerkers van de overige twee sectoren. Van de drie trucs is in zowel het bedrijfsleven, de vitale sectoren als binnen de overheden het vermijden van echte woorden de meest gehanteerde eigenschap. Hoe vaak medewerkers dit toepassen, verschilt: de lengte van een wachtwoord is bij iets meer dan de helft van de medewerkers in het bedrijfsleven en de vitale sectoren 10 karakters of korter, wachtwoorden van rijksambtenaren en gemeenteambtenaren zijn in twee op de drie gevallen aan de korte kant. Iets meer dan de helft van de medewerkers gebruikt speciale leestekens in het wachtwoord.
34
Verstopte briefje meest gebruikte geheugensteuntje De meest gebruikte manier om wachtwoorden te onthouden is het uit het hoofd leren ervan. Het meest gebruikte geheugensteuntjes is het noteren op een briefje vooral veel toegepast door ambtenaren, gevolgd door het aanvinken van de onthoud-optie van een website. 13 à 14% van de medewerkers maakt wel eens gebruik van deze aanvinkoptie. Dat wil niet zeggen dat zij dit doen voor alle wachtwoorden en dat zij deze optie dus ook inzetten voor de toegang tot zéér gevoelige informatie. Hoewel zich niet veel verschillen voordoen tussen de sectoren, sturen medewerkers van de vitale sectoren zichzelf iets vaker een e-mail met wachtwoorden erin.
35
Hoe regelmatig men wachtwoorden wisselt, verschilt sterk per persoon. Tussen de 10 en 20 procent van de medewerkers wisselt alle wachtwoorden regelmatig, hetzelfde percentage wisselt regelmatig de belangrijkste wachtwoorden en nog eens hetzelfde percentage wisselt eigenlijk nooit. Nog eens rond de tien procent wisselt wanneer men een seintje krijgt en weer een tiende wisselt wel eens alle wachtwoorden. Regelmatig wisselgedrag komt iets vaker voor onder medewerkers van de vitale sectoren dan onder medewerkers van het bedrijfsleven en de overheid. Ambtenaren geven veel vaker aan dat zij van wachtwoord wisselen als ze daar een melding van krijgen. Mogelijk worden zij regelmatig daarop geattendeerd, want slechts 4% van de rijksambtenaren wisselt eigenlijk nooit zijn wachtwoorden.
Meerderheid medewerkers dupliceert wachtwoorden Er zijn in absolute zin nog maar weinig medewerkers in de onderzochte sectoren die aangeven dat ze voor alles hetzelfde wachtwoord hanteren (circa 5%), maar het dupliceren van wachtwoorden is wel erg gebruikelijk. Ongeveer een derde van de medewerkers heeft meerdere wachtwoorden die men voor meerdere sites gebruikt, en nog eens een iets kleinere groep gebruikt unieke wachtwoorden voor de belangrijkste sites en duplicaatwachtwoorden voor minder belangrijke sites of programma’s. 15% tot 20% van de medewerkers heeft voor alle accounts een ander wachtwoord. Er doen zich geen noemenswaardige verschillen voor tussen de sectoren.
36
7.6
Achtergrond respondenten
7.6.1
Bezit en gebruik van zakelijke computers
Ongeveer twee derde van de medewerkers in de vitale sectoren en het bedrijfsleven hebben van hun werkgever een PC ter beschikking gesteld gekregen voor werkgerelateerde doeleinden. In de gemeenten werkt bijna iedereen met een vaste PC en zijn laptops veel minder gebruikelijk. Medewerkers in de vitale sectoren hebben vaker dan medewerkers in het bedrijfsleven en bij de overheid een smartphone tot hun beschikking.
Het ter beschikking gestelde apparaat (ongeacht of dat een PC, laptop, smartphone of tablet is) wordt door de meeste medewerkers meer dan 20 uur per week voor het 37
werk gebruikt. Bij de overheden ligt het percentage zeer frequente gebruikers wat hoger.
De meeste medewerkers gebruiken de ter beschikking gestelde apparaten om te emailen, informatie op internet te zoeken en voor offline tekstverwerking, rekenen en tekenen. Deze top-3 is in alle sectoren hetzelfde, al gebruiken ambtenaren ze in meer gevallen hiervoor. Medewerkers van de vitale sectoren gebruiken de apparaten iets vaker voor privédoeleinden als online bankieren, sociale netwerksites en online aankopen dan de meeste andere medewerkers, ambtenaren gebruiken ze vaker voor social media.
38
7.6.2
Overige achtergrondgegevens respondenten
Van de ondervraagde medewerkers in het bedrijfsleven en de vitale sectoren is grofweg twee derde man en één derde vrouw. Bij de overheden is dit gelijker verdeeld, zoals ook in werkelijkheid het geval is. De steekproeven van de ambtenaren (rijk en gemeenten) zijn representatief op de kenmerken leeftijd en geslacht omdat op deze kenmerken een weging is toegepast aan de hand van beschikbare CBS-data. De kenmerken van de steekproeven (na weging) zijn: Rijksoverheid
Gemeenten
Vitale sectoren
Bedrijfsleven
57% 43%
53% 47%
67% 33%
67% 33%
72% 27% 1%
66% 34% 0%
38% 57% 5%
38% 50% 12%
0% 16% 27% 35% 23% 0%
0% 14% 27% 34% 26% 0%
5% 22% 30% 28% 14% 0%
0% 15% 29% 31% 24% 0%
15% 85%
17% 83%
30% 70%
25% 75%
16% 35% 9% 17% 16% 7% 0%
8% 31% 14% 25% 19% 3% 0%
10% 34% 11% 22% 19% 4% 0%
10% 35% 7% 18% 27% 4% 0%
Geslacht Man Vrouw Opleiding Hoog Midden Laag Leeftijd 18 t/m 24 25 t/m 34 35 t/m 44 45 t/m 54 55 t/m 65 66 t/m 80 Leidingggevend Ja Nee Regio (Nielsen6) 3 grote gemeenten West Noord Oost Zuid Randgemeenten Onbekend
De steekproeven van het bedrijfsleven en de vitale sectoren zijn representatief voor het aantal werknemers in de branches waaruit deze sector bestaat.
39
De medewerkers die deelnamen aan het onderzoekzijn in de volgende deelsectoren werkzaam. De onderverdeling binnen de vier afzonderlijke doelgroepen is representatief voor de werkelijke verdeling van medewerkers in deze Nederlandse sectoren. Vitale sectoren Transport Energie Drinkwater Keren en beheren oppervlaktewater Financiële sector Telecommunicatie Totaal
Rijksoverheid Departement Uitvoeringsorganisatie of inspectie Agentschap of ZBO Hoog college van staat of adviescollege Uitvoeringsdienst Anders Totaal
46% 6% 1%
Bedrijfsleven Landbouw, bosbouw en visserij Delfstoffenwinning Industrie
1%
Energievoorziening
38% 8% 100%
Waterbedrijven en afvalbeheer Bouwnijverheid Handel Vervoer en opslag Horeca Informatie en communicatie Financiële dienstverlening Verhuur en handel van onroerend goed Specialistische zakelijke diensten Verhuur en overige zakelijke diensten Openbaar bestuur en overheidsdiensten Onderwijs Gezondheids- en welzijnszorg Cultuur, sport en recreatie Overige dienstverlening Huishoudens Extraterritoriale organisaties Anders, namelijk: Totaal
23% 23% 13% 2% 12% 26% 99%
Gemeenten Uitvoeringsorganisatie of inspectie Uitvoeringsdienst Gemeentehuis / stadhuis Anders Totaal
0% 0% 13% 0% 0% 7% 14% 0% 3% 4% 0% 0% 10% 2%
8% 18% 1% 5% 0% 0% 14% 100%
3% 8% 65% 24% 100%
40
8
Resultaten consumenten 8.1
Beeld van cyber security en gevaren
Helft Nederlandse internetters heeft geen beeld bij ‘cyber security’ Op de vraag waar Nederlandse consumenten aan denken bij het begrip cyber security oftewel digitale veiligheid blijft bijna de helft het antwoord schuldig. Het meest wordt gedacht aan virussen, aan een firewall en aan veilig internetten. Onderstaande grafiek toont een classificering van de meest gegeven antwoorden. Opvallend is dat de meeste consumenten niet direct denken aan het stelen van informatie of persoonsgegevens, maar eerder aan het beschermen van de computer tegen kwade invloeden van buitenaf.
De jongste groep uit het onderzoek (t/m 30 jaar) heeft het meest een beeld bij het begrip cyber security. Wanneer wordt gevraagd wat dit begrip bij hen oproept, geeft 64% één of meerdere antwoorden. Onder de consumenten van 31 t/m 49 jaar is dat maar 51% en onder de respondenten van 50 jaar en ouder is dat 48%. Virussen en phishing meest bekende vormen cyber crime Wanneer concreter gevraagd wordt op welke manieren er misbruik gemaakt kan worden van iemands computer weet 52% van de internettende consumenten geen antwoord te formuleren. Het meest genoemde antwoord is phishing en daarna virussen. Jongeren weten spontaan ook vaker iets te noemen wanneer ze gevraagd worden naar de mogelijke gevaren van internet. (55% vs. 46% van de 41- t/m 49-jarigen en 45% van de 50-plussers). Zij noemen spontaan vaker zaken als: identiteitsfraude en virussen, downloaden en websites.
41
8.2
Risico-inschatting
Onbedoeld delen van persoonlijke informatie risico met grootste kans van voorkomen Van alle dingen die tegen de wil van de consument kunnen gebeuren, staat ‘geld van de rekening halen’ op de laagste positie. 69% van de Nederlandse consumenten denkt dat dat risico klein tot zeer klein is. Dat iemand ongewenst iets koopt uit jouw naam of zich voordoet alsof hij/zij jou is, zijn in de ogen van de consumenten al iets reëlere risico’s, maar toch schat een absolute meerderheid van de mensen deze kans klein of zeer klein in. De grootste risico’s lijken zich vooral te bevinden in het ongewenst delen van privé informatie: dat onbekenden kunnen zien met wie je bevriend bent en dat er onbedoeld locatiegegevens worden meegestuurd met een melding of foto op social media; 44% schat hiervan de kans groot of zeer groot. Jongeren achten de kans dat hun persoonlijke gegevens zichtbaar zijn op internet groter dan de ouderen. Dit heeft ook te maken met de activiteiten die zij uitvoeren op internet. Zij geven vaker aan dat de kans (zeer) groot is dat onbekenden kunnen zien met wie zij bevriend zijn (50%) of dat er met anderen wordt gedeeld waar zij zich op dat moment bevinden (35%). De jongeren zijn zich ook meer bewust van de effecten die het delen van informatie kunnen hebben. 25% acht het risico (zeer) groot dat anderen de persoonlijke gegevens die zij op internet hebben geplaatst, kunnen gebruiken en verspreiden en 38% is zich ervan bewust dat bij het plaatsen van een foto of berichtje op social media automatisch locatiegegevens kunnen worden vermeld.
42
N.B. Het rode gemiddelde in de grafiek geeft de rangorde aan: hoe hoger, hoe groter men het risico inschat
41% heeft wel eens virus op de privécomputer gehad 41% van de Nederlandse consumenten heeft wel eens last gehad van een virus op de privécomputer en een even groot deel heeft wel eens phishingmails ontvangen. Bij 18% van de consumenten heeft een virus of malware weleens geleid tot computeruitval en slechts 3% heeft op de privécomputer wel eens een incident gehad op het gebied van identiteitsfraude.
Jongeren hebben de meeste ervaring met cyber crime op hun privécomputer. 53% heeft weleens last gehad van een computervirus, 27% heeft weleens last gehad van computeruitval door een virus of malware en 47% heeft wel eens last gehad van phishingmails. De consumenten in de leeftijd 31 t/m 49 jaar hebben iets vaker dan de andere leeftijdsgroepen last gehad van deze problemen op hun werk. De 43
consumenten van 50 jaar en ouder geven het vaakst aan dat zij met geen van deze problemen te maken gehad hebben.
