ECONOMISCHE KANSEN NEDERLANDSE CYBERSECURITY-SECTOR · 2020. 10. 12. · sector, is een analyse...

ECONOMISCHEKANSENNEDERLANDSECYBERSECURITY-SECTOR

Eenverkenning

2/113

ECONOMISCHEKANSENNEDERLANDSECYBERSECURITY-SECTOR

Eenverkenning

AndréHendriks,DickBrandt,KimTurk(VKA)&ViktoriaKocsis,Daanin'tVeld,TomSmits(SEOEconomischOnderzoek)

DATUM 17Mei2016STATUS DefinitiefVERSIE 1.0PROJECTNUMMER 20152778

Copyright©2016Verdonck,Klooster&AssociatesB.V.

Allerechtenvoorbehouden.Nietsvandezeuitgavemagwordenverveelvoudigd,opgeslagenineen

geautomatiseerdgegevensbestand,ofopenbaargemaakt,inenigevormofopenigewijze,hetzij

elektronisch,mechanisch,doorfotokopieën,opnamen,ofenigeanderemanier,zondervoorafgaande

schriftelijketoestemmingvandeauteursrechthebbende.

MANAGEMENTSAMENVATTING

Nederlandheeftdeambitieomvooroptelopenindeontwikkelingnaareensteedsmeerdigitaliserendeeconomie.OpveelranglijstenstaatNederlandalhoog,alshetgaatomdematevandigitaliseringvandeeconomie.Echter,eengrotematevandigitaliseringcreëertophetzelfdemomenteengroteafhankelijkheidvangoedwerkendeenveiligetechnologie.Voorhetvasthoudenenmogelijkversterkenvandedigitaleeconomieisvertrouwen-indiedigitaleeconomie-eenbelangrijkerandvoorwaarde,waarbijhetvertrouwenonderdrukstaatvaneentoenemendaantalcyberincidenten.Decybersecurity-sectorleverteenbelangrijkebijdrageaanhetborgenvanhetvertrouwen.AlhoewelookdooranderesectorendandeICT-sector,eenbijdrageaancybersecuritywordtgeleverd,ligtindezestudiedefocusopcybersecurity-dienstenenproductenbinnendeICT-sector.Middelseenenquête,dieisuitgevoerdonderongeveer4000ICT-bedrijven,isdeomvangvandeNederlandsecybersecurity-sectorbinnendeICT-sectorbepaald.270bedrijvenhebbenuiteindelijkdeelgenomenaanhetonderzoek.Uitdeenquêteblijktdatin2014ongeveer10procentvandeomzetbinnendeICT-sectorgekoppeldwasaancybersecurity-activiteiten.In2014lagdeomzetvandecybersecurity-sector(binnendeIVT-sector)tussende€6,9en€7,5miljard.Detoegevoegdewaardevandecybersecurity-sectorwasindatzelfdejaar€3,8á4,1miljard.In2010hebbenbedrijvendiecyberactiviteitenuitvoerenmetongeveer0,4procentbijgedragenaanhetNederlandseBBP.In2014isditpercentagegestegentotongeveer0,6procent.Decybersecurity-sectorgroeidedaarmeeveelsnellerdandeICT-sectorzelf.Indeperiode2010-2014isdeomzetendetoegevoegdewaardevancybersecuritybinnendeICT-sectorjaarlijksmet14,5procenttoegenomen.DebenaderdeICT-bedrijvenindeenquêteverwachteneenjaarlijksegroeivanomzetuitcybersecurity-activiteitenvanongeveer7procent.

Inditonderzoekisgekozenvooreenengeafbakeningvanhetbegripcybersecurity.Dezeafbakeningisgekozenomhetonderzoekbinnendegesteldekadershaalbaartemaken.Daarnaastzienwedatwanneerinhetdagelijksspraakgebruikdetermcybersecuritywordtgebruikt,menookeenwatsmallereinterpretatiekiest.Cybersecurityishetstrevennaarhetvoorkomenvanschadedoorverstoring,uitvalofmisbruikvanICTalsgevolgvanmoedwilligeactiviteiteninhetCyberdomeinen,indienertochschadeisontstaan,hetherstellenhiervan.Decybersecuritysectorcreëerttoegevoegdewaardedoorhetaanbiedenvanproductenendienstendiedecyberrisico’sproberenteverminderenenschadeefficiëntteherstellen.Derestvandeeconomiebetaaltvoordezeproductenendienstenenprofiteertervan.

Definitief

EconomischekansenNederlandseCybersecurity-sectorEenverkenning

Copyright©2016Verdonck,Klooster&AssociatesB.V. 4/113

Eenpreciezemetingvandewaardevancybersecurity(deuitstralingseffectenvandecybersecurity-sector)voordeeconomiealsgeheelblijktlastig.Dezestudieschetsteenaantalmethodenvoorhetmetenvandezewaardeenkiestvooreenschattingvandewaardedoortekijkennaarincidentenendeomvangvandeschade.Echter,ergeldteenaantalbeperkingenbijhetanalyserenvanincidentenenschade.Eendaarvanishetontbrekenvaneeneenduidigedefinitievancybersecurity-incidenten.Daarnaastzijnmeetmethodenvaakniettransparantenisdedataonvolledigenonvergelijkbaar.Vanwegedezebeperkingenbleekhetnietmogelijkomhardeconclusiestetrekkenoverdewaardevancybersecurity.Enkelecijferszijnwelbeschikbaar.In2014en2015kwamongeveereenkwartvanhetNederlandsebedrijfsleveninaanrakingmetcyberincidenten,vooralmetphishing,virussenenhacken.InNederlandraaktcybercrimedesectorenhandel,financiëleinstellingenendeICT-sectorhetmeest.Betrouwbareinformatiebleekbeschikbaarvoordefinanciëlesector,endanvooralrondomonlinebank-enpasfraude.Deschadedaarwordtin2014geraamdopruim2duizendeuroper1000inwoners,enisdeafgelopenjarendalend.DeNederlandseoverheidisvooralslachtoffervaninformatielekkage.Consumentenkomenvooralinaanrakingmetvirussen,misbruikvanpersoonlijkegegevens,financiëleverliezenenongepastewebsitesvoorkinderen.InNederlandisdeafgelopenjarenhetaandeelvirussenflinkgedaaldenligthetpercentageonderhetEuropesegemiddelde.Debovenstaandecijferssuggererendatereenpositieveontwikkelingplaatsvindtwatenkeletypencyberincidentenen-schadebetreft.Ofereencorrelatieistussendezeontwikkelingenendegroeivandesectorisnietteconcluderenopbasisvandebeschikbareinformatie.WeconcluderendatdeNederlandsecybersecurity-sectoreenbehoorlijkeomvangheeftenbovendiensnelgroeiendis.AlleenhetdeelbinnendeICT-sectorisreeds0,6%vanhetBBP.Dezeuitkomstisdaaromeenconservatieveschattingvandecybersecurity-sector.Immers,mogelijkeactiviteitendieonderdeelzijnvancybersecurity,maarbuitendeICT-sectorvallen,zijnhierinnognietmeegenomen.Metbehulpvandeinputvaneen30-taldeskundigen(middelsinterviewsenrondetafels)uitdesector,iseenanalysegemaaktvandesterkten,zwakten,kansenenbedreigingenvandeNederlandsecybersecurity-sector.

AnalyseNederlandsecybersecurity-sector

Sterkten• Verregaandedigitaliseringgeeftrelatief

sterke/volwassen(systeemvanbedrijven)incybersecurity-sector

• Goedereputatie• Politiek,neutralewet-enregelgeving,toezicht• GoedesamenwerkingbinnenISAC'senmetNCSC

Zwakten• Onvoldoendespecialisten/beschikbaarheid

goedgekwalificeerdemensen• Investeringenentoegangtot(durf)kapitaal• Uitwisselingensamenwerkingwetenschap,

bedrijfslevenenoverheid• Beperktgeorganiseerdesector

Definitief



• Goedinformaticaonderzoek• Ligging,cultuurenondernemersklimaat

• Nederlandvooraldienstenengroothandel,minderschaalbaar

Kansen

• DoorontwikkelingvandeNederlandsecybersecurityaanpak

• Wetgeving• Betereuitwisselingbedrijfsleven-wetenschap• Groeiawareness• Ontwikkelingdomeinen

Bedreigingen

• Beschikbaarheidgoedgekwalificeerdemensen

• Dethuismarktisklein• Wetgeving• Kostenvanbeveiligingwordentehoog

waardoordezenietmeeropwegentegendevoordelenvangebruikdigitalemiddelen.MetnamevoorMKB

• Dalingawareness• Kennisbijafnemers• Concurrentievanbuitenlandsepartijen

en/ofovernames

Doordathetnietmogelijkisomhardeconclusiestetrekkenoverdehuidigewaardevancybersecurity,ishetooknietgoedmogelijkomaantegevenwelkpotentieelgerealiseerdkanworden.Echter,eriseenaantalknelpuntengesignaleerd.UitdeSWOT-analyseblijktdatersprakekanzijnvanmarktfalen:ergaat,ondanksdegroeivandesector,ietsmisindemarkt,metnamedoorasymmetrischeinformatie,kennis-spilloversennetwerkeffecten,marktmachtenhethold-upprobleem)enandereknelpunten(bijvoorbeeldgedragsproblemen).Bijdegesignaleerdeknelpuntenzijninhetonderzoeksuggestiesnaarvorengebrachtvoordeaanpakvandieknelpunten.Desuggestieszijnonderverdeeldineenaantalthema's:InhetthemaExpertsenexpertise,iseenaantalsuggestiesopgenomendieinzettenophetgesignaleerdetekortaanhoogopgeleideexperts,enopwelkewijzeonderzoekbeterbenutkanworden.Decybersecurity-sectorissterkgedrevendoorinnovatie,waarbijonderzoekenkennisuitwisselingmetdewetenschapnodigisomnieuweproductenendienstentebiedendiepassenbijdesteedsontwikkelendecyberdreigingen.BijhetthemaGeefgoedevoorbeeld,iseenaantalsuggestiesopgenomendievooralbetrekkinghebbenopdeoverheidzelf.InhetclusterConnect,Commit&Goforit!hebbenweeenaantalsuggestiesopgenomendievooralbetrekkinghebbenophetinverbindingbrengenvaninitiatieven,hiervervolgensfocusopleggenendenoodzakelijkeactiesuitvoeren,indiennodigvoorzienvanfinanciering.HetclusterWet&Regelgevingbevatsuggestieswaarbijvanuitwet-enregelgevingaandecybersecurity-sectorkanwordenbijgedragen.

Definitief



INHOUDSOPGAVE

Managementsamenvatting 3

Inhoudsopgave 6

1 Inleiding 81.1 DefinitieCybersecurity 91.2 Verantwoordingenbronnen 111.3 Leeswijzer 11

2 DeNederlandseCybersecurity-sector 122.1 Ontstaan 122.2 Recenteenverwachteontwikkelingen 152.3 Indelingcybersecurity-sector 152.4 Sterktenenzwaktenvolgensdeskundigen 172.5 Sterkten 172.6 Zwakten 21

3 DeeconomischeomvangvandeNederlandsecybersecurity-sector 253.1 Denkkader:omvangvanenwaardedoordecybersecurity-sector 253.2 DeICT-sector 283.3 Aandeelcybersecurity 293.4 Cybersecurity-activiteitenindeNederlandseeconomie 333.5 Potentiëleomvang 373.6 Conclusie 38

4 Uitstralingenvestigingsklimaat 394.1 Inleiding 394.2 Betalingsbereidheideninvesteringenincybersecurity 394.3 Cyberincidentenen-schadealsproxy 404.4 CybersecurityenVestigingsklimaat 444.5 Conclusies 45

5 Kansenenbedreigingencybersecurity-sector 475.1 Scenario’s 475.2 Analysevankansenenbedreigingen 485.3 Kansen 495.4 Bedreigingen 52

Definitief



5.5 Conclusie 55

6 Conclusiesensuggesties 566.1 Conclusies 566.2 Vanknelpuntennaarsuggestiesvoorbeleid 596.3 Suggestiesvoorbeleid 616.4 Koppelingsuggestiesmetknelpunten 66

A Bronnen 68

B Geinterviewdenendeelnemersrondetafels 73

C Onderzoeksverantwoording 74C1. BeschrijvingCBS-microdata 74C2. Vragenlijst 79

D Onderzoeksverantwoordingwaardevancybersecurity 82D1. Methodenomdewaardevancybersecurityteschatten 82D.1.1 Metenvanbetalingsbereidheiddooruitgesprokenvoorkeuren 82D.1.2 Relatietussenschadeenwaarde:eenverzekeringspremie 83D.1.3 Investeringenincybersecurity 85D.1.4 Cyberincidentenen-schade 85D2. Cyberincidentenen-schadealsproxy 86D.2.1 Definitiesencategorisaties 86D.2.2 Informatiebronnen 87D3. Resultaten 89D.3.1 Totaalbeeld 90D.3.2 Schadepermiddelentypeslachtoffers 90D.3.3 Consumenten 91D.3.4 Bedrijfsleven 93D4. Categorisatieendefinities 97D5. Uitgebreidedata 104D6. Datauitmediasearch 106

E Marktfalen 110

Definitief



1 INLEIDING

HetkabinetstreefternaaromhetstructurelegroeivermogenvanNederlandtevergroten.Hetprocesvanvernieuwingeninnovatieleverthiereenbelangrijkebijdrageaan:oudetechnologieën,kennis,conceptenenverdienmodellenmakenplaatsvoorproductievere,nieuwevondsten.AldusMinisterKampineenbriefuit2015naardeTweedeKamer(EZ,2015).Enin2013schreefdezelfdeminister:Informatie-encommunicatietechnologie(ICT)isreedsenigetijdeendrijvendekrachtachterinnovatie,productiviteitsstijgingenendaarmeeookdegroeivanonzeeconomiealsgeheel.ICTinitieertdwarsdoorsectorenheennieuwemogelijkhedeneniseenbelangrijkefacilitatorvoorhetoplossenvaneconomischeenmaatschappelijkeuitdagingen,bijvoorbeeldophetgebiedvankwalitatiefbeteronderwijs,efficiënterelogistiekenduurzaamenergiegebruik.ICTisdaarmeeonderdeelvanhetrijtjerevolutionairedoorbraaktechnologieënalsdestoommachine,debrandstofmotorenelektriciteit.Hetiseenmotorvoorinnovatie,groeienbaneninalle(top)sectorenvanonzeeconomie(EZ,2013).OnderzoekwijstuitdatICTdeafgelopendecenniainNederlandheeftgezorgdvoorveeleconomischegroei.Circa36%vandeeconomischegroeivandeafgelopendecenniazoudoorICTveroorzaaktzijn(Brennenraedtsetal.,2014).Nederlandheeftdeambitieomvooroptelopenindeontwikkelingnaareensteedsmeerdigitaliserendeeconomie.OpveelranglijstenstaatNederlandalhoog,alshetgaatomdematevandigitaliseringvandeeconomie.Echter,eengrotematevandigitaliseringcreëertophetzelfdemomenteengroteafhankelijkheidvangoedwerkendeenveiligetechnologie.Voorhetvasthoudenenmogelijkversterkenvandedigitaleeconomieisvertrouweneenbelangrijkerandvoorwaarde.Decybersecurity-sectorheefteenspilfunctiebijhetborgenvandatvertrouwen.Vanuitinhoudelijkeargumentenwordtdezespilfunctiedoordeoverheidherkend.EriszelfseenNationaleCybersecurityStrategie2waarinisbeschrevendatNederlandvooropwillopenophetgebiedvansecurity-by-designenprivacy-by-design(V&J,2013).

NationaleCybersecurityStrategie2:Nederlandisleidendophetterreinvancybersecurity:1. DeNederlandsesamenlevingweetopeenveiligemanieroptimaalgebruiktemakenvande

voordelenvandigitalisering.2. HetNederlandsebedrijfslevenendewetenschaplopenvooropophetgebiedvansecurity-en

privacy-by-design.3. SamenmetzijninternationalepartnersvormtNederlandeenvooruitstrevendecoalitievoor

hetbeschermenvanfundamentelerechtenenwaardeninhetdigitaledomein.

HetbelangvanICTvooreconomischegroeieninnovatiestaatvast,maaroverheteconomischbelangvandeNederlandsecybersecurity-sectoriseenstukminderbekend.EZ,CBSenTNOpublicerenjaarlijkshetrapportICT,kenniseneconomiewaarindemeestactuelegegevensoverde

Definitief



Nederlandsekenniseconomiezijnopgenomen.HeteconomischebelangvandeICT-sectoriseenthemaindatrapport,waardoorwevoorafwistendatin2013deICT-uitgaveninNederlandbijna45miljardeurobedroegen(EZetal.2015).InopdrachtvanTheHagueSecurityDelta(HSD)isonderzoekgedaannaardeNederlandseveiligheidssector.HierdoorwetenwedathetveiligheidsclusterinNederlandgoedisvoor61.500werkzamepersoneneneenomzetvan6miljardeuro.Inhetrapportwordtonderscheidgemaakttussendetraditionelebeveiligingssector(bijvoorbeeldpersoons-engebouwbeveiliging)endeniet-traditioneleveiligheidssector(terrorisme,cyber,natuurrampenenz.).Duidelijkisdateenaanzienlijkdeelvandecybersecurity-sectorzichbinnendeICT-sectorbevindt.MaarhoegrootisnudieNederlandsecybersecurity-sector?Voorhetantwoordopdezevraagzijnnogweinigobjectievegegevensbeschikbaar.HetCPBschrijftin2015datondanksheteconomischebelangvancybersecurity,erweinig“harde”gegevensbeschikbaarzijn(CPB,2015,e-crime,2015).Verschillendebronnenmakenmeldingvandewereldwijdeomvangvandecybersecurity-sector,maarinveelgevallenkunnenvraagtekensgeplaatstwordenbijdeonafhankelijkheidenbetrouwbaarheidvandezebronnen.Vaakgaathetdanomrapportenvanbedrijvendieookoplossingenverkopen(bijvoorbeeld:KasperskyLab(2014)enIntelSecurity(2014)).DitrapportschetsthetresultaatvanheteersteonafhankelijkonderzoeknaardeomvangvandeNederlandsecybersecurity-sector.NaasteenkwantitatiefbeeldvandeNederlandsecybersecurity-sectorgeeftditrapportinzichtindesterkeenzwakkekantenvandesector.Detweebeeldensamenvormeneengoedebasisvooranalyse,engevendesituatievanvandaagweer.BijhetministerievanEconomischeZakenbestaatechterookdevraaginhoeverreeenhogerniveauvancybersecurityinNederlandookeconomischeactiviteitenaantrektendekansenvoorhetbedrijfslevenenwerkgelegenheidbiedt.OmmeerzichttekrijgenophoegrootdezeeconomischepotentieinNederlandisenhoedezekanwordengestimuleerd,ishetnoodzakelijkbegriptekrijgenvandeontwikkelingen(trends)endekansenofbedreigingendiedezeontwikkelingenvormen.AanheteindvanditrapportgevenweeenaantalsuggestiesaandeNederlandseoverheid,overdewijzewaaropzijkaninspelenopbestaandesterkten,zwakten,kansenenbedreigingen.

1.1 DefinitieCybersecurity

VooreendefinitievancybersecuritywordtinNederlandvaakgebruikgemaaktvandedefinitiezoalsdezeinNationaleCybersecurityStrategieisopgenomen:Cybersecurityishetstrevennaarhetvoorkomenvanschadedoorverstoring,uitvalofmisbruikvanICTen,indienertochschadeisontstaan,hetherstellenhiervan(V&J,2013).

Definitief



Voorditonderzoekbakenenwijditnaderaftot:Cybersecurityishetstrevennaarhetvoorkomenvanschadedoorverstoring,uitvalofmisbruikvanICTalsgevolgvanmoedwilligeactiviteiteninhetcyberdomeinen,indienertochschadeisontstaan,hetherstellenhiervan.Dezeafbakeningisgekozenomhetonderzoekhaalbaartemakenbinnendegegevenrandvoorwaardenenombeteraantesluitenbijhetgebruikvanhetbegripcybersecurityinhetdagelijksspraakgebruik.Wehebbencybersecurityversmaldtotactiviteiteninhetcyberdomein.ConcreetdenkenwebijhetcyberdomeinaandewereldvanmetelkaarverbondenIT-infrastructuren,waaronderhetinternet,telefonie-netwerken,IT-netwerkenenSCADA-systemen.Tentweedewordthetelement‘moedwillig’toegevoegdaandeafbakening.Daarmeesluitenweschadedooruitvalalsgevolgvanbijvoorbeeldslijtage,onvolkomenhedeninsoft-ofhardware,onoordeelkundiggebruikofnatuurrampenuit.Datneemtoverigensnietwegdatmaatregelendiedeschadedoorverstoring,uitvalofmisbruikvanICTvoorkomenofbeperken,nietalleenwordengenomenvanwegemogelijkemoedwilligeactiviteiteninhetcyberdomein,maarookinhetlichtvancontinuïteitsbeheer.Cybersecurityisdusnadrukkelijkmeerdanalleenhetvoorkomenvanbinnendringendoorhackersofvirussen.Decybersecurity-sectorisdandeverzamelingvanbedrijvendiezichgeheelofgedeeltelijkbezighoudenmethetleverenvancybersecurity-dienstenen/of-producten.Hethanterenvandeafbakeninginditonderzoek,doetnietsafaandewaardevandebrederedefinitie.Immersorganisatieszullenmoetennadenkenoverdebeschermingtegenallevormenvanschade,ongeachtdeoorsprongvandieschade.

CYBERSECURITYENICTZoalsdedefinitiesuggereert,betreffencybersecurity-activiteitenpreventiemaatregelen,deopsporingvanincidentenenhethersteldaarvan.Omdatvolgensdedefinitievancybersecurity,hetobjectICTbetreft,zienwedatvooraldeICT-sectorzelfeengrootaandeelheeftinhettotaalvandeactiviteiten(zieAfbeelding1).DenkaanhetleverenvanICT-dienstenen-producten,zoalsvirusscanners,VPNofethicalhacking.Cybersecurity-activiteitenreikenechterverderdanalleendeICT-sector.Ookvanuitanderesectorenwordtdoorhetaanbiedenvandienstenenproducteneenbijdrageaancybersecuritygeleverd.Denkhierbijaanjuridischadvies,sporenonderzoek,verzekeringen,certificatenendecommunicatierondomcyberincidenten.HetisdusnietalleendeICT-sectordiestreeftnaarhetvoorkomenvanschade.Ookanderesectorenzijnbetrokkenbijhetverminderenvancyberrisico’s.

Definitief



Afbeelding1Cybersecurity-activiteitenzijnbrederdanalleenICT-productenen-diensten.

Noot:deomvangvandeblokkenisillustratief,envormenopgeenenkelewijzeeenrepresentatieveafspiegelingvande

werkelijkeomvangvansectoren.

1.2 Verantwoordingenbronnen

HetonderzoekisuitgevoerdinopdrachtvanhetministerievanEconomischeZaken,directieEnergie,TelecomenMededinging.Hetonderzoekvondplaatsindeperiodenovember2015-maart2016enisuitgevoerddoorVerdonck,Klooster&Associates(VKA),insamenwerkingmetSEOEconomischOnderzoek.Dezelaatsteorganisatieheeftbinnenhetonderzoekdeeconomischeanalyses(omvangenuitstraling)voorhaarrekeninggenomen.VoordeuitvoeringvanhetonderzoekwaseenbegeleidingscommissieingesteldmetdeelnemersvanuitdeministeriesvanBuitenlandseZaken,EconomischeZaken,Veiligheid&JustitieenBinnenlandseZakenenhetCPB.Inhetonderzoekisgebruikgemaaktvanverschillendebronneneninstrumenten.Zoisgebruikgemaaktvaneenenquêteonder4.000ICT-bedrijvenenzijninterviewsenrondetafelsgehoudenmetintotaalzo'n30deskundigenuithetCybersecurity-domein.Daarnaastisdeskresearchuitgevoerdenzijndiversestatistischebronnengeraadpleegd,waaronderCBS-microstatistieken.VooreenvolledigoverzichtvandegebruiktebronnenverwijzenwijnaarbijlageA.VooreenoverzichtvandegeïnterviewdenendeelnemersaanderondetafelsverwijzenwenaarbijlageB.

1.3 Leeswijzer

Inditrapportwordtinhoofdstuk2eersteenschetsgemaaktvandeNederlandsecybersecurity-sector.Hethoofdstuksluitafmetheteerstedeelvandekwalitatieveanalyse:desterktenenzwaktenvandesector.Inhoofdstuk3presenterenweheteerstedeelvandekwantitatieveanalyse,waarindeomvangvandeNederlandsecybersecurity-sectoraanbodkomt.Inhoofdstuk4ishettweededeelvandekwantitatieveanalyseopgenomen.Ditdeelgaatoverdewaardevandecybersecurity-sector.Dithoofdstukeindigenwemeteendeeloverhetvestigingsklimaat.Dekansenenbedreigingen,hettweededeelvandekwalitatieveanalyse,isopgenomeninhoofdstuk5.Hetrapportsluitafmetinhoofdstuk6deconclusiesensuggesties.

Definitief



2 DENEDERLANDSECYBERSECURITY-SECTOR

Indithoofdstukbeschrijvenwekorthetontstaanvandecybersecurity-sector,gevenweeenindelingvandeverschillendecybersecurity-productenendienstenenbeschrijvenwijdesterkeenzwakkepuntenvandeNederlandsecybersecurity-sector.Wegeveneenaantwoordopdeonderzoeksvraag:WatisdehuidigeuitgangspositievanNederlandvoorhetrealiserenvaneconomischekansenopcybersecurity-gebied?Inhetvolgendehoofdstukbeschrijvenwijheteconomischeomvangvandesector.

