cyber threats Mitigation of
8.2 Appendix B: survey
Afstudeeronderzoek naar cybersecurity in het MKB
Student Rex van der Plas
Email Universiteit Leiden
Instituut r.h.van.der.plas@umail.leidenuniv.nl Introductie
U bent gevraagd om deel te nemen aan een afstudeeronderzoek uitgevoerd door Rex van der Plas als onderdeel van zijn master Crisis and Security Management aan de Universiteit Leiden. De scriptie is gericht op cyberdreigingen voor midden- en kleinbedrijven (MKB) in Nederland. Voor het verzamelen van de data wil ik u vragen om deze online survey in te vullen
Procedure
Deze enquête bevat 35 vragen die betrekking hebben op cybersecurity en hoe uw organisatie Omgaat met cyberdreigingen. De verwachting is dat u 20 minuten nodig hebt voor het invullen van de vragenlijst. Om deel te nemen aan het onderzoek dient u de eigenaar/directeur/CEO te zijn van een MKB-bedrijf gevestigd en ingeschreven in Nederland. Deelnemers dienen 18 jaar of ouder te zijn.
Privacy en vertrouwelijkheid van informatie
Alle informatie die in verband met dit onderzoek wordt verkregen, blijft vertrouwelijk en is alleen bekend bij de onderzoeker en zijn supervisor. De informatie zal alleen met uw toestemming worden bekendgemaakt.
Vrijwillige deelname
Deelname aan deze studie is vrijwillig. Als u besluit niet aan deze studie verder deel te nemen nadat deze al is begonnen, kunt u op elk moment stoppen. Contact opnemen voor vragen
U kunt te allen tijde contact opnemen met de onderzoeker Rex van der Plas via r.h.van.der.plas@umail.leidenuniv.nl.
Q2 Door de volgende opties te selecteren, gaat u akkoord met de toelatingseisen voor deelname aan dit onderzoek.
▢
Ik ben 18 jaar of ouder. (1)▢
Ik ben Eigenaar/Directeur/CEO van een MKB-bedrijf gevestigd en ingeschreven in Nederland. (2)David against the cyber giant 63 Q3 Door de volgende optie te selecteren, gaat u akkoord met de voorwaarde voor deelname aan dit afstudeeronderzoek.
o
Ik heb alle bovenstaande informatie gelezen, heb eventueel vragen gesteld en bevredigende antwoorden gekregen op zaken die ik niet begreep. (1)End of Block: geïnformeerde toestemming
David against the cyber giant 64 Q4 In welke branche is de organisatie werkzaam?
▼ Industrie/Productie/Bouwnijverheid/Bouwinstallatie (1) ... Onderwijs/Ziekenhuis & Gezondheidszorg/Maatschappelijke Dienstverlening (6)
Q5 De EU onderscheidt drie typen MKB-ondernemingen.
Micro: minder dan 10 werknemers. Klein: minder dan 50 werknemers.
Middelgroot: minder dan 250 werknemers.
Q6 In welke MKB-categorie valt de organisatie?
o
Micro MKB-onderneming (6)o
Kleine MKB-onderneming (5)o
Middelgrote MKB-onderneming (4)Q7 Hoeveel personen zijn er werkzaam binnen de organisatie?
________________________________________________________________
Q40 In welk jaar is de organisatie opgericht?
________________________________________________________________
Page Break
David against the cyber giant 65 Start of Block: algemene cybersecurity vragen
Q8 Bent u bekend met het begrip cybersecurity?
o
Ja (1)o
Nee (2)o
Geen antwoord (3)Q9 De volgende vragen hebben betrekking op de ICT binnen de organisatie. De definitie van ICT is als volgt:
ICT (informatie- en communicatietechnologie) is een vakgebied dat zich bezighoudt met informatiesystemen, telecommunicatie en computers. Hieronder valt het ontwikkelen en beheren van systemen, netwerken, databanken en websites. Ook het onderhouden van computers en programmatuur en het schrijven van administratieve software valt hieronder.
Q10 Hoeveel medewerkers binnen de organisatie zijn er verantwoordelijk voor de ICT?
o
Minder dan 5 medewerkers (3)o
Minder dan 25 medewerkers (4)o
Minder dan 50 medewerkers (7)o
Minder dan 100 medewerkers (5)David against the cyber giant 66 Q11 Hoeveel fte (40 uur per week) wordt aan ICT besteed per week?
o
Minder dan 0,5 fte per week (1)o
Minder dan 1 fte per week (2)o
Minder dan 5 fte per week (3)o
Minder dan 25 fte per week (4)o
Minder dan 50 fte per week (5)o
Minder dan 100 fte per week (6)o
Meer dan 100 fte per week (7)Q12 Hoeveel procent van de fte wordt besteed aan veiligheid van de ICT-systemen?