8.3
Cyber security van consumenten
Gemiddeld geven consumenten zichzelf een 7,2 voor hun cyber security Wanneer consumenten een inschatting maken van hun eigen mate van cyber security (waarbij 1 heel laag is en 10 heel hoog) geeft men gemiddeld een 7,2 voor de cyber security in de privésituatie. 9% geeft zichzelf een onvoldoende, 87% een voldoende, 4% weet het niet. Het gemiddelde van 7,2 ligt ongeveer een half punt lager dan in de werksituatie. De drie leeftijdsgroepen schatten hun eigen digitale veiligheid hetzelfde in. De sterkte van het eigen wachtwoord waardeert men met een 7 Voor de sterkte van het eigen wachtwoord geven Nederlandse consumenten gemiddeld een 7,01. 16% van de consumenten geeft zichzelf een onvoldoende voor de eigen wachtwoorden. Gedraagt men zich veilig?
Consumenten gedragen zich over het algemeen bewuster wanneer zij omgaan met de laptop of PC en minder veilig waar het de tablet of smartphone betreft. Virussoftware is op het overgrote merendeel van de PC’s en laptops actief (rond 90%), maar veel minder vaak op tablets (38%) of smartphones (24%). Er zijn bovendien gedragsverschillen: consumenten met een smartphone zijn daar minder voorzichtig mee dan laptopbezitters met hun laptop: op een smartphone of tablet is men minder terughoudend met het openen van mails van onbekenden en 44
het klikken op links, mogelijk omdat er (nog) minder schadelijke virussen voor de smartphone bestaan. Het automatisch updaten van software gebeurt op smartphones minder vaak als op laptop en PC’s, maar op tablets bijna even vaak (rond de 65% doet dit). Ook het updaten wanneer men een melding krijgt gebeurt op tablets bijna net zo vaak als op PC’s en laptops, maar dit doen smartphonebezitters wel weer even vaak. Veel van de omgangsverschillen zijn ook te verklaren uit de kenmerken van de apparaten: maar weinig smartphones en tablets hebben bijvoorbeeld een USBingang, waardoor deze niet het risico lopen blootgesteld te worden aan de gevaren van een gevonden USB-stick. Het gebruik van de cloud voor het maken van een back-up is voor tablets het meest gebruikelijk: bijna een derde van de tabletbezitters gebruikt een vorm van cloud back-ups zoals iCloud. Het controleren van afzendercertificaten van websites (banken, niet-banken en commerciële websites) doen Nederlandse consumenten het vaakst op de PC, de laptop en de tablet. Op de smartphone dit men dit minder, mogelijk omdat men gebruik maakt van een mobiel bankieren app of de smartphone niet gebruikt om te bankieren.
45
Weten bij wie je je gegevens achterlaat https-slotje of certificaat van een niet-bankwebsite controleren voor het inloggen https-slotje of certificaat van een bankwebsite controleren voor het inloggen https-slotje of certificaat van een veiling- of winkelwebsite waar je persoonsgegevens invult controleren voor het inloggen/ registreren
Smartphone
Anti virussoftware en firewall Anti-virussoftware actief Anti-spywaresoftware actief Personal firewall actief Altijd up-to-date versie van anti-software
Tablet
Laatste updates Automatische software updates Software updaten bij melding Regelmatig controleren of er nog updates zijn bij de leverancier van software
Laptop
Minder verstandig gedrag Uit nieuwsgierigheid kijken waar de spam over gaat Email voldoende veilig vinden voor vertrouwelijke informatie Vertrouwen hebben in de veiligheid van bijlages (want het is veiliger dan gewone mailtekst) Een USB-stick (relatiegeschenk) in het apparaat stoppen om te kijken wat er op staat Een gevonden USB-stick in het apparaat stoppen om te kijken wat er op staat Nog steeds het default wachtwoord op de router hebben staan Gebruik maken van de cloud voor het maken van een back-up
PC Terughoudendheid / gezond verstand Voorzichtig met e-mails en websites die men niet kent/vertrouwt Nooit bestanden openen van onbekende afzender Nooit ingaan op ongevraagde e-mail verzoeken om in te loggen Niet op links in e-mails klikken omdat deze naar gevaarlijke websites kunnen sturen Verdachte zaken op apparaat melden bij helpdesk Weten hoe je cookies kunt verwijderen (allen mensen die weten wat cookies zijn)
86% 68% 72%
91% 70% 72%
79% 50% 57%
73% 63% 65%
55%
53%
47%
46%
36%
33%
26%
17%
74%
80%
64%
52%
13% 67%
12% 65%
11% 53%
5% 47%
37%
32%
20%
13%
50%
48%
6%
3%
18%
18%
4%
4%
23% 23%
19% 21%
8% 33%
5% 20%
66% 76%
64% 77%
61% 72%
39% 66%
62%
60%
67%
47%
88% 78% 77%
89% 78% 73%
38% 37% 26%
24% 27% 17%
75%
77%
45%
34%
64%
63%
66%
35%
68%
68%
55%
44%
65%
63%
61%
36%
46
8.4
Beveiliging wifi-netwerk
Vrijwel alle wifi-netwerken zijn beveiligd Ongeveer twee op de tien consumenten heeft thuis geen wifi-netwerk, de rest wel. 1% van de Nederlanders heeft thuis bewust een onbeveiligd netwerk en 8% weet niet of het eigen netwerk beveiligd is. 22% van de Nederlandse consumenten weet dat zij het draadloos netwerk thuis beveiligd hebben, maar niet met welk type beveiligingssleutel. De meeste consumenten die wél weten wat voor beveiliging zij hebben, hebben een WPA2 beveiliging. De jongste doelgroep beschikt thuis het vaakst over een wifi-netwerk (96%, vergeleken met 17% van de 31- t/m 49-jarigen en 29% van de consumenten van 50 jaar of ouder). De jongeren hebben hun netwerk veelal beveiligd met WPA2 (46%).
8.5
Veilig gebruik social media
Overgrote meerderheid weet privacy-instellingen aan te passen 71% van de Nederlandse consumenten gebruikt social media zoals Twitter, Facebook en LinkedIn. Van die gebruikers weet de overgrote meerderheid (83%) naar eigen zeggen hoe hij of zij de privacy-instellingen van het account moet aanpassen en eveneens een meerderheid (78%) heeft een filter aanstaan dat bepaalt wie welke informatie kan bekijken. Bijna 4 op de 10 gebruikers van social media zeggen bewust de GPS-informatie van foto’s of documenten te verwijderen alvorens ze op social media te plaatsen. Iets meer dan een kwart van de Nederlandse consumenten met één of meer socialmediaprofielen heeft openbaar op een profiel staan waar men werkzaam is en 21% 47
heeft een geheel publiek profiel. 14% van de gebruikers vermeldt op de social media wanneer men op reis of op vakantie is en 11% geeft aan het profiel te vullen met zoveel mogelijk persoonlijke informatie.
De jongste doelgroep die actief is op social media neemt meer voorzorgsmaatregelen op dergelijke websites. 90% weet hoe zij de privacy-instellingen van hun social-media-account kunnen aanpassen. Zij hebben dan ook vaker een privacyfilter ingesteld (87%) en slechts 14% geeft aan dat iedereen zijn of haar profiel kan zien. 44% verwijdert de GPS-informatie van foto’s en/of andere documenten voordat ze die plaatsen. Aan de andere kant geven jongeren ook meer informatie prijs op social media. 26% resp. 27% vermeldt het wanneer hij of zij op vakantie gaat of is. En 32% zegt dat iedereen kan zien waar hij/zij werkt. De consumenten van 50 jaar of ouder hebben minder voorzorgsmaatregelen genomen, maar geven ook minder informatie prijs. De middelste leeftijdsgroep zit hier tussenin. Merendeel consumenten gebruikt wachtwoorden van 10 of minder karakters We zagen eerder dat Nederlandse consumenten zichzelf een rapportcijfer 7 geven voor de sterkte van hun wachtwoord(en). Twee derde van de Nederlanders hanteert de vuistregel dat het wachtwoord geen woorden mag bevatten die in de Nederlandse taal voorkomen, maar het wachtwoord bestaat doorgaans wel uit 10 of minder karakters. Bijna de helft van de Nederlandse consumenten zegt in de meeste wachtwoorden leestekens te gebruiken die geen cijfers of letters zijn. De 50-plussers gaan iets minder veilig om met hun wachtwoorden. 68% van hen geeft aan dat hun wachtwoorden niet uit meer dan 10 karakters bestaan.
48
Consumenten die de sterkte van de eigen wachtwoorden met een onvoldoende waarderen hebben vaak ook maar één of geen van de beveiligingskenmerken toegepast (70%). Van de consumenten die de sterkte van de eigen wachtwoorden wél met een voldoende waarderen, heeft slechts één vijfde alle beveiligingskenmerken gebruikt. Eén derde van hen heeft twee van de kenmerken toegepast en één derde heeft 1 kenmerk toegepast. 14% van de consumenten die wel overtuigd was van de sterkte van het eigen wachtwoord gebruikt een wachtwoord (of wachtwoorden) die aan geen van de drie eigenschappen voldoet.
Wachtwoorden meestal uit het hoofd geleerd Wachtwoorden worden het meest in het hoofd onthouden, maar 19% van de Nederlanders heeft een briefje met daarop de wachtwoorden genoteerd. Ook gebruikt 19% van de consumenten weleens de ‘aanvink’-optie ‘onthoud mijn aanmeldgegevens’. 5% van de consumenten gebruikt speciale software waarin wachtwoorden opgeslagen kunnen worden en 1% heeft software die steeds automatisch een nieuw veilig wachtwoord genereert. Ouderen geven relatief vaak aan dat zij hun wachtwoorden onthouden door deze op een briefje te noteren dat zij vervolgens verstoppen (28%). Relatief weinig consumenten uit deze doelgroep onthouden hun wachtwoorden in hun hoofd (43%). Onder de jongste doelgroep is dat maar liefst 82%. 49
Bij belangrijke accounts wisselt men vaker van wachtwoord Wisselgedrag van wachtwoorden verschilt sterk van persoon tot persoon. De één wisselt nooit, de ander wisselt regelmatig alle wachtwoorden. De groep die nooit van wachtwoord wisselt, beslaat één vijfde van de Nederlandse consumenten. Daarna komt het vaakst voor dat men belangrijke en minder belangrijke wachtwoorden onderscheid waarbij men alleen de belangrijkste wachtwoorden regelmatig wisselt (16%). Evenveel mensen wisselen de belangrijkste wachtwoorden wel eens (maar dus niet regelmatig). Het regelmatig of wel eens wisselen van alle wachtwoorden komt minder vaak voor.
Kleine minderheid Nederlanders heeft maar één wachtwoord Slechts een kleine minderheid van de internettende consumenten hanteert één wachtwoord voor alles (7%) en vrij veel consumenten (38%) hebben meerdere 50
wachtwoorden die ze wel voor meerdere accounts / diensten in gebruik hebben. Bijna een kwart (23%) van de consumenten in bezit van computer en internet heeft één wachtwoord voor onbelangrijke accounts en voor de belangrijke accounts unieke wachtwoorden.