2.1 Ontstaan

Cyberdreigingenzijneralsindsheteerstevirus,beginjaren70,ophetARPA-netwerd‘vrijgelaten’endeboodschap"I'mthecreeper,catchmeifyoucan!"verspreidde.Indietijdwashetallemaalnogvrijonschuldig,maardelaatstedecenniaisdeimpactervansterktoegenomen.Inhetbeginwasverspreidingalleenmogelijkviageheugendragerszoalsfloppydisksenduurdehetmaandenvoordatverspreidingopenigeschaalhadplaatsgevonden.Metdeopkomstvanhetinternetzijninmiddelsnagenoegallecomputersmetelkaarverbondenenkanwereldwijdeverspreidingplaatsvindenbinnenenkeleseconden.Inonderstaandegrafiekhebbenwedeontwikkelingvanhetaandeelvandeverschillendegroepenaanvallersoverdeafgelopen45jaarafgebeeldalspercentagevanhettotaalaantalaanvallers.Daarbijmoetopgemerktwordendathetaantalaanvallenoverdieperiodevanenkelestuksperjaarnaarduizendenpersecondeisgegroeid.Waarbijerelkesecondewereldwijdtientallenpersonenslachtofferworden.Ditlaatsteisniettezienindegrafiek.

Afbeelding2Ontwikkelingaandeelgroepenaanvallers(Bron:VKA-analyse)

1970 HedenAcademici / ethical hackersScript Kiddies

100%Aanvallers

Ideologisch gedreven (Hacktivisten, Terroristen etc.)

Criminelen Statelijke actoren

Definitief



Metdeopkomstvanhetinternetontstondennieuwedreigingendiedemarktvoorfirewallsenanderenetwerkbescherminglietontstaan.Organisatieswerdenkwetsbaarvoorinbrekersophunnetwerk.Hierbijginghetvoornamelijkompartijendiedoorgebruiktemakenvanfoutenindeconfiguratievandeapparatuur,nodigvoordeverbindingmetanderenetwerken,toegangkregentotbedrijfsgegevens.Inhetbeginwasditvooraleenintellectueleuitdagingvooracademici,laterbleekhetookinteressantvooradolescentendieopwebsiteshuneigen‘graffiti’achterlietenomindruktemakenophunvrienden:descript-kiddies.Inmiddelshebbencriminelenditgrotendeelsovergenomenengaathetomlucratieveactiviteiten.DedreigingsmatrixzoalsontwikkeldedoorhetNationaalCyberSecurityCentrum(NCSC)maakteencombinatietussendebronvandedreiging,dedoelwittenendebelangrijkstebedreigingen.Ookuitdezematrixblijktdathetzwaartepuntvandeoorsprongvandreigingenintussenligtbijcrimineleorganisatiesenstatelijkeactoren.

Tabel1Cybersecurity-beeldNederland2015(bron:NCSC,2015)

Definitief



Degroeivandecybersecurity-sectorismedeteverklarendoortekijkennaardewettenvanMoore(verdubbelingaantaltransistorsopchipelke18maanden),Gilder(totalebandbreedtevancommunicatieverdrievoudigtelke12maanden)enMetcalfe(dewaardevaneennetwerkisgelijkwaardigmethetkwadraatvanhetaantalaansluitingen),dieallenaangevendatdebelangrijkefactorendiebepalenwatICTkan,snelgroeienmeteenconstantesnelheid(Kocovic,2008).AlsweMetcalfe'swetvolgenisdiegroeimeerdanlineairmethetnetwerk(StrategicStudiesInstitute,2011).Doorhetsteedskrachtiger(engoedkoper)wordenvanchipskrijgenwijsteedsmeeropslag-enverwerkingscapaciteittotonzebeschikking,waardoorsteedsmeerdataverzameldengebruiktkanworden.Debig-dataontwikkelinggeeftvelenieuwekansenenmogelijkhedenenookhierspelencriminelenopin.Aandeenekantisermeerinformatietehalenwaar(veel)geldmeeverdiendkanwordenenaandeanderekantmakencriminelenslimgebruikvanbig-dataomhunslachtoffersuittezoekenentebelagen.Doordatdenetwerkcapaciteitnogsteedsgroeitwordthetooksteedsmakkelijkeromsnel,veelslachtofferstebereiken.DewaardeenomvangvandeICT-infrastructuurneemttoeendaarmeeookonzekwetsbaarheidvoorverstoringervan.Bovendien,ookvoorcriminelenenandereactorenneemtdewaardeenaantrekkelijkheidtoemetdeomvangvanhetnetwerkenzijzullendusmeermiddeleninzettenineenpogingzichteverrijken.MethettoenemenvanenerzijdsdreigingenenanderzijdshetbelangvanICTiserookeeneconomischesectorontstaandiegebruikersmetcybersecurity-productenen-dienstenbeschermingbiedttegendeaanvallers.Ditblijkteencontinuestrijdtussenleveranciersenaanvallerstezijn,waarbijdeaanvallerszeerinnovatiefzijnensteedsweernieuwezwakkeplekkenindecyber-defensiewetentevinden.Indezestrijdspeeltschaalgrootteeenbelangrijkerol.Aanbiederswarenlangkleineinnovatievestart-upsdiemetorigineleoplossingenkwamenomhethoofdtebiedenaandedreigingen.Inmiddelszienweduidelijkschaalvergroting,waarbijdeoplossingenvaneenaantaljarengeledennugemeengoedzijngewordenenconsolidatievanaanbiedersplaatsvindt.Bigdataisookvoordeverdedigingeenduidelijkerolgaanspelenendaarmeehebbengroterepartijeneenvoordeel.Partijenmetmeerdata,zijnbeterinstaatomtrendstenbehoevevanbeveiligingteontdekken.Wijzieneenduidelijkeconsolidatievande‘intelligence’bijpartijendieinformatieverzamelenoveraanvallersenoverhoezedeaanvallenuitvoeren.Overigensishetnogsteedseenjongeindustriewaarinooknieuwepartijenontstaandiespecialistischeencreatieveoplossingenhebbenvoornieuwedreigingen.Dezekleinepartijenzorgenvoordenoodzakelijkesnelheidindewedloopenzodrazeeenbewezenwerkendeoplossinghebbendievanenigeimportantieiswordenzeinveelgevallenovergenomendooreengroterespeler.

Definitief



2.2 Recenteenverwachteontwikkelingen

Deafgelopenjarenzienwebijonzeklanteneentrendvaneengroeiendaantalincidenteninhetcyberdomein.Wijverwachtendatdezetrendzichdekomendejarenverderzaldoorzetten,alwashetalleenmaaromdatdedigitaliseringnogverderzaltoenemen.MethetInternet-of-Things(IoT)zalhetaantalopinternetaangeslotensystemendekomendejarensterkgroeien.Hetbeeldisdatvelenvandie"nieuwe"systemeninitieelonvoldoendebeschermdzijn,resulterendineentoenamevanhetaantalincidenten.Daarnaastzaldezetoenemendedigitalisering,eneengroeiendeafhankelijkheidvanonzedigitalehulpmiddelen,ervoorzorgendathetvoorcriminelenookaantrekkelijkerwordtomteproberenmisbruikhiervantemaken.Omhierhethoofdaantebiedenzalookhetaanbodvanbeveiligingsdienstenen-productengroeien.Voorhetbedrijfslevengeldtdaarbijdatdewet-enregelgevingrondcybersecurity(bijvoorbeelddeEUGeneralDataProtectionRegulation)zichverderontwikkeltwaardoorookdenietICTaspectenvancybersecuritymeeraandachtzullenkrijgen.Onzeverwachtingisdanookdatdatgedeeltevandesectordekomendejarensnelzalgaangroeien.

2.3 Indelingcybersecurity-sector

Erzijnveelmanierenomdecybersecurity-sectorintedelen.WijhebbeninditonderzoekgekozenvoordeindelingzoalsdieindetweedeNationalResearchAgendaforCyberSecurity(NCSRAII)isopgenomen(NCSRA,2013).Weveronderstelleneensterkekoppelingtussenderesearchvanvandaagenhetontstaanvannieuwebedrijvenentoepassingenmorgen.Gebiedendienunogvooralinderesearch-fasezitten,biedenkansenvoornieuwetoepassingenenbedrijven.DeNCSRA-IIiseendeelinvullingvandeNationaleCyberSecurityStrategievandeNederlandseoverheid.DeagendaisopgestelddoorICTInnovatiePlatform‘VeiligVerbonden’(IIP-VV).Ditplatformbestaatuitonderzoekersvanuitindustrieenkennisinstellingen,gebruikersenvertegenwoordigersvandeoverheid.VoordetoepassinginonsonderzoekendeenquêteonderICT-bedrijven(ziehoofdstuk3)hebbenwedeNCSRAIIagendaaangevuldmetNederlandseomschrijvingenenzijnpercategorieeenaantalconcretevoorbeeldenvancybersecurity-productenen-dienstenopgenomen.

Definitief



Tabel2NCSRAindelingenvertalingnaarcybersecurity-productenen-diensten(bron;NCSRA2)

NCSRA-indeling Omschrijving Voorbeelden Identity, privacy and trust management

Producten en diensten rondom veilige digitale toegang (verlening) tot en uitwisseling van informatie

Certificaten (incl. leveranciers, CA, etc.) Advies (incl. privacy & legal) Elektronische identiteiten Biometrie Secure communication (bv. VPN, Encryptie van communicatie)

Malware and malicious infrastructures

Verzamelen en verspreiden van informatie over dreigingen en kwetsbaarheden, en de organisaties daarachter.

Intelligence Honeypots Media (vakbladen, nieuwsbrieven, etc.) Secure Intelligent Sharing (platformen)

Attack detection, attack prevention and monitoring

Producten en diensten rondom preventie, detecteren en monitoren van digitale aanvallen.

Detectie- / Monitoringdiensten / SIEM Detectieproducten (virusscanners / IDS) Preventiediensten (PEN-Testen / ethical hacking) Preventieproducten (IPS / Firewalls)

Forensics and incident management

Producten en diensten rondom het vaststellen van sporen van aanvallen en/of fraude. Inclusief (crisis)beheersing en herstel na afloop.

Sporenonderzoek & analyse Fraudeonderzoek Opsporing CERT / Incident & Response Management Recovery

Data, Policy & Access Management

Producten en diensten rondom opslag en gebruik van data (inclusief regels/beleid), zo dat kan worden voldaan aan toepasselijke wet- en regelgeving en risicobeleid (compliance) en de beheersing daarvan.

Cybersecurity binnen hostingdiensten (cloud) Governance, Risk & Compliance diensten Secure Document Management Data-encryptie Juridisch advies rondom data-opslag Authenticatie/ autorisatie-producten (DC-kant) ‘Outsourced’ Security Management (SOC/ Updates & Patching /Professional Services) Awareness / Opleiden, trainen & oefenen

Risk Management, Economics & Regulation

Producten en diensten rondom gebruik van ICT-voorzieningen (inclusief regels/beleid), zo dat kan worden voldaan aan toepasselijke wet- en regelgeving en risicobeleid. Inclusief afhandeling excepties en bedrijfseconomische aspecten (aansprakelijkheid, risico vs. schade).

Certificeringen (ISO, Common Criteria, Privacy) Cyberverzekeringen Legal (aansprakelijkheid, corporate liability) Risk Management & Compliance BCM-/ en weerbaarheidsadvies Mobile Device Management

Secure Design and Engineering

Producten en diensten rondom het veilig (laten) ontwerpen en bouwen van ICT-voorzieningen (hard- en software).

Cryptografie Secure Software ontwerp en bouw Secure Hardware ontwerp en bouw Secure Operating Systems Beveiliging rondom SCADA/ PCS Internet of Things Security

Offensive Cyber capabilities Producten en diensten rondom het pen-testen en aanvallen van ICT-voorzieningen (hard- en software)

Producten/diensten tbv Defensie-/Politie-/ Inlichtingen- en veiligheidsdiensten Spyshops

Definitief



2.4 Sterktenenzwaktenvolgensdeskundigen

IndezeparagraafbeschrijvenwedesterkeenzwakkepuntenvandeNederlandsecybersecurity-sector.Deanalyseisgebaseerdoponsinzichtindemarkteneen30-taldeskundigen(middelsinterviewsenrondetafels)uitdesector.ZiebijlageBvooreenoverzichtvangeïnterviewdenendeelnemersaanderondetafels.Hetresultaathiervanwaseenlangelijstmetsterkeenzwakkepunten.Bijdeanalysevandepuntenhebbenwetevensonderzochtofopandereplaatsenaanknopingspuntentevindenzijnvooreenbepaaldfalen.Inwelkematedepuntenookeenaantoonbaarsterkofzwakpuntzijn,enleidentoteencompetitiefna-ofvoordeelisnietonderzocht,nochisonderzochtwatdeoorsprongisvandezepunten.Desterktenenzwaktenzijninonderstaandetabelopgenomenenwordenvervolgenskortbeschreven.Dekansenenbedreigen,welkedeSWOT-analyse1completeren,zijnopgenomeninparagraaf5.1.

Tabel3SterktenenZwaktenNederlandsecybersecurity-sectorvolgensdeskundigenuitdesector



sterke/volwassen(ecosysteemvanbedrijven)inCybersecurity-sector

• Goedereputatie• Politiek,neutralewet-enregelgeving,toezicht• GoedesamenwerkingbinnenISAC'senmetNCSC• Goedinformaticaonderzoek• Ligging,cultuurenondernemersklimaat



bedrijfslevenenoverheid• Beperktgeorganiseerdesector• Nederlandvooraldienstenengroothandel,

minderschaalbaar

Inonderstaandetekstlichtenwedeverschillendesterktenenzwaktenkorttoe.

2.5 Sterkten

VERREGAANDEDIGITALISERINGNederlandlooptvooropophetgebiedvandigitalisering.InNederlandisdeinternetpenetratieenkwaliteitvantoegang(hogesnelheidvaninternetverbindingen)zeergoed.VolgensonderzoekvandeAutoriteitConsument&Markt(ACM)heeftinmiddelstweederdevandeNederlandsehuishoudenseensnelheidvan30Mbit/sofmeer(ACM,2016).OokhetinternetgebruikonderdeNederlandsebevolkingiszeerhoog;93,2%vandebevolkingmaaktgebruikvaninternet.DaarmeezitNederlandvolgensdeWereldbankindetop3vanEuropa.AlleenNoorwegenenDenemarkenscorenietshoger,respectievelijk96,3%en96%.(Wereldbank,2016).

1SWOT-analyse,staatvooreenanalysevanStrengths,Weaknesses,OpportunitiesenThreats.Indit

onderzoek:Sterkten,Zwakten,KansenenBedreigingen.

Definitief



VolgensbrancheorganisatieNederlandICTmakenNederlandseconsumentenenbedrijvenmetzo’n6,7miljoenvastebreedbandaansluitingenenmeerdan10miljoenmobielebreedbandaansluitingenveelgebruikvantelecommunicatie.Zijsteltdatmetéénvandebestetelecominfrastructurenterwereld,tweebelangrijkeinternetknooppuntenentallozedatacentersenhostingbedrijvenNederlandzichmetrechtdedigitalepoortnaarEuropamagnoemen(NederlandICT,2016).Deverregaandedigitaliseringheeftoverigensookeenkeerzijde.DehogedichtheidenkwaliteitvaninternetverbindingheeftervoorgezorgddatNederlandeenbelangrijkdoelwitisgewordenvoordebeheerdersvanbotnets.Eenbotnet,iseenaantalopinternetaangeslotencomputers,diezonderdatdeeigenaardatweet,voorzienzijnvankwaadaardigesoftware.Zijwordenvaakgebruiktomspame-mailteversturenofdeeltenemenaaneengedistribueerdedenial-of-service(DDoS)aanval.VanafNederlandsecomputerskunnensnelgrootschaligeDDoS-aanvallenwordenopgezet.NederlandstaatvolgenseenonderzoekvanhetCentraalPlanbureau(CPB)opdederdeplaatsopdelijstmetlandenwaardemeesteaanvallenvandaankomen(CPB,2015).HetCPBbeschrijftdatuitanalysesblijktdatDDoSaanvallenrelatiefvaakgelanceerdwordenvanuitlandenmetveelinternetters.Snelinternetmaakteenlandaantrekkelijkvoorhackersomeenaanvalvanuitteplegen,maarsnelinternetheeftgeensignificanteffectophetaantalaanvallendateenlandteverdurenheeft.Deaanwezigheidvanveelgoedverbondencomputersiseenrandvoorwaardevooreenwerkendbotnet.

MetdeopenhoudingvandeNederlandsebevolkingtenopzichtevandigitaleontwikkelingenlooptNederlandvaakvooroptenopzichtevananderelanden.Voorbeeldenhiervanzijninternetbankierenendigitaalzakendoenmetdeoverheid.MedehierdoorzullenookdreigingeninhetcyberdomeinzichsnelinNederlandmanifesteren.Doordeoverheidenbankenisdeafgelopenjarenveelgeïnvesteerdinhetbewustzijnvandemogelijkedreigingen.NederlandwordtdoorsommigeleveranciersookgezienalseenproeftuinvoorEuropa.AlseenproductofdienstverleninghierslaagtdanheeftditookeenkansvanslageninderestvanEuropa.EenvoorbeeldhiervanisdesamenwerkingtussenNederlandenCanadawaarbijInvestOttawa,TheHagueSecurityDelta,InnovationQuarter,DeKamervanKoophandelinDenHaag,deNederlandseAmbassadeinOttawaendeCanadeseAmbassadeinNederlandhetinitiatiefgelanceerdhebbenvooreen'Canada-NetherlandsCyber&SecurityTechnologiesSoftLandingPlatform'waarbijCanadesecybersecuritybedrijvenNederlandgebruikenvoordestartvanhunoversteeknaarEuropa.Ineeninterviewmeteenleveranciervancybersecurity-productenen-dienstenwerdaangegevendatditelementervoorgezorgdheeftdatzijingeenanderEuropeeslandzosuccesvolhaddenkunnengroeienalsinNederland.GOEDEREPUTATIEAlhoewelweditaspectnietverderonderzochthebbenwerdineenaantalinterviewsaangegevendatdeNederlandseCybersecurity-sectoreenrelatiefgoedereputatieheeftinhetbuitenland.WijziendatbedrijvenalsFox-ITenCompumaticaintusseneenbehoorlijkdeelvanhunomzetuithetbuitenlandhalen.

Definitief



POLITIEK,NEUTRALEWETENREGELGEVING,TOEZICHTDeNederlandseoverheidhechtwaardeaaneenveiliginternetenzetcybersecurityhoogopdeagenda.Zowordt,ophetmomentvanschrijvenvanditrapport,doorhetkabinetgewerktaandedoorontwikkelingvandeNederlandsecybersecurityaanpak.Maarookmiddelswetgevingwerktdeoverheidaaneenveiligerinternet,enbeschermingvanprivacy.Demeldplichtdatalekkenisdaareenvoorbeeldvan,maarvooralhetkabinetsstandpuntrondomencryptie.Inditlaatstekabinetsstandpuntisopgenomendathetnietnodigisombeperkendewettelijkemaatregelentenementenaanzienvandeontwikkeling,debeschikbaarheidenhetgebruikvanencryptiebinnenNederland.Ditbetekentdatdeopnamevaneenzogenaamdebackdoor,nietwettelijkvereistwordt.Ditbeleidzalookinternationaalwordenuitgedragen(V&J,2016).DeNederlandseoverheidinhetalgemeenenhetNCSCinhetbijzonder,stimuleertorganisatiesomeenbeleidvanresponsibledisclosuretevoeren.Hierinstaanrandvoorwaardenenafsprakenbeschrevenvoorgoedwillendehackersenbeveiligingsonderzoekeromkwetsbaarhedenininformatiesystementemeldenaanorganisaties.Nederlandlooptvooroptenopzichtevananderelandenmetdezeopenhoudingtenopzichtevangoedwillende(ethical)hackers.Dezevooruitstrevendehoudingisookbekendinhetbuitenland.Doordezehoudingvandeoverheidzijnookanderesectoren,zoalsfinanciëleinstellingen,bereidomgebruiktemakenvangoedwillendehackersomhuneigeninformatiebeveiligingverderteverbeteren.Totslot,kanalsvoorbeeldgenoemdwordendatNederlandin2015deInternationaleGlobalCyberSpaceConferencegeorganiseerdheeft.GOEDESAMENWERKINGBINNENISAC'SENMETNCSCHetNCSCdeeltkenniseninformatieoverkwetsbaarhedenmetdeoverheidenvitalesectoren.Voorbeeldenvanvitalesectorenzijn:elektriciteit,gas,kernenergie,drinkwater,telecom,transport(mainportsRotterdamenSchiphol),financiënenoverheid.VoordeaanpakvancyberdreigingenenkwetsbaarhedenzijndiverseInformationSharingandAnalysisCentres(ISAC’s)opgericht.ISAC’szijnpubliek-privatesamenwerkingsverbandenenzijnpersectorgeorganiseerd.Hierwisselendedeelnemersonderlinginformatieenervaringenuitovercybersecurity.Ookwordenanalysesgedeeldoverdesituationalawarenessindedesbetreffendesectoren.Ditgebeurtmetnameoptactischniveau.HetNCSCverzorgtvoordezeISAC'shetsecretariaatenneemtzelfookdeelalskennispartner.Devoorzittersrolwordtaltijddooreenprivatedeelnemeringevuld.Dekruisbestuivingtussendepubliekeenprivatesectorlevertwaardevooralledeelnemers.Eenbelangrijkemeerwaardevooralledeelnemersishetopbouwenvaneenpermanentnetwerk(NCSC,2016).GOEDINFORMATICAONDERZOEKDevisitatiecommissieInformaticaiszeerlovendoverhetinformaticaonderzoekinNederland.Zenoemthetonderzoek“vanhogekwaliteit,breedenmeteenhogeimpactininternationaalperspectief”.Voordeevaluatiewerdendeinformatica-afdelingenvannegenNederlandse

Definitief



universiteitenendrieNederlandseonderzoeksscholenbeoordeeldoponderzoekskwaliteit,levensvatbaarheidenmaatschappelijkerelevantie.DeonafhankelijkevisitatiecommissievoorNederlandsinformaticaonderzoek2009-2014bestonduitvooraanstaandeonderzoekersuitNederland,Duitsland,EngelandendeVerenigdeStaten.OokeenrecenteCanadesestudievandetop-20landeninICT,plaatstNederlandindekopgroep.AlleendeVerenigdeStatenenZwitserlandscorenhoger(NWO,2016).LIGGING,CULTUURENONDERNEMERSKLIMAATInveelgesprekkenwordthetNederlandseondernemersklimaat,decultuurendeligginggenoemdalseenvandesterkten.Veelaspectenvanhetondernemersklimaathebbenbetrekkingophetvestigingsklimaatengeldenbrederdanalleenvoordecybersecurity-sector.Aspectenvanhetvestigingsklimaatdiespecifiekgenoemdzijn,zijnzakenalshetfiscaleklimaat,eengoedopgeleideberoepsbevolkingeneenstabielpolitiekklimaat.Tenaanzienvanhetondernemersklimaat,werdaangegevendathetvoorstartupsrelatiefeenvoudigisomtoegangtotbestaandenetwerkentekrijgen.OrganisatiesalsTheHagueSecurityDelta(HSD),InnovationQuarterenRVOzijnbehulpzaamenhelpenbedrijvenbijvestigingenprofilering,bijvoorbeeldinhandelsmissies.DeTheHagueSecurityDelta,inhetbijzonderbiedtstartupsenbuitenlandsebedrijveninhetcybersecurity-domein,eenlandingsplekwaarbijnauwsamenwordtgewerktmetbedrijfsleven,overheidenkennisinstituten.Inparagraaf4.4gaanwenogwatdieperinophetvestigingsklimaat.InhetStartupNationScoreboardvanhetEuropeanDigitalForum(EDF)uit2016wordtgeconcludeerddatvanallelandenindeEUNederlandzijnbeleiddeafgelopenjarenhetbestindienstheeftgesteldvanstartups.VolgenshetrapportblinktNederlanduitinhetverbindenvangrotebedrijvenmetkleinerestarters.HetrapportisgebaseerdophetaantalaanbevelingendatEU-landenhebbenovergenomenuithetEuropese‘StartupManifesto’van2013.Nederlandscoorteengemiddeldevan85%,gevolgddoorItalië(82%)enhetVerenigdeKoninkrijk(77%)(EDF,2016).OokwordtookdegunstigeliggingvanNederlandtenopzichtevananderelandengenoemdalssterkte.GroteEuropesestedenzoalsLonden,ParijsenBerlijnzijngoedensneltebereiken.Ineenstraalvan500kilometerzijn170miljoenconsumententebereiken(NFIA,2013).DaarnaastisdeDACH-regio(Duitsland,OostenrijkenZwitserland)vanbelangalsminofmeersamenhangendemarkt.Ookdezezijngoedensnelbereikbaar.TolerantieenvrijheidzittendiepgeworteldindeNederlandsecultuur.Diewortelstoegevoegdaanhandelsgeestgevenderuimteaaninnovatieve,ondernemendemensenomnieuweproductenofdienstenteontwikkelen.Indecybersecurity-sectorkomenweveel"karakters"tegen,diezichbeterthuisvoelenbijtolerantiedanbijgesloten,intolerantesamenleving.