o
Minder dan 1% (1)o
Minder dan 5% (4)o
Minder dan 10% (9)o
Minder dan 25% (5)David against the cyber giant 67 Q13 Kunt u aangeven op een schaal van 1 tot 10 in hoeverre uw organisatie is voorbereid op cyberdreigingen? (1 = helemaal niet voorbereid - 10 = helemaal voorbereid)
1 (1) 2 (2) 3 (3) 4 (4) 5 (5) 6 (6) 7 (7) 8 (8) 9 (9) 10 (10) Cyber Security Score (1)
o
o
o
o
o
o
o
o
o
o
Page BreakEnd of Block: algemene cybersecurity vragen
Start of Block: vragen over cyber dreigingen
Q14 Het volgende deel van de vragen gaan over cyberdreigingen. De Nationaal Coördinator Terrorismebestrijding & Veiligheid (NCTV) is in Nederland het orgaan dat elk jaar het cybersecuritybeeld (CSBN) naar buiten brengt. In het CSBN 2018 publiceerde de NCTV een tabel waarin per actor stond uitgesplitst welke bedreiging zij vormde voor de private sector. De volgende vragen hebben betrekking op de cyberdreigingen voor de private sector die in het NCTV-rapport vermeld staan.
Bij de vragen worden de voorbeelden verder uitgelegd als u erop klikt.
Q15 Kent u de betekenis van de cyberdreiging "Storing/Uitval van uw ICT-systemen"?
o
Ja, dit is mij bekend (1)o
Nee, dit is mij niet bekend (2)o
Geen antwoord (3)Q16 De cyberdreiging "Storing/Uitval van uw ICT-systemen" wordt door de NCTV als volgt gedefinieerd: "Aantasting van de integriteit en beschikbaarheid als gevolg van natuurlijk,
David against the cyber giant 68 technisch of menselijk falen."Een voorbeeld van "Storing/Uitval van uw ICT-systemen" is een stroomstoring waardoor de systemen binnen uw organisatie niet meer functioneren.
Op een schaal van 1 tot 5, in hoeverre ziet u een "Storing/Uitval van uw ICT-systemen" als een dreiging voor uw organisatie? (1 = helemaal geen bedreiging - 5 = een ernstige bedreiging)
o
1 (2)o
2 (3)o
3 (4)o
4 (5)o
5 (15)Q17 Neemt de organisatie maatregelen om de cyberdreiging "Storing/Uitval van uw ICT- systemen" tegen te gaan?
o
Ja (1)o
Nee (2)o
Weet ik niet (4)Q18 Heeft de organisatie wel eens te maken gehad met een storing/ uitval van ICT-systemen?
o
Ja (1)o
Nee (2)o
Weet ik niet (3)David against the cyber giant 69 Q19 Kent u de betekenis van de dreiging "Verstoring" van uw ICT-systemen?
o
Ja, dit is mij bekend (1)o
Nee, dit is mij niet bekend (2)o
Geen antwoord (4)Q20 De dreiging van "Verstoring" wordt door de NCTV als volgt gedefinieerd: "Het
opzettelijk tijdelijk aantasten van de beschikbaarheid van informatie, informatiesystemen of - diensten."
Een voorbeeld van een "Verstoring" zou een DDOS-aanval kunnen zijn op de webiste van uw organisatie.
Op een schaal van 1 tot 5, in hoeverre ziet u een "Verstoring" als een dreiging voor uw organisatie? (1 = helemaal geen bedreiging - 5 = een ernstige bedreiging)
o
1 (1)o
2 (2)o
3 (3)o
4 (4)o
5 (5)Q21 Neemt de organisatie maatregelen om "Verstoringen" tegen te gaan?
o
Ja (1)o
Nee (2)David against the cyber giant 70 Q22 Heeft de organisatie wel eens te maken gehad met "Verstoring" van ICT-systemen?
o
Ja (1)o
Nee (2)o
Weet ik niet (3)David against the cyber giant 71 Q23 Kent u de betekenis van de dreiging "Sabotage" van uw ICT-systemen?
o
Ja, dit is mij bekend (1)o
Nee, dit is mij niet bekend (2)o
Weet ik niet (3)Q24 Een dreiging van "Sabotage" wordt door de NCTV als volgt gedefinieerd: "Het opzettelijk, zeer langdurig, aantasten van de beschikbaarheid van informatie, informatiesystemen of - diensten, mogelijk leidend tot vernietiging."
Een voorbeeld van sabotage zou ransomware kunnen zijn of een aanval door een hacker. Op een schaal van 1 tot 5, in hoeverre ziet u een "Sabotage" als een dreiging voor uw organisatie? (1 = helemaal geen bedreiging - 5 = een ernstige bedreiging)
o
1 (2)o
2 (3)o
3 (4)o
4 (5)o
5 (6)Q25 Neemt de organisatie maatregelen om "Sabotage" tegen te gaan?
o
Ja (1)o
Nee (4)David against the cyber giant 72 Q26 Heeft de organisatie wel eens te maken gehad met "Sabotage" van ICT-systemen?
o
Ja (1)o
Nee (2)o
Weet ik niet (3)David against the cyber giant 73 Q27 Kent u de betekenis van de dreiging "Systeemmanipulatie" van uw ICT-systemen?
o
Ja, dit is mij bekend (1)o
Nee, dit is mij niet bekend (2)o
Geen antwoord (3)Q28 De dreiging van "Systeemmanipulatie" wordt door de NCTV als volgt gedefinieerd: "Het aantasten van informatiesystemen of -diensten; gericht op de vertrouwelijkheid of integriteitn informatiesystemen of -diensten. Deze systemen of diensten worden daarna ingezet om andere aanvallen uit te voeren.”