1 van 5 Nederlanders vindt overheid verantwoordelijk voor veilig internet De meeste internettende Nederlanders (73%) vinden dat de verantwoordelijkheid voor veiligheid op het gebied van internetgebruik voornamelijk bij de gebruikers zelf moet liggen. De jongste doelgroep is hierover wel meer uitgesproken dan de oudste doelgroep (78% vs. 70%). Ook ziet de helft van de consumenten een verantwoordelijkheid weggelegd voor de internet-providers. De consumenten van 50 jaar of ouder leggen de verantwoordelijkheid relatief vaak bij de internetproviders (58% vs. 38% van de consumenten jonger dan 31 jaar). 19% van de internettende consumenten ziet de overheid ook als een partij die verantwoordelijkheid zou moeten dragen van veilig internetgebruik. Ouderen dichten de overheid echter minder vaak die verantwoordelijkheid toe (15% vs. 25% van de jongeren).
Ruim een kwart van de internettende consumenten in Nederland heeft behoefte aan informatie hoe zij zich kunnen beschermen tegen de risico’s die internetten met zich meebrengt. Deze informatie ontvangen zij het liefst van de internetproviders en de overheid. Consumenten van 50 jaar en ouder die behoefte hebben aan informatie over hoe zij zich het best kunnen beschermen tegen de risico’s van internet, geven
51
relatief vaak aan dat zij deze informatie graag van de internetprovider ontvangen (80% vs. 62% van de jongste doelgroep). In het licht van de resultaten over verantwoordelijkheid is het opvallend te noemen dat hoewel de consumenten de overheid niet vaak als verantwoordelijke partij aanwijzen voor de veiligheid op internet (19%), wel een relatief groot percentage (69%) van hen juist van de overheid informatie wil hebben over veilig internetten.
8.6
Achtergrond ondervraagde consumenten
8.6.1
Bezit en gebruik van computers thuis
Het beschikken over een privécomputer was, net als het beschikken over internet, een voorwaarde voor deelname aan het consumentenonderzoek. 7% van de consumenten die over een privécomputer beschikt, heeft daarnaast ook de beschikking over een computer van het werk. 72% van de consumenten heeft de beschikking over een vaste PC en in 63% van de huishoudens is een laptop aanwezig. Van de consumenten die privé computeren heeft 21% thuis de beschikking over een tablet en 34% heeft een smartphone. Uiteraard is het mogelijk dat meerdere apparaten per huishouden en per consument aanwezig zijn.
52
Privélaptops worden ongeveer even vaak (circa 60%) door meerdere gebruikers gebruikt en in twee derde van die gevallen wordt er dan ook met hetzelfde account ingelogd. Ook tablets van consumenten hebben in ongeveer zes op de tien gevallen meer dan één gebruiker, maar het dubbelgebruik van accounts is hierbij nog groter. Smartphones worden in de meeste gevallen maar door één gebruiker gebruikt, net als computers die door het werk beschikbaar zijn gesteld aan de consumenten die ook al privé in bezit zijn van een computer.
De oudste doelgroep beschikt relatief vaak over een PC (78% vs. 64% van de jongste doelgroep). 50% van hen geeft aan dat hij/zij de enige is die deze pc gebruikt. Onder de jongste doelgroep komt het delen van de pc vaker voor (72%). De jongere doelgroepen beschikken relatief vaak over een laptop, tablet en/of smartphone. 77% van de jongste doelgroep heeft een laptop en 49% daarvan gebruikt deze samen met anderen. Het is met name de groep 31- t/m 49-jarigen die zijn laptop deelt met anderen (71%). 25% van de jongste doelgroep heeft een tablet en 65% daarvan gebruikt deze samen met anderen. Delen van de tablet is minder gangbaar onder de consumenten van 50 jaar of ouder (51%). 53% van de jongste doelgroep heeft een smartphone en 20% geeft aan dat anderen deze ook wel eens gebruiken.
53
Privé en/of zakelijk gebruik privécomputer De privélaptop wordt (na de computer van het werk) het vaakst ook ingezet voor zakelijke doeleinden (38%) gevolgd door de vaste PC en smartphone (beide 35%). Tablets worden van alle apparaten het vaakst puur privé gebruikt (76%).
De jongste doelgroep gebruikt hun privécomputers relatief vaak voor zakelijke doeleinden (53%). Onder de 31- t/m 49-jarigen is dat 35% en onder de 50-plussers 27%. Hoeveel uur per week gebruikt men computers privé De privécomputer (PC, laptop, tablet of smartphone) wordt in 28% van de huishoudens meer dan 21 uur gebruikt en in evenveel huishoudens 11 tot 20 uur per week.
De jongste doelgroep maakt het meest gebruik van de computer. 41% gebruikt deze 21 uur of meer per week, vergeleken met 24% van de oudere doelgroepen. Activiteiten op internet Bijna alle bezitters van een privécomputer (96%) gebruikt deze om te e-mailen. Ook informatief surfen (86%) en online bankieren (83%) zijn populaire activiteiten. Bijna drie kwart van de internettende consumenten (72%) doet online aankopen.
54
Jongere internetters gebruiken de computer voor meer verschillende activiteiten dan oudere. 8.6.2
Overige achtergrondgegevens respondenten
15% van de ondervraagde consumenten zijn schoolgaand, 6% ZZP’er, 31% niet of niet meer werkzaam en 44% is in loondienst.
55
De respondenten zijn werkzaam in de volgende sectoren:
De verdeling naar leeftijd, geslacht en opleiding van de respondenten is representatief voor Nederland. Consumenten Geslacht Man Vrouw
50% 50% Opleiding
Hoog Midden Laag
31% 51% 17% Leeftijd
13 tm 17 18 tm 24 25 tm 34
6% 11% 15%
35 tm 44 45 tm 54 55 tm 65
19% 18% 18%
66 tm 80
12%
Regio (Nielsen6) 3 grote gemeenten West Noord Oost Zuid Randgemeenten
11% 29% 10% 21% 24% 4%
Onbekend
0%
56
9
Vergelijkingen tussen groepen In dit hoofdstuk worden de meest opvallende verschillen tussen subdoelgroepen beschreven. Dwarsdoorsnedes zijn gebaseerd op het al dan niet leidinggeven van medewerkers (paragraaf 9.1) en hun leeftijd (paragraaf 9.2)
9.1
Leidinggevenden en niet-leidinggevenden
In dit hoofdstuk worden de meest opvallende verschillen tussen al dan niet leidinggevende subdoelgroepen beschreven. Tevens worden groepen leidinggevenden en niet-leidinggevenden apart genomen en onderling vergeleken. De vergelijkingen die gemaakt worden zijn op volgorde van voorkomen: 1. Een vergelijking van leidinggevenden en niet-leidinggevenden binnen de sector gemeenten 2. Een vergelijking van leidinggevenden en niet leidinggevenden binnen de sector rijksoverheid 3. Een vergelijking van leidinggevenden en niet-leidinggevenden binnen de vitale sectoren 4. Een vergelijking van leidinggevenden en niet-leidinggevenden binnen hert bedrijfsleven 5. Een onderlinge vergelijking van leidinggevenden in de vier sectoren 6. Een onderlinge vergelijking van niet-leidinggevenden in de vier sectoren In de vergelijkingen binnen sectoren worden de leidinggevende medewerkers vergeleken met de niet-leidinggevende medewerkers. Voor de leesbaarheid is ervoor gekozen deze aan te duiden met ‘overige medewerkers’. 9.1.1
Gemeenten
Verantwoordelijkheid Leidinggevenden binnen de gemeenten leggen de verantwoordelijkheid voor veilig internetgebruik vaker bij de medewerkers zelf (76% vs. 62% van de overige medewerkers) dan de niet-leidinggevenden in hun sector. Inschatting eigen mate van cyber security Leidinggevenden en niet overige medewerkers binnen de gemeenten schatten hun eigen digitale veiligheid vergelijkbaar in. Leidinggevenden geven relatief vaak aan dat zij goed op de hoogte zijn van het organisatiebeleid over digitale veiligheid dan de overige medewerkers (33% vs. 20%). Ook weten zij vaker bij wie zij een incident op het gebied van digitale veiligheid dienen te melden (77% vs. 58%). De overige medewerker geven relatief vaak aan dat zij zich niet betrokken voelen bij de programma’s rondom digitale veiligheid (22% vs. 14%). Zij wijzen hun collega’s ook relatief weinig op het veronachtzamen van regels op het gebied van digitale veiligheid (36% doet dit niet vs. 17% van de leidinggevenden) en stimuleren hun collega’s ook relatief weinig om zich te gedragen volgens de regels op dit gebied (29% vs. 14% doet dit niet).
57
Leidinggevenden weten beter wat zij moeten doen wanneer er een incident plaatsvindt die de digitale veiligheid in gevaar brengt (76% vs. 64%). Ook weten zij beter welke websites zij op hun zakelijke computer wel en niet mogen bezoeken (82% vs. 67%) en wat de zwakke plekken zijn in de digitale veiligheid van hun organisatie (31% vs. 18%). De sterkte van hun eigen wachtwoorden schatten leidinggevenden in met gemiddeld een 6,72. De overige medewerkers geven zichzelf een 6,63. Gedraagt men zich veilig? Leidinggevenden delen vaker dan de overige medewerkers gevoelige bedrijfsinformatie via een USB-stick (47% vs. 31%). Ook ligt de frequentie waarmee ze voor dit doeleinde e-mail gebruiken hoger dan bij de overige medewerkers. Het wachtwoordgebruik van leidinggevenden en overige medewerkers is even veilig. (Inschatting) cyber security door werkgever Leidinggevenden geven vaker aan dan de overige medewerkers dat zij van hun werkgever instructies hebben ontvangen voor het veilig gebruik van de mobiele devices (laptop, tablet, smartphone) (74% vs. 61%). Leidinggevenden zijn beter op de hoogte van de maatregelen die door de organisatie zijn genomen op het gebied van digitale veiligheid. Overige medewerkers geven vaker dan leidinggevenden aan dat zij niet weten: Of de organisatie voor alle werknemers een beleid (protocol) heeft met betrekking tot de digitale omgeving (19% vs. 9%) Of de medewerkers weten hoe te handelen bij incidenten op het gebied van digitale veiligheid (20% vs. 6%) Of nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken (26% vs. 9%) Of bij ontslag en/of vertrek van medewerkers maatregelen worden uitgevoerd in het kader van digitale veiligheid (46% vs. 26%) Of het naleven van de regels rondom digitale veiligheid binnen de organisatie onderdeel uitmaakt van de functionerings-/beoordelingsgesprekken (9% vs. 2%) Of de leidinggevenden erop toezien dat medewerkers weten van het bestaan en de inhoud van het beleid met betrekking tot de digitale werkomgeving (13% vs. 5%) De overige medewerkers zijn ook minder goed op de hoogte dan leidinggevenden van het al dan niet bestaan van een beleid voor veilig wachtwoordgebruik (22% vs. 13% weet het niet), voor de omgang met het noteren van wachtwoorden (33% vs. 23%), voor het updaten antivirussoftware (39% vs. 29%) en voor de omgang met PC’s, laptops, tablets en/of smartphones (26% vs. 15%). Achtergrond respondenten Bezit en gebruik van zakelijke computers Leidinggevenden hebben van hun werkgever vaker een mobiele device ter beschikking gekregen (laptop, tablet of smartphone) dan de overige medewerkers (29% vs. 9%, 24% vs. 6%, 58% vs. 21%). Die hebben juist weer relatief vaak beschikking over een PC (93% vs. 73%).
58
Overige achtergrondgegevens respondenten Mannen zijn oververtegenwoordigd onder de leidinggevenden: 70% van de leidinggevenden is man, vergeleken met 50% van de overige medewerkers. Ook zijn zij vaker hoog opgeleid (80% vs. 63%), terwijl de overige medewerkers relatief vaak middelhoog opgeleid zijn (37% vs. 20%).