Definitief



2.6 Zwakten

IneenanalysevanhetNFIAuit2013werdenreedseenaantalzwaktenvandeNederlandseICT-sectorgemeld,dieookin2016nogvoordecybersecurity-sectorgelden.Hetbetreftonderanderehettekortaangeschooldpersoneel,hetgebrekaangroeikapitaal,enproblemenmethetaantrekkenenbehoudenvantalent.DaarnaastmeldtNFIAdatinverhoudingtotdelandenomonsheenNederlandseICT-bedrijvenrelatiefweinigspenderenaanonderzoekenontwikkeling.DaarnaastzijndeafgelopentweedecenniaeenfiksaantalprivateonderzoekslaboratoriauitNederlandverdwenen.(NFIA,2013).

ONVOLDOENDESPECIALISTEN/BESCHIKBAARHEIDGOEDGEKWALIFICEERDEMENSENIndepraktijkblijktdatereenkrapteisopdearbeidsmarktvoorinformationsecurityprofessionals.StudentendieinditvakafstuderenhebbenvaakalvervoorhunafstudereneenbaanendocentenophetHBOzijnmoeilijktekrijgen.Uiteindelijkwordenvacatureswelingevuld,maarneemtdewerkgeverergenoegenmeedateenkandidaat(nog)nietvollediggekwalificeerdisennogverdertrainingon-the-jobnodigheeft.Teverwachtenisdatdezevraagindetoekomstnogverderzaltoenemen.Hetbeschikbaarhebbenvanvoldoendegekwalificeerdpersoneelwordtookalseenvandebelangrijkefactorenvoorvestiginggenoemd.OverigensiseropditmomentooknoggeenzichtopgrotereaantallenopgeleidendiedekomendejarendoorUniversiteitenenHogescholenafgeleverdworden.InNederlandgeldtdathetUWVin2015signaleerdedatvoorinformaticaberoependearbeidsmarktzeerkrapis:IndeICTzijnvooralvacaturesophoogenwetenschappelijkniveaumoeilijkintevullen.Daarbijgaathetvooralomdevelopers/programmeursinspecifieketalen,security-specialistenofbusinessanalisten.OokopdemiddellangetermijnzaldezekrapteintechniekenICTblijvenbestaan.MeteengroeiendeeconomiezalookdevraagnaartechnicienICT'ersimmersverderaantrekken(UWV,2015).IneenwereldwijdonderzoekvandeInformationSystemsAuditandControlAssociation(ISACA),eenonafhankelijkennon-profitopleidingsonderzoek,gaven86%vanderespondentenaan,datereenernstigtekortisaangoedopgeleidcybersecurity-personeel(ISACA,2016).IneenonderzoekvanFrost&Sullivanwordtaangegevendat62%vandeorganisatiesnu(eind2014)eentekortheeftaansecurityprofessionals.(Frost&Sullivan,2015).DeprogrammamanagerCyberSecurityResearchbijdeNederlandseOrganisatievoorWetenschappelijkOnderzoek(NWO)signaleertbovendiendathetonderwijsonvoldoendeaansluitophetbedrijfsleven:“Wekijkenmetenigezorgnaardeontwikkelingeninhetonderwijs.Watdeopleidingenopleverensluittevaaknietaanopdewensenvanuithetbedrijfsleven.DatkomtdeelsomdaterteweinigmensenafstudereninICT-vakken,zekerophetgebiedvancybersecurity,endatkomtdeelsdoordatdedoorhetbedrijfslevengewenstekennisnietgedoceerdwordt.”Hetverbeterenvandieaansluitingmoetvolgensdeprogrammamanagermedegebeurendoordeoprichtingvaneennieuwresearchand(higher)educationplatformwaardeagenderingvanonderzoekenonderwijsbottomupwordtgerealiseerd.“Dooropeencentraleplekonderzoeks-en

Definitief



onderwijsinitiatievenmetelkaarteverbinden,kunnenwevoorkomendatdingennodeloosdubbelgedaanworden,bijvoorbeeldbinnenverschillendeTopsectorenofroutesvandeNationaleWetenschapsAgenda(DutchDigitalDelta2016).Datplatformiserintussen.Op5aprilisdcypher,hetDutchCybersecurityPlatformforHigherEducationandResearch,gelanceerd.Demissievandcypheris(bottom-up)agenderingencoördinatievanzowelwetenschappelijkalspraktijkgerichtcybersecurity-onderzoeken–hogeronderwijs.Deoorzaakvandittekortismogelijkhetgevolgvanasymmetrischeinformatiemaarmogelijkookdoorelementenuitdegedragseconomie.Wanneer(aankomende)studentennietgoedopdehoogtezijnvandecarrièrekansenindesector,ofeenstudiecybersecuritygewoonwegnietaantrekkelijkvinden,wordtderichtingteweiniggekozen.Ookhetaanbodzouzoalshierbovengeschetsteenoorzaakvanhetprobleemkunnenzijn.Datdittekortopkorteenmiddellangetermijnverdertoeneemt,isopgenomenalsbedreigingvoordesectorinparagraaf5.4.

INVESTERINGENENTOEGANGTOT(DURF)KAPITAALIneenaantalgesprekkenwerdaangegevendathetvoorondernemersindecybersecurity-sectorlastigisomaandurfkapitaaltekomen.DitbeeldwordtondermeerbevestigdindeanalysevandeNFIAvoordeICT-sector"Nederlandkenteengrootaantaltechnologiestartups.Nederlandgenereertongeveer10%vandesnelstgroeiendetechnologiestartupsinEuropa.SlechtseenkleinaantalICT-start-upsgroeitdoornaarEuropeesofwereldniveau.Deoorzakenhiervoorzijngebrekaangroeikapitaal,enproblemenmethetaantrekkenenbehoudenvantalent"(NFIA,2013).InNederlandblijkendiefinancieringsproblemengrotertezijndaninandereNoordwest-Europeselanden.EenbelangrijkeverklaringhiervoorisdaterinNederlandteweinigdurfkapitaal(venturecapital)beschikbaarisvoorhetfinancierenvandeopstartfase.Indiefaselooptpubliekefinancieringdoorgaansaf,maarzijnbankkredietennognietteverkrijgenomdatderisico’shiervoornogtegrootzijn.Vooralhetzogehetenlate-fasedurfkapitaal–datstartershetlaatstezetjemoetgevenomindeuitrolfaseterechttekomen–isproblematisch.DefinancieringsketenwerktdusnietgoedinNederland;ervallengaten.Hetgevolgisdatdekansopmarktintroductieenuitrolvakerdaneldersonbenutblijft.DeNederlandseeconomieprofiteertdaardoorminderdanmogelijkisvandekansendieinnovatiebiedt(Vooren,A.etal.,2015).Ookzienwedatsuccesvollestartupsindecybersecurity-sector,sneldoorgroterebuitenlandseaanbiederseninvesteerderswordenopgepikt.Inparagraaf5.4gevenweeenaantalvoorbeelden.Overigensspeeltgeldindeonderzoek-enontwikkelfaseookaleenrol.NederlandgeeftminderuitaanR&Ddanveelvandeonsomringendelanden(FD,2015enNFIA,2013).MetdegoedkeuringvanhetnieuweWBSO,zijnvolgensverschillendepartijenookdemogelijkhedenvoorsubsidieinhetICT-domeiningeperkt.NederlandICTlietwetendatdenieuweregelingeenkaalslagbetekentvoorinnovatievesoftwareontwikkeling.Nederlandwordtvolgensdesectorminderaantrekkelijkalsvestigingsland(ICTMagazine,2015).

Definitief



MarktfalenwasvoordeEuropeseCommissieeenbelangrijkeredenvoordeinvoeringin2006vandeCommunautairekaderregelinginzakestaatssteunvooronderzoek,ontwikkelingeninnovatie.KrachtenshetVerdragbetreffendedewerkingvandeEuropeseUnieishetbevorderenvanonderzoek,ontwikkelingeninnovatie(O&O&I)eenbelangrijkedoelstellingvangemeenschappelijkbelang(SER,2010).VanDijketalbeschrijvenhetfenomeenalsvolgt:Verschillendeinstanties(inclusiefOECD,DNB,SER,AWTI)envanuitdiverseeconomischeonderzoekengevenhetzelfdebeeld:definancieringvaninnovatiesinhetMKBvertoontknelpunten.Defactorendiehiertoeleidenvariërenenbestaanuit:-risico-restrictiesbijbankeneninstitutioneleinvesteerders,-intransparantievandeprivatefinancieringsmarkt,-eenkleinschaligeventurecapital-marktinNederland,-eengrotematevanonzekerheid,-beperktzichtopcash-flow,-relatiefhogetransactiekostenvoorvaakkleinereinvesteringsaanvragen,-onduidelijkeexit-mogelijkheden,-etc.PersaldokrijgenMKB-bedrijvenonvoldoendekapitaalbeschikbaarvoordenodigeinvesteringenininnovaties.Alsachterliggenderedenenvoorditmarktfalen,eneendaaruitvolgendelegitimatievaneenrolvoordeoverheid,isopbasisvandedeskresearchendeinterviewshetknelpunt‘informatieasymmetrie’centraalkomentestaanalsverklaringvoorhetonvoldoendebeschikbaarzijnvankapitaal(VanDijketal.,2015).UITWISSELINGENSAMENWERKINGWETENSCHAP,BEDRIJFSLEVENENOVERHEIDOpverschillendemomentenwerdinhetonderzoekaangegevendatdeaansluitingtussenwetenschapenbedrijfsleveninhetcybersecurity-domeinnogtezwakisenbeterkan.Hetdomeinissterkgedrevendoorinnovatieenhiervooriskennisuitdeuniversiteitennodig.WetenschappelijkonderzoekeindigtvaakslechtsinpublicatiesenwordtinNederlandonvoldoendeindepraktijkbenut.Eerderdeden11groteNederlandseondernemingenaleenoproepomeenuitdagendegezamenlijkeagendaoptestellenwaarinhetwetenschaps-eninnovatiebeleidaanelkaargekoppeldworden.Deaanbevelingwastoenomgezamenlijkeenonderzoeksagendateontwikkelenwaarinmaatschappelijkeuitdagingen,topsectorenbeleidenwetenschapsagendabijelkaarkomen.'Zoeenagendainspireert,versterktdetopsectorenaanpakenverbindtdeindustrie,wetenschapenoverheidnognauwermetelkaar',aldusde11groteNederlandseondernemingen(VNONCW,2014).Maarookdeuitwisseling,overenweer,vankennistussenbedrijfslevenenoverheidinhetcybersecurity-domeinvindtinNederlandnogteweinigplaats.IndeVSzienwedaterveelmeerwerknemersoverstappenvanoverheid(bijvoorbeeldvanuitdefensie)naarbedrijfslevenenvice

Definitief



versa.EnookinIsraëlzienwedathetlegerookeenbronisvanspecifieketechnologieëndiedebasiskunnenvormenvoorinnovatievestartups.Mededoordeze‘kennis-spillovers’uithetlegerzijnIsraëlischestartupstoonaangevendophetgebiedvanbijvoorbeelddronesencybersecurity(FD,2016).Goedevormenvanbestaandesamenwerkinginditdomeinzijnerook.WijdenkenhierbijaandesamenwerkingtussenNCSCendeISAC's(zieparagraaf2.5)endeCyberSecurityRaad(CSR).DeCSRiseenonafhankelijkadviesorgaan.DeRaadissamengestelduitvertegenwoordigersvanpubliekeenprivatepartijenenvertegenwoordigersuitdewetenschap.Dezesamenwerkingsverbandenzijnechtermindergerichtopinnovatieenvalorisatie.BEPERKTGEORGANISEERDESECTORDecybersecurity-sectorisnogjongennauwelijksgeorganiseerdenbestaatvooraluitwatkleinereorganisatiesenuitactiviteitendieeendeeluitmakenvanenegrotereonderneming.Eentypischeorganisatievormalseenbrancheverenigingontbreektnog.Doordezelageorganisatiegraadheeftdesectornoggeenaanspreekpuntofstemineendebat. NEDERLANDVOORALDIENSTENENGROOTHANDEL,MINDERSCHAALBAARUiteenstudievanDialogicnaardeimportenexportvanICTblijktdatvrijwelalleIT-hardwareinNederlandwordtgeïmporteerd.DaarnaastblijktuitdezelfdestudiedatsoftwaresterkerplaatsgebondenisdanIT-hardwareendathetaandeelvandegehelesoftwaresectorindeexportbescheidenis.Totslotbleekdatvooraldegroothandeleenbelangrijkonderdeeluitmaaktvandeexport(Brennenraedtsetal.,2014).Kortom,binnendeICT-sectorinNederlandgaathetvooralomdienstenenookbijdeexportvanICTgaathetvooralomgroothandel.Hetbeeldisdatditookvoordecybersecurity-sectorgeldt.Gevolgvandezesamenstellingisweldatde(internationale)schaalbaarheidvanICT-encybersecurity-bedrijvenbeperktis.Immers,hardwarekanbijsuccessnelopgroteschaalgeproduceerdworden,terwijldatvoordienstenlastigeris.Partijenuitlandenmeteengroteremaakindustriezullenindelenvandecybersecurity-sectoreenvoordeelhebben.Hetgaatdanvooralomdehardwarediewordentoegepast.Fabrikantenvanhardwarezijnbijsuccesinstaatdeproductiesnelopteschalenenteprofiterenvanschaalvoordelen.Fabrikantenuitlandenmeteengrote(re)maakindustriehebbenvoordelen(kennis,ervaring,infrastructuur)diekunnenresultereninmarktmacht(schaalgrootte).

Definitief



3 DEECONOMISCHEOMVANGVANDENEDERLANDSECYBERSECURITY-SECTOR

Indithoofdstukwordteenantwoordgeformuleerdopdevolgendeonderzoeksvraag:WatishetverdienpotentieelvancybersecurityvoorNederlandenhetbedrijfsleven?

Dithoofdstukbegintmeteendenkkaderdatdeomvangvandecybersecurity-sectorkoppeltaandewaardediedesectorcreëert.Dedoordecybersecurity-sectorgecreëerdewaardewordtbeschreveninhoofdstuk4.Insectie3.2wordtdeICT-sectorgedefinieerd.DaarnaastishetaandeelbinnendeICT-sectorgemetendooreenenquête.Insecties3.3en3.4presenterenwedehuidigeomvangvandecybersecurity-sector.Inparagraaf3.5kijkenwenaardepotentiëleomvang.VooreenuitgebreidebeschrijvingvandedataenvoordevragenlijstverwijzenwijnaardeverantwoordingindebijlageC.

3.1 Denkkader:omvangvanenwaardedoordecybersecurity-sector

Watcybersecuritybetreftkunnenwedeeconomieintweedelenopsplitsen:desectordiebezigismethetverhogenvancybersecuritydoorhetleverenvanproductenendienstenaangebruikers,ookgenoemddecybersecurity-sector,enderestvandeeconomie(dusinclusiefdeafnemersvandecyberproductenen-diensten).Decybersecurity-sectorcreëerttoegevoegdewaardedoorhetaanbiedenvanproductenendienstendiedecyberrisico’sproberenteverminderen.2Derestvandeeconomiebetaaltvoordezeproductenendienstenenprofiteertervan.

Afbeelding3Economischebetekenisvancybersecurityvoordeeconomie

2 Deberekeningvanhetcyberrisicovaltbuitendescopevanditonderzoek.

Definitief



Derestvandeeconomiekantemakenhebbenmetcyberincidenten(verstoring,uitvalofmisbruikvanICT)enkanprofiterenvanveiligereICT-producten.Dooreenhogerniveauvancybersecuritykunnenbedrijvenproductieverworden,omdatbijvoorbeeldeenICT-systeemvaneenbedrijfmindervaakuitvalt.Daarnaastkancybersecurity,zoalsbijvoorbeelddigitaliseringdatookkan,eentechnologischevooruitgangbewerkstelligen.Bijvoorbeeld,doordeontwikkelingvaneendigitalehandtekeningkunnennuookdigitaalveiligerechtsgeldigehandelingenwordenverricht.Hierdoorwordtproductieinderestvandeeconomieefficiënter.Ombeideredenengroeitdeeconomieenneemtwelvaarttoe.Waardekunnenweomvattendoordebegrippenvanomzet,kostenentoegevoegdewaarde.Deomzetisdeinkomsten(ofbaten)vanbedrijvendiezerealiserendoorhetleverenvanproductenendiensten.Dezebatenzijngerealiseerdtegendegemaaktekosten.Hetverschiltussenomzetenkostenisdewinst(ofverlies).Detoegevoegdewaardeishetverschiltussendeomzetenhetaankoopbedrag(dewaardevaningekochteproducten).Opmacro-economischniveauwordtdetoegevoegdewaardegemetenviahetbrutobinnenlandseproduct(BBP).Afhankelijkvanhettypemarktwaarcybersecurity-productenen-dienstenzijnaangebodenbestaanerverschillenderelatiestussendeomzet,dekostenendetoegevoegdewaardevancybersecurity-bedrijvenendeafnemers.Steldateenbedrijféénmiljoeneuroaanbatenkanrealiserendooreeninvesteringineenhogerniveauvancybersecurity.Batenduidenhieropeenmogelijkfinancieelvoordeel,bijvoorbeeldindevormvanlagerekosten-mindernetwerkuitvallen,gecrashtecomputersenzovoort.Inditgevalishetbedrijfbereidommaximaaléénmiljoeneurotebetalenvoorcybersecurity.Alsdeleveranciervandecybersecuritydienstenen–productendebetalingsbereidheidvanditbedrijfkent–ditwordtverondersteldineenmarktmeteerstegraadprijsdiscriminatie–danzaldeleverancierexact1miljoeneurovragenalsvergoedingvoorzijndiensten.Dewinstoftoegevoegdewaardevandetransactieslaatinditgevalvolledigneerbijdeleverancier.Erzijnechterfactorenwaardoordeprijsdieeencyberbedrijfvraagtnietovereenkomtmetdebetalingsbereidheidvanafnemers.Productenendienstenwordennietperseefficiëntaangebodenenleidennietpersetothogerecybersecurity(ofeenlagercyberrisico).Marktmarkteninformatieproblemenkunnenervoorzorgendatvraagenaanbodineenmarktnietperfectopelkaaraansluiten.Decybersecuritymarktkangeconcentreerdzijn,bijvoorbeeldvanwegeschaaleffecten,waardoorslechtseenkleinaantalgrotespelersdemarktdomineert.Ditwerktprijsopdrijvingindehandwaardoorsommigebedrijvennietinvesterenincybersecurity,terwijlzedatbijeenlagereprijswelzoudendoen.Deprijsopdrijvingveroorzaaktdaardooreenwelvaartsverlies.Afnemerszijnnietaltijdinstaatomopeenmogelijkcyberincident(volledig)teanticiperen(cybercriminelenzijneenstapvooruit).Alsgevolgkunnencyberincidentennietvolledigvoorkomenwordenenzalschadehetgevolgzijn.Bedrijvenhoudenmetdezemogelijkeschade,rekeningbijhetbepalenvanhunbetalingsbereidheidinbeterecybersecurity.Aandezemaximale

Definitief



waardezittenechterbeperkingen.Depotentieleschadekanbijvoorbeeldinhoudendathetbedrijffaillietgaat.Debetalingsbereidwordtdusmedebeperktdoordeliquiditeitensolvabiliteitvandeinvesterendepartijennietalleendoorhetrisicooponveiligecybersituaties.Inzulkegevallenisdeomzetendetoegevoegdewaardeindecybersecuritysectorlagerdanhetpotentieelentrekkendeafnemerseendeelvandetoegevoegdewaardenaarzichtoe.Dezewaardekunnenafnemersinvesterenomhuneigenefficiëntieenproductiviteitteverhogen.Daarnaastrealiserenafnemerseenlagerdangewenstniveaucybersecurity.Steldatdeeconomiezichineensituatievindtwaarverbeteringen-indemaatschappelijkezin-mogelijkzijn.Dezeverbeteringsmogelijkhedenbetekeneneenhogerniveauvanefficiëntie.Afbeelding4illustreertdriemogelijkeveranderingentenopzichtevandehuidigesituatie.Teneersteishetmogelijkdatmetinzetvandezelfdemiddelen(arbeid,kapitaal)indecybersecurity-sectoreenhogerniveaucybersecurity(ofeenlagercyberrisico)totstandkomt.Ditwordtgeïllustreerddoordepijlomhoog(nr.1)inAfbeelding4.Tentweede,steldathetniveauvancybersecurityconstantblijftbijafnemendeinzetvancybersecurity-diensten(i.e.,ineenkleinerecybersecurity-sector).Ditzoueentoenamevandeefficiëntieimpliceren.Dezebesparingkanderestvandeeconomiebestedenaaninvesteringeninandereproductenofdiensten(depijlnaarlinks,nr.2).Tenderde,alsdetechnologieverandert,kandecybersecuritysectoreenhogerniveauvancybersecurityaanbiedendoorhetgebruikvandezelfdeinput(pijlrechtomhoog,nr.3).

Afbeelding4Verbeteringsmogelijkhedenliggennaarbovenennaarlinksvandehuidigesituatie.

Hetniveauvancybersecuritywordt,naastdeactiviteitenvandecybersecurity-sectorentechnologischeontwikkeling,ookbepaalddooranderefactoren.Voorbeeldenzijn:gedragingenvanICT-gebruikers(securityawareness)engedragingenvancybercriminelenenstatelijkeactoren.Metanderewoorden,meeruitgavenaancybersecurityleidennietaltijdtoteenlagercyberrisico,enviceversa.Uiteindelijkzijndeuitgavenaancybersecuritymindervanbelangdanhetniveauincybersecuritydatwordtverwezenlijkt.

Definitief



3.2 DeICT-sector

OmdathetisteverwachtendatdeICT-sectorhetgrootsteaandeelheeftindecybersecurity-sector,ligtdefocusvanditdeelvandestudieopdeICT-sector.DeafbakeningvandeICT-sectorkomtovereenmetdeafbakeningvanhetministerievanEconomischeZaken(EZ),hetCentraalBureauvoorStatistiek(CBS)enTNO(EZetal.2015;Tabel4).Deuitkomstisdaaromeenconservatieveschattingvandecybersecurity-sector:mogelijkeactiviteitendierelevantzijnvoorcybersecurity,maarbuitendeafbakeningvallen,zijnnietmeegenomen.

Tabel4 DeafbakeningvanICT-activiteiten(EZetal.,2015)

SBI-codes Activiteiten Leveren van ICT-goederen

26.1 t/m 26.4, 26.8 Vervaardiging van elektronische componenten en printplaten / ICT-goederen Leveren van ICT-diensten

46.5 Groothandel in ICT-apparatuur *58.2 Uitgeverijen van software

61 Telecommunicatie 62 Dienstverlenende activiteiten op het gebied van informatietechnologie

63.11 Gegevensverwerking, webhosting en aanverwante activiteiten 95.1 Reparatie van computers en communicatieapparatuur

*Onder58.2valteenkleinaantalbedrijven.DaaromzijnbedrijvenmetdezeSBI-codeomwillevanvertrouwelijkheidvan

dedatabuitenbeschouwinggelatenindeberekening.

Deomvangisgeschetstaandehandvaneenaantaleconomischebasiskenmerken,zoalstoegevoegdewaarde,omzet,omzetuitexportenwerkgelegenheid.DaarnaastisgekekennaardeinternationalepositievandeNederlandseICT-sectoropbasisvandehandelsbalans.VoordezekenmerkenwordenCBS-statistiekengebruikt.VóórditonderzoekwashetonbekendhoegrootcybersecurityisbinnendeICT-sector.Hetaandeelisgeschatmiddelseenwebenquête.Erisgekozenvooreenwebenquêteomdatdevraagstellingrelatiefeenvoudigisendooreenenquêteeengroteresteekproefkanwordenbereiktdanmetinterviews.Deanalysebestonduittweestappen:

• Hetbepalenvanaandeelcybersecurity:hetnemenvaneensteekproef;webenquête;endeanalysevanderesultaten;

• BerekeningvaneconomischekenmerkenopbasisvanCBS-microstatistieken.

Deanalysehoudteenmomentopnamevandeomvangdecybersecurity-activiteitenin,welkevoorheteerstopdezemanierisgemaaktvoorNederland.Erzijntweemeetmomentengekozen:2010en2014.Daarnaastbetreftdevraagookhetverdienpotentieelvanbedrijvendiecyberproductenen–dienstenaanbieden.DitpotentieelisgemetenmiddelsdeverwachtetoekomstigegroeivandeomzetdoorcyberactiviteitenbinnendeICT-activiteiten.

