Inleiding en context

Goede morgen beste ´kennisparelontvangers´, het is vandaag dinsdag 7 november 2023. Ik ga zo dadelijk richting Utrecht om daar deze presentatie te geven aan medewerkers werkzaam binnen het OM en de rechterlijke macht: https://www.researchgate.net/publication/322930495_Wat_werkt_en_wat_niet_-_volgens_725_meta-evaluaties_over_situationele_criminaliteitspreventie_persoonsgerichte_strafrechtelijke_interventies_en_politiezorg Maar nu naar de ´kennisparel´ van vandaag. Daarin wordt een systematisch overzicht gepresenteerd over de effectiviteit van cyberbeveiliging binnen organisaties. Dat is natuurlijk een ballonbegrip. De auteurs van bijgesloten ´kennisparel´ brengen daar orde in en presenteren een op bewijs gebaseerd raamwerk dat de evaluatie van de huidige maatregelen en interventies gericht op cyberbeveiliging mogelijk maakt.

Hoe het ook zij, cybercriminaliteit is wereldwijd een toenemende zorg waarbij recente cijfers erop wijzen dat deze aan financiële schade grote problemen veroorzaakt. Cyberbedreigingen worden steeds geavanceerder en mensen worden vaak beschouwd als de zwakste schakel in cyberbeveiliging. Alleen het vergroten van het bewustzijn of het aanbieden van training rond cyberbeveiliging is onvoldoende om organisaties adequaat te beschermen tegen cyberaanvallen.

In plaats daarvan is van belang bij de te nemen maatregelen rekening wordt gehouden met het gedrag van mensen op het werk dat vaak is gebaseerd op de gedeelde normen en waarden van de organisatie, dat wil zeggen de heersende organisatiecultuur. Daarom moeten cyberbeveiligingsmaatregelen worden geïntegreerd met andere organisatorische praktijken wanneer ze effectief willen zijn. Het ontwikkelen van een cybersecuritycultuur, of een omgeving waarin het voor elk lid van de organisatie de norm wordt om cyberaanvallen te herkennen en er krachtig op te reageren, wordt beschouwd als de beste manier voor een organisatie om zichzelf te beschermen tegen cybercriminaliteit. Het overkoepelende doel van de auteurs is om op basis van bestaand bewijsmateriaal te bepalen hoe organisatorische maatregelen tegen cybercriminaliteit worden gedefinieerd en hoe deze kunnen worden beoordeeld op de effecten daarvan.

Bron

Sutton, Anna & Lisa Tompson (October 2023). Towards a Cybersecurity Culture-Behaviour Framework: A Rapid Evidence Review. Hamilton, New Zealand: University of Waikato, School of Psychology, 32 pp. https://osf.io/preprints/psyarxiv/h4uby/

Samenvatting

A strong organisational cybersecurity culture (CSC) is critical to the success of any cybersecurity effort, and understanding and measuring CSC is essential if it is to succeed. To facilitate the framing and measurement of CSC we conducted a rapid evidence assessment (REA) to synthesise relevant studies on CSC. The systematic search identified 1,768 records. 52 studies were eligible for the final synthesis.

Content analysis of the CSC definitions in the eligible studies highlighted that CSC should not be viewed solely as a technical problem but as a management issue too; CSC requires top management involvement and role modelling, with full organisational support for the desired employee behaviours. We identify both theoretically and empirically derived models of CSC in the REA, along with a range of methods to develop and test these models.

Integrative analysis of these models provides detailed information about CSC dimensions, including employee attitudes towards CS; compliance with policies; the role of security education, training and awareness; monitoring of behaviour and top management commitment. The evidence indicates that CSC should be understood both in the context of the wider organisational culture as well as in the shared employee understanding of CS that leads to behaviour.

Based on the findings of this review, we propose a novel integrated framework of CSC, consisting of cultural values; the culture-to-behaviour link and behaviour itself. We also make measurement recommendations based on this CSC framework, ranging from simple, broad-brush tools through to suggestions for multi-dimensional measures, which can be applied in a variety of sectors and organisations.

Afsluitend

Cybercriminaliteit verwijst naar die criminaliteit waarbij een digitaal apparaat, computernetwerk of andere vormen betrokken zijn van informatie- en communicatietechnologie (ICT). Cyberafhankelijke misdaden zijn gericht op computers of ICT en kan alleen bestaan in de digitale wereld. Ze omvatten misdaden zoals ransomware, die afhankelijk is van het gebruik van malware om geld af te persen van slachtoffers. Cyber enabled crimes zijn traditionele misdaden die worden gepleegd met behulp van computers, computernetwerken of andere vormen van ICT. Ze stellen de dader(s) in staat om criminaliteit te plegen die in omvang of reikwijdte verschillen van ´klassieke´ (offlinecriminaliteit) van de misdaad. Het betreft in de regel op winst gerichte criminaliteit zoals online fraude en identiteitsmisdrijven.

Cybercriminaliteit is een alomtegenwoordige en aanhoudende bedreiging geworden voor individuen, bedrijven en overheden. Sinds kort verschijnen er steeds meer slachtofferenquêtes om de omvang en ernst van deze vorm van criminaliteit in kaart te brengen. Dit heeft er toe bijgedragen dat er steeds betere data van betere kwaliteit over cybercriminaliteit beschikbaar komt. Deze eerder verstuurde ´kennisparel´ is daar een prima voorbeeld van: https://prohic.nl/2023/06/29/573-29-juni-2023-cybercrime-in-australia-2023/ Die enquête is ontwikkeld om trends te monitoren in cybercriminaliteit in de loop van de tijd.

Dit zal behulpzaam zijn bij het duiden en identificeren van nieuwe cyberbedreigingen en de ontwikkeling van effectieve preventie- en opsporingsstrategieën te beschrijven. Vervolgens kunnen deze gegevens gebruikt worden om de effectiviteit van opsporingsstrategieën, preventiestrategieën en -beleid te beoordelen op basis van de prevalentie van cybercriminaliteit. En ook bijgesloten ´kennisparel´ biedt weer een prima overzicht en een raamwerk van interventies om cybercriminaliteit te reduceren en te voorkomen. Ten slotte verwijs is de geïnteresseerde lezer naar dit artikel: Leren van cyberincidenten: een meta-analyse van evaluatierapporten ten behoeve van organisatorisch leren. Zie:  https://tijdschriften.rechtsgebieden.rijks.boomportaal.nl/tijdschrift/tijdschriftveiligheid/2022/3-4/TvV-D-23-00003