9.1.2
Rijksoverheid
Verantwoordelijkheid Leidinggevenden leggen de verantwoordelijkheid voor veilig internetgebruik vaker bij het management van de organisatie (74%) terwijl de overige medewerkers relatief vaak de overheid verantwoordelijk acht (21%). Inschatting eigen mate van cyber security Leidinggevenden schatten hun eigen digitale veiligheid op het werk in met gemiddeld een 7,77. De overige medewerkers geven zichzelf een 7,89. Leidinggevenden geven vaker aan dat zijn hun collega’s er (bijna) altijd op wijzen wanneer deze een bepaalde regel op het gebied van digitale veiligheid veronachtzamen (34% vs. 13%) dan overige medewerkers. Ook stimuleren zijn hun collega’s vaker om zich volgens de regels op het gebied van digitale veiligheid te gedragen (31% vs. 20%). Leidinggevenden zeggen vaker dat zij weten waar zij op moeten letten wanneer zij een e-mail ontvangen met daarin een link (86% vs. 76%). De sterkte van hun eigen wachtwoorden schatten leidinggevenden in met gemiddeld een 6,6. De overige medewerkers geven zichzelf een 7,17. Gedraagt men zich veilig? Leidinggevenden delen vaker gevoelige bedrijfsinformatie via een USB-stick dan de overige medewerkers (45% vs. 33%). Ook maken zij voor hun werk vaker gebruik van een VPN-verbinding of een andere beveiligde verbinding (80% vs. 61%). Leidinggevenden gaan op diverse aspecten veiliger om met hun laptop. Zij geven relatief vaak aan dat zij regelmatig bij de softwareleverancier controleren of er updates beschikbaar zijn en dat zij die vervolgens installeren (85% vs. 63%). Ook controleren zij vaker het certificaat van een website (https/slotje) wanneer zij inloggen of zich registreren op een website anders dan die van de bank (86% vs. 66%) of op een website waar zij hun persoonsgegevens moeten invullen (83% vs. 65%). Ook op hun smartphone en tablet vertonen de leidinggevenden iets voorzichtiger gedrag. Het wachtwoordgebruik van leidinggevenden en overige medewerkers is even veilig. (Inschatting) cyber security door werkgever Leidinggevenden zijn beter op de hoogte van de maatregelen die door de organisatie zijn genomen op het gebied van digitale veiligheid. Overige medewerkers geven vaker dan leidinggevenden aan dat zij niet weten:
59
Of de organisatie voor alle werknemers een beleid (protocol) heeft met betrekking tot de digitale omgeving (14% vs. 7%) Of de medewerkers weten hoe te handelen bij incidenten op het gebied van digitale veiligheid (16% vs. 6%) Of nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken (27% vs. 11%) Of bij ontslag en/of vertrek van medewerkers maatregelen worden uitgevoerd in het kader van digitale veiligheid (49% vs. 23%) Of het naleven van de regels rondom digitale veiligheid binnen de organisatie onderdeel uitmaakt van de functionerings-/beoordelingsgesprekken (9% vs. 1%) Of het na een incident op het gebied van digitale veiligheid gewoon is dat alle medewerkers hier direct een terugkoppeling over ontvangen (17% vs. 6%) Of de leidinggevenden erop toezien dat medewerkers weten van het bestaan en de inhoud van het beleid met betrekking tot de digitale werkomgeving (12% vs. 2%)
De overige medewerkers zijn ook minder goed op de hoogte dan leidinggevenden van het al dan niet bestaan van een beleid voor de omgang met het noteren van wachtwoorden (31% vs. 17% weet het niet) en voor de omgang met PC’s, laptops, tablets en/of smartphones (21% vs. 12%). Achtergrond respondenten Bezit en gebruik van zakelijke computers Leidinggevenden bezitten vaker een tablet of smartphone van de zaak (20% resp. 62%) dan de overige medewerkers (10% resp. 37%). Overige achtergrondgegevens De ondervraagde leidinggevenden zijn vaker hoogopgeleid (91% vs. 69%) dan de overige medewerkers. Die zijn relatief vaak middelhoog opgeleid (30% vs. 9%).
9.1.3
Vitale sectoren
Beeld van cyber security Leidinggevenden zijn beter op de hoogte van problemen die de organisatie heeft ervaren op het gebied van cyber security dan de overige medewerkers. Zij geven vaker aan dat de organisatie weleens last heeft gehad van identiteitsfraude en computervirussen (6% vs. 2%, resp. 27% vs. 16%). Van dit laatste hebben zij ook vaker zelf last gehad op hun werkcomputer dan de overige medewerkers (20% vs. 6%). Verantwoordelijkheid Leidinggevenden leggen de verantwoordelijkheid voor veilig internetgebruik minder vaak bij de werknemers zelf dan de overige medewerkers doen (47% vs. 56%). Inschatting eigen mate van cyber security Leidinggevenden en overige medewerkers schatten hun eigen digitale veiligheid in de uitvoering van hun werk hetzelfde in.
60
Op de vraag hoe goed men op de hoogte is van het organisatiebeleid over digitale veiligheid, geven leidinggevenden vaker dan de overige medewerkers aan dat hun organisatie geen beleid of protocol heeft op dit gebied (11% vs. 5%). Leidinggevende geven vaker aan dat zij weten bij wie ze een incident op het gebied van digitale veiligheid dienen te melden (72% vs. 62%). Gedraagt men zich veilig? Leidinggevende delen vaker bedrijfsgevoelige informatie dan overige medewerkers, zowel via e-mail (73% vs. 57%), via de cloud (24% vs. 12%) en via een USB-stick (43% vs. 31%). Mogelijk hangt dit samen met het feit dat leidinggevenden vaak over meer vertrouwelijke informatie beschikken dan niet-leidinggevende medewerkers. Voor de vergelijking tussen leidinggevenden en overige medewerkers is de omvang van de groepen te klein om betrouwbare uitspraken te kunnen doen. We zien wel dat leidinggevenden die hun zakelijke laptop ook gebruiken voor privédoeleinden, minder secuur omgaan met de beveiliging van hun laptop dan de overige medewerkers: zij hebben minder vaak een personal firewall geïnstalleerd (66% vs. 82%), maken niet allemaal gebruik van de mogelijkheid om automatische updates te installeren (71% vs. 85%) en reageren niet altijd op meldingen dat er softwareupdates beschikbaar zijn (73% vs. 88%) Leidinggevenden die hun privécomputer ook voor zakelijke doeleinden gebruiken, hebben de beveiliging van hun wifi-netwerk thuis beter geregeld dan de overige medewerkers. Zij hebben vaker een WEP-beveiliging (12% vs. 3%) of een andere beveiliging dan WPA, WPA2 of WEP (8% vs. 1%). Overige medewerkers geven relatief vaak aan dat zij wel een beveiliging hebben, maar niet weten welke (22% vs. 13%) of dat zij geen beveiliging hebben (3% vs. 0%). Leidinggevenden geven vaker aan dat hun wachtwoorden speciale tekens bevatten dan overige medewerkers (69% vs. 53%). Verder verschillen beide doelgroepen niet in de wijze waarop zij met hun wachtwoorden omgaan. (Inschatting) cyber security door werkgever Leidinggevenden zijn beter op de hoogte van de maatregelen die door de organisatie zijn genomen op het gebied van digitale veiligheid. Overige medewerkers geven vaker dan leidinggevenden aan dat zij niet weten: Of nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken (14% vs. 7%) Of bij ontslag en/of vertrek van medewerkers maatregelen worden uitgevoerd in het kader van digitale veiligheid (30% vs. 17%) Of het gewoon is dat alle medewerkers direct een terugkoppeling ontvangen na een incident op het gebied van digitale veiligheid (19% vs. 10%) Ook zijn overige medewerkers er minder goed van op de hoogte of er binnen de organisatie een beleid is voor het maken van back-ups (22% vs. 14% weet het niet) en de omgang met USB-sticks (22% vs. 15% weet het niet) Bezit en gebruik van zakelijke computers Leidinggevenden hebben vaker dan overige medewerkers een laptop of een smartphone ter beschikking gesteld gekregen voor hun werk (laptop: 62% vs. 37%, smartphone: 41% vs. 20%).
61
Leidinggevenden gebruiken hun zakelijke apparaten ook vaker voor privézaken dan overige medewerkers (62% vs. 39%). Leidinggevenden gebruiken hun zakelijke apparaten vaker dan overige medewerkers voor de online aankoop van artikelen (26% vs. 12%), de online verkoop van artikelen (11% vs. 5%), e-mailen (80% vs. 72%) en het downloaden van software, muziek, films, e.d. (12% vs. 5%). Overige achtergrondgegevens respondenten Het percentage mannen is hoger onder de leidinggevenden dan onder de overige medewerkers (85% vs. 59%). Leidinggevenden zijn vaker hoog opgeleid dan de overige medewerkers (46% vs. 35%), terwijl de overige medewerkers vaker middelhoog zijn opgeleid (59% vs. 50%). Leidinggevenden zijn relatief vaak 45 jaar of ouder (49% vs. 39), terwijl de overige medewerkers relatief vaak jonger dan 25 jaar zijn (6% vs. 2%).