Definitief



3.3 Aandeelcybersecurity

OmeeninschattingtemakenvanhetaandeelcybersecuritybinnendeICT-sectoriseenenquêtegehoudenonderICT-bedrijven.Deenquêtewerdaangekondigdpere-mailendaarnaastopdewebsitevanbrancheverenigingNederlandICT.AlleenbedrijvendieaangavenindeICT-sectorwerkzaamtezijnwerdentotdevragenlijsttoegelaten.Tijdensdeaankondigingenwervingvanrespondentenwerdnietgemelddathetonderzoekbetrekkinghadopcybersecurity–ditwerdpasduidelijknaaanvangvandeenquête.DerespondentenkomenuithetbedrijvenpanelvanKompassmetbedrijvenmet5fteofmeer.Vande3.868bedrijven3dieeenuitnodigingontvingen,vulden266deenquêtevolledigofbijnavolledigin:eenresponsvan6,9procent.Voorsommigespecifiekevragenkanderesponslagerzijndanditaantalvan266;zieBijlageA.2voordevolledigevragenlijst.Vande266ICT-bedrijvenselecteerden115bedrijven(43procent)éénofmeercybersecurity-productenen/of-dienstenuitdeopgesteldelijst;deresterende151bedrijven(57procent)gevenaangeenspecifiekecybersecurity-productenof-dienstenaantebieden.4

REPRESENTATIVITEITInonzeenquêtegeeft43procentvandeondervraagdeICT-bedrijvenaaninenigemateomzetuitcybersecuritytebehalen.Inhoeverrehetantwoordvan43procentgehanteerdkanwordenvoordeICT-sectoralsgeheel,hangtafvanderepresentativiteitvandesteekproef.Aanheteindvan2015warenongeveer66.600ICT-bedrijvengeregistreerdbijdeKvK(zieCBSStatline,2015Q4).DeICT-sectorwordtgekenmerktdooreengrootaantalzzp’ers(ca.53.900,81procentvanhettotaalaantalbedrijven).Echterrealiserende5.700bedrijven,die5fteofmeerhebben(8,5procentvanhettotaleaantal),ongeveer80procentvandetotaleomzetvandesector.Hetbelangrijkstedoelvandeenquêtewaseeninschattingtemakenvanhetaandeelindeomzetdatcybersecurityrepresenteert.Daaromwerdvoorditonderzoekgekozenomtefocussenopbedrijvenmet5fteofmeer.HetbedrijfspanelvanKompassdektdezepopulatie.Deverdelingvanhetaantalwerknemersvoorbedrijvenmet5fteofmeerverschiltindesteekproefsterktenopzichtevandegehelepopulatie(zieAfbeelding5).Hetaantalbedrijvenindecategorie20tot50fteenindecategorie100ofmeerftezijnsubstantieelhogerbinnende

3 HetKompass-panelheeftongeveer6.000ICTbedrijvenwaarvanvoor3.868(67procent)ookeen

emailadresbekendis.4 Naastde266bedrijvenindesteekproef(waarvan115cybersecuritybedrijvenen151niet-

cybersecuritybedrijven)zijnerook24bedrijvendieweliswaaraangavencybersecurityproductenen/of-

dienstenteleveren,maargeenenkeleactiviteitnoemden.Aangeziendeactiviteiteenverplichtevraagwas,

kondendezebedrijvenooklaterevragennietinvullen.Dezebedrijvenzijnnietmeegenomenindeanalyse.

Definitief



steekproefdanbijdetotalepopulatie.Decategorie5tot10fteisindesteekproefjuistondervertegenwoordigd.5

Afbeelding5Desteekproefomvatbedrijvenmetrelatiefveelwerknemers.

Bron: Steekproef:VKA/SEOEconomischOnderzoek,n=243.GeheleICT-sectormet5ofmeerfte:CBS(2015Q4).De

grafiektoontaantallenbedrijvenmet5tot10ftee.d.alspercentagevanhettotaalmet5ofmeerfte.

HoeweldesteekproefietsverschiltvandeICT-sectoralsgeheelwatbetrefthetaantalwerknemers,geeftdeenquêteweleengoedbeeldintermenvanomzet.MetnamedekkenICT-bedrijvenmet5fteofmeer,ongeveer80procentvandeomzetindeICT-sector.Bovendienblijktdematewaarinbedrijvenomzethalenuitcybersecurityinonzesteekproefnietsamentehangenmetdebedrijfsomvang(intermenvanomzetdanwelfte).DerepresentativiteitvandesteekproefgaatbovendienverderdandegroottevandeICT-bedrijven:eenanderbelangrijkkenmerkishettypeactiviteitendatICT-bedrijvenverrichten.ZoalshierbovenvermeldwordendeactiviteiteningedeeldaandehandvanSBI-codes.VoordeSBI-codeiseenprimairebronbekend,aangeziendezeinformatieookdoorKompassgeleverdkonworden.Afbeelding6geeftaandathetovergrotemerendeelvandeICT-bedrijvengecategoriseerdismetSBI-code62(‘Dienstverlenendeactiviteitenophetgebiedvaninformatietechnologie’),volgenshetCBS80procent.Ditgeldtookvoordesteekproef,alishetaandeelvanSBI-code62hierietslager,teweten71procent.

5 VanwegedesamenstellingvanhetbedrijvenpanelvanKompassbevatdesteekproefinprincipe

alleenbedrijvenmet5ofmeerfte.Erwarendesalniettemin23(vande266)bedrijvendieaangaven1,2,of3

fteindiensttehebben.

0%

10%

20%

30%

40%

50%

5tot10 10tot20 20tot50 50tot100 100ofmeeraantalfte

ICT-sector Steekproef

Definitief



Afbeelding6 DesteekproefverschiltweinigvandegehelepopulatiewatbetreftICT-activiteiten.

Bron: Steekproef:VKA/SEOEconomischOnderzoek,n=266,o.b.v.gegevensKompass.ICT-sector:CBS(2015Q4).

Samenvattendkanwordengestelddatdesteekproefrelatiefietsmeergrotebedrijvenbevat,maarrepresentatiefiswatbetreftdespreidinginICT-activiteiten.Hierbijdientwelopgemerkttewordendat–gegevenderesponsvan266–hetaantalwaarnemingenvoorsommigeICT-activiteitenlaagis(tewetenICT-goederen,telecommunicatieengegevensverwerking,webhostingenaanverwanteactiviteiten).Binnendedeelsectorvanbedrijvendiecomputersencommunicatieapparatuurreparerenwareninhetgeheelgeenrespondenten.HetisdaaromnietmogelijkhetaandeelcybersecurityinteschattenvoorverschillendedeelsectorenbinnendeICT-sector.

ENQUÊTE-UITKOMSTEN:HETAANDEELCYBERSECURITYINDEOMZETDecentralevraagindeenquêteluidde:Ongeveerwelkdeel(inpercentage)vandenettoomzetvanuworganisatiein2014heeftuworganisatieverkregendoorcybersecurity-activiteiten?Dezevraagwerdvoorgelegdaanrespondentendieindevoorafgaandevraagvandeenquêteeenofmeercybersecurity-activiteitenhaddenaangekruist.Voorbedrijvenaangeduidalsniet-cybersecurity,ishetaandeelperdefinitiegelijkaannul.Afgezienvanhetniveauvanhetaandeelcybersecurity,ishetookvanbelanginwelkerichtingditaandeelzichontwikkelt,zowelinhetverledenalsnaardetoekomst(naarverwachtingvanderespondenten).Omdezeredenzijntweeaanvullendevragengesteld.VoorhetverledenwerdgevraagdnaarhetaandeelvanCybersecurityindetotaleomzetin2010(vraag5inBijlageA.2),voordetoekomstisrespondentengevraagdeeninschattingtemakenvandejaarlijksegroeiverwachtingdekomende3tot5jaar(vraag6inBijlageA.2).

0%

20%

40%

60%

80%

ICT-goederen Telecommunicatie Gegevensverwerking,webhosting,e.d.Groothandel

ICT-sector Steekproef

Dienstverlenendeactiveiten

Reparatie vancomputerse.d.

Definitief



DoordezewegingenzijnertweewaardenvoorhetaandeelcybersecuritybinnendeICT-sectorberekend(Tabel5).Volgensdezetweemeetwaardenlaghetaandeelcybersecuritylagin2014bij9,5en10,3procentbinnendeomzetvandeICT-sector.Ditaandeelisjaarlijks0,5%-puntgestegentussen2010en2014.Tabel5geeftderesultatenweervoorhetgerapporteerdeaandeelcybersecurityin2010en2014.Erzijntweewegingengebruikt:opbasisvandehoofd-ICT-activiteit(SBI-code)enopbasisvanalleICT-activiteiten,diebedrijvennaasthunhoofdactiviteithebbenaangegeven.EenbeperkingvandeSBI-codesisdatelkbedrijfslechtséénhoofdactiviteitkannoemenbijderegistratiebijdeKamervanKoophandel.IndepraktijkontwikkelenbedrijvenmeerdereactiviteitenenzoudendusverspreidmoetenzijnovermeerdereSBI-codes.OmdezebeperkingoptevangenisindeenquêtebedrijvenzelfgevraagdwelkeICT-activiteitenzeverrichten,waarbijmeerderemogelijkhedenkondenwordenaangekruist.6DoordezewegingenzijnertweewaardenvoorhetaandeelcybersecuritybinnendeICT-sectorberekend(Tabel5).Volgensdezetweemeetwaardenlaghetaandeelcybersecuritylagin2014bij9,5en10,3procentbinnendeomzetvandeICT-sector.Ditaandeelisjaarlijks0,5%-puntgestegentussen2010en2014.

Tabel5 HetaandeelcybersecuritybinnendeomzetvandeICT-sectorisjaarlijks0,5%-puntgestegen

tussen2010en2014.

2010 2014 Gewogen o.b.v. hoofd-ICT-activiteit (SBI-codes) 7,5 % 9,5 % Gewogen o.b.v. alle ICT-activiteiten (zelf-gerapporteerd) 8,4 % 10,3 %

Bron: VKA/SEOEconomischOnderzoek;n(SBI)=266enn(alle)=246(in2014)enn(SBI)=248enn(alle)=229(in2010).

VooreenjuisteinterpretatievanhetresultaatishetvanbelangenkeleonderliggendeaannamestebenoemendiezijngemaaktinTabel5.Neemterillustratie9,5procento.b.v.hoofd-ICT-activiteitin2014.Hoewelditgetalisberekendopdetotaleresponsvan266waarnemingen,zijnerslechts49bedrijvendiedaadwerkelijkeenomzetpercentagecybersecurityinheteigenbedrijfhebbengenoemd.Vande115cybersecurity-bedrijvenhebbener66geenomzetpercentageingevuld(keuze‘onbekend’).VoordezebedrijvenwordtaangenomendathetaandeelcybersecuritygelijkisaanhetgemiddeldepercentagevoorbedrijvenmeteenzelfdeSBI-code.Deze115bedrijvensamenhalengemiddeld22,2procentvanhuntotaleICT-omzetuitcybersecurity.OmaanhettotaleaandeelvandegeheleICT-sectortekomen,moetrekeninggehoudenmetniet-cybersecurity-bedrijven(57procentvandepopulatie).Ditlevert22,2*0,43+0*0,57=9,5procent,zoalsinTabel5.

6 Indeenquêtehebben20bedrijvenalleende'overigeICT-activiteiten'aangevinktenactiviteiten

genoemddienietopeenduidelijkemanieronderSBI-codesgecategoriseerdkunnenworden.Bijdezeweging

zijndeze20bedrijvenbuitenbeschouwinggehouden.

Definitief



IndetweederegelinTabel5zijnderesultatenweergegevenwanneerwordtgewogennaarallezelfgerapporteerdeICT-activiteiten.Integenstellingtotdeeersteindeling(alleenhoofdactiviteitgebruikt)kunnenditdusmeerdereactiviteitenzijn.EenopgegevenomzetpercentagewordtgelijkverdeeldoverdedoorhetzelfdebedrijfgerapporteerdeICT-activiteit;elkerespondenthoudteentotaleweginggelijkaan1indeberekening.HetiseenvereenvoudigingomdatdeomzetcijfersperICT-activiteitnietbekendzijn.Voorderesultatenvoor2010zijnminderwaarnemingengebruiktdanvoor2014,teweten248inplaatsvan266.Ditkomtdoordatdevraagmetbetrekkingtot2010nietvantoepassingisvoorbedrijvendiein2010nognietbestonden.Vande115cybersecurity-bedrijvenindesteekproefwarener18dievoor2010‘nietvantoepassing’hebbengekozen.Wegaandaaromuitvaneeninstroomvan16procentcybersecurity-bedrijvenin2014tenopzichtevan2010.Omeeneerlijkevergelijkingmogelijktemaken,wordtvoorniet-cybersecurityeveneenseeninstroomvan16procentaangenomen.7EenlaatstevoorbehouddientnoggemaakttewordenbijdecijfersinTabel5.Deopgegevenpercentagescybersecurityzijnhiernietgewogennaaromzet.Indeenquêtewerdgevraagdnaaromzet,maarslechts136vande266bedrijvenindesteekproefheeftdeomzetdaadwerkelijkopgegeven.Wegingnaaromzetopbasisvandusdanigweinigwaarnemingenzougeenbetrouwbareuitkomstenopleveren.Erzijnoverigensgeenaanwijzingendatdewegingnaaromzetsignificantandereresultatenzouopleveren.Decorrelatietussenopgegevenomzetenopgegevendeelaancybersecurityis-0,1,oftewelvrijwelgeensamenhang.VanwegehetrelatieflageaantalwaarnemingenindesteekproefishetaandeelcybersecurityalleenberekendvoordegeheleICT-sector,ennietuitgesplitstnaargedeeltevandesector.Erisbijvoorbeeldgeenonderscheidgemaaktnaargrotereenkleinerebedrijvenintermenvanfte.Decorrelatievanhetopgegevendeelaancybersecuritymetopgegevenfteis(evenalsmetomzet)ongeveergelijkaan-0,1.ErisookgeenindelinggemaaktvanaandelencybersecuritynaarICT-activiteit,ofnaarcybersecurity-activiteit.

3.4 Cybersecurity-activiteitenindeNederlandseeconomie

OmmetbehulpvanhetaandeelcybersecurityindetotaleICT-sectordeomvangvancybersecurity-sectorinkaarttebrengen,dienteerstdeomvangvandeICT-sectortewordenbepaald.HiervoorzijnmicrodatabestandenvanhetCBSgebruikt.Methulpvanhetalgemenebedrijvenregister(ABR)zijnbedrijvenuitverschillendeICT-sectorengeïdentificeerd,tewetendie

7 ErwordtdusaangenomendatinstroomvanICT-bedrijvennietafhangtvanhetwelofniet

verrichtenvancybersecurityactiviteiten.Bedrijvendiein2010welbestonden,maarin2014nietmeer

(bijvoorbeelddoorfaillissement),komenvanzelfsprekendnietinonzesteekproefterecht.Bijaannamevan

gelijkeuitstroomvanICT-bedrijvenmetenzondercybersecurityactiviteiten,heeftditgeeninvloedoponze

resultaten.

Definitief



bedrijvenmetdeSBI-codesgenoemdinTabel4.Vandezebedrijvenisdeomzetenexportbepaald(m.b.v.hetBTW-bestandvanhetCBS)alsookdewerkgelegenheidbinnendezebedrijven(o.b.v.polisbestandenvanhetCBS).VooreenuitgebreidebeschrijvingvandeCBS-statistieken:zieBijlageC1.zieBijlageC1).Tabel6laatdeberekendeaantallenbedrijven,omzet,toegevoegdewaarde,omzetuitexportenwerkgelegenheidzienindeNederlandseICT-sector.DeberekeningsmethodevoordezetabelisweergegeveninBijlageA.1.OmdatdeBTW-bestandenvoor2014nognietbeschikbaarzijn,is2013hetmeestrecentejaarwaarvoordeomvangvandeICT-sectormetbehulpvandemicrodata-bestandenkonwordenbepaald.Voor2014zijndeaantallenbedrijvenviaCBSStatLinebeschikbaar.Overigestatistiekenvoor2014zijngebaseerdopeenschattingaandehandvanomzet,exportenwerkgelegenheidbinnenSBI-subsecties(2-cijferig)waaronderdeonderliggendebedrijvenvallen.OokdetoegevoegdewaardeisgeschatopbasisvanSBI-subsecties(zieookzieBijlageC1).

Tabel6 GroeivandeNederlandseICT-sectorindeafgelopenjaren.

Omvang ICT in Nederland 2010 2013 2014*

Aantal bedrijven (x1000) 51 63 66

Omzet (€ mld.) € 57 € 71 € 73

Toegevoegde waarde (€ mld.)* € 31 € 38 € 40

% van het BBP 4,9% 5,8% 6,0%

Omzet uit export (€ mld.) € 18 € 26 € 27

Werkgelegenheid (fte, x1000) 161 165 166

Bron:SEOEconomischOnderzoeko.b.v.CBS(BTW-bestand2010en2013);Euro’sinbasisprijzen;

*Eigenberekeningo.b.v.CBSStatLine.

Indeperiode2010-2014isdeomzetendetoegevoegdewaardejaarlijksmet6,8procenttoegenomen.Voordewerkgelegenheidisditpercentage0,9.8DithoudteensterkeproductiviteitsgroeiinindeICT-sector.HetzijnvooralveranderingenininvesteringeninICT-kapitaaldiedaareengrooteffectophebbengehad.Dezeinvesteringenzijntussen2008en2010afgenomenensinds2010neemtdeproductiviteitdoorICT-kapitaalweertoe(zieBrennenraedtsetal.,2014).In2010wasdetoegevoegdewaardevandeICT-sector4,9procentvanhetNederlandseBBP.Ditpercentageistot6procentgestegenin2014.DoordeomvangvandeICT-sectortevermenigvuldigenmetdetweeeerderberekendemeetwaardenvoorhetaandeelcybersecuritybinnendeICT-sector,kaneenschattingwordengemaaktvandeomvangvancybersecurityinNederland.Tabel7laatdeberekeningenmiddelsdezetweemeetwaardenzienvoordejaren2010en2014.Omnaastdeomzetookdeomzetuitexport,detoegevoegdewaardeendewerkgelegenheidvancybersecuritytekunnenbepalen,wordtaangenomendathetomzetaandeelvancybersecurityrepresentatiefisvooromzetuit

8 NB:Hetaantalwerknemersbetreftalleenmensenindienst.Zzp'erszijnnietinbegrepen.

Definitief



export,toegevoegdewaardeendewerkgelegenheid.Naderonderzoekisnodigomtebepalenofdezeaannamejuistis.

Tabel7 Detoegevoegdewaardevancybersecuritybedroegin2014ongeveer€4miljardtegenover€2,5

miljardin2010.

Omvang cybersecurity in Nederland 2010 2010 2014 2014

Hoofd ICT- activiteit

Alle ICT- activiteiten



Omzet (€ mld.) € 4,3 € 4,8 € 6,9 € 7,5

Toegevoegde waarde (€ mld.) € 2,3 € 2,6 € 3,8 € 4,1

% van het BBP 0,36% 0,41% 0,57% 0,62%

Omzet uit export (€ mld.) € 1,3 € 1,5 € 2,6 € 2,8

Werkgelegenheid (fte, x1000) 12,0 13,5 15,7 17,1

Bron: VKA/SEOEconomischOnderzoek;Euro’sinbasisprijzen.

Hetaantalbedrijvendatcybersecurity-productenof-dienstenlevertisinonzesteekproef43procent.Hetaandeelbedrijvenmetminderdan5werknemersisechterveelgroterdanhetaandeelbedrijvenmetmeerdan5werknemers.Omdatonzesteekproefuitsluitendopdelaatstegroepisgebaseerd,kanergeenzuivereschattingwordengemaaktvanhettotaalaantalcybersecurity-ondernemingen.Hetaantalbedrijvenmet5ofmeerftedatcybersecurity-productenof-dienstenlevertinNederlandisnaarverwachting2.450ondernemingen(vande5.700ICT-bedrijvenmetmeerdan5fte).Indeperiode2010-2014isdeomzetendetoegevoegdewaardebetreffendecybersecuritybinnendeICT-sectorjaarlijksmet14,5procenttoegenomen9.In2014lagdeomzettussen€6,9en€7,5miljard.Dezestijgingishetgevolgvantweefactoren:desterkegroeivanomzetindeICT-sector(Tabel6)enhetjaarlijkse0,5procentpuntgroeiinhetaandeelcybersecuritybinnendeomzetvandeICT-sector.BinnendeICT-sector,wasdedetoegevoegdewaardevandecybersecurity-sectorindatjaar€3,8á4,1miljard.In2010hebbenbedrijvendiecyberactiviteitenuitvoerenmetongeveer0,4procentbijgedragenaanhetNederlandseBBP.In2014isditpercentagegestegentotongeveer0,6procent.HetaantalmensenindienstbinnendeICT-sectordatzichbezighoudtmetcyberactiviteitenisgestegenvan12,7duizendin2010totongeveer16,4duizendin2014.Ditbetekenteengemiddeldjaarlijksegroeivan7procentindezeperiode.

9Eenjaarlijksgroeipercentagetussen2010en2014betekentindithoofdstuknietdaterindepraktijksprake

wasvaneenconstantegroei.Hetgaatomeengemiddeldegroeitussende2meetmomenten.

Definitief



HANDELINICT-GOEDERENMetbehulpvandeomzetuitexportvanhetBTW-bestandendehandelsbalansvanhetIHG-microdatabestand(InternationaleHandelGoederen)vanhetCBSistevensdeinternationalehandeldoorNederlandsebedrijveninICT-goedereninkaartgebracht.InhetBTW-bestandisdeomzetuitexportvanalleNederlandsebedrijvengemeten.DitbestandgeefteenvolledigbeeldvandeexportvanICT-goederenen-diensten(zieTabel8)HetIHG-bestandendusTabel8bevatalleenICT-goederen.OmtebepalenwelkegoederenICT-goederenzijn,isgekekennaardekoppelingvandeproductcodesvanallegoedereninhetIHG-bestandmeteenbepaaldeICT-code.WanneereenproducteenkoppelingheeftmeteenSBI-codebinnendeICT-sector,wordtdezemeegenomenindeanalyse.Tabel8laatdetotaleinvoer,uitvoerenwederuitvoervanICT-goederendoorallebedrijveninNederlandzien.

Tabel8 DehandelsbalansinICT-goederenwerdwatpositievertussen2010en2013.

Handel in ICT-goederen 2010 2013

Invoer incl. wederuitvoer (€ mld.) € 31,9 € 27,0

Uitvoer incl. wederuitvoer (€ mld.) € 23,4 € 20,0

Handelsbalans incl. wederuitvoer (€ mld.) - € 8,5 - € 7,0

Wederuitvoer (€ mld.) € 20,1 € 17,1

Invoer excl. wederuitvoer (€ mld.) € 11,8 € 10,0

Uitvoer excl. wederuitvoer (€ mld.) € 3,3 € 2,9

Handelsbalans excl. wederuitvoer (€ mld.) - € 8,5 - € 7,0

Aantal Nederlandse bedrijven betrokken in handel (x1.000) 214,5 217,2

Bron: SEOEconomischOnderzoeko.b.v.CBS(IHG-bestand2010en2013);euro’sinbasisprijzen.

IndevoorgaandesectieisdeomzetuitexportberekendvoorNederlandsebedrijvendieactiefzijnophetgebiedvancybersecurity(zieTabel7).In2014wasdeexportwaardevancybersecurity-dienstenen-productenongeveer2,7miljardeuro.Tenopzichtevan2010(1,4miljardeuro)betekentditeengemiddeldejaarlijksegroeivanongeveer22procent.DegroeivanexportisopvallendengrotendeelseengevolgvandeexportgroeiindeICT-sector.ExportuitICT-dienstverlening,dieongeveer18procentvandetotaleICT-exportin2013voorhaarrekeningneemt,ishetmeestgestegen:jaarlijksmetgemiddeld30procenttussen2010en2013.Groothandelleverde68procentvandeexportin2013enlietjaarlijksgemiddeld13procentgroeizientussen2010en2013.VolgensBrennenraedtsetal.isNederlandeenexporteurvansoftware.Ditfeitkandegeschetsteontwikkelingmogelijkverklaren.Brennenraedtsetalconcluderenookdathardware(i.e.ICT-goederen)vooraluithetbuitenlandwordtgeïmporteerd.DeexportvanICT-goederenvormdeslechts10procentvandetotaleexportin2013.DeexportvanICT-goederenlietgeengroeizientussen2010-2013(zieookTabel7).(Brennenraedtsetal.,2014).Erisnogaanvullendonderzoeknodigomoverdesamenstellingvanexportnadereconclusiestetrekken.

Definitief



HetbepalenvanhetaandeelcybersecuritybinnendetotalehandelsbalansinICT-goederenisechternietmogelijk,omtweereden.Teneerste,dehandelsbalansbetreftalleenICT-goederen.IndeenquêteiserslechtseenkleinaantalwaarnemingenvoorICT-goederenbeschikbaar.DaaromisergeenapartaandeelberekendvoorICT-goederen.Tentweede,deaandelenzijnbepaaldindeNederlandseICT-sector.Binnendehandelsbalanskanalleenhetgedeelte‘uitvoer’toegerekendwordenaanNederlandsebedrijven.VoorhetbepalenvaninvoerisgeeninformatiebeschikbaaroverhetgedeeltecybersecuritybinnendeICT-sectorinanderelanden.

3.5 Potentiëleomvang

Delaatstevraagvandeenquêteoverhetaandeelcybersecurityheeftbetrekkingopdetoekomst,tewetendeverwachtejaarlijkseveranderingindeomzetvanuitcybersecurity.Allerespondentendieeencijfergavenvoorhunpercentageaancybersecurityindeomzetvan2014,maaktenookeeninschattingvandeteverwachtengroeiindesector.Tabel9geeftderesultatenvoordezeverwachtegroeivanomzetuitcybersecurity-activiteiten.OpgemerktdienttewordendatdezepercentagesnietvergelekenkunnenwordenmetdepercentagesuitTabel5,omdatdezelaatstehetaandeelbinnendetotaleICT-omzetgeven.Verderishetonbekendhoedestructuurvandesectornueruitzietenzalindetoekomstontwikkelen.Bijvoorbeeld,alsdeconcurrentietussencyberbedrijvennualsterkisofindetoekomstzoutoenemen,zoueentoenemendeomzetvooreenbedrijfeenafnemendeomzetkunnenbetekenenvooreenanderbedrijf.Alsgevolgvanconcurrentiezoudendeprijzendalenwaardoordetotaleomzetindesectorzouookafnemen.Dezeontwikkelingenbeïnvloedendegroeivandesectorenzijnnietindecijfersmeegenomen.DeberekeningswijzevandecijfersinTabel9isconformaandewijzezoalsbijTabel5beschreven.Aangenomenisdatbedrijvenzondercybersecurity-activiteitenophetmomentvandeenquêteverwachtenookindetoekomstdezeactiviteitennietteontplooien.