Een voorbeeld van "Systeemmanipulatie" is wanneer uw ICT-systeem wordt ingezet als onderdeel van een botnet. Op een schaal van 1 tot 5, in hoeverre ziet u een "Sabotage" als een dreiging voor uw organisatie? (1 = helemaal geen bedreiging - 5 = een ernstige bedreiging).
o
1 (1)o
2 (3)o
3 (4)o
4 (5)o
5 (7)Q29 Neemt de organisatie maatregelen om "Systeemmanipulatie" tegen te gaan?
o
Ja (1)o
Nee (2)David against the cyber giant 74 Q30 Heeft de organisatie wel eens te maken gehad met "Systeemmanipulatie" van ICT- systemen?
o
Ja (1)o
Nee (2)o
Weet ik niet (4)David against the cyber giant 75 Q31 Kent u de betekenis van de dreiging "Lek" van uw ICT-systemen?
o
Ja, dit is mij bekend (1)o
Nee, dit is mij niet bekend (2)o
Geen antwoord (3)Q32 Een dreiging van "Lek" wordt door de NCTV gedefinieerd als: "Aantasting van de vertrouwelijkheid als gevolg van natuurlijk, technisch of menselijk falen."
Een voorbeeld van een "Lek" zou het stelen van bedrijfsinformatie of privacygevoelige informatie door middel van phishing. Op een schaal van 1 tot 5, in hoeverre ziet u een "Lek" als een dreiging voor uw organisatie? (1 = helemaal geen bedreiging - 5 = een ernstige bedreiging).
o
1 (3)o
2 (4)o
3 (5)o
4 (6)o
5 (7)Q33 Neemt de organisatie maatregelen om de dreiging van een "Lek" tegen te gaan?
o
Ja (1)o
Nee (2)David against the cyber giant 76 Q34 Heeft de organisatie wel eens te maken gehad met dreiging van een "Lek"?
o
Ja (1)o
Nee (2)o
Weet ik niet (3)Page Break
David against the cyber giant 77 start of Block: algemene cyber securty vragen mbt tot de dreigingen
Q35 In hoeverre bent u van mening bent dat de organisatie is voorbereid op de vijf dreigingen uit dit onderzoek. Kunt u, op een schaal van 1 - 10, voor de gevraagde dreigingen aangeven hoeverre uw organisatie is voorbereid op de genoemde dreiging. (1 = helemaal niet voorbereid - 10 = volledige voorbereid). 1 (3) 2 (4) 3 (5) 4 (6) 5 (7) 6 (8) 7 (9) 8 (10) (11) 9 (12) 10 Storing/Uitval van uw ICT-systemen (vb. stroomstoring) (1)
o
o
o
o
o
o
o
o
o
o
Verstoring (vb. DDOS-aanval) (2)o
o
o
o
o
o
o
o
o
o
Sabotage (vb. randsomeware- aanval) (3)o
o
o
o
o
o
o
o
o
o
Systeemmanipulatie (vb. botnet) (4)o
o
o
o
o
o
o
o
o
o
Lek (vb. phishing) (5)o
o
o
o
o
o
o
o
o
o
David against the cyber giant 78 Q36 Ben u van mening dat de organisatie over voldoende middelen beschikt om de dreigingen weg te nemen? 1 Niet aanwezig (1) 2 Onvoldoende aanwezig (2) 3 Voldoende aanwezig (3) 4 Ruim voldoende aanwezig (4) 5 Volledig aanwezig (5) De tijd om de dreigingen te bestrijden (1)
o
o
o
o
o
Kennis over de dreigingen (2)o
o
o
o
o
Financiële middelen om de dreiging te bestrijden (4)o
o
o
o
o
Technische middelen om de dreigingen te bestrijden (5)o
o
o
o
o
Q39 Dit is de laatste vraag van de vragenlijst.
Zijn er naar uw mening nog cybersecurity gerelateerde zaken binnen uw organisatie die u wilt mee geven voor dit onderzoek?
________________________________________________________________
End of Block: algemene cyber securty vragen mbt tot de dreigingen
David against the cyber giant 79 Q37 Hartelijk dank voor de deelname aan het onlineonderzoek!
Het is mogelijk dat ik, naar aanleiding van de door u ingevulde antwoorden, nog een paar vragen voor u heb. Mocht u openstaan voor dergelijke vragen dan wil ik u verzoeken om uw e- mailadres achter te laten, zodat ik te zijner tijd contact met u kan opnemen.
Q38 Uw e-mailadres:
________________________________________________________________
David against the cyber giant 80