9.1.4
Bedrijfsleven
Beeld van cyber security Leidinggevenden in het bedrijfsleven geven vaker aan dat zij op hun werkcomputer last hebben gehad van mails met phishing dan de overige medewerkers (27% vs. 18%). Met andere problemen zoals een computervirus, computeruitval door een virus of malware en identiteitsdiefstal, hebben beide doelgroepen ongeveer even vaak te maken gehad. Verantwoordelijkheid Leidinggevenden noemen meer verantwoordelijken inzake de veilig internetgebruik dan de overige werknemers. Zij leggen de verantwoordelijkheid voornamelijk bij de IT-afdeling (66%), de werknemers (61%) en het management (51%). Overige werknemers leggen de verantwoordelijkheid relatief vaak bij de IT-afdeling (62%, vs. werknemers: 48%, en het management: 39%) Inschatting eigen mate van cyber security Leidinggevenden en overige medewerkers schatten hun eigen digitale veiligheid in de uitvoering van hun werk hetzelfde in. De overige medewerkers hebben een passievere houding dan de leidinggevenden. Wanneer hen wordt gevraagd in hoeverre zij diverse stellingen over bewustzijn, kennis en gedrag op zichzelf van toepassing vinden, geven zij relatief vaak aan dat zij het niet weten: Ik ben goed op de hoogte van het organisatiebeleid over digitale veiligheid (17% vs. 8% weet niet) Ik weet bij wie ik een incident op het gebied van digitale veiligheid moet melden (15% vs. 7% weet niet) Ik ben me voldoende bewust van het belang van digitale veiligheid (13% vs. 7% weet niet) Ik ben me voldoende bewust van mogelijke gevaren op het gebied van digitale veiligheid die zich bij ons kunnen voordoen (17% vs. 8% weet niet) Ik voel me betrokken bij de programma’s rondom digitale veiligheid (19% vs. 8% weet niet) 62
Ik voel me gemotiveerd en gestimuleerd alles aan digitale veiligheid te doen wat in mijn vermogen ligt (15% vs. 7% weet niet) Ik wijs collega’s er (bijna) altijd op wanneer deze een bepaalde regel op het gebied van digitale veiligheid veronachtzamen (19% vs. 8% weet niet) Ik stimuleer mijn collega’s zich volgens de regels op het gebied van digitale veiligheid te gedragen (18% vs. 7% weet niet) Ik ben me bewust van het beleid over digitale veiligheid, maar pas het niet altijd toe (16% vs. 7% weet niet)
Leidinggevenden hebben een beter beeld van de gevaren voor hun organisatie en de wijze waarop zij moeten handelen bij een incident. Zij weten beter dan overige medewerkers welke informatie binnen hun organisatie gevoelig/vertrouwelijk is (91% vs. 79%), wat zij moeten doen wanneer er een incident plaatsvindt die de digitale veiligheid in gevaar brengt (75% vs. 65%) en wat de zwakke plekken zijn in de digitale veiligheid van hun organisatie (44% vs. 26%). Leidinggevenden en overige medewerkers verschillen niet van elkaar in de veiligheid van en het omgaan met hun wachtwoorden. Gedraagt men zich veilig? Of leidinggevende en niet-leidinggevende medewerkers meer of minder verstandig gedrag vertonen op de verschillende apparaten die zij van de werkgever mogen gebruiken is niet te achterhalen vanwege geringe steekproefomvang van de substeekproeven per apparaat en per medewerkerstype binnen de sector bedrijfsleven. Leidinggevenden maken voor hun werk vaker gebruik van een VPN-verbinding of een andere beveiligde verbinding met bijvoorbeeld een authenticatietoken (52% vs. 40%) Overige medewerkers geven juist vaker aan dat zij voor geen van hun apparaten regelmatig bij de softwareleverancier controleren of er update beschikbaar zijn en die vervolgens installeren (39% vs. 27%). Ook zorgen zij er minder vaak voor dat zij altijd beschikken over up-to-date versies van anti-virussoftware, antispywaresoftware en/of een personal firewall op hun apparaten (21% vs. 10%). Overige medewerkers ontkennen vaker dat zij voorzichtig omgaan met e-mail, websites of aanbieders die zij niet vertrouwen of kennen (15% vs. 7%). Ook geven zij vaker toe dat zij niet altijd het certificaat van de website van hun bank controleren voordat zij hierop inloggen of zich registreren (31% vs. 19%). Leidinggevenden met een zakelijke laptop hebben hierop vaker een personal firewall geactiveerd dan overige medewerkers (59% vs. 47%). Mogelijk hierdoor geven zij ook vaker aan dat zij e-mail voldoende veilig vinden om vertrouwelijke informatie te versturen (46% vs. 35%). Leidinggevenden gaan ook bewuster om met hun zakelijke smartphone: zij geven vaker aan dat zij hierop nooit bestanden openen van een onbekende afzender (27% vs. 18%). Leidinggevenden die hun privécomputer ook voor zakelijke doeleinden gebruiken, hebben de beveiliging van hun wifi-netwerk thuis beter geregeld dan de overige medewerkers. Zij hebben vaker een WPA2-beveiliging (55% vs. 35%), terwijl overige medewerkers relatief vaak aangeven dat zij niet weten of zij een beveiliging hebben (11% vs. 3%). 63
Leidinggevenden geven vaker aan dat zij hun belangrijkste wachtwoorden regelmatig wisselen (24% vs. 13%) terwijl de overige medewerkers relatief vaak aangeven dat zij hun wachtwoorden eigenlijk nooit veranderen (22% vs. 14%). (Inschatting) cyber security door medewerkers Leidinggevenden schatten de digitale veiligheid van de medewerkers in de organisatie gemiddeld in met een 7,0. De medewerkers zelf geven zichzelf en hun collega’s een 7,4. (Inschatting) cyber security door werkgever Leidinggevenden zijn beter op de hoogte van de maatregelen die door de organisatie zijn genomen op het gebied van digitale veiligheid. Overige medewerkers geven vaker dan leidinggevenden aan dat zij niet weten: Of de organisatie voor alle werknemers een beleid (protocol) heeft met betrekking tot de digitale omgeving (24% vs. 9%) Of de medewerkers weten hoe te handelen bij incidenten op het gebied van digitale veiligheid (25% vs. 9%) Of nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken (24% vs. 10%) Of bij ontslag en/of vertrek van medewerkers maatregelen worden uitgevoerd in het kader van digitale veiligheid (35% vs. 20%) Of het naleven van de regels rondom digitale veiligheid binnen de organisatie onderdeel uitmaakt van de functionerings-/beoordelingsgesprekken (24% vs. 6%) Of er weinig aandacht is voor digitale veiligheid (17% vs. 9%) Of de leidinggevenden erop toezien dat medewerkers weten van het bestaan en het inhoud van het beleid met betrekking tot de digitale werkomgeving (22% vs. 9%) Ook zijn overige medewerkers er minder goed van op de hoogte of er binnen de organisatie een beleid is voor veilig wachtwoordgebruik (19% vs. 10% weet het niet), voor omgang met het noteren van wachtwoorden (29% vs. 17%), voor het updaten van antivirussoftware (36% vs. 18%), voor internetgebruik (welk type websites wel/niet te bezoeken) (23% vs. 9%), voor het maken van back-ups (30% vs. 16%), voor de omgang met usb-sticks (28% vs. 16%) en voor de omgang met pc’s, laptops, tablets en/of smartphones (28% vs. 18%). Bezit en gebruik van zakelijke computers Leidinggevenden hebben vaker dan overige medewerkers een laptop, tablet en/of een smartphone ter beschikking gesteld gekregen voor hun werk (laptop: 48% vs. 33%, tablet: 12% vs. 5%, smartphone: 36% vs. 11%). Leidinggevenden gebruiken hun zakelijke apparaten ook vaker voor privézaken dan overige medewerkers (52% vs. 33%). Leidinggevende gebruiken hun zakelijke apparaten voor meer typen activiteiten dan overige medewerkers. Zij gebruik hun computers vaker dan overige medewerkers voor tekstverwerking, rekenen en tekenen (offline software) (72% vs. 48%), online bankieren (26% vs. 12%), de online aankoop van artikelen (28% vs. 8%), de online verkoop van artikelen (11% vs. 4%), e-mailen (88% vs. 70%), skype (12% vs. 5%), suften op internet om informatie te zoeken (73% vs. 56%) en netwerksites zoals Facebook, Hyves en LinkedIn (23% vs. 11%).
64
Overige achtergrondgegevens respondenten Het percentage mannen is hoger onder de leidinggevenden dan onder de overige medewerkers (73% vs. 63%). Leidinggevenden zijn vaker hoog opgeleid dan de overige medewerkers (51% vs. 33%), terwijl de overige medewerkers vaker laag zijn opgeleid (14% vs. 4%). De leidinggevenden zijn relatief vaak werkzaam in de sector ‘handel’ (26% vs. 13% van de overige medewerkers) en relatief weinig in de gezondheids- en welzijnszorg (12% vs. 24%).
9.1.5
Leidinggevenden in vier sectoren vergeleken
Omdat geen gegevens bekend zijn van de werkelijke verdeling van de achtergrond (leeftijd en geslacht) binnen substeekproeven 'leidinggevenden' en ‘nietleidinggevenden’ zijn de resultaten in deze paragraaf niet gewogen. De resultaten kunnen hierdoor afwijken van de resultaten over de gehele sector. Verantwoordelijkheid Leidinggevende ambtenaren leggen de verantwoordelijkheid voor veilig internetgebruik vaker bij de medewerkers zelf, het management van de organisatie én bij de IT-afdeling dan leidinggevenden in bedrijfsleven en vitale sectoren. Blijkbaar zien zij cyberveiligheid meer dan hun evenknieën in de commerciële sectoren als een gedeelde verantwoordelijkheid. Inschatting eigen mate van cyber security Leidinggevenden in de vitale sectoren geven zichzelf gemiddeld het hoogste cijfer voor hun eigen digitale veiligheid (een 7,99), gevolgd door leidinggevende rijksambtenaren (7,77), en de leidinggevenden bij gemeenten (7,71) en bedrijfsleven (7,71). Leidinggevenden in de vier sectoren zijn grofweg even vaak op de hoogte van het veiligheidsbeleid, even goed op de hoogte van degene bij wie ze een incident moeten melden, even goed bewust van het belang van digitale veiligheid en de eigen verantwoordelijkheid die ze daarin hebben. Toch zijn de leidinggevenden in de vitale sectoren opvallen meer compliant dan in de andere sectoren: 47% houdt zich strikt aan alle protocollen versus 33% à 37% in de andere sectoren. Ook spreken zij hun collega’s eerder aan wanneer deze het beleid veronachtzamen (40% versus 26% à 28% bij de overheden en het gewone bedrijfsleven) Aan de andere kant zeggen leidinggevende ambtenaren minder vaak dat zij, hoewel ze zich bewust zijn van beleid, het soms verzuimen toe te passen (11% à 12% bij de overheden versus 22% a 32% in het (vitale) bedrijfsleven. Leidinggevende gemeenteambtenaren weten het beste welke bedrijfsinformatie vertrouwelijk is (96%), op de voet gevolgd door de leidinggevenden van de rijksoverheid (93%) en het bedrijfsleven (92%). Bij leidinggevenden in de vitale sectoren bestaat hierover minder duidelijkheid (87%). Rijksambtenaren met een leidinggevende functie zijn slechter op de hoogte van de zwakke plekken in de digitale veiligheid van de organisatie (25%) dan zij bij de gemeenten (36%), vitale sectoren (39%) en in het bedrijfsleven (45%). Leidinggevenden in de vitale sectoren schatten de veiligheid van de door hen gebruikte wachtwoorden het hoogste in (zij geven zichzelf als rapportcijfer een 65
7,11), daarna gevolgd door het bedrijfsleven (7,06) de rijksoverheid (6,71), en als laatste de leidinggevende gemeenteambtenaren 6,71). Gedraagt men zich veilig? Leidinggevenden in de vier sectoren delen grofweg even vaak gevoelige bedrijfsinformatie via e-mail of USB-stick, maar leidinggevende ambtenaren delen minder vaak gevoelige informatie via de cloud (87% doet dit nooit, bij zowel rijksoverheid als gemeenten) dan bijvoorbeeld leidinggevenden in de vitale sectoren (72% doet dit nooit). Ambtenaren met een leidinggevende functie en een laptop delen deze laptop minder met anderen (57% rijk, 59% gemeenten) dan de leidinggevenden met een laptop in andere sectoren (72% vitale sectoren, 70% bedrijfsleven). Daarentegen zijn leidinggevenden in de vitale sectoren terughoudender met het delen van een smartphone of tablet. Leidinggevenden van de rijksoverheid houden minder rekening met mogelijke gevaren wanneer zij op een wifi-netwerk zitten (41%) dan de leidinggevenden in andere sectoren (51% à 58%). Ook wisselen leidinggevende ambtenaren (zowel gemeente als rijk 4%) zelden hun wachtwoord nadat zij van een wifi-verbinding gebruik hebben gemaakt, terwijl leidinggevenden in het bedrijfsleven en de vitale sectoren dit vaker zeggen te doen (18% à 26%). Leidinggevenden in de verschillende sectoren gebruiken de veiligheidstrucjes voor wachtwoorden in verschillende mate: leidinggevende ambtenaren gebruiken minder vaak wachtwoorden van 10 karakters of langer (rond de 30% doet dit), dan leidinggevenden in het (vitale) bedrijfsleven (40% à 50%). In het bedrijfsleven wordt de ‘geen echte woorden gebruiken’-truc het vaakst toegepast door de leidinggevenden (70%), al is dit ook in de andere sectoren bij een meerderheid van de leidinggevenden het geval. Wachtwoorden met speciale leestekens worden door leidinggevenden in de vitale sectoren meer gebruikt (70%) dan door de leidinggevenden in de andere sectoren (48% à 54%). Rijksambtenaren met een leidinggevende functie noteren hun wachtwoorden vaker op een briefje (33%) dan andere leidinggevenden (10% à 18%). Ook vertonen zij passiever gedrag ten aanzien van het wisselen van wachtwoorden (vaker wanneer zij een melding krijgen en minder regelmatig een wisseling van alle wachtwoorden. Leidinggevenden in het bedrijfsleven hebben vaker dan andere leidinggevenden één wachtwoord voor alle accounts, al betreft dit in absolute zin maar 9% van de leidinggevenden in die sector. (Inschatting) cyber security door medewerkers Leidinggevenden in de vitale sectoren geven gemiddeld het hoogste cijfer voor de digitale veiligheid van de medewerkers in hun organisatie (een 7,22), gevolgd door leidinggevende gemeenteambtenaren (7,01), leidinggevenden in het bedrijfsleven (6,94) en leidinggevende rijksambtenaren (6,91). Hoe de leidinggevenden in de verschillende sectoren denken over de digitale veiligheid van hun medewerkers is weergegeven in de resultatensectie ‘zakelijk doelgroepen’ van dit rapport; deze vragen werden enkel aan leidinggevenden gesteld en zijn dus reeds besproken. (Inschatting) cyber security door werkgever Leidinggevenden in de vitale sectoren geven gemiddeld het hoogste cijfer voor de digitale veiligheid van de organisatie (een 7,96), gevolgd door leidinggevende
66
gemeenteambtenaren (7,87), leidinggevende leidinggevenden in het bedrijfsleven (7,58).