Tabel9 Deverwachtejaarlijksegroeivanomzetuitcybersecurity-activiteitenisongeveer7%.

Verwachte toekomstige jaarlijkse groei Gewogen o.b.v. hoofd-ICT-activiteit (SBI-codes) 6,9 % Gewogen o.b.v. alle ICT-activiteiten (zelf-gerapporteerd) 7,4 %

Bron: VKA/SEOEconomischOnderzoek,n(SBI)=266enn(alle)=246.

Deverwachtejaarlijksegroeivanomzetuitcybersecurity-activiteitenisongeveer7procent.DitpercentagebetrefthetICT-deelvandecybersecurity-sector.Naderonderzoekisnodigomdegroeivananderecybersecurity-activiteiten(zieAfbeelding1)tebepalen.

Definitief



3.6 Conclusie

Decybersecuritysectorcreëerttoegevoegdewaardedoorhetaanbiedenvanproductenendienstendiedecyberrisico’sproberenteverminderenenschadeefficiëntherstellen.Derestvandeeconomiebetaaltvoordezeproductenendienstenenprofiteertervan.

MiddelseenenquêteisdeomvangvandeNederlandsecybersecurity-sectorbinnendeICT-sectorbepaald.Uitdeenquêteblijktdatin2014ongeveer10procentvandeomzetbinnendeICT-sectorgekoppeldwasaancybersecurity-activiteiten.

Ditaandeelcybersecurityisgebruiktomdetotaleomzet,omzetuitexport,toegevoegdewaardeenwerkgelegenheidtebepalenbinnendeICT-sector.Indeperiode2010-2014isdeomzetendetoegevoegdewaardebetreffendecybersecuritybinnendeICT-sectorjaarlijksmet14,5procenttoegenomen.In2014lagdeomzettussen€6,9en€7,5miljard.Detoegevoegdewaardevandecybersecurity-sectorwas€3,8á4,1miljardindatzelfdejaar.In2010hebbenbedrijvendiecyberactiviteitenuitvoerenmetongeveer0,4procentbijgedragenaanhetNederlandseBBP.In2014isditpercentagegestegentotongeveer0,6procent.Decybersecurity-sectorgroeidedaarmeeveelsnellerdandeICT-sectorzelf.DebenaderdeICT-bedrijvenindeenquêteverwachteneenjaarlijksegroeivanomzetuitcybersecurity-activiteitenvanongeveer7procent.ConclusieisdatdeNederlandsecybersecurity-sectoreenrelevanteomvangheeftenbovendiensnelgroeiendis.

Definitief



4 UITSTRALINGENVESTIGINGSKLIMAAT

4.1 Inleiding

Indithoofdstukwordteenantwoordgeformuleerdopdevolgendeonderzoeksvraag:Welkeuitstralingseffectenzoueensterkecybersecurity-sectorkunnenhebbenvoordeontwikkelingnaareendigitaleeconomieinNederland?MeerachtergrondinformatiebijdeonderzoeksaanpakenmeerresultatenzijnopgenomeninbijlageD.Idealiterzouhetdenkkadergeschetstinsectie3.1eenpreciezemetingvandewaardevancybersecurity(deuitstralingseffectenvandecybersecurity-sector)voordeeconomiealsgeheelweergeven.VoordeICT-sectorindeperiode1990-2013werdzo'nberekeninggemaakt(Brennenraedtsetal,2014).DezeberekeningwerdmogelijkdoordebestaandeuitsplitsingvandeeconomienaarhetICT-enniet-ICT-deel(zieCBS).EconomischegroeibetreffendICTkomtvooraldooreentoenamevanICT-kapitaal(investeringen)entechnologischeveranderingen.MetnameisICTgezienalseengeneralpurposetechnologydiedeheleeconomiedoordringt.Dezestatistischeuitsplitsingbestaatnietvoorcybersecurityendaaromishetmetenvandetoegevoegdewaardemoeilijk.Daaromisereenaantalmethodenvoorhetmetenvandewaardevancybersecuritygeformuleerd,zoals(1)debetalingsbereidheidvandeafnemersvancyberproductenen-diensten,eensoortverzekeringspremie,(2)deinvesteringenincybersecurityen(3)hetaantalcyberincidentenen-schade.Deeerstetweemethodenzijngekoppeldaandewaarderingvandeafnemersvancyberproductenen-dienstenvoordeverminderingvanhetcyberrisico.Erisechterweinigonderzoekbeschikbaarmetdezemethoden.Dederdemethodeisgebaseerdopdaadwerkelijkeincidentenenschade.Voorafgaandaandezestudieleekdezemethodeeenhaalbareproxytegevenvoordewaardevancybersecurity.Indevolgendesectiewordendeeerstetweemethodenkortbeschreven.Dederdemethodenvolgtinsectie4.3.Conclusiesoverhetvestigingsklimaatzijngetrokkeninsectie4.4.MeerachtergrondinformatieoverdemethodenendebeschikbaremetingenzijnopgenomeninbijlageD.

4.2 Betalingsbereidheideninvesteringenincybersecurity

Eeneerstemethodewaarmeedewaardevancybersecuritykanwordenbepaaldisdebetalingsbereidheid(willingnesstopay,WTP)voormaatregelendiedecybersecurityverhogen(zievooreenoverzichtvanwaarderingsmethodenindecontextvanleveringszekerheidVanderNolletal.,2010).Erzijnverschillendemethodenomdebetalingsbereidheidvoorveiligheidtebepalen.Debetalingsbereidheidkandooreen“uitgesprokenvoorkeur”gemetenworden.Erisslechtséénstudiebekenddiedeuitgesprokenvoorkeurenbetreffendcybersecuritymeet.Roweetal.(2011)vragenconsumentenhoeveelzezoudenbetalenvoorverbeteringeninhetISP-veiligheidsbeleid,of,alsalternatief,methoeveelzezoudenmoetenwordengecompenseerdomongunstige

Definitief



wijzigingeninhetISP-beleidteaccepteren.DestudielaatziendatAmerikaanseconsumentenbereidzijnomtussen2,94en6,51dollarpermaandtebetalenvoorinternettoegangmeteenhogerniveauvancybersecurity.Daarnaastkanbetalingsbereidheidgezienwordenalseenvormvanpreventieomcyberschadedoorcyberonveiligheidtevoorkomen.Ditiseensoortverzekeringspremie.Cyberverzekeringbestaatallanger(OECD,2015,Andersonetal.2013,RANDEurope,2015).Eenvormvanverzekeringisdatbedrijvenhetrisico,gekoppeldaantechnologischeontwikkeling,eenonderdeelmakenvanhunrisicomanagementstrategieën.Deverzekeringsmarktontwikkeltzichindezerichting.Eentweedemethodeisomtekijkennaarinvesteringenincybersecurity.Dezeinvesteringenzijnookeenproxyvoordewaardevandeverminderingvanhetcyberrisico.Daarnaastsignalerendezeinvesteringendeverantwoordelijkheiddiedeeconomieneemtvoordeverminderingvandekansenopcyberincidenten.Erisopditmomentslechtséénstudiebekenddiedeinvesteringenincybersecurityinkaartprobeerttebrengen.RANDEurope(2015)kijktnaarinvesteringenincybersecuritydoorhetbedrijfslevenin12vitalesectoren.VolgensRAND(2015)isdeangstvoorreputatieschadedebelangrijksteredenvoorinvesteringen.Ookzijnbedrijvenbangvoormogelijkerechtszakenvanwegeaansprakelijkheid.Daarnaastinvesterenbedrijvenincybersecurityomdekansopeencyberaanvalenschadedaarvanteverminderen.Hetmetenvandehoogtevandeinvesteringenbleekookindezestudieechtermoeilijk.

4.3 Cyberincidentenen-schadealsproxy

Eenderdemethodeisgebaseerdopdaadwerkelijkeincidentenenschadekostendooronvoldoendecybersecurity.10Voordeanalysezijnverschillendebronnengebruikt,namelijkstudies,statistiekeneneenmediasearchviaLexisNexis.11Deanalysevanincidentenenschadekentechtereenaantalbeperkingen.Teneerste,erisgééneenduidigedefinitievancybersecurity-incidenten.Omeenoverschattingvanincidentenenschadetevoorkomen,kiestdezestudievooreenconservatieveaanpakwatbetreftdeafbakeningvancybercrime.Conservatiefhoudtindatindeafbakeningslechtsdemeestvoorkomendedigitalevormenvancriminaliteitdeladingzullendekken,conformdeaanpakvanhetNCSC(2015).Daarnaastkijktdezestudiealleennaardefrequentieofomvangvanbepaaldecybercrimemiddelen,zonderietstekunnenzeggenovereentotaalvandecategorieënbijelkaar.Tentweede,verschillendestatistiekenmetenslechtseendeelvandezemiddelenduserisgeenvolledigbeeldbeschikbaar.

10 Hetisgebruikelijkompreventiekostenenschadekostenalsmaatstaftegebruikenvoorhet

kwantificerenvanuitstralingseffecten.Hetmilieubeleidishiervaneenvoorbeeld.ZiebijvoorbeeldCEDelft

(2010).11 LexisNexisiseendatabankmetarchievenvanbijna10.000dagbladenentijdschriften.

Definitief



Uiteindelijkkennenmeetmodelleneenaantalbeperkingenwaardoordeschadetelaagoftehoogwordtingeschat.Meetmethodenzijnvaakniettransparantwaardoorvergelijknietmogelijkis.Daarnaastzijndemeestgebruiktemethodengebaseerdopenquêtesdievaakslechtseenkleinaantalwaarnemingenvooreengroepofzelfsvooreenlandbevatten.Inditgevallevertdeextrapolatienaardehelepopulatieonbetrouwbaregegevens,vooralalseroutliersindedatazitten.Onwetendheiddoorslachtoffersenprikkelsvoormeerofjuistminderschadeterapporterenleidenooktotover-ofonderrapportage.Eenuitgebreideanalyseenaanbevelingenvoorhet(betere)metenvancyberincidentenen-schadeisterugtevindeninBijlageDeninhetrapportvane-crime(2015).Vanwegedebovenstaandebeperkingenishetnietmogelijkomhardeconclusiestetrekkenvoordewaardevancybersecurity.Enkelecijferszijnwelbeschikbaar.VolgensPWC(2015)is23procentvanbedrijvendelaatste24maandengeconfronteerdmetcybercrime.Inderestvandewereldligthetpercentagevanbedrijvenopnegenprocent.DeNederlandseoverheidisvooralslachtoffervaninformatielekkage(NCSC,2015;Afbeelding7).HetNederlandsebedrijfslevenenconsumentenkomenvooralinaanrakingmetphishing,virussenenhacken(ziePonemonInstitute,2015enPWC,2014).InNederlandraaktcybercrimehandel,financiëleinstellingenendeICT-sectorhetmeest(zieAfbeelding8).

Definitief



Afbeelding7 Deoverheidisslachtoffervaninformatielekkage,privatepartijenvanphishing

Bron: NCSC(2015).

Afbeelding8 InNederlandraaktcybercrimehandel,financiëleinstellingenendetelecom/ICT-sector

Bron:PWC(2014);Percentagefunctioneelbelastmetdeaanpak,hetvoorkomenofinkaartbrengenvaneconomische

criminaliteit,uitgesplitstnaarsectorennaarcybercrimeexpertise.

72 73

Cybersecuritybeeld Nederland 2015 | NCSCNCSC | Bijlagen

72

Figuur 17 toont een uitsplitsing van de afgehandelde incidenten per type. Hieruit blijkt dat responsible-disclosuremeldingen een substantieel aandeel vormen (26 procent). Daarna zijn NTD-meldingen de meest voorkomende incidenten. De meeste NTD-verzoeken zijn verzoeken van Nederlandse financiële instellingen om hulp bij het bestrijden van phishingaanvallen. Deze aanvallen richten zich op deze instellingen. De oorsprong bevindt zich veelal in het buitenland.

Verdeling incidenten tussen overheid en vitale sectorenHet NCSC ondersteunt zowel de Rijksoverheid als de vitale sectoren bij beveiligingsincidenten. Daarnaast treedt het NCSC op als contactpunt voor internationale hulpverzoeken met betrekking tot informatiebeveiliging.

In figuur 18 is te zien wat de opbouw is van het aantal afgehandelde incidenten, uitgesplitst naar type betrokken organisatie. De verdeling tussen private en publieke organisaties varieert niet veel gedurende de rapportageperiode. In totaal was bij 50 procent van de incidenten een publieke organisatie betrokken. Bij 40 procent ging het om een private organisatie. De resterende 10 procent betrof een internationaal hulpverzoek. Het aantal internationale hulpverzoe-ken varieert sterker gedurende de rapportageperiode, van 3 procent in april 2014 tot 16 procent in april 2015.

Figuur 19, figuur 20 en figuur 21 tonen de opbouw van de incidenten waarbij verschillende typen organisaties bij betrokken waren. Het type incidenten waarbij overheidsorganisaties en private partijen

betrokken zijn, loopt niet sterk uiteen. Wel is duidelijk dat private partijen relatief vaak om ondersteuning vragen bij phishinginciden-ten. Dit omvat bijvoorbeeld verzoeken om ondersteuning bij het onbeschikbaar maken van een phishingwebsite voor een bank. Overheden zijn vaker betrokken bij incidenten rond informatielek-ken en injectieaanvallen. Dit betreft bijvoorbeeld RD-meldingen van kwetsbaarheden in websites van overheidsorganisaties.

De internationale hulpverzoeken kennen wel een duidelijk andere opbouw. De helft van de verzoeken betreft phishing, waarbij het vaak gaat om verzoeken om phishingwebsites onbeschikbaar te maken.

Figuur 21 Type incidenten waarvoor het NCSC een internationaal hulpverzoek ontving

Figuur 19 Type incidenten waarbij een overheidspartij betrokken was

Figuur 18 Afgehandelde incidenten per maand per type organisatie

Figuur 20 Type incidenten waarbij een private partij betrokken was

120

100

80

60

40

20

0apr-14 mei-14 jun-14 jul-14 aug-14 sep-14 okt-14 nov-14 dec-14 jan-15 feb-15 mrt-15 apr-15

Publiek Privaat Internationaal

39%

Figuur 16 Afgehandelde incidenten per hulpmiddel

Phishing

Informatielekkage

Injectie-aanvallen

Malicious code

Ransomware/Cryptoware

Denial of service

Botnets

Cyberspionage

Datadiefstal

Hacking/Cracking

Overige

25%

17%

13%10%

6%

6%

5%

3%

2%1%

12%

Figuur 17 Afgehandelde incidenten per type

Incidentresponse

RD-melding

NTD-verzoek

NDS-Melding

PKI-meldplicht

Overige

39%

26%

24%

4%5%

2%

Phishing

Informatielekkage

Injectie-aanvallen

Malicious code


Denial of service

Botnets

Cyberspionage

Datadiefstal

Hacking/Cracking

Overige

16%

30%

48%

6%

16%

15%

8%

0%2%2%

3%

0%

15%

8%7%

5%

5%

8%

5%

3%

2% 12%

23%

18%

10%

8%

4%

3%3%

1%2%

12%

Cybersecurityincidenten geregistreerd bij het NCSC

Onder incident verstaat het NCSC hier ‘een ICT-gerelateerd beveiligingsvoorval dat is gemeld of ontdekt waarbij zich een acuut gevaar voor of schade aan ICT-systemen of elektronische informatie voordeed, betrekking hebbend op een of meer specifieke organisaties, waarop NCSC reactief heeft opgetreden richting deze organisaties.’ Volledig geautomatiseerde meldingen vallen buiten deze definitie. Deze afbakening geeft aan dat een incident niet altijd al tot schade heeft geleid, maar ook een gevaar kan zijn zonder dat al schade is veroorzaakt. Incidenten vallen in drie soorten uiteen:

Aanval: er heeft daadwerkelijk een (poging tot een) aanval plaatsgevonden met zo mogelijk een inbreuk op de beveiliging tot gevolg. Hierbij gaat het bijvoorbeeld om hacks, malware-infecties of DDoS-aanvallen.

Dreiging: er bestaat een kwaadaardige intentie bij een actor om een aanval uit te voeren, maar deze is nog niet uitgevoerd.Kwetsbaarheid: een ICT-omgeving is kwetsbaar, als gevolg van bijvoorbeeld een fout in software, hardware of systeemconfigura-tie. Bij een kwetsbaarheid is (nog) geen sprake van een dreiging of aanval, maar er is wel gelegenheid tot misbruik.

Definitief



Indelijstvanmiddelenzijnincidentenbetreffendeonlinebank-enpasfraudehetbestgerapporteerd.OndanksdestijginginEuropaneemthetaantalfrauduleuzetransactiesafinNederland.VolgensdeDNBenECBdaaltdefinanciëleschadesubstantieelinNederlandindeperiode2012en2014(van3.183euronaar2.046europer1000inwoners)enkomtdichterbijhetEuropesegemiddelde(zieAfbeelding9).

Afbeelding9 DefinanciëlecyberschadeinNederlanddaaltenkomtdichterbijhetEuropese

gemiddelde

Bron:ECB(2013,2014,2015)

EenrecentestudievanEurostat(zieEurostat,2016)analyseertinhoeverreparticuliereinternetgebruikerscyberincidentenervaren.DecijfersvanEurostatzijngebaseerdopdeveiligheidsmonitorenvanverschillendelanden,gerapporteerddoordenationalebureausvoordestatistiek.

Definitief



Afbeelding10Aandeelinternetgebruikersmetsecurity-problemen

Bron:Eurostat(2016)

In2015heeft25procentvanEuropeseinternetgebruikersproblemenervarendiegerelateerdzijnaancyberincidenten.InNederlandisditpercentage11procent,deopTsjechiëna,laagstebinnendeEU.Wemoetenechtereenvraagtekenplaatsenbijdevergelijkbaarheidvandezecijfers,vooralomdatdemethodologieindeveiligheidsmonitorvanverschillendelandenonbekendis.Demeestvoorkomendeincidentenzijnvirussen,misbruikvanpersoonlijkegegevens,financiëleverliezenenongepastewebsitesvoorkinderen.IndeafgelopenjarenishetaandeelvanvirussenflinkgedaaldinNederland:van23procentin2010naar6procentin2015.DitpercentageligtonderhetEuropesegemiddelde(respectievelijk31procentin2010en21procentin2015).Maartenminste20procentvandeNederlandseinternetgebruikerswilnietonlinewinkelen,onlinebankierenofzethunmobieletoestellennietopeenwifi-netwerkvanwegebezorgdheidoverdeveiligheid.DitbetekentdatNederlandersvoorzichtigerzijndanhetEuropesegemiddelde.

4.4 CybersecurityenVestigingsklimaat

Nederlandstaathoogopderanglijstenmetvestigingsklimaat.KPMGbeschrijftbijvoorbeeldinhaaronderzoekCompetitiveAlternativesdatNederlandvandeWest-Europeselandenhetmeestaantrekkelijkisomereenondernemingtevestigen.BuitenlandsebedrijvenzijninNederlandaanzienlijkgoedkoperuitdaninDuitsland,Frankrijk,Groot-BrittanniëenItalië.Inhetonderzoekisgekekennaarondermeernaardekostenvoorhuisvesting,arbeid,transport,energieendefiscalekosten.KPMGgeeftaandatNederlandaantrekkelijkisvoorbedrijvendieactiefzijninonderzoekenontwikkeling,metnamevanwegefiscalestimuleringsmaatregelen(KPMG,2016).OokopdeGlobalCompetitiveIndexvanhetWorldEconomicForumstaatNederlandopditmomenthoog,namelijkopplaats5,dehoogstenoteringooit.(WorldEconomicForum,2015).

Definitief



InverschillendewereldwijderanglijstenophetgebiedvancybersecuritystaatNederlandsteedsbijdetop6.BijvoorbeeldindeInternationalTelecommunicationUnion(ITU)andABIResearch,GlobalCybersecurityIndex,2014(ABI,2014),deMelissaHathaway,CyberReadinessIndex1.0,2013(Hathaway,2013)endeSecurityandDefenceAgenda(SDA),Cyber-security:Thevexedquestionofglobalrules,Anindependentreportoncyber-preparednessaroundtheworld(SDA,2012).Ernst&Youngconcludeerdein2011datveiligheidenbetrouwbaarheidvandeICT-infrastructuurvoorbedrijvendieoverwegenzichtevestigeninNederlandgeendoorslaggevendefactoris,bijdezebeslissing.VeiligheidenbetrouwbaarheidvandeICT-infrastructuurspeeltopdeachtergrondweleenrol,maaranderefactorenzoalspolitiekestabiliteit,debeschikbaarheidvangeschooldpersoneelenhetrechtsbestel,maarookdesnelheidvanICT-verbindingenspeleneengrotererol(Ernst&Young,2011).

4.5 Conclusies

Indestatistiekenisernoggeenuitsplitsingvoorcybersecurityendaaromishetmetenvandewaardevandesectorlastig.Daaromisereenaantalmethodenvoorhetmetenvandewaardevancybersecuritygeformuleerd,zoals(1)debetalingsbereidheidvandeafnemersvancyberproductenen-diensten,eensoortverzekeringspremie,(2)deinvesteringenincybersecurityen(3)hetaantalcyberincidentenen-schade.Deeerstetweemethodenzijngekoppeldaandewaarderingvandeafnemersvancyberproductenen-dienstenvoordeverminderingvanhetcyberrisico.Erblijktweinigonderzoekbeschikbaarmetdezemethoden.Dederdemethodeisgebaseerdopdaadwerkelijkeincidentenenschade.Theoretischleekdezemethodeeenhaalbareproxytegevenvoordewaardevancybersecurityenbinnenditonderzoekiseenpoginggedaanomhiervoorbetrouwbaredatateverzamelen.Voordeanalysevanincidentenendeomvangvandeschadezijnverschillendebronnengebruikt,namelijkstudies,statistiekeneneenmediasearchviaLexisNexis.Ergeldteenaantalbeperkingenbijhetanalyserenvanincidentenenschade.Eéndaarvanishetreedsgenoemdeontbrekenvandeeenduidigedefinitievancybersecurity-incidenten.Daarnaastzijnmeetmethodenvaakniettransparantendedataisonvolledigenniettevergelijken.Voornadereanalysesisereensystematischeverzamel-enaggregatiemethodenodig.Vanwegedezebeperkingenbleekhetnietmogelijkomhardeconclusiestetrekkenoverdewaardevancybersecurity.Enkelecijferszijnwelbeschikbaar.VolgensPWC(2015)is23procentvanbedrijvendelaatste24maandengeconfronteerdmetcybercrime.Inderestvandewereldligthetpercentagevanbedrijvenopnegenprocent.HetNederlandsebedrijfslevenkomtvooralinaanrakingmetphishing,virussenenhacken.InNederlandraaktcybercrimehandel,financiëleinstellingenendeICT-sectorhetmeest.Betrouwbareinformatiebleekbeschikbaarvoordefinanciëlesector,endanvooralrondomonlinebank-enpasfraude(ECB-rapporten).Deschadedaarin2014wordtgeraamdopruim2duizend

Definitief



europer1000inwoners,enisdeafgelopenjarendalend.DeNederlandseoverheidisvooralslachtoffervaninformatielekkage(NCSC,2015).BijconsumentenzijnvolgensdeveiligheidsmonitorvanhetCBS(Eurostat,2016),demeestvoorkomendecyberincidentenvirussen,misbruikvanpersoonlijkegegevens,financiëleverliezenenongepastewebsitesvoorkinderen.IndeafgelopenjarenishetaandeelvirussenhierbinnenflinkgedaaldinNederlandenhetpercentageligtonderhetEuropesegemiddelde.MaarvolgensdemonitorzijnNederlandseconsumentenvoorzichtigerdanhetEuropesegemiddeldemetonlinewinkelen,onlinebankierenofhetgebruikvaneenwifi-netwerkvoorhunmobieletoestellen.Debovenstaandecijferssuggererendatereenpositieveontwikkelingplaatsvindtwatenkeletypencyberincidentenen-schadebetreft.Ofereencorrelatieistussendezeontwikkelingenendegroeivandesectorisnietteconcluderenopbasisvandebeschikbareinformatie.

Definitief



5 KANSENENBEDREIGINGENCYBERSECURITY-SECTOR

Dithoofdstukstartenwemeteenanalysevanscenario'svoordecybersecurity-sector.DaarnacompleterenwedeSWOT-analysedoorintegaanopdekansenenbedreigingen.

5.1 Scenario’s

Inwelkematedegesignaleerdekansenenbedreigingenvoordecybersecurity-sectorzichookdaadwerkelijkmanifesterenisonzeker.Eenmanieromgestructureerdnatedenkenoverkansenenbedreigingenisdoorgebruiktemakenvanscenario's.Opbasisvandeonderzoeksvraagwarenertweebelangrijkeindicatorendiedescenario’skunnenbepalen:degroeivandecybersecuritysectorenhetniveauvanveiligheid.