rijksambtenaren
(7,74)
en
De mate waarin de organisatie volgens de leidinggevenden aandacht heeft voor digitale veiligheid verschilt ook per sector: in vitale sectoren is de aandacht het grootst (8,18), gevolg door rijksoverheid (7,98) en gemeenten (7,95) en in het bedrijfsleven het laagst (7,77). Achtergrond respondenten Bezit en gebruik computers Leidinggevende gemeenteambtenaren hebben het vaakst van alle leidinggevenden een vaste PC tot hun beschikking (77%) en het minst vaak een laptop (36%). In de vitale sectoren heeft twee derde van de leidinggevenden een laptop en daarmee hebben zij het vaakst van alle leidinggevenden een laptop. Leidinggevende ambtenaren van rijk en gemeenten hebben bovengemiddeld vaak een tablet van de zaak (22% à 26% versus circa 10% in de andere sectoren). Ook hebben zij vaker een smartphone van de zaak, rijksambtenaren voorop (66%). Automatisch komt het ook vaker voor dat deze apparaten voor privé worden gebruikt. Overige achtergrondgegevens Leidinggevenden in de vitale sectoren zijn, nog vaker dan leidinggevenden in de andere sectoren man (83%) en gemiddeld wat jonger. De leidinggevenden bij gemeenten zijn gemiddeld het oudst: 41% is hier boven de 55 jaar versus 14% in de vitale sectoren. De leidinggevenden bij de gemeentelijke overheden zijn in meerderheid (82% à 86%) hoogopgeleid, terwijl dit in het bedrijfsleven en vitale sectoren voor net iets meer dan de helft van de leidinggevenden het geval is.
9.1.6
Niet-leidinggevenden in vier sectoren vergeleken
Omdat geen gegevens bekend zijn van de verdeling van de achtergrond (leeftijd en geslacht) binnen substeekproeven 'leidinggevenden' en ‘niet-leidinggevenden’ zijn de resultaten in deze paragraaf niet gewogen. De resultaten kunnen hierdoor afwijken van de resultaten over de gehele sector. Verantwoordelijkheid De niet-leidinggevende ambtenaren leggen de verantwoordelijkheid voor veilig internetgebruik vaker bij medewerkers zelf, het management van de organisatie en in het geval van de rijksoverheid ook vaker bij de IT-afdeling dan nietleidinggevenden in bedrijfsleven en vitale sectoren. Inschatting eigen mate van cyber security Niet-leidinggevenden in de vitale sectoren geven zichzelf gemiddeld het hoogste cijfer voor hun eigen digitale veiligheid (een 8,09), gevolgd door niet-leidinggevende rijksambtenaren (7,8), niet-leidinggevenden bij gemeenten (7,71) en bedrijfsleven (7,67). Niet-leidinggevende medewerkers in de vitale sectoren zijn vaker op de hoogte van het veiligheidsbeleid (43% versus 28% à 32% in de andere sectoren), en zich ook beter bewust van de veiligheidsissues die zich binnen hun organisatie kunnen voordoen (58% versus 45% à 47% in de andere sectoren). Ook zijn de nietleidinggevenden in de vitale sectoren opvallend meer compliant dan in de andere sectoren: 49% houdt zich strikt aan alle protocollen versus 34% à 39% bij de 67
overheden en 43% in het bedrijfsleven. Zij spreken bovendien hun collega’s eerder aan wanneer deze het beleid veronachtzamen (25% versus 12% à 14% bij de overheden en 21% in het bedrijfsleven). Aan de andere kant zeggen leidinggevende ambtenaren zich juist vaker bewust te zijn van het belang van digitale veiligheid en minder vaak dat zij, hoewel ze zich bewust zijn van beleid het soms verzuimen toe te passen (15% à 16% bij de overheden versus 27% in de (vitale) sectoren). Niet-leidinggevende medewerkers van de overheden en vitale sectoren weten het beste welke bedrijfsinformatie vertrouwelijk is (89% à 91%), Bij medewerkers in de het bedrijfsleven bestaat hierover minder duidelijkheid (80%). Medewerkers zonder leidinggevende functie in de vitale sectoren zijn beter op de hoogte van de zwakke plekken in de digitale veiligheid van de organisatie (31%) dan diezelfde medewerkers in de andere sectoren. Ook weten zij beter hoe te handelen in het geval van een incident dat de digitale veiligheid van de organisatie in gevaar kan brengen (75%). De regels over websitegebruik op de zakelijke computer (welk type wel/niet bezoeken) zijn het best bekend bij de medewerkers van de vitale sectoren (79%) en het rijk (71%) en minder bekend bij medewerkers in het bedrijfsleven (64%) en bij gemeenten (65%). Wanneer medewerkers een e-mail met daarin een link ontvangen, is bij de medewerkers in het bedrijfsleven en de vitale sectoren beter bekend hoe te handelen (respectievelijk 81% en 84%) dan bij ambtenaren van rijk en gemeenten (77% en 74%). Niet-leidinggevenden in de vitale sectoren schatten de veiligheid van de door hen gebruikte wachtwoorden het hoogste in (zij geven zichzelf als rapportcijfer een 7,07), daarna gevolgd door de niet-leidinggevende medewerkers bij gemeenten (6,95), het bedrijfsleven (6,9) en als laatste de rijksoverheid (6,78). Gedraagt men zich veilig? Niet-leidinggevende medewerkers in de vier sectoren delen grofweg even vaak gevoelige bedrijfsinformatie via USB-stick of de cloud, maar niet-leidinggevenden in het bedrijfsleven delen iets minder vaak gevoelige informatie via e-mail (49% doet dit nooit, versus 34% a 35% bij rijk en gemeenten). Vitale sectormedewerkers zonder leidinggevende functie maar met een laptop delen deze laptop minder met anderen (63% van hen deelt deze niet, versus 50% a 56% in de andere sectoren) Ambtenaren en medewerkers in het bedrijfsleven houden minder rekening met mogelijke gevaren wanneer zij op een wifi-netwerk zitten (35% à 37% houdt hiermee rekening) dan de niet-leidinggevenden in de vitale sectoren (50%). Ook wisselen niet-leidinggevende ambtenaren (zowel gemeente als rijk 5%) zelden hun wachtwoord nadat zij van een wifi-verbinding gebruik hebben gemaakt terwijl niet-leidinggevenden in het bedrijfsleven en de vitale sectoren dit vaker zeggen te doen (11% à 14%). Medewerkers van de vitale sectoren maken verder ook vaker gebruik van VPN met authenticatie (60%). In het bedrijfsleven doet 42% dat en bij de beide overheden ongeveer de helft. Een USB-stick die buiten de organisatie is geweest wordt door medewerkers van de vitale sectoren het vaakst ter controle ingeleverd (19%). Niet-leidinggevenden in de verschillende sectoren gebruiken de veiligheidstrucjes voor wachtwoorden in verschillende mate: de rijksambtenaren gebruiken minder vaak wachtwoorden van 10 karakters of langer (27% doet dit), dan nietleidinggevenden in het (vitale) bedrijfsleven (40% à 43%). Ook wordt door hen de ‘geen echte woorden gebruiken’-truc het vaakst toegepast (66%), al is dit ook in de andere sectoren bij een meerderheid van de leidinggevenden het geval.
68
Wachtwoorden met speciale leestekens worden in drie van de vier sectoren door de helft van de medewerkers toegepast. Alleen de rijksambtenaren blijven achter met 42%. Rijks- en gemeenteambtenaren zonder leidinggevende functie noteren hun wachtwoorden vaker op een briefje (25% en 27%) dan andere niet-leidinggevenden (14% à 1%). Ook slaan zij ze vaker op op hun computer. Ook zeggen zij vaker dat ze pas wachtwoorden wisselen wanneer ze hierover een melding krijgen. Medewerkers in het bedrijfsleven zeggen het vaakst dat zij hun wachtwoorden eigenlijk nooit wisselen (23% versus circa 10% in de andere sectoren). (Inschatting) cyber security door medewerkers Niet-leidinggevenden in de vitale sectoren geven gemiddeld het hoogste cijfer voor de digitale veiligheid van de andere meFdewerkers in hun organisatie (een 7,55), gevolgd door de niet-leidinggevenden in het bedrijfsleven (7,26) en nietleidinggevende rijksambtenaren (6,97) en gemeenteambtenaren (6,93). (Inschatting) cyber security door werkgever Niet-leidinggevenden in de vitale sectoren geven gemiddeld ook het hoogste cijfer voor de digitale veiligheid van de organisatie (een 8,19), gevolgd door nietleidinggevende rijksambtenaren (7,76), hun evenknieën in het bedrijfsleven (7,71) en als laatste de niet-leidinggevende gemeenteambtenaren (7,7). De mate waarin de organisatie volgens de niet-leidinggevenden aandacht heeft voor digitale veiligheid verschilt ook per sector: in vitale sectoren is de aandacht het grootst (8,31), gevolgd door rijksoverheid (7,93) en gemeenten (7,86) en in het bedrijfsleven het kleinst (7,75). In het bedrijfsleven werd aan de niet-leidinggevenden bij het verstrekken van een computer van de zaak (net als in de andere sectoren) meestal een instructie over veilig gebruik gegeven, al is dit hier vaker dan in de andere sectoren achterwege gelaten (38% kreeg geen instructie versus circa 20% in andere sectoren). Medewerkers van het bedrijfsleven geven het vaakst aan dat er geen protocol voor digitale veiligheid bestaat. 41% zegt dat dit wel bestaat, terwijl dit in de andere sectoren 55% of meer is. Niet-leidinggevende medewerkers van de vitale sectoren zeggen vaker dat hun collega’s goed weten hoe te handelen bij een incident (34%) dan de medewerkers in alle andere sectoren (maximaal 26%). In de vitale sectoren en het bedrijfsleven maken de niet-leidinggevenden vaker melding van een inwerkprocedure op het gebied van digitale veiligheid dan in het ambtenarenapparaat. Ambtenaren geven dan ook minder vaak aan dat het onderdeel uitmaakt van de boordelingsgesprekken (circa 10% versus 24% in de vitale sectoren). Het toezicht op de naleving is veel beter volgens nietleidinggevenden in de vitale sectoren (36%) dan in het bedrijfsleven en bij overheden (18% à 23%). Afgaand op de antwoorden van de niet-leidinggevenden is er in het bedrijfsleven het minst vaak beleid vastgelegd op het gebied van wachtwoordgebruik, websites die men wel/niet mag bezoeken en de omgang met mobiele devices. In de vitale sectoren zijn al deze zaken het vaakst wél vastgelegd.
69
Achtergrond respondenten Bezit en gebruik computers Niet-leidinggevende ambtenaren hebben het vaakst van alle niet-leidinggevenden een vaste PC tot hun beschikking (rijk 79%, gemeenten 75%) en minder vaak een laptop (26% à 27% versus 34% en 42% in bedrijfsleven en vitale sectoren). Nietleidinggevende ambtenaren van rijk en gemeenten hebben wel weer bovengemiddeld vaak een smartphone van de zaak, rijksambtenaren voorop (30%). Automatisch komt het ook vaker voor dat deze apparaten voor privé worden gebruikt. Overige achtergrondgegevens Niet-leidinggevende medewerkers in de vitale sectoren zijn iets minder vaak mannen (57%) dan in de ambtelijke sectoren (63% à 68%) en gemiddeld wat jonger. De niet-leidinggevenden bij gemeenten zijn gemiddeld het oudst: 44% is hier boven de 55 jaar versus 15% in de vitale sectoren. De niet-leidinggevende medewerkers bij de overheden zijn in meerderheid (58% à 60%) hoogopgeleid, terwijl dit in het bedrijfsleven en vitale sectoren voor ongeveer vier op de tien niet-leidinggevende medewerkers het geval is.
9.2
Jongere en oudere medewerkers in de organisatie
On dit hoofdstuk worden leeftijdverschillen beschreven. Wanneer de omvang van de steekproef en de leeftijdsverdeling het toelaten, worden drie groepen vergelijken, waar dit niet zo is wordt slechte onderscheid gemaakt tussen jongere (<50 jaar) en oudere (>50 jaar) medewerkers. Achtereenvolgens worden de volgende vergelijkingen beschreven: 1. Een vergelijking van leeftijdsgroepen binnen de sector gemeenten 2. Een vergelijking van leeftijdsgroepen binnen de sector rijksoverheid 3. Een vergelijking van leeftijdsgroepen binnen de vitale sectoren 4. Een vergelijking van leeftijdsgroepen binnen hert bedrijfsleven 9.2.1
Gemeenten
Noot vooraf: de groep jonger dan 31 jaar bestond uit slechts 15 respondenten, dus deze is samengevoegd met de groep 31-49 jaar. De leeftijdsgroepen in onderstaande analyse zijn: ‘jonger dan 50 jaar’ en ‘50 jaar en ouder’. Verantwoordelijkheid De oudere medewerkers (50 jaar of ouder) leggen de verantwoordelijkheid voor veilig internetgebruik relatief vaak bij de overheid (19% vs. 12% van de jongere medewerkers). Inschatting eigen mate van cyber security De oudere medewerkers schatten hun eigen digitale veiligheid gemiddeld in met een 7,69. De jongere medewerkers geven zichzelf een 7,41. Oudere medewerkers zijn zich meer bewust van het belang van digitale veiligheid (65% vs. 55%) en van de mogelijke gevaren op dit gebied voor hun organisatie (46% vs. 32%). Zij geven relatief vaak aan dat zij goed op de hoogte zijn van het organisatiebeleid over digitale veiligheid (27% vs. 19%) en dat zij weten bij wie ze een incident op het gebied van digitale veiligheid dienen te melden (72% vs. 53%).
70
De oudere medewerkers voelen zich ook meer betrokken bij de programma’s rondom digitale veiligheid (31% vs. 18%) en zijn vaker voldoende op de hoogte van hun eigen verantwoordelijkheid op dit gebied (58% vs. 49%). Zij voelen zich vaker gemotiveerd en gestimuleerd om alles aan digitale veiligheid te doen wat in hun vermogen ligt (46% vs. 30%) en houden zich strikt aan de afspraken rondom de uitvoering van protocollen op het gebied van digitale veiligheid (39% vs. 20%). Daarnaast stimuleren zij hun collega’s vaker om zich volgens de regels te gedragen (19% vs. 12%) en wijzen ze hun collega’s er ook vaker op wanneer die een bepaalde regel veronachtzamen (15% vs. 9%). De oudere medewerkers weten naar eigen zeggen ook beter wat zij moeten doen wanneer er een incident plaatsvindt die de digitale veiligheid in gevaar brengt (74% vs. 61%). Gedraagt men zich veilig? Jongere medewerkers delen vaker dan de 50-plusers gevoelige bedrijfsinformatie via e-mail (75% vs. 64%) of via een USB-stick (38% vs. 28%). Oudere medewerkers laten hun pc of laptop vaker door andere gebruiken dan hun jongere collega’s (56% vs. 47%). Jongere medewerkers geven vaker aan dat hun wachtwoorden uit meer dan 10 karakters bestaan (37% vs. 24%). Ook in het onthouden van hun wachtwoorden vertonen zij iets veiliger gedrag dan de 50-plussers. Die noteren hun wachtwoorden iets vaker op een briefje (28% vs. 21%), terwijl de jongere medewerkers hun wachtwoorden vaker gewoon onthouden (66% vs. 57%). (Inschatting) cyber security door werkgever De oudere medewerkers schatten de digitale veiligheid van hun organisatie gemiddeld in met een 7,64. De jongere medewerkers geven een 7,41. Voor de mate waarin de organisatie aandacht heeft voor digitale veiligheid geven de oudere medewerkers gemiddeld een 7,91 en de jongere een 7,5. De oudere medewerkers geven vaak aan dat er voldoende aandacht is voor digitale veiligheid (30% ontkent dat er te weinig aandacht is vs. 17% van de jongeren). Zij weten naar eigen zeggen dan ook vaker hoe zij moeten handelen bij incidenten op het gebied van digitale veiligheid (21% vs. 13%). Jongere medewerkers geven relatief vaak aan dat het niet gebruikelijk is dat alle medewerkers direct een terugkoppeling krijgen na een incident op het gebied van digitale veiligheid (17% vs. 8%). De oudere medewerkers geven vaker aan dat zij niet weten of nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken (28% vs. 19%). Oudere medewerkers geven relatief vaak aan dat er binnen hun organisatie een beleid is voor veilig wachtwoordgebruik (70% vs. 62%), voor de omgang met het noteren van wachtwoorden (38% vs. 30%), voor het updaten van antivirussoftware (58% vs. 45%). De jongeren geven daarentegen vaker aan dat hun organisatie een beleid heeft voor internetgebruik (welk type websites wel/niet te bezoeken) (68% vs. 57%).
71
Achtergrond respondenten De groep oudere medewerkers bevat relatief veel mannen (64% vs. 45%) en veel middelhoog opgeleiden (41% vs. 30%). De jongeren zijn vaker hoog opgeleid (70% vs. 59%).
9.2.2
Rijksoverheid
Noot vooraf: de groep jonger dan 31 jaar bestond uit slechts 15 respondenten, dus deze is samengevoegd met de groep 31-49 jaar. De leeftijdsgroepen in onderstaande analyse zijn: ‘jonger dan 50 jaar’ en ‘50 jaar en ouder’. Verantwoordelijkheid De oudere medewerkers (50 jaar of ouder) leggen de verantwoordelijkheid voor veilig internetgebruik relatief vaak bij de overheid (24% vs. 16% van de jongere medewerkers). Inschatting eigen mate van cyber security De medewerkers van 50 jaar gaan naar eigen zeggen meer secuur om met de digitale omgeving. Zij voelen zich relatief vaak gemotiveerd en gestimuleerd om alles aan digitale veiligheid te doen wat in hun vermogen ligt (52% vs. 40%). Ook geven zij vaker aan dat zij zich strikt aan de afspraken rondom de uitvoering van de protocollen op het gebied van digitale veiligheid houden (43% vs. 34%). De jongere medewerkers geven daarentegen relatief vaak aan dat zij zich het beleid over digitale veiligheid niet altijd toepassen ondanks dat zij het wel kennen (33% vs. 22%). De medewerkers jonger dan 50 jaar beoordelen de veiligheid van hun eigen wachtwoorden gemiddeld met een 7,2. De oudere medewerkers geven hun wachtwoorden een 6,92. Gedraagt men zich veilig? Het delen van gevoelige bedrijfsinformatie via een USB-stick gebeurt vaker door de medewerkers jonger dan 50 jaar dan door de ouderen (38%vs. 29%). De jongere medewerkers maken voor hun werk vaker gebruik van een VPNverbinding of een andere beveiligde verbinding (68% vs. 57%) dan hun collega’s van 50 jaar of ouder. Zij maken ook vaker een bewuste keuze welke handelingen zij wel of niet verrichten op hun zakelijke computer wanneer zij gebruik maken van een openbare wifiverbinding (54% vs. 34%). (Inschatting) cyber security door werkgever De oudere medewerkers beoordelen de mate waarin hun werkgever aandacht heeft voor digitale veiligheid gemiddeld met een 8,2. De jongere medewerkers geven een 7,77. Jongere medewerkers zijn beter op de hoogte van de maatregelen die door de organisatie zijn genomen op het gebied van digitale veiligheid. De oudere medewerkers geven vaker dan leidinggevenden aan dat medewerkers niet weten: Of de medewerkers hoe te handelen bij incidenten op het gebied van digitale veiligheid (19% vs. 12%)
72
Of nieuwe medewerkers worden ingewerkt in de maatregelen rondom veilig digitaal werken (30% vs. 20%) Of er voldoende aandacht is voor digitale veiligheid (8% vs. 4%)
Medewerkers van 50 jaar of ouder geven vaker aan dat binnen hun organisatie veilig wachtwoordgebruik is vastgelegd in een beleid (83% vs. 75%). Achtergrond respondenten Bezit en gebruik van zakelijke computers De jongere medewerkers hebben vaker een tablet of smartphone van de zaak dan de medewerkers van 50 jaar of ouder (tablet: 14% vs. 8%; smartphone: 45% vs. 35%). Overige achtergrondgegevens Onder de jongere medewerkers zijn de vrouwen oververtegenwoordigd (48% vs. 34%). Zij zijn ook iets vaker hoog opgeleid (79% vs. 61%), terwijl de oudere medewerkers relatief vaak middelhoog opgeleid zijn (38% vs. 20%).