Afbeelding11Vierscenario’svoordeuitstalingseffecten

Wekunnendezeindicatorenalstweedimensiesgebruikenwaardoorvierscenario’swordenbepaald(zieAfbeelding11).Opdeverticaleaszienwedematevanveiligheidvanhetcyberdomeinvariërenvanlaagtothoog.Indeonderstehelftvandeafbeeldingishetveiligheidsniveaulaag,zijnerveelincidentenenschade.Indebovenstehelftvandeafbeeldingisersprakevaneenhoogniveauvanveiligheid.Opdehorizontaleaszienwedegroeivancybersecuritysector.Aandelinkerzijdeiserweinigofgeengroei,ofmogelijkzelfssprakevankrimp.Aanderechterzijdeissprakevansterkegroeivandesector.Decombinatievandetweeassengeeftdevolgendevierscenario's.1. ScenarioOveraanbod2. ScenarioIdeaal3. ScenarioCybercrisis

Weiniggroeiindecybersecuritymarkt

Sterkegroeiindecybersecuritymarkt

Hoogveiligheidsniveau

Laagveiligheidsniveau

ScenarioIdeaal- Ruimaanbodcybersecuritydiensten- Voldoendevraagnaarveiligheid- Cybersecuritysectorreageertsnelopdeontwikkelingenincybercriminaliteit

ScenarioOveraanbod- Internetis‘te’veilig- Meerveiligheidisnietnodig- Overaanbodcybersecuritydiensten- Uittredingvancybersecuritybedrijven

ScenarioCybercrisis- Cybercriminaliteitontwikkeltsnel- Onvoldoendeinvesteringeninveiligheid(bv.lagebetalingsbereidheid,weinigICT-kennis)

ScenarioFalen- Cybercriminaliteitontwikkeltsnel- Ruimaanbodcybersecuritydiensten- Maardecybersecuritysectorkannietvoldoenaandevraagnaarveiligheid

Definitief



4. ScenarioFalenHieronderwerkenwedevierscenario'sverderuit.InhetscenarioOveraanbodzienwedatafnemershetCyberdomeinals(te)veiligbeschouwen.Erzijnweiniggroteincidenten,waardoorafnemersnietbereidzijnveelgeldtebestedenaancybersecurity-productenendiensten.DegesignaleerdebedreigingDalingawareness(paragraaf5.4sluithieropaan.Hetgevolgvaneenveiligcyberdomeiniseenoveraanbodaancybersecurity-productenendienstenenhetuittredenvanaanbiedersvancybersecurity-productenendiensten.HetscenarioIdeaalbeschrijfteensituatiewaarinereenruimaanbodaancybersecurity-productenendiensten,gecombineerdmetvoldoendevraag.Afnemerskunnengoedhetaanbodvancybersecurity-productenendienstengoedopwaardeinschatten.Erzijnincidenten,maardehetaanbodvancybersecurity-productenendienstenbiedtafnemersdemogelijkheidomzichtegenaanvaardbarekosten(geletopdemeerwaardevanhetgebruikmakenhetcyberdomein)tebeschermentegenschadedoorverstoring,uitvalofmisbruikvanICTalsgevolgvanmoedwilligeactiviteiten.InhetscenarioCybercrisiswintdecybercriminaliteithetvandecybersecurity.Erwordtonvoldoendegeïnvesteerdindeontwikkelingvancybersecurity-productenendiensten,bijvoorbeelddoordatafnemersnietbereidblijkentezijndetoenemendekostentedragen,omwillevanmarktfalenzoalshethold-upprobleemofasymmetrischeinformatie(zieookparagraaf6.2).Totslot,hetscenarioFalen,beschrijftookeensituatiewaarindecybersecurity-sectorzichdoortoenemendevraagsnelontwikkelt,echterdecybercriminaliteitontwikkeltzichsneller,waardoorpersaldodeveiligheidinhetcyberdomeinlagerwordt.Datdecybersecuritybehoorlijkgroeitisreedsduidelijkgewordeninhoofdstuk3.HiermeekomenwedusaanderechterkantvanAfbeelding11.UitdeanalysevansterktenenzwaktenhalenweelementendieeropwijzendatNederlandmogelijkindehuidigesituatieinhetscenarioFalenzitten(rechtsonder).Erisvolgensdedeskundigensprakevaneentekortaanspecialistenentoegangtot(durf)kapitaal.Alhoewelsommigestudieswijzenopeengroeivanhetaantalcyberincidentenendeschade(Ponemon,2015),wijzenanderestudiesjuistweeropeendaling.Inparagraaf4.3lietenweinditkaderalziendatvolgensDNBenECBdefinanciëleschadeinNederlandsubstantieeldaalt.DitzoukunnenbetekenendatweonsopditmomentjuistmeerrechtsboveninAfbeelding11bewegen.

5.2 Analysevankansenenbedreigingen

IndezeparagraafbeschrijvenwedekansenenbedreigingenvandeNederlandsecybersecurity-sector.Netalsdeanalysevansterktenenzwaktenisdezeanalysegebaseerdoponsinzichtinde

Definitief



markt,deinputvaneen30-taldeskundigen(middelsinterviewsenrondetafels)uitdesector.ZiebijlageBvooreenoverzichtvangeïnterviewdenendeelnemersaanderondetafels.Dekansenenbedreigingenzijninonderstaandetabelopgenomenenwordenvervolgenskortbeschreven.Desterktenenzwakten,welkedeSWOT-analysecompleteren,wareneerdertevindeninparagraaf2.4.

Tabel10Analysekansenenbedreigingen


Kansen

• DoorontwikkelingvandeNederlandsecybersecurityaanpak

• Wetgeving• Betereuitwisselingbedrijfsleven-wetenschap• Groeiawareness• Ontwikkelingdomeinen

Bedreigingen

• Beschikbaarheidgoedgekwalificeerdemensen

• Dethuismarktisklein• Wetgeving• Kostenvanbeveiligingwordentehoog



en/ofovernames

Inonderstaandetekstlichtenwedeverschillendekansenenbedreigingenkorttoe.

5.3 Kansen

DOORONTWIKKELINGVANDENEDERLANDSECYBERSECURITYAANPAK

Ophetmomentvanschrijvenvanditrapport,wordtdoorhetkabinetgewerktaandedoorontwikkelingvandeNederlandsecybersecurityaanpak.Alhoeweldecontourenvandezedoorontwikkelingnognietduidelijkzijn,kanmogelijkinspiratiegevondenwordenbijhetAmerikaanseCybersecurityNationalActionPlan,datdoorPresidentObamainfebruari2016isgepresenteerd(Obama,2016).Inhetplan,waarvoor19miljarddollarinhetbudget2017isvrijgemaakt,isonderanderedefocusgelegdophettotstandbrengenvanmulti-factorauthenticatie.IndeNationalCybersecurityAwarenessCampagne,zalinsamenwerkingmetdeNationalCyberSecurityAlliance(technologiebedrijvenzoalsGoogle,Facebook,DropBox,enMicrosoftenfinanciëledienstverlenersalsMasterCard,Visa,PayPal,enVenmo)gewerktgaanwordenaanveiligertoegangentransacties.BinnenhetAmerikaanseplanwordtereenCommissieterverbeteringvandeNationaleCybersecurityaangesteld.Eenkansdieinditkaderookgenoemdishetverderbundelenvancyber-security-activiteitenbinnendeoverheid.OperationeelbijvoorbeeldineengemeenschappelijkSecurityOperationsCenter.Tactischbijvoorbeelddoormeerbundelingvaninkoop.Beideconcentratieszorgenvoorschaalvergrotingendoordeschaalvergrotingdieoptreedtzalereenplekontstaanwaarkennissamenkomt,dievoordeexpertsinteressantis,waardoorookverdereontwikkelingvankenniszal

Definitief



plaatsvinden.Doordatbijdehuidige(gefragmenteerde)inkoopdekwaliteitvaneenproductofdienstdoordeinkopendeorganisatie(nog)nietopwaardekanwordengeschat,kansprakezijnvanasymmetrischeinformatieenmeerbijzonder,adverseselectie.WETGEVING

WanneerdeNederlandseoverheidinhetcyberdomeinstrengewetgevingintroduceertentoezichthoudtopdenaleving,bijvoorbeeldrondomdatalekkenkanditvertrouwengevenaangebruikers.Aspectendieinditkadergenoemdworden:

• Bevoegdhedeninhetkadervannieuwewetgeving(WetcomputercriminaliteitIII&Wiv),biedtookkansenvanuitbusiness-overweging,levertnaarverwachtingvraagnaarspecialistenop.

• DeWivkanvolgenssommigeneengoedebijdrageleverenaaneenveiligerinternet.Depakkansvancybercriminelenzouhiermeekunnenwordenvergroot.

Op1januari2016isdeWetMeldplichtDatalekkeninwerkinggetreden.Kernvandewetisdeintroductievaneenbredemeldplichtvoorprivateenpubliekeorganisaties,endemogelijkheidforseboetesopteleggenwanneereendatalekdatnietgemeldwordtaandeverantwoordelijkeennietgemeldwordtaandebetrokkenenterwijldatwelhadgemoeten.Vanuitverschillendekantenwerdaangegevendatdewetgevingnogveelonduidelijkhedenbevat,endathetnietmogelijkisomopvoorhandsituatiesaandeAutoriteitPersoonsgegevens(AP),teneindeuitsluitseltekrijgenoverdematewaaringetroffenbeveiligingsmaatregelenafdoendezijn.Meerduidelijkheideneenmogelijkheidomeen"ruling"opvoorhandteverkrijgenovereenbepaalde(beveiligings)oplossing,zoudenkansenkunnenbetekenenvoordeNederlandsecybersecurity-sector.

Eensteedsstrengerwordendewetgevingvoorhetcyberdomeinwordtnietdirectgezienalseenbedreigingdoorallegeïnterviewden.Eenaantalrespondentengafaandat,indienstriktewetgevingrondombijvoorbeeldprivacyinNederlandinhetbuitenlandgoed‘verkochtwordt’,dusookalseenvoordeelgezienkanwordendoorafnemersinhetbuitenland.

BETEREUITWISSELINGBEDRIJFSLEVEN-WETENSCHAPInparagraaf2.6isalaangegevendatvolgensgeïnterviewdendeaansluitingtussenwetenschapenbedrijfsleveninhetcybersecurity-domeinbeterkan.Decybersecurity-sectorissterkgedrevendoorinnovatieenhiervooriskennisuitwisselingmetdewetenschapnodig.Eengoedontwikkeldecosysteemwaarinwetenschapenbedrijfslevensamenoptrekken,kennisdelenenelkaarversterkenwordtalscruciaalgezienomervoortezorgendatNederlandvooroplooptopditgebied.DatNederlandwatbetrefthetbenuttenvanwetenschappelijkkennisinternationaalonderhetgemiddeldescoortwordtherkend.InditkaderheefthetministerievanEconomischeZakenhetValorisatieprogrammaopgezetdatondersteuntbijhetvormgevenvanactiviteitenophetgebiedvanondernemerschapsonderwijsenkennisvalorisatie(RVO).

Definitief



DeAdviesraadvoorWetenschap-entechnologiebeleid(AWT)concludeerdeeerder:Hetinnovatie-engroeivermogenvanondernemingenwordtbepaalddoorveleinterneenexternefactoren,zoalseengoedestrategie,toegangtotnieuwekennis,eengoedeorganisatie,toegangtotfinancieringentoegangtotinternationalemarkten.Opveelvandezeaspectenzullengroeibriljantentegenproblemenaanlopen,diezeuiteindelijkzelfmoetenkunnenoplossen.Bijhetoplossenvandezeproblemen,hebbengroeibriljantenveelbaatbijeengoedfunctionerendecosysteem,waarinzijsneldejuistepartnerskunnenvinden;partnersdiehenkunnenhelpenbijhetverkrijgenvankennis,verkrijgenvanfinanciering,vindenvangoedemensen,vergarenvaninformatieovermarktkansen,toegangkrijgentotinternationalenetwerken,etcetera.Deraadfocustinditadviesdaaromophetversterkenvanhetecosysteemalsbelangrijkbeleidsdoel.HetecosysteeminNederlandkanversterktwordendoor(innovatie)samenwerkingtussengroeibriljantenen(internationale)klanten,‘complementoren’enconcurrententestimuleren.Hierbijspelenuniversiteiten,TopconsortiavoorKennisenInnovatie,institutenvoortoegepastonderzoekenhogescholeneenbelangrijkerol(AWT,2014).

Rondomhetpuntvanuitwisselingvankennistussenwetenschapenbedrijfslevenzijnindicatiesvanmarktfalentevinden.Hetgaatdanomdealhetalvaakbeschrevenbestaanvanpositieveexternaliteiten(kennis-spillovers)vaninnovatie.Daarnaastiseralveelgeschrevenoverdevormingvanecosystemenrondomuniversiteiten.ZogevenVanOortetal.aandathetopordebrengenvanregionaleproductiestructuren,viahuisvesting,informatieverstrekking,financieringendetoegankelijkheidvandeafzet-enarbeidsmarkt,isteclassificerenalsnoodzakelijkevoorwaardenvoordeontwikkelingvaneeninnovatiefacademischondernemerschap.Daadwerkelijksuccesberustoppad-afhankelijkenetwerkenengeschrevenenongeschrevenregelstussenonderzoekers,bedrijvenenkennisinstellingen–dezachtekantvaneenecosysteem(VanOortetal.,2014).InnavolgingvandeAdviesraadvoorwetenschap,technologieeninnovatie(AWTI):Stimuleersamenwerkingtussengroeibriljantenen(internationale)klanten,complementorenenconcurrenten.Snijdhetinstrumentariumhiervoortoeopdewensenenbehoeftenvangroeibriljanten:snel,flexibelenefficiënt.Deraaddenkthierbijaanflexibelearrangementenzoals‘openinnovatie’-omgevingenenregionalegroeiversnellerprogramma’s.

GROEIAWARENESSVeelgeïnterviewdengavenaandateenmogelijketoenamevanincidenten,aldannietmeteenboetevoordatalekkenalsgevolg,zullenzorgenvooreengroeivandecybersecurity-sector.Toenemendeawarenessbijbestuurdersentoezichthoudersalsgevolgvanincidenten,zaldevraagnaarcybersecurity-productenen-dienstendoentoenemen.

ONTWIKKELINGDOMEINENInonsonderzoekzijnopverschillendemomentenbinnendecybersecurity-sectorbepaaldeproductenofdiensten,ofcategorieënvanproductenofdienstengenoemd,waarvande

Definitief



respondentendekomendetijdveelverwachten.DemeestgenoemdeproductenzijngeplotopdeNCSRA-indelinguithoofdstuk2.

Tabel11Groeidomeinenbinnendecybersecurity-sector

NCSRA-indeling Voorbeelden Identity, privacy and trust management

Authenticatie/ autorisatie-producten Secure communication (bv. VPN, Encryptie van communicatie)


Detectie- / Monitoringdiensten / SIEM Detectieproducten (virusscanners / IDS) Preventiediensten (PEN-Testen / ethical hacking)


CERT / Incident & Response Management


Cybersecurity binnen hostingdiensten (cloud) Juridisch advies rondom data-opslag ‘Outsourced’ Security Management Awareness / Opleiden, trainen & oefenen


Beveiliging rondom SCADA/ PCS Internet of Things Security

Metnamede"managedservices",waarbijeendienstverlenereenaantaltakenbinnencybersecurityvaneenorganisatieoverneemtwordtalsgroeidomeingeïdentificeerd.VooralMKB-organisaties,zullenalsgevolgvangroeiendeawareness,zoekennaaraanbiedersdienietalleenproductenleveren,maardeorganisatieontzorgen.Dekostenvancybersecurity-oplossingenkunneninzo'nmodelookovermeerdereorganisatieswordenverdeeld,enkomenzoookbinnenhandbereikvankleinereorganisaties.Ditzienweookterugininternationalestudiesnaardegroeikansenvoordecybersecurity-sector.ForbeshaalteenonderzoekvanAlliedMarketResearchaan,waarinisbeschrevendatdewereldwijdemanagedservicesmarkteenomvangvanzo'n30miljarddollarzalbereikenin2020,meteengemiddeldejaarlijksegroeivanbijna16%(Forbes,2015).

5.4 Bedreigingen

BESCHIKBAARHEIDGOEDGEKWALIFICEERDEMENSENVeruitdemeestgenoemdebedreigingvoordecybersecurity-sectorishetverwachtetekortaangoedgekwalificeerdpersoneel.Dathettekortvandaagalactueelishebbenwereedsbeschreveninparagraaf2.6.Maardekomendejarenzaldevraagnaarcybersecurity-professionalsnogverdertoenemen.HetPlatformOpleiding,OnderwijsenOrganisatie(PLATO)vandeUniversiteitLeidenheefteenonderzoeknaardittekortuitgevoerdinopdrachtvanhetWetenschappelijkOnderzoeks-enDocumentatieCentrum(WODC)vanhetministerievanVeiligheidenJustitie.Hierinwordtbeschrevendathetaantalzichtbarevacaturesmomenteelnogbescheidenis,maardatopbasisvandeomgevingsanalyse(hetmaatschappelijkbelangenderolvanincidentennementoe)wordtverwachtdatdevraagnaarCyberSecurityProfessionalszalstijgen.Hetonderzoekstelt:Enerzijdsneemtdeurgentievanhetinzettenvankennisenkundeopditterreintoe.Anderzijdswordthet

Definitief



cybersecuritydomeinsteedsmeerookalseenorganisatievraagstukgezienenbrederopgevat(multidisciplinair)(Plato,2014).UitdestudieblijktdatveelbredereHBO-enWO-opleidingenrelevantaanbodvanstudierichtingenhebbenvoordecybersecuritysector,maardatener(nog)weinigspecialistischecybersecurityopleidingenzijn.OokdeCSRtrokaandebelnaaraanleidingvanditonderzoekenschreefeenadviesaandestaatssecretarissenvanVeiligheidenJustitieenOnderwijs,CultuurenWetenschap(CSR,2015).AlhoewelindeNationaleCybersecurityStrategie2(eenbredekabinetsvisieuit2013)reedseenTaskforcecybersecurityonderwijswerdaangekondigd,lijktdittotophedennognietvandegrondtekomen.

DETHUISMARKTISKLEINNederlandiseenrelatiefkleinland,waardoorookdemarktvoorcybersecurity-productenen-dienstenrelatiefkleinis.DitmaakthetvoorNederlandsebedrijvennieteenvoudigomeenbehoorlijkeschaalgroottetebereiken.LeveranciersopbijvoorbeelddeEngelse,ofnoggroter,deAmerikaansemarkt,hebbeneenveelgroterethuismarkttebedienenenkunnenhierdoorsnellerschaalvoordelenbereiken.Omdatschaalgroottevanbelangisvoorhetopbouwenenbijhoudenvandelaatsteinzichteninhetcybersecurity-domein,zijngroterespelersinhetvoordeel.Nederlandsecybersecurity-bedrijvenzoekenindepraktijksnelinternationaleexpansie.Hetaantrekkenvandebenodigdemiddelenvoordieexpansiedoorinnovatiestartupincybersecurityblijktnietaltijdeenvoudig.Wanneerschaalvergrotingleidttotmarktmacht,kunnenbedrijveneenhogereprijsberekenendanhetefficiënteniveauofminderinvesterendanmaatschappelijkgezienwenselijkis.Dewelvaartswinstslaatdanalleenbijproducentenneerenkomtniettengoedeaandeconsument.Eenvoorbeeldvanmarktfalen,doormarktmacht. WETGEVINGOpverschillendemomenteninhetonderzoekenvanuitverschillendehoekenwerdgewezenophetfeitdaterbedreigingenvoordecybersecurity-sectoruitgaanvanwet-enregelgeving.MetnamedenieuwewetWetComputercriminaliteit(WCCIII)endenieuweWetopdeinlichtingenenVeiligheidsdiensten(Wiv)wordeninditkaderzowelbijdekansenalsbijbedreigingengenoemd.OokindemediaverschijnenreactiesvangrotepartijenalsGoogle&Microsoftopdezenieuwewetgeving(RTLZ,2015).BuitenlandseafnemersvanproductenofdienstenvanNederlandsecybersecurity-bedrijvenzoudendiebedrijvenmogelijklinkslatenliggenwanneerdezebedrijvenwerkenvanuitNederland,ofbeoordelenNederlandalsminderaantrekkelijkevestigingsplaats.

OokzienpartijendeontwikkelingdatEuropeselandensteedsverderuiteenlopenophetvlakvanprivacywetgevingalsbedreigingvoordecybersecurity-sector.TotslotervarenpartijendegevolgenvanTheWassenaarArrangementonExportControlsforConventionalArmsandDual-UseGoodsandTechnologiesalsbeperkendvoordeexportvangoederen.Meerspecifiek,opdelijst

Definitief



vangoederenstaansindsbegin2013ookInternetmonitoringsystemenenintrusionsoftware.Dooropnamevandelijstwordtvoorkomendatbedrijvendezesystemenverkopenaanlandendieopdeverbodenlijststaan.Echter,verschillendepartijengevenookaandatdereikwijdtevandemaatregelentebreedis,waardoordecybersecurity-sectormindergoedinstaatisomkwetsbaarhedenteidentificerenenoptelossen.OokhiergeldtdatgrotepartijenalsGoogleenFacebookhebbenaangegevendathierdoorbeperkingenontstaanopactiviteitenalsPEN-testen,endelenvaninformatieoverkwetsbaarhedenenzogenaamdebugbountyprogramma's(Google,2015)en(Facebook,2015).

KOSTENVANBEVEILIGINGWORDENTEHOOGEenbedreigingvoordecybersecurity-sectorkanookwordengevormddooreenontwikkelingwaarbijdekostenvanconnectiviteit(o.akostenvanbeveiligingenschadedoorcyberincidenten)nietmeeropwegentegendevoordelenvanhetelektronischzakendoen.DitscenariowordtbijvoorbeeldgeschetstineenrapportvanverzekeraarZuricheneenonderdeelvandeonafhankelijkeAmerikaansedenktankAtlanticCouncil.Alhoewelbijdeonderzoeksaanpakwordtaangegevendatheterglastigwasombetrouwbaregegevenstevindenvoorzoweldekostenalsdenadelen,wordtinhetrapportgeschetsthoedejaarlijksekostenvancybersecurityinwesterselandennureedsdejaarlijksvoordelenvanconnectiviteitoverstijgen.Actiesvanoverheden,bedrijven,non-gouvernementelezijnnodigomeenaantalzwarterescenario'sdiedeonderzoekersschetsentevoorkomen.Deauteurswijzeneropdatdejaarlijksevoordelenvanaansluitingwelweerdaarnajaarlijksterugkomen,waardoordecumulatievevoordelenuiteindelijknogsteedsgroterzijndandekosten(AtlanticCouncil,2015).Ditzoudegroeivandecybersecurity-sectorkunnenremmen.DALINGAWARENESSWanneerdekomendejarenerweinig(vooral)groteincidentenzijn,kandeperceptieontstaandatdedreigingisgedaald,metalsgevolgdaterminderwordtbesteedaancybersecurity.Eendergelijkeffectisdaarmeeniettoeteschrijvenaaneenbepaaldtypemarktfalen,maarisveelmeereenaspectvangedragseconomie.KENNISBIJAFNEMERSInsamenhangmethetvoorgaandewordtookgesignaleerddathetopditmomentnogmoeilijkomalsafnemervanproductenofdiensten,zekereenafnemerbinnenhetMKB,kwaliteitindemarktteherkennen.Hierdoorwordenmogelijkminderproductenofdienstenafgenomen.Standaardenenaccreditatiekunnenhelpenommarktfalendoordezevormvanasymmetrischeinformatieoptelossen.InhetVerenigdKoninkrijkzijneraccreditatieschema’sopgezetvoorondermeerPEN-testen,monitoringenincidentresponse.Vanafoktober2014,verplichtdeEngelseoverheiddatinschrijversopcontractenwaarinzijinaanrakingkomenmetpersoonsgegevensgecertificeerdzijntegenhetCyberEssentialsscheme(UK,2014).

Definitief



InhetkadervanvoorzitterschapNLEUheeftNCTVaangekondigd2speerpuntentehebben:standaardisering&certificeringenEthicalhacking(WEF,2016).

CONCURRENTIEVANBUITENLANDSEPARTIJENEN/OFOVERNAMESDeverwachtingvanverschillendedeskundigenisdatdekomendejarenhetaanbodvancybersecurity-productenendienstenvanuitmetnamedeVSzalgroeien.Hetgaatdaarbijbijvoorbeeldmonitoring(SIEM)vaninfrastructurenennetwerken.Dezepartijenhebbenvaakeenveelgrotereschaalgrootteenbeschikkenoverrelatiefveelkapitaal.HiermeeconcurrerenisbijnaonmogelijkvoorNederlandsebedrijven,enzekerinnovatievestartups.Schaalgroottehebbenwehierbovenreedsgenoemdalsmogelijkindicatievanmarktfalen.Ookzienwedatsuccesvollestartupsindecybersecurity-sectorsneldoorgroterebuitenlandseaanbiederseninvesteerderswordenopgepikt.VoorbeeldenvanjongeNederlandsebedrijvendierecentzijnovergenomenzijnbijvoorbeeldSurfright(opgerichtin2006)datisingelijfddoorSophosenhet4jaaroudeAuthasasdatisovergenomendoorhetBritseMicroFocus(Nu.nl,2016)en(FD,2015-2).Eennegatiefgevolgvanveelovernamesisdatdehorizontalemarktmeergeconcentreerdraaktendeprijzenstijgen.Inplaatsdaarvankunnendezebedrijveneerstookeenlagereprijsberekenen,waarmeezeconcurrerendebedrijvenvandemarktkunnenuitsluiten,waardoordeconcentratienoghogerwordt.Eenvoorbeeldvanmarktfalendoormarktmacht.Voordeelvaneentoenamevanovernamesisweldatdeaantrekkelijkheidvandesectorvoorondernemerstoeneemt,waardoorookhetaantalondernemingenwaarschijnlijkzaltoenemen.

5.5 Conclusie

Kijkendnaardekansenmaarvooraldebedreigingen,gecombineerdmetdegroeiverwachtingenvandesectorzelf,zienwedemeesteaanknopingspuntenaanderechterkantvanAfbeelding11:desectorzalblijvengroeien.OokdeICT-aanbiedersverwachtendatdeomzetvancybersecurity-productenen-dienstendekomendejarennogverderzalgroeien(zieparagraaf3.5).OfwevervolgensnaarbovenofbenedeninAfbeelding11bewegen,hangtafvandematewaarindestructurelekenmerken(arbeid,kapitaalentechnologie)zichontwikkelen:zalersprakezijnvan(toenemend)falen,ofkomthetaanbodvancybersecurity-productenen-dienstenophetniveauvandevraag.Kijkendnaardebedreigingenzienwedatdeexpertsverwachtendathettekortaanhoogopgeleidespecialistenendebeperktetoegangtotdurfkapitaalendekomende3-5jaarzullenblijvenbestaan.Daarnaastisschaalgrootteeenaantalmalendoordeexpertsgenoemdalsbelangrijkelementvooraanbiedersvancybersecurity-productenen-diensten,teneindesteedsvoldoendeinformatieoverdreigingentehebben.Wanneeraanbiedersmeteenbepaaldeschaalgroottealdusveelvoordelenhebbentenopzichtevankleinereaanbiedersisooksprakevaneenvormvanmarktfalen.

Definitief



6 CONCLUSIESENSUGGESTIES

6.1 Conclusies

Nederlandheeftdeambitieomvooroptelopenindeontwikkelingnaareensteedsmeerdigitaliserendeeconomie.OpveelranglijstenstaatNederlandalhoog,alshetgaatomdematevandigitaliseringvandeeconomie.Echter,eengrotematevandigitaliseringcreëertophetzelfdemomenteengroteafhankelijkheidvangoedwerkendeenveiligetechnologie.Voorhetvasthoudenenmogelijkversterkendedigitaleeconomieisvertrouwen-indiedigitaleeconomie-eenbelangrijkerandvoorwaarde.Hetzorgenvanvertrouwenindedigitaleeconomieishetonderwerpvandecybersecurity-sector.ErisalveelonderzoekgedaannaarhetbelangvandeICT-sector.Zowelnaardeomvangvandesectorzelf,alsnaarderoldieICTspeeltvooranderesectorenendeeconomiealsgeheel.MaarhoegrootisnudieNederlandsecybersecurity-sector?Voorhetantwoordopdezevraagzijnnogweinigobjectievegegevensbeschikbaar.Ditrapportschetsthetresultaatvanheteersteonafhankelijkonderzoeknaardeomvangvandesector.Inditonderzoekhanterenwijeenengeafbakeningvanhetbegripcybersecurity.Dezeafbakeningisgekozenomhetonderzoekbinnendegesteldekaders(tijdengeld)beterhaalbaartemaken.Daarnaastzienwedatwanneerinhetdagelijksspraakgebruikdetermcybersecuritywordtgebruikt,menookeenwatsmallereinterpretatiekiest.Cybersecurityishetstrevennaarhetvoorkomenvanschadedoorverstoring,uitvalofmisbruikvanICTalsgevolgvanmoedwilligeactiviteiteninhetCyberdomeinen,indienertochschadeisontstaan,hetherstellenhiervan.Omdatvolgensdedefinitievancybersecurity,hetobjectICTbetreft,zienwedatvooraldeICT-sectorzelfeengrootaandeelheeftinhettotaalvandeactiviteiten.DenkaanhetleverenvanICT-dienstenen-producten.Cybersecurity-activiteitenreikenechterverderdanalleendeICT-sector.Ookvanuitanderesectorenwordtdoorhetaanbiedenvandienstenenproducteneenbijdrageaancybersecuritygeleverd.Uitonderzoeknaardeoorsprongenaardvanmoedwilligeactiviteiten(metschadedoorverstoring,uitvalofmisbruikvanICTalsgevolg)blijktdathetzwaartepuntvandeoorsprongvandreigingenligtbijcrimineleorganisatiesenstatelijkeactoren.MethettoenemenvanenerzijdsdreigingenenanderzijdshetbelangvanICTiserookeeneconomischesectorontstaandiegebruikersmetcybersecurity-productenen-dienstenbeschermingbiedttegendeaanvallenenhelptbijhetherstellenvanschade.

Definitief



Decybersecuritysectorcreëerttoegevoegdewaardedoorhetaanbiedenvanproductenendienstendiedecyberrisico’sproberenteverminderenenschadeefficiëntherstellen.Derestvandeeconomiebetaaltvoordezeproductenendienstenenprofiteertervan.

MiddelseenenquêteisdeomvangvandeNederlandsecybersecurity-sectorbinnendeICT-sectorbepaald.Uitdeenquêteblijktdatin2014ongeveer10procentvandeomzetbinnendeICT-sectorgekoppeldwasaancybersecurity-activiteiten.

Ditaandeelcybersecurityisgebruiktomdetotaleomzet,omzetuitexport,toegevoegdewaardeenwerkgelegenheidtebepalenbinnendeICT-sector.HiervoorzijnookmicrostatistiekenvanhetCBSgebruikt.Inonderstaandetabelstaandebelangrijksteuitkomsten.

Tabel12 DetoegevoegdewaardevancybersecuritybinnendeICT-sectorbedroegin2014ongeveer€4

miljardtegenover€2,5miljardin2010.

Omvang cybersecurity in Nederland 2010 2010 2014 2014





Omzet (€ mld.) € 4,3 € 4,8 € 6,9 € 7,5

Toegevoegde waarde (€ mld.) € 2,3 € 2,6 € 3,8 € 4,1

% van het BBP 0,36% 0,41% 0,57% 0,62%

Omzet uit export (€ mld.) € 1,3 € 1,5 € 2,6 € 2,8

Werkgelegenheid (fte, x1000) 12,0 13,5 15,7 17,1

Bron: VKA/SEOEconomischOnderzoek;Euro’sinbasisprijzen.Tweemeetwaarden:'hoofdICT'isgebaseerdopdeSBI-

codesvanbedrijvenen'alleICT'isgebaseerdopalleactiviteitendiebedrijvenrapporteerden.

Indeperiode2010-2014isdeomzetendetoegevoegdewaardebetreffendecybersecuritybinnendeICT-sectorjaarlijksmet14,5procenttoegenomen.In2014lagdeomzettussen€6,9en€7,5miljard.Detoegevoegdewaardevandecybersecurity-sectorwas€3,8á4,1miljardindatzelfdejaar.In2010hebbenbedrijvendiecyberactiviteitenuitvoerenmetongeveer0,4procentbijgedragenaanhetNederlandseBBP.In2014isditpercentagegestegentotongeveer0,6procent.Decybersecurity-sectorgroeidedaarmeeveelsnellerdandeICT-sectorzelf.DebenaderdeICT-bedrijvenindeenquêteverwachteneenjaarlijksegroeivanomzetuitcybersecurity-activiteitenvanongeveer7procent.ConclusieisdatdeNederlandsecybersecurity-sectoreenrelevanteomvangheeftenbovendiensnelgroeiendis.Eenpreciezemetingvandewaardevancybersecurity(deuitstralingseffectenvandecybersecurity-sector)voordeeconomiealsgeheelblijktlastig.Doortekijkennaarincidentenendeomvangvandeschade,kaneenschattingvandewaardewordengemaakt.Voordeanalyseincidentenendeomvangvandeschadezijnverschillendebronnengebruikt,namelijkstudies,statistiekeneneenmediasearchviaLexisNexis,eendatabankmetarchievenvanbijna10.000

Definitief



dagbladenentijdschriften.Echter,ergeldeneenaantalbeperkingenbijhetanalyserenvanincidentenenschade.Eendaarvanishetreedsgenoemdeontbrekenvandeeenduidigedefinitievancybersecurity-incidenten.Daarnaastzijnmeetmethodenvaakniettransparantendedataisonvolledigenniettevergelijken.Voornadereanalysesisereensystematischeverzamel-enaggregatiemethodenodig.Vanwegedezebeperkingenbleekhetnietmogelijkomhardeconclusiestetrekkenoverdewaardevancybersecurity.Enkelecijferszijnwelbeschikbaar.VolgensPWC(2015)is23procentvanbedrijvendelaatste24maandengeconfronteerdmetcybercrime.Inderestvandewereldligthetpercentagevanbedrijvenopnegenprocent.HetNederlandsebedrijfslevenkomtvooralinaanrakingmetphishing,virussenenhacken.InNederlandraaktcybercrimehandel,financiëleinstellingenendeICT-sectorhetmeest.Betrouwbareinformatiebleekbeschikbaarvoordefinanciëlesector,endanvooralrondomonlinebank-enpasfraude(ECB-rapporten).Deschadedaarin2014wordtgeraamdomruim2duizendeuroper1000inwoners,enisdeafgelopenjarendalend.DeNederlandseoverheidisvooralslachtoffervaninformatielekkage(NCSC,2015).BijconsumentenzijnvolgensdeveiligheidsmonitorvanhetCBS(Eurostat,2016),demeestvoorkomendecyberincidentenvirussen,misbruikvanpersoonlijkegegevens,financiëleverliezenenongepastewebsitesvoorkinderen.IndeafgelopenjarenishetaandeelvirussenflinkgedaaldinNederlandenhetpercentageligtonderhetEuropesegemiddelde.MaarvolgensdemonitorzijnNederlandseconsumentenvoorzichtigerdanhetEuropesegemiddeldemetonlinewinkelen,onlinebankierenofhetzettenvanhunmobieletoestellenopeenwifi-netwerk.Metbehulpvandeinputvaneen30-taldeskundigen(middelsinterviewsenrondetafels)uitdesector,hebbenweeenanalysegemaaktvandesterktenenzwakten,enkansenenbedreigingenvandeNederlandsecybersecurity-sector.



sterke/volwassen(systeemvanbedrijven)inCybersecurity-sector

• Goedereputatie• Politiek,neutralewetenregelgeving,toezicht• ISAC's:goedesamenwerkingbinnenISAC'sen

metNCSC• Goedinformaticaonderwijs• Ligging,cultuurenondernemersklimaat



bedrijfslevenenoverheid• Beperktgeorganiseerd• Nederlandvooraldienstenengroothandel,

minderschaalbaar

Kansen Bedreigingen

Definitief



• DoorontwikkelingvandeNederlandse

cybersecurityaanpak• Wetgeving• Betereuitwisselingbedrijfsleven-wetenschap• Groeiawareness• Ontwikkelingdomeinen

• Beschikbaarheidgoedgekwalificeerde

mensen• Dethuismarktisklein• Wetgeving• Kostenvanbeveiligingwordentehoog



en/ofovernames

Doordathetnietmogelijkisomhardeconclusiestetrekkenoverdehuidigewaardevancybersecurity,ishetooknietgoedmogelijkomaantegevenwelkpotentieelgehaaldkanworden,ofdaterdaadwerkelijksprakeisvanmarktfalen.Echter,bijdegesignaleerdeknelpuntenzijninhetonderzoekwelsuggestiesnaarvorengebrachtvoordeaanpakvandieknelpunten.Indevolgendeparagraafanalyserenvertalenwedesterkten,zwakten,kansenenbedreigingennaarmaatregelendiegenomenkunnenwordenomdecybersecurity-sectorinNederlandverderteondersteunen.

6.2 Vanknelpuntennaarsuggestiesvoorbeleid

BijhetanalyserenvandesuggestiesvoorbeleidisgekekenoferbijdegevondenknelpuntenindeSWOTmogelijksprakeisvanmarktfalen(ergaat,ondanksdegroeivandesector,ietsmisindemarkt)ofandereknelpunten(bijvoorbeeldgedragsproblemen)bestaan.Inonderstaanddenkkaderishetanalyse-procesafgebeeldwaarmeevanuitknelpunten,viamogelijkmarktfalen,suggestiesvoorbeleidkunnenwordengedaan.

Definitief



Afbeelding12Denkkadervooranalysesuggesties

Alsmarktentakennietefficiëntkunnenuitvoeren,isersprakevanmarktfalen.Erkunnenviersoortenmarktfalenwordenonderscheidenmetbetrekkingtotcybersecurity-productenen-diensten:121. Publiekegoederen,zoalsveiligheid;2. Positieveexterneeffecten(externaliteiten),metnamenetwerkeffectenenkennis-spillovers;3. Asymmetrievaninformatie,namelijkadverseselectieindekapitaalmarktenonvoldoende

informatievoorconsumenten;4. Marktmacht,vooralvanwegeschaalgrootte,institutionelebelemmeringenen

padafhankelijkheid,enhethold-upprobleemindearbeidsmarkt.InbijlageEzijndeverschillendetypenmarktfalennaderuitgewerkt.Bijdevolgendepuntenuitdeanalysevansterkten,zwakten,kansenenbedreigingenzagenweaanknopingspuntenvoormarktfalen:

Tabel13Samenvattingknelpuntenenmarktfalen

Kenmerk Omschrijving Typemogelijkmarktfalen

Zwakte/Bedreiging

Onvoldoendespecialisten/Beschikbaarheidgoedgekwalificeerdemensen

Asymmetrievaninformatie/gedragsprobleem

Zwakte Betereuitwisselingbedrijfsleven- Positieveexternaliteiten(kennis-

12 Vooreenoverzichtvanmarktfalen,ziebijvoorbeeldBaarsma&DeNooij(2006),Saline(2000).

Definitief



wetenschap(innovatie) spillovers)Zwakte Betereuitwisselingbedrijfsleven-

wetenschap(ecosystemen)Marktmacht(padafhankelijkheid)Positieveexterneeffecten(netwerkexternaliteiten)

Zwakte Beperktetoegangtot(durf)kapitaal Asymmetrievaninformatie(adverseselectieindekapitaalmarkt)

Zwakte Nederlandvooraldienstenengroothandel,minderschaalbaar

Marktmacht(schaalgrootte)

Kans DoorontwikkelingvandeNederlandsecybersecurityaanpak

Asymmetrievaninformatie

Bedreiging Thuismarktisklein Marktmacht(schaalgrootte)Bedreiging Concurrentievanbuitenlandsepartijen

en/ofovernamesMarktmacht(schaalgrootteenfusiesenovername)

Bedreiging Kennisbijafnemers AsymmetrievaninformatieKenmerk Omschrijving Andertypeprobleem

Bedreiging Awareness GedragsprobleemMeeronderzoekisnodigomtebepalenofdehiervoorgenoemdesoortenmarktfalenook"hard"aantoonbaarzijn.Hetidentificerenervandoordeexpertsiseenindicatievoorhetbestaan.Bijeenaantalpuntenuitdeanalysevansterkten,zwakten,kansenenbedreigingenzienwemindersterkeaanknopingspuntenomtesprekenvanmarktfalen.

6.3 Suggestiesvoorbeleid

Desuggestiesindezeparagraafzijn,netalsdeanalysevansterkten,zwakten,kansenenbedreigingengebaseerdoponsinzichtindemarktendeinputvaneen30-taldeskundigen(middelsinterviewsenrondetafels)uitdesector.ZiebijlageBvooreenoverzichtvangeïnterviewdenendeelnemersaanderondetafels.Deinputvandedeskundigenwaseenlangelijstmetsuggesties,welkemetbovenstaandkaderdoordeonderzoekersgeanalyseerd.Desuggestiesrichtenzichtdirectopdecybersecurity-sector,diehierdoor(nog)sterkerzoukunnenworden.Aanheteindvandezeparagraafgevenweineentabelweerhoedegedanesuggestiessamenhangenmetdeknelpuntenwaarbijsprakeisvanmogelijkmarktfalenofandertypeproblemen.Wanneereenbjdragekanwordengeleverdaanhetoplossen/verminderenvaneenbepaaldmarktfalen,kandebijdragevandesectoraandeeconomiegroeien.Zoalseerdergesteldbleekhetbinnendekadersvandezestudienietgoedmogelijkdewaardevaneensterkecybersecurity-sectorvoorandereeconomischesectorenaantetonen.Desuggestieszijnonderverdeeldineenaantalthema's,zoalshieronderafgebeeld.Daarnaastisereenaantalsuggestiesdiezichrichtenophetverkrijgenvaneenbeterinzichtindecybersecurity-sector,hetthema"metenisweten".

Definitief



Afbeelding13Suggestiesinthema's

Hieronderlichtenwedethema'stoe.

EXPERTSENEXPERTISEInhetthemaExpertsenexpertise,iseenaantalsuggestiesopgenomendieinzettenophetgesignaleerdetekortaanhoogopgeleideexperts,enopwelkewijzeonderzoekbeterbenutkanworden.Decybersecurity-sectorissterkgedrevendoorinnovatie,waarbijonderzoekenkennisuitwisselingmetdewetenschapnodigisomnieuweproductenendienstentebiedendiepassenbijdesteedsontwikkelendecyberdreigingen.Mogelijkdateenonderliggendeoorzaakvoorhettekortaanhoogopgeleideexpertsligtbijdeaantrekkingskrachtvanhetvakcybersecurityopaankomendestudenten.Overigensiscybersecuritynogeenrelatiefjongvakdat,zoalswehebbengezieninhoofdstuk3,snelisgegroeid,waardoorernueentekortwordtgesignaleerd,maardatditdekomendejarenmogelijkkanwordenopgelost.Eenaantalvandegedanesuggestieszoudenbijuitvoeringmoetenwordenopgepaktinsamenwerkingmetanderepartijen.Debelangrijkstepartijissteedsachterdeaanbevelingopgenomen.OnderditthemavalleneenaantalsuggestiesdiemethetministerievanOnderwijs,CultuurenWetenschap(OCW)zoudenkunnenwordenopgepakt.Devolgendesuggestiesvallenonderditthema:1. VerkendemeerwaardevandeinrichtingvaneenNationaalinstituutvoorCyberSecurity,en

hoedittotstandzoukunnenkomen.Hetinstituutbundeltkennisvanuniversiteitenwaardezenuoververschillendeinstellingenisverspreid(samenmetOCW).

Definitief



2. Verkenofhetstimulerenvanonderzoek&onderwijsrondomcybersecurityopbestaandeinstellingenvoorhogerenwetenschappelijkonderwijsmeerwaardeopkanleveren.(samenmetOCW).

3. Werkactiefaanhetstimulerenvanecosystemenrondomcybersecurity.Investeerindeaansluitingvanonderzoekenonderwijsbijhetbedrijfsleven(valorisatie),zodatdekennisookbeterkanrenderen.(samenmetOCW).

4. Verkenopwelkewijzebedrijvenondersteundkunnenwordenwanneerzijinvesterenin(speur-enontwikkelingswerknaar)cybersecurity.

5. Verkenopwelkewijzedeuitstroomvanstudenten(middelbaar,hogerenwetenschappelijkonderwijs)incybersecuritykanwordenvergroot(vergrotenaanboden/ofstimulerenvanhetkiezenvooreenopleidingincybersecurity.(samenmetOCW).

GEEFGOEDEVOORBEELDBijhetthemaGeefgoedevoorbeeld,iseenaantalsuggestiesopgenomendievooralbetrekkinghebbenopdeoverheidzelf.Onderditthemavallendevolgendesuggesties:6. HeroverweegdemogelijkheidvooreencentraleoverheidsSecurityOperationCenter(SOC),

diealseenSharedServicesCenterdedienstenaanbiedtvoorverschillendeoverheidsorganisaties.Primairdepartementen,maarmogelijkookbrederbinnendeoverheid.Bijdezeaanbevelingpastookdesuggestieomdeinkoopvandeoverheidophetdomeinvancybersecuritymeertebundelen.Inbeidegevallenleidtbundelingtotkennisopbouweninzichtindelaatsteontwikkelingenindemarktofzelfshet"uitdagen"vandesector.Dezeuitdagingkanleidentotinnovatieaanaanbiederszijde.Deoverheidfungeertdanalslaunchingcustomer(samenmetverschillendeanderedepartementen,ofnogbrederbinnendeoverheid).

7. Verkenopwelkewijze(bijvoorbeeldbinnenoverheidsaanbestedingen)meerruimtekanwordengegevenaaninnovatievepartijen.Hetdomeinvancybersecurityvraagsnelheidindeontwikkelingvanproductenendiensten,datbetekentindepraktijkdatenerzijdsdeeisenaandeonderneminglagermoetenkunnenliggenenanderzijdsinspecifiekegevallendeaanbestedingsdrempelhogerzoumoetenliggen.(samenmetEU).Doordatdeoverheidaanaanbestedingsproceduresisgehoudenontstaanmogelijkinefficiënties.Enerzijdskunnendekostenvancompliance-kostenvanwetgevingenreguleringhogerzijndandegerealiseerdeefficiëntiewinstenvanoverheidsingrijpen(SER,2010).Anderzijdsisermogelijksprakevanmarktmacht,aangeziengroteregevestigdepartijenmeermiddelentothunbeschikkinghebbenom(slim)inteschrijvenopaanbestedingen.

8. OntwikkeleenvoorlichtingscampagnewaarindesterktenenkansenvandeNederlandsecybersecurity-sectorvoorambassadesenexportbevorderendeinstantieshelderuiteenwordengezet.DeNederlandseuitgangspositierondomonderwerpenalsprivacykanopdiemaniernogbeterwordenuitgelegd.(samenmeto.aRVO,ministerievanBuZa)

Definitief



CONNECT,COMMIT&GOFORIT!Inditclusterhebbenweeenaantalsuggestiesopgenomendievooralbetrekkinghebbenophetinverbindingbrengenvaninitiatieven,hiervervolgensfocusopleggenendenoodzakelijkeactiesuitvoeren,indiennodigvoorzienvanfinanciering.HetAmerikaanseCybersecurityNationalActionPlankanhierbijalsvoorbeelddienen.Hetgaatomdevolgendesuggesties:9. Geefveelprioriteit(enzomogelijkfinanciëleruimte)aandedoorontwikkelingvande

Nederlandsecybersecurityaanpak.Dedoorontwikkelingkanzorgenvooreenplanmatigeaanpak,overkabinetsperiodesheen.Opdezemanierkaneenbredeaanpakontstaaneniseraandachtvoorzoweldebedreigingenvancybercrimealseconomischekansen.(samenmeto.aV&J).

10. Zorgvoordetoenamevanhetbewustzijnrondomcybersecurity.Doorveelaandachttebestedenaanhetonderwerpzaldevraagnaarproductenendienstenverdertoenemen,enNederlandsethuismarktvoorcybersecurity-aanbiedersdoengroeien.Initiatievenzoalsveiligbankieren.nlenveiliginternetten.nlhelpenomookconsumenten/eindgebruikersveiliggebruiktelatenmakenvanhetinternet.

11. Verkendemogelijkheidvanhetvormenvaneenzogenaamde"valley".Innavolgingvandebewegingdiebijvoorbeeldisgezienrondombiotech,biedtdeclusteringvancybersecurity-organisatie(zowelpubliekalsprivaat)eenplaatsvoordeontwikkelingvankennisengroei.Clusteringenconsortiumvormingzorgtvoorgroei.InspiratiekanwordengevondenbijhetInstituteforInformationSecurity&PrivacyzoalsdatonderhetAmerikaanseGeorgiaTechisgevormd.Bijditinstituutwerkenalleenal2.000ambtenaren.MaarookinIsraëliseencampusopgericht,waarbijinpubliek-privatesamenwerkingveelgeldisgeïnvesteerd.TheHagueSecurityDelta(HSD),deCyberSecurityAcademy(CSA),hetEuropeanCybercrimeCentrevandeEuropeseCommissieenhetEuropeanNetworkforCyberSecurityzijnreedsinderegioDenHaaggevestigd.

12. Verkenofenhoehetterbeschikkingstellenvanmeerfinanciëlemiddelenvooronderzoekenontwikkelingenopstartfasedecybersecurity-sectorkanhelpensnellertegroeien.Hierbijkangedachtwordenaandirecteinstrumentenzoalssubsidies(verruimingregelsWBSO,TKI-toeslag),onderzoeksopdrachtenofexperimentenwaarbijdenadrukopinnovatieenontwikkelingkomtteliggen,ofuitbreidingvanbestaandeinstrumentenalsderegelingMKB-innovatiestimuleringRegioenTopsectoren(MIT)enSBIR.Deinrichtingvaneenspecifiekcyber-investeringsfonds,(aldannietinpubliek-privatesamenwerking)kandelastigetoegangtotdurfkapitaalmogelijkwegnemen.

WET&REGELGEVINGDitclusterbevatsuggestieswaarbijvanuitwet-enregelgevingaandecybersecurity-sectorkanwordenbijgedragen.Devolgendesuggestiesvallenonderditthema:13. Houdtvastaanwet-enregelgevingdiebijdraagtaandeprivacyvaninternetgebruikers.Het

kabinetsstandpuntrondomencryptieisdaareengoedvoorbeeldvan.(samenmetV&J)14. Zorgvoorheldereenvoorspelbareinterpretatievanwet-enregelgeving.Metnamerondom

demeldplichtdatalekken,wordtgemistdathetnietmogelijkisomopvoorhandsituatiesaan

Definitief



deautoriteitvoorteleggen,zodatduidelijkwordtofgetroffenbeveiligingsmaatregelenafdoendezijn.Meerduidelijkheideneenmogelijkheidomeen"ruling"opvoorhandteverkrijgenovereenbepaalde(beveiligings)oplossing,zoudenkansenkunnenbetekenenvoordeNederlandsecybersecurity-sector.(samenmetV&J).