9.2.3
Vitale sectoren
Beeld van cyber security en gevaren Oudere medewerkers geven relatief vaak aan dat hun organisatie weleens last heeft gehad van een computervirus (25%), terwijl de jongere medewerkers relatief vaak aangeven dat hun organisatie weleens last heeft gehad van identiteitsdiefstal (7%). Ervaring met phishingmails komt het meest voor onder de 31- t/m 49-jarigen (49%), met name op hun privécomputer (39%). Verantwoordelijkheid Medewerkers van 50 jaar en ouder zijn relatief vaak van mening dat de verantwoordelijkheid voor de veiligheid op het gebied van internet voornamelijk moet liggen bij internetproviders (28%), website-eigenaren (20%) of de overheid (15%). Inschatting eigen mate van cyber security De medewerkers onder de 31 jaar schatten hun eigen digitale veiligheid in de uitvoering van hun werk in met gemiddeld een 7,8. De 31- t/m 49-jarigen geven zichzelf een 8,1 en de medewerkers van 50 jaar of ouder geven zichzelf een 8,2. In hun privésituatie schatten zij hun eigen digitale veiligheid minder hoog in (jonger dan 31 jaar: 7,4; 31 t/m 49 jaar: 7,7; 50 jaar of ouder: 8,1) De jongere medewerkers hebben een passievere houding dan de oudere. Wanneer hen wordt gevraagd in hoeverre zij diverse stellingen over bewustzijn, kennis en gedrag op zichzelf van toepassing vinden, geven zij relatief vaak aan dat zij het niet weten: Ik ben goed op de hoogte van het organisatiebeleid over digitale veiligheid (22% van de jongeren vs. 10% van de middelste groep en 7% van de oudste groep weet het niet) Ik weet bij wie ik een incident op het gebied van digitale veiligheid moet melden (19% vs. 8% resp. 6% weet niet) Ik ben me voldoende bewust van het belang van digitale veiligheid (16% vs. 7% resp. 4% weet niet) 73
Ik ben me voldoende bewust van mogelijke gevaren op het gebied van digitale veiligheid die zich bij ons kunnen voordoen (18% vs. 7% resp. 4% weet niet) Ik voel me betrokken bij de programma’s rondom digitale veiligheid (17% vs. 11% resp. 9% weet niet) Ik ben voldoende op de hoogte van mijn eigen verantwoordelijkheden rondom digitale veiligheid (15% vs. 8% resp. 5% weet niet) Ik houd me strikt aan de afspraken rondom de uitvoering vna de protocollen op het gebied van digitale veiligheid (17% vs. 9% resp. 4%) Ik wijs collega’s er (bijna) altijd op wanneer deze een bepaalde regel op het gebied van digitale veiligheid veronachtzamen (23% vs. 10% resp. 7% weet niet) Ik stimuleer mijn collega’s zich volgens de regels op het gebied van digitale veiligheid te gedragen (20% vs. 10% resp. 5% weet niet) Ik ben me bewust van het beleid over digitale veiligheid, maar pas het niet altijd toe (20% vs. 9% resp. 6% weet niet)
Oudere medewerkers geven vaker aan dat zij weten bij wie ze een incident op het gebied van digitale veiligheid dienen te melden (78% van de 31- t/m 49-jarigen en 80% van de 50-plussers vs. 65% van de medewerkers jonger dan 31 jaar). De middengroep geeft het vaakst aan dat zij niet weten wat de zwakke plekken in de digitale veiligheid van hun organisatie zijn (26% vs. 41% van de jongeste en 32% van de oudste groep). Gedraagt men zich veilig? Jongere medewerkers delen vaker bedrijfsgevoelige informatie dan de oudere medewerkers, zowel via e-mail (71% van de jongste en 63% van de middelste groep vs. 53% van de oudste groep) als via de cloud (21% resp. 17% vs. 9%). De omvang van de drie leeftijdsgroepen die privé een PC, laptop, tablet of smartphone bezitten die zij ook voor zakelijke doeleinden gebruiken, is niet voldoende groot om per apparaat uitspraken te doen over leeftijdsverschillen. Overall genomen is echter wel een tendens te zien dat de medewerkers van 31 jaar en ouder binnen de vitale sectoren meer voorzorgsmaatregelen nemen op hun PC en laptop dan de jongere medewerkers. Zij hebben vaker software tegen virussen en dergelijke geactiveerd en zijn ook zorgvuldiger in het up-to-date houden van deze software. Medewerkers van 31 t/m 49 jaar die hun privécomputer ook voor zakelijke doeleinden gebruiken, hebben de beveiliging van hun wifi-netwerk thuis minder goed geregeld dan de andere leeftijdsgroepen. Zij geven relatief vaak aan dat zij geen beveiliging hebben (4%) of niet weten welke (23%). 58% van de medewerkers van 31 jaar of jonger geeft aan dat hun wachtwoorden uit meer dan 10 karakters bestaan. Dat is meer dan bij de oudere medewerkers (31 t/m 49 jaar: 43%, 50 jaar of ouder: 41%). De oudere medewerkers gaan ook bij het onthouden minder veilig met hun wachtwoorden om. 20% noteert deze op een briefje dat zij verstoppen. Het opslaan van wachtwoorden door bij het inloggen een vinkje te zetten bij ‘onthoud mijn wachtwoord’ is het minst gangbaar onder de middelste leeftijdsgroep (9%).
74
(Inschatting) cyber security door medewerkers De medewerkers onder de 31 jaar schatten de digitale veiligheid van henzelf en hun collega’s in met gemiddeld een 7,2. De 31- t/m 49-jarigen geven een 7,4 en de medewerkers van 50 jaar of ouder een 7,6. Wanneer wordt gevraagd in hoeverre men vindt dat de medewerkers binnen de organisatie op de hoogte zijn van het organisatiebeleid over digitale veiligheid, geeft de oudste groep medewerkers relatief vaak aan dat hun organisatie een dergelijk beleid/protocol niet heeft (21% vs. 4% van de jongere medewerkers). Slechts 19% van de jongste groep medewerkers zegt dat medewerkers weten bij wie zij een incident op het gebied van digitale veiligheid moeten melden, terwijl dit onder de oudere doelgroepen 56% (31 t/m 49 jaar) resp. 57% (50 jaar of ouder) is. (Inschatting) cyber security door werkgever De medewerkers onder de 31 jaar schatten de digitale veiligheid van hun organisatie in met gemiddeld een 7,7. De 31- t/m 49-jarigen geven de organisatie een 8,1 en de medewerkers van 50 jaar of ouder een 8,4. De jongere medewerkers vinden ook dat hun organisatie minder aandacht heeft voor digitale veiligheid dan de oudere medewerkers. De medewerkers onder de 31 jaar beoordelen hun organisatie hierop met gemiddeld een 7,9. De 31- t/m 49jarigen geven een 8,1 en de 50-plussers een 8,6. De oudere medewerkers geven ook vaker aan dat hun organisatie maatregelen heeft genomen op het gebied tot digitale veiligheid: 58% van de medewerkers van 50 jaar of ouder zegt dat hun organisatie een beleid heeft voor alle werknemers met betrekking tot de digitale omgeving (vs. 45% van de jongste groep) 36% van de medewerkers van 50 jaar of ouder zegt dat de medewerkers weten hoe te handelen bij incidenten op het gebied van digitale veiligheid (vs. 24% van de jongste groep). De jongste medewerkers zeggen relatief vaak het niet te weten (33%). 47% van de medewerkers van 50 jaar of ouder zegt dat het naleven van regels rondom digitale veiligheid bij hun onderdeel uitmaakt van de functionerings-/beoordelingsgesprekken (vs. 20% van de jongste groep). De jongste medewerkers zeggen relatief vaak het niet te weten (21%). 43% van de medewerkers van 50 jaar of ouder zegt dat het binnen hun organisatie gewoon is dat alle medewerkers een terugkoppeling ontvangen na een incident op het gebied van digitale veiligheid (vs. 32% van de jongste groep). De jongste medewerkers zeggen relatief vaak het niet te weten (30%). De oudere werkgevers geven relatief vaak aan dat er binnen hun organisatie een beleid is voor veilig wachtwoordgebruik (82%), voor de omgang met het noteren van wachtwoorden (73%), voor het updaten van antivirussoftware (70%), voor internetgebruik (welk type websites wel/niet te bezoeken) (75%), voor het maken van back-ups (75%), voor de omgang met usb-sticks (62%) en voor de omgang met PC’s, laptops, tablets en/of smartphones (75%). Bezit en gebruik van zakelijke computers Jongeren gebruiken hun zakelijke computer relatief vaak voor online bankieren (36%) en voor het surfen op internet voor vermaak (29%). E-mailen doen zij iets minder dan de oudere medewerkers (66%). 75
9.2.4
Bedrijfsleven
Noot vooraf: de groep jonger dan 31 jaar bestond uit slechts 15 respondenten, dus is deze samengevoegd met de groep 31-49 jarigen. Er zijn daarom in deze sector twee leeftijdscategorieën gehanteerd. Beeld van cyber security en gevaren De medewerkers jonger dan 50 jaar hebben iets vaker last gehad van phishingmails dan de oudere medewerkers (49% vs. 34%). Verantwoordelijkheid De oudere medewerkers (50+) leggen de verantwoordelijkheid voor veilig internetgebruik relatief vaak bij de internetproviders (21% vs. 9%). Inschatting eigen mate van cyber security De medewerkers jonger en ouder dan 50 jaar schatten hun eigen mate van cyber security ongeveer hetzelfde in. Gedraagt men zich veilig? De medewerkers onder de 50 jaar geven iets vaker aan dan hun oudere collega’s dat zij vaak bedrijfsgevoelige informatie delen via e-mail (15% vs. 7%). Delen van bedrijfsgevoelige informatie via de cloud wordt door de medewerkers van 50 jaar of ouders nauwelijks gedaan (7% vs. 16% van hun jongere collega’s). Het gebruiken van een VPN-verbinding of een andere beveiligde verbinding met bijvoorbeeld een authenticatietoken is meer gangbaar onder de medewerkers jonger dan 50 jaar dan onder de oudere medewerkers (52% vs. 32%). Of jongere en oudere medewerkers meer of minder verstandig gedrag vertonen op de verschillende apparaten die zij van de werkgever mogen gebruiken is niet te achterhalen vanwege geringe steekproefomvang van de substeekproeven per apparaat en per leeftijdsgroep binnen de sector bedrijfsleven. De medewerkers jonger dan 50 jaar die hun privécomputer ook voor zakelijke doeleinden gebruiken, geven relatief vaak aan dat zij hun wifi-netwerk thuis beveiligd hebben via WPA2 (45% vs. 31% van de 50-plussers). De medewerkers onder en boven de 50 jaar verschillen nauwelijks in de wijze waarop zij omgaan met hun wachtwoorden. De medewerkers van 50 jaar of ouder geven alleen iets minder vaak aan dat zij hun wachtwoorden in hun hoofd onthouden dan hun jongere collega’s (53% s. 68%). (Inschatting) cyber security door medewerkers Op de stelling ‘medewerkers stimuleren elkaar zich volgens de regels op het gebied van digitale veiligheid te gedragen’ reageert 10% van de medewerkers onder de 50 met de opmerking dat hun organisatie geen beleid of protocol op dit gebied heeft. Onder de 50-plussers geeft niemand dat aan. (Inschatting) cyber security door werkgever Medewerkers onder de 50 jaar beoordelen de mate waarin hun organisatie aandacht heeft voor digitale veiligheid gemiddeld met een 7,55. Hun oudere collega’s geven gemiddeld een 8,11. 76
De medewerkers van 50 jaar of ouder geven vaker dan hun jongere collega’s aan dat er binnen hun organisatie een beleid is voor veilig wachtwoordgebruik (71% vs. 59%) en voor het noteren van wachtwoorden (53% vs. 31%). Achtergrond respondenten Bezit en gebruik van zakelijke computers De medewerkers onder de 50 jaar zijn vaker in het bezit van een smartphone die hun werkgever hen voor werkgerelateerde doeleinden ter beschikking heeft gesteld dan hun oudere collega’s (19% vs. 10%). De oudere medewerkers (50+) maken in hun werk minder vaak gebruik van hun computer. 29% gebruikt deze minder dan 6 uur per week, vergeleken met 17% van de jongere collega’s. Diverse activiteiten op de computer worden ook door meer medewerkers onder de 50 jaar verricht dan door de oudere medewerkers: online tekstverwerking/rekenen/tekenen (20% vs. 7%), e-mailen (79% vs. 65%), surfen op internet voor vermaak (18% vs. 9%) en gebruik van netwerksites (17% vs. 8%).
77
Bijlage: Onderzoekstechnische informatie
Kwantitatief onderzoek Veldwerkperiode
Het veldwerk onder werknemers in de vitale sectoren en het bedrijfsleven en onder consumenten is uitgevoerd in de periode 4 t/m 16 oktober 2012.
Het veldwerk onder de rijksoverheid en gemeenten is uitgevoerd in de periode 16 t/m 30 oktober 2012.
Methode respondentenselectie
Uit het FlitsPanel van de het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Uit het StemPunt-panel van Motivaction.
Uit het online panel van PanelClix.
Incentives
De respondenten hebben als dank voor deelname aan het onderzoek een kleine vergoeding ontvangen.
Inschakelen externe leveranciers Voor de volgende werkzaamheden heeft Motivaction bij dit onderzoek gebruik gemaakt van de diensten van gespecialiseerde bedrijven: o MWM2: beheerder Flitspanel o PanelClix Bewaartermijn primaire onderzoeksbestanden
Primaire onderzoeksbestanden, zoals ingevulde schriftelijke vragenlijsten, notulen, beeld- en geluidsopnames worden door Motivaction tot 12 maanden na afronden van het onderzoek bewaard.
Overige onderzoekstechnische informatie
Overige onderzoekstechnische informatie en een exemplaar van de bij dit onderzoek gehanteerde vragenlijst zijn op aanvraag beschikbaar voor de opdrachtgever.
78