15. Verkendemogelijkhedenvandeontwikkelingvaneenaccreditatie-schemavoorcybersecurity-dienstenenproducten.InhetVerenigdKoninkrijklijkteendergelijkschemaeenbijdrageaandelokalecybersecurity-sectorteleveren.InAmerikaisbinnenhetFedRAMP-programma,eenaccreditatie-orgaaningestelddatdeveiligheidvancloud-dienstenbeoordeeld.Ookmiddelsconvenantenofgedragscodeskanbijleveranciersaandachtvoorcybersecuritywordengestimuleerd,zodatmeerwaarborgenontstaanrondomprivacybydesignensecuritybydesign.(samenmetCIO-rijk)Deintroductievaneenaccreditatie-schemakaneenbijdrageleverenaanhetoplossenvanasymmetrischeinformatie.Immerswanneerafnemersvancybersecurity-productenofdienstennietgoedinstaatzijndekwaliteitvanaanbiedersinteschatten,wordenmogelijkminder,ofkwalitatiefmindereproductenafgenomen.

16. Verkenhoedeoverheid(uiteraardpassendbinnenEuropeseaanbestedingsregels)Nederlandseproductenvakerdevoorkeurkangeven,ontstaankansenvoordecybersecurity-sector.EenvandegeïnterviewdegafaandatdeDuitseregeringinhaarregeerakkoord(netnaonthullingenSnowden)incentivesheeftopgenomenvoordecybersecurity-wereld.Duitsebedrijvendiezichbezighoudenmetcybersecuritygenietendevoorkeurtenopzichtevanbuitenlandseconcurrenten.Terillustratie:Op16oktober2015heefthetDuitseParlementeennieuwedataretentiewetaangenomen(Privacynieuws,2015).IndewetisopgenomendatdedatainDuitslandmoetwordenopgeslagen.DitbetekentdataanbiedersvantelecommunicatiedienstenofwelzelfinfrastructuurinDuitslandmoetenopzetten,ofeenlokaleaanbiedermoetengebruiken.Eendergelijkmodelzalookdelokaleaanbiedervanbeveiligingsproductenhelpen.Daarnaastzoudencentraleendecentraleoverhedeneenforseimpulskunnengevenaandeinnovatiekrachtinhetalgemeenendievandecybersecurity-sectorinhetbijzonder,doormeerruimtetebiedenaannieuwetechnologieënenconcepten.IneenbriefaandeTweedeKamerroeptStartupDeltadeoverhedenopomaanbestedingsproceduresbeterinterichtenopinnovatieveoplossingen(StartupDelta,2016).

17. OndersteuninitiatievenomdeversnipperingvandeEuropeseprivacy-wetgevingtebeperken.

METENISWETENDitclusterbevatsuggestiesgerichtophetbeterinbeeldkrijgenvandecybersecurity-sectorendeschadealsgevolgvancyberincidenten.18. Ondersteundeontwikkelingvaneenhelderedefinitievancybersecurity-incidenten.19. Ondersteundeontwikkelingvantransparanteensystematischeverzamel-en

aggregatiemethodesvoorinformatieoverdecybersecurity-sectorencybersecurity-incidenten.

Definitief



6.4 Koppelingsuggestiesmetknelpunten

Inonderstaandetabelzijndeknelpuntenuitdeanalysevansterkten,zwakten,kansenenbedreigingen,gekoppeldaandehiervoorgenoemdesuggesties.Voorsommigeknelpuntenzijnmeerderesuggestiesgedaan,enandersom,sommigesuggestiesdragenmogelijkbijaanhetoplossenvanmeerdereknelpunten.

Tabel14Koppelingsuggestiesmetknelpuntenenmarktfalen

Kenmerk Knelpunt Suggesties

Zwakte/Bedreiging

Onvoldoendespecialisten/Beschikbaarheidgoedgekwalificeerdemensen

1,2,3,5,11

Zwakte Betereuitwisselingbedrijfsleven-wetenschap(innovatie)

1,2,3,11

Zwakte Betereuitwisselingbedrijfsleven-wetenschap(ecosystemen)

1,2,3,11

Zwakte Beperktetoegangtot(durf)kapitaal 2,4,12Kans DoorontwikkelingvandeNederlandse

cybersecurityaanpak6,9

Bedreiging Thuismarktisklein 10Bedreiging Concurrentievanbuitenlandsepartijenen/of

overnames2

Bedreiging Kennisbijafnemers 6,15Kenmerk Omschrijving Andertypeprobleem

Bedreiging Awareness 10Uitdezetabelblijktdateenaantalvandesuggestiesgoedaansluitenopdegeconstateerdeknelpunten(metmarktfalen).Deoverigesuggestieshebbenbetrekkingopandereknelpunten,metmogelijkverscheideneoorzaken.Dezesuggestieshebbenmogelijkmeerbetrekkingopdekansenvoordeondernemersincybersecurity-sectorzelfdandathetgaatomwelvaartsverlies.Inonderstaandetabelzijndiesuggestiesopgenomen.

Tabel15Koppelingsuggestiesmetknelpuntenenmarktfalen

Suggestie Omschrijving

7 Aanbestedingsprocedureseninnovatie8 Voorlichtingscampagne13 Wet-enregelgeving14 Voorspelbareinterpretatie16 Lokalevoorkeur17 Beperkversnippering

Definitief



Suggesties18en19(definitieenverzamel-enaggregatiemethodes)hebbenweereenanderkarakterenzienophetbetermeetbaarmakenvandecybersecurity-sectorencybersecurity-incidenten.

Definitief



A Bronnen

• ABIResearch(2014).GlobalCybersecurityIndex.• Acemoglu,D.T.(1996).Amicrofoundationforsocialincreasingreturnsinhumancapital

accumulation.QuarterlyJournalofEconomics,61:779–804.• ACM(2016).TelecommonitorQ42015.DenHaag.• AdviesraadvoorhetWetenschaps-enTechnologiebeleid(AWT)(2014)Briljante

bedrijven,Effectieveecosystemenvoorambitieuzeondernemers.DenHaag.• Akerlof,G.(1970).TheMarketfor“Lemons”:QualityUncertaintyandtheMarket

Mechanism,QuarterlyJournalofEconomics,83(4):488-500.• AndersonR.,Barton,C.,Böhme,R.,Clayton,R.,vanEeten,M.,Levi,M.,Moore,T.en

Savage,S.(2013).Measuringthecostofcybercrime.InBöhme,R.(ed):TheEconomicsofInformationSecurityandPrivacy.Springer.

• Arthur,B.(1989).CompetingTechnologies,IncreasingReturns,andLock-InbyHistoricalEvents,EconomicJournal99:116-131.

• AtlanticCouncil(2015).RiskNexus:OvercomeByCyberRisks?• Baarsma,B.&M.deNooij(2006).Calculusvanhetpubliekbelangopde

elektriciteitsmarkt,SEO-rapportnr.885,Amsterdam.• Baarsma,B.,Noll,R.vanderenRougoor,W.(2013).Nieuwsenmarkt.SEO-rapportnr.

2013-53.SEO:Amsterdam.• BetaalverenigingNederland(2014).Jaarverslag2014.Amsterdam.• Bijlsma,M.,DeBijl,P.&Kocsis,V.(2009).Competition,innovationandintellectual

propertyrightsinsoftwaremarkets.Communications&Strategies,74,55-74.• Brennenraedtsetal.(2014).DeimpactvanICTopdeNederlandseeconomie.Dialogic-

rapport2014.062-1430.• Bruyn,S.de,Korteland,M.,Markowska,A.,Davidson,M.,Jong,F.de,Bles,M.en

Sevenster,M.(2010).Handboekschaduwprijzen.CEDelft,10778825.• CentraalBureauStatistiek(CBS)(2015a).Korteonderzoeksbeschrijvingveiligheidsmonitor

(vanaf2012).DenHaag• CentraalBureauStatistiek(CBS)(2015b).Slachtofferschapcybercrimeeninternetgebruik.

DenHaag.• CentraalBureauStatistiek(CBS)(2015c).Veiligheidsmonitor2014.DenHaag.• CentraalBureauStatistiek(CBS)(2014).Veiligheidsmonitor2013.DenHaag.• CentraalBureauStatistiek(CBS)(2013).Veiligheidsmonitor2012.DenHaag.• CentraalPlanbureau(2015).Determinantenvaninternetveiligheid:eenempirische

analysevanDDoSaanvallen.CPBDiscussionPaper306|29‑04‑2015• CyberSecurityRaad(CSR(2015).AdviesaandestaatssecretarissenvanVeiligheiden

JustitieenOnderwijs,CultuurenWetenschapinzakecybersecurityinhetonderwijsenhetbedrijfsleven.

• Dcypher(2016).Persbericht:IIPVVwordtdcypher.

Definitief



• DeNederlandscheBank(DNB)(2014).Krijgteenslachtoffervanskimmeneenvergoeding?DNB:Amsterdam.

• DeNederlandscheBank(DNB)(2015).MaatschappelijkOverlegBetalingsverkeer.RapportageaandeMinistervanFinanciën.DNB:Amsterdam.

• Dijk,R.van,Holt,D.,Veen,F,vander,Gibcus,P.enSpan,T.(2015).FinancieringinnovatiefMKBinRIS3-sectorenindeNoordvleugel.

• DutchDigitalDelta(2016).Nieuws.https://www.dutchdigitaldelta.nl/nieuws/barthel-blijven-investeren-in-cyber-security-r-d?utm_source=e-mailnieuwsbrief&utm_medium=email&utm_campaign=AWTI+e-mail+alertgeraadpleegdfebruari2016.

• E-CRIME(2015).D6.1Reportonmodeldevelopmentandadequacyofexistingmodelsanddata.Deliverablesubmittedon30November2015infulfillmentoftherequirementsoftheFP7project,E-CRIMEEconomicImpactofCyberCrime.

• Ernst&Young(2011).GroeiendoorVeiligheid.• EuropeanDigitalForum(EDF)(2016),The2016StartupNationScoreboard2016• Eurostat(2010).Securityincidentsandconsequences.• Eurostat(2016).1outof4internetusersintheEUexperiencedsecurityrelatedproblems

in2015.EurostatNewsrelease,9februari2016.• EZetal.;MinisterievanEconomischeZaken,CentraalBureauStatistiek,enTNO(2015).

ICT,KennisenEconomie2015.DenHaag.• EZ(2013).BeleidsbriefDoorbrakenmetICT–hetbenuttenvandeeconomischekansen

vanICT.• EZ(2015).Ruimtevoorvernieuwingdoortoekomstbestendigewet-enregelgeving.• Facebool(2015).Wassenaarrulesarenottherightdirection.• Fafinski,S.,Dutton,W.H.enMargetts,H.(2010).MappingandMeasuringCybercrime.

OxfordInternetInstitute.OIIForumDiscussionPaperNo18.• FinancieelDagblad(2015).InnovatieNederlandraaktachterop.• FinancieelDagblad(2015-2).HaagssoftwarehuisinhandenvanBritsbeursfonds.• FinancieelDagblad(2016).Defensiealsbronvaninnovatie.• Florencio,D.enHerley,C.(2011).Sex,LiesandCyber-crimeSurveys.MicrosoftTech-

reportMSR-TR-2011-75.• Forbes(2015).CybersecurityMarketReaches$75BillionIn2015;ExpectedToReach$170

BillionBy2020.• Frost&Sullivan(2015),The2015(ISC)2GlobalInformationSecurityWorkforceStudy• GfK(2015).Cybersecurity2015.Awareness,gedrag&digitaalverantwoordondernemen.

Rapport38282.• Go-Gulf(2013).Cybercrimestatisticsandtrends.• Gov.UK(2014).Cyberessentialsscheme.• Google(2015).Google,theWassenaarArrangement,andvulnerabilityresearch.

https://security.googleblog.com/2015/07/google-wassenaar-arrangement-and.htmlgeraadpleegdfebruari2015.

• Hackmageddon(2016).March2016CyberAttacksStatistics.

Definitief



• Hathaway,M.(2013).CyberReadinessIndex1.0.• HSD(2013).SecurityDeltaEindrapport.• IntelSecurity,CenterforStrategicandInternationalStudies(2014).NetLosses:

EstimatingtheGlobalCostofCybercrime.• ICTInnovatiePlatformVeiligVerbonden(IIP-VV)(2013).NationalCyberSecurityResearch

AgendaII(NCSRAII).• ICTMagazine(2015).KabinetwiltochnieuweWBSO.• ISACA(2016).ISACANowBlog.http://www.isaca.org/knowledge-

center/blog/Lists/Posts/Post.aspx?ID=478,geraadpleegdfebruari2016.• KasperskyLab(2014).ITSecurityRisksSurvey2014:ABusinessApproachtoManaging

DataSecurityThreats.• Kocovic,P.(2008).Fourlawsfortodayandtomorrow.JournalofAppliedResearchand

TechnologyVol.6No.3December2008.• Kox,H.enStraathof,B.(2009).EconomicaspectsofInternetsecurity.CPB

Achtergronddocument.• KPMG(2016),CompetitiveAlternatives2016.• Laing,L.,Palivos,T.&.Wang.P.(1995).Learning,matchingandgrowth.Reviewof

EconomicStudies,62:115–129.• Merton,R.C.(1987),ASimpleModelofCapitalMarketEquilibriumwithIncomplete

Information.TheJournalofFinance,42:483–510.• Moore,T.enAnderson,R.(2011).EconomicsandInternetSecurity:aSurveyofRecent

Analytical,EmpiricalandBehavioralResearch.HarvardWorkingPaperTR-03-11.• Motta,M.(2004).CompetitionPolicy.CambridgeUniversityPress,NewYork.• NationaalCyberSecurityCentrum(NCSC)(2015).CybersecuritybeeldNederlandCSBN

2015.MinisterievanVeiligheidenJustitie.DenHaag.• NationaalCyberSecurityCentrum(NCSC)(2016).ISAC'sop

https://www.ncsc.nl/samenwerking/publiek-private-samenwerking/isacs.html,geraadpleegdfebruari2016.

• NederlandseOrganisatievoorWetenschappelijkOnderzoek(NWO)(2016).NederlandsICTonderzoekbehoorttotdewereldtop.

• NederlandICT(2016).TheDigitalGatewaytoEurope.http://www.nederlandict.nl/index.shtml?ch=ICT&id=13122,geraadpleegdfebruari2016

• NFIA(2013).StrategischaanvalsplanTheNetherlands:DigitalGatewaytoEurope• Noll,R.vander,Nooij,M.deenTieben,B.(2010).Kwaliteitsreguleringlevering

elektriciteitendegrootverbruiker.SEO-rapport,2010-09.Amsterdam:SEO.• Nu.nl(2016).NederlandsbeveiligingsbedrijfSurfrightverkochtvoor29miljoen

http://www.nu.nl/internet/4182615/nederlands-beveiligingsbedrijf-surfright-verkocht-29-miljoen.htmlgeraadpleegdfebruari2016.

• Obama,B(2016).FACTSHEET:CybersecurityNationalActionPlan• OECD(2015).DigitalEconomyOutlook2015.Hoofdstuk5,TrustintheDigitalEconomy:

SecurityandPrivacy.OECDPublishing,Paris.

Definitief



• Oort,F.van,Eijsink,W.enBijleveld,P.(2014).Regionaleinnovatiedoorspin-offs.ESBJaargang99(4698S)20november2014.

• Plato(2014).ArbeidsmarktvoorCyberSecurityProfessionals.OnderzoekinopdrachtvanhetWODC.

• PonemonInstitute(2015).CostofCyberCrimeStudy2015:Global.GesponsorddoorHPEnterprise.

• Privacynews(2015).Duitslandvoertbewaarplichttelecomgegevensopnieuwin.• PWC(2014).CybercriminaliteittegenNederlandseorganisaties:eendigitaledreiging.

EconomicCrimeSurveyNederland2014-deel2,insamenwerkingmetdeVrijeUniversiteitAmsterdam.

• PWC(2016).Payingtaxes2016.• RANDEurope(2015).Investerenincybersecurity.RR-1202,august2015.• Rijksoverheid.(2015).MeldplichtdatalekkenenuitbreidingboetebevoegdheidCbp1

januari2016vankracht.• RTLZ(2015).Golfvankritiekopnieuwe'afluisterwet'• RVO.Valorisatieprogramma.http://www.rvo.nl/subsidies-

regelingen/valorisatieprogrammageraadpleegdfebruari2016.• Saline,B.(2000).MicroeconomicsofMarketFailures.MIT,USA.• Security&DefenceAgenda(SDA)(2012).Cyber-security:Thevexedquestionofglobal

rules.• Shapiro,C.&Varian,H.(1998).InformationRules:AStrategicGuidetotheNetwork

Economy.HarvardBusinessReviewPress.• Shy,O.(2001).TheEconomicsofNetworkIndustries.CambridgeUniversityPress.• StartupDelta(2016).BriefTweedeKamer:ruimtevoorstartupsbijaanbestedingenen

inkoopdooroverheden.• StrategicStudiesInstitute,Saadawi,T.,JordanJr.,L.etal.(2011).Cyberinfrastructure

protection.• Rowe,B.,Wood,D.enReeves,D.(2011).EconomicAnalysisofISPProvidedCyber

SecuritySolutions.InstituteforHomelandSecuritySolutions.US.• SociaalEconomischeRaad(SER)(2010).Overheidénmarkt:Hetresultaattelt!.• TNO(2012).CyberSecurityReport.DenHaag.• TNO(2013).CyberSecurityReport.DenHaag.• TNO(2015).CyberSecurityReport.DenHaag.• UWV(2015).TechnischeenICT-beroepenSamenvattingarbeidsmarktbeschrijving.• V&J(2013).DeNationaleCybersecurityStrategie2.Vanbewustnaarbekwaam.Den

Haag.• V&J(2016).Kabinetsstandpuntencryptie.DenHaag.• VNONCW(2014).Bedrijvenwillenbetereverbindingwetenschaps-eninnovatiebeleid.• Vooren,A.vander&A.Hanemaaijer(2015),Devalleidesdoodsvooreco-innovatiein

Nederland,DenHaag:PBL.• Weda,J.,Kocsis,V.,Noll,R.vander,&Werff,S.vander(2014).EconomicContributionof

Copyright-RelevantIndustriesintheNetherlands.SEO-rapportnr.2014-08.

Definitief



• Worldbank(2016),Internetusers(per100people),http://data.worldbank.org/indicator/IT.NET.USER.P2?cid=DEC_SS_WBGDataEmail_EXT,geraadpleegdfebruari2016.

• WorldEconomicForum(2015),TheGlobalCompetitivenessReport2015-2016• WorldEconomicForum(2016),RecommendationsforPublic-PrivatePartnershipagainst

Cybercrime.

Definitief



B Geinterviewdenendeelnemersrondetafels

1. AnnemarieZielstra(TNO)2. BertFeskens(HSD)3. ChrisvanVoorden(InnovationQuarter)4. EllyvandenHeuvel(CSR)5. EricvanPelt(NFIA)6. GijsterHorst(ChessiX)7. HanSchutte(MinisterievanVeiligheidenJustitie)8. HansvanLoon(HSD)9. IdaHaitsma(HSD)10. JanPietBarthel(NWO,kwartiermakerCSREplatform)11. JeroenHerlaar(Mandiant)12. JorisdenBruinen(HSD)13. JosdeGroot(MinisterievanEconomischeZaken)14. LiesbethHolterman(ICTNederland)15. LokkeMoerel(CSR/Tilburg/MorrisonFoerster)16. MarcoDoeland(BetaalverenigingNederland)17. MarkBressers(MinisterievanEconomischeZaken)18. MennovanderMarel(Fox-IT)19. MichielSteltman(DINL)20. PatriciaZorko(MinisterievanVeiligheidenJustitie)21. PepijnJanssen(RedSocks)22. PetravanSchayik(Compumatica)23. PieterJansen(CyberSprint)24. RenePenningdeVries(BoegbeeldICT)25. RichardBorsboom(HackerOne)26. RobynDevine(CanadeseAmbassade)27. RonaldPrins(Fox-IT)28. RonaldVerbeek(CIO-platform)29. SaidavanKalsbeek(HackerOne)30. SandroEtalle(TUE/SecurityMatters)31. TamesRietdijk(BusinessForensics)32. WimHafkamp(Rabobank)33. WimJagtenberg(DigitalIntelligenceGroup)

Definitief



C Onderzoeksverantwoording

DezebijlagevormtdeachtergrondvoorHoofdstuk3DeeconomischeomvangvandeNederlandsecybersecurity-sector

C1. BeschrijvingCBS-microdata

MetbehulpvanmicrodatabestandenvanhetCBSisdeomvangvandeICT-sectorinNederlandinkaartgebracht.ErisvoordeberekeningvandeomvangvandeICTsectorgebruikgemaaktvanhetalgemenebedrijvenregister(ABR),deAangifteOmzetbelasting(BTW)enBanenenlonenvanwerknemersinNederland(SPOLISBUS).InhetABRsysteemwordenbedrijveneninstellingen,methunidentificatie-enstructuurgegevens,vastgesteldengeregistreerdinvoorstatistischonderzoekgeschikteeenheden.DestatistischeenheiddievoorditonderzoekisgebruikomeenbedrijfteidentificerenishetBedrijfsidentificatienummer(BEID).MethulpvanhetABRzijnbedrijvenuitverschillendeICT-sectorengeïdentificeerd,tewetenbedrijvenmetSBI-code26.1,26.2,26.3,26.4,26.8,46.5,58.29,61,62,63.11en95.1.Omdatsector58.29heelweinigbedrijvenomvat,zijnbedrijvenmetdezeSBI-codeomwillevanvertrouwelijkheidvandedatabuitenbeschouwinggelatenindeberekening.HetBTW-bestandisinditonderzoekgebruiktomdeomzetendeexportvanbedrijventeachterhalen.IndeBTW-bestandenvanhetCBSzijnallestatistischeeenhedenopgenomenwaarvaninformatieuitdeomzetbelastingbeschikbaaris.Dezeinformatieomvatookdevoorditonderzoekrelevanteomzetenexportvanbedrijven.Dedataisafkomstiguitderegistratievandebelastingdienst,zodathetdatabestandeenintegralewaarnemingisvanallebedrijveninNederlanddieeenBTW-verplichtinghebben.AllebedrijveninditbestandzijnvoorzienvaneenBEID,zodatereenkoppelingkanwordengemaaktmethetABR.Inhetintegralebestand‘BanenenlonenvanwerknemersinNederland’(SPOLISBUS)zijnkwantitatieveenkwalitatievegegevensopgenomenoverbanenenlonenvanwerknemersbijNederlandsebedrijven.OokinditbestandzijnallebedrijvenvoorzienvaneenBEID,zodatdewerkgelegenheidvoorelkbedrijfkanwordenbepaaldenkanwordengekoppeldmethetABR.Hierbijwordtrekeninggehoudenmetdedeeltijdfactorendeaardvandebaan(stagiairswordenhierinbijvoorbeeldnietmeegenomen).NahetcombinerenvandezedriedatabestandenresteerteenanalysebestandmetbedrijvenuitdeICT-sectorzien,waarvoorhetaantalbedrijven,deomzet,deexportendewerkgelegenheidisbepaald.Tabel16enTabel17latendezestatistiekenvoor2010en2013zien.Ookdetoegevoegdewaardeisopgenomenindetabellen.Omdetoegevoegdewaardetebepalen(schatten)isgebruikgemaaktvandeverhoudingtoegevoegdewaardeenomzetindemetdeSBI-codescorresponderendeSBI-2codes(d.w.z.SBI-codes26,46,61,62,63en95).

Definitief



Tabel16 OmvangvandeICT-sectorin2010

SBI-code Aantal bedrijven

Omzet (mld.)

Toegevoegde waarde (mld.)**

Export (mld.)

Werkgelegenheid (fte)

ICT-goederen* 784 € 3,5 € 0,6 € 2,3 9.342

Groothandel ICT 7.251 € 27,6 € 15,6 € 12,1 37.700

Telecommunicatie 1.358 € 8,7 € 4,6 € 1,3 16.614

Dienstverlening informatietechnologie 37.362 € 16,8 € 9,7 € 2,0 93.386

Gegevensverwerking, webhosting, e.d. 3.048 € 0,6 € 0,4 € 0,2 2.309

Reparatie van computers e.d. 1.392 € 0,2 € 0,1 € 0,0 1.311

Totaal 51.195 € 57,5 € 31,1 € 17,9 160.662

Bron: SEOEconomischOnderzoeko.b.v.CBS(2016)

*DezegroepslaatnietopallebedrijvenmetSBI-code26,maaromvatalleenbedrijvenmetSBI-code26.1,26.2,

26.3,26.4of26.8.

**Omdetoegevoegdewaardeteschattenisgebruikgemaaktvandeverhoudingtoegevoegdewaardeen

omzetindemetdeSBI-codescorresponderendeSBI-2codes.

Tabel17 OmvangvandeICT-sectorin2013

SBI-code Aantal bedrijven

Omzet (mld.)

Toegevoegde waarde (mld.)**

Export (mld.)

Werkgelegenheid (fte)

ICT-goederen* 849 € 3,4 € 0,4 € 2,5 8.220

Groothandel ICT 6.588 € 35,6 € 20,1 € 17,5 40.240

Telecommunicatie 1.328 € 9,1 € 4,7 € 1,1 12.888

Dienstverlening informatietechnologie 47.781 € 21,3 € 12,2 € 4,6 97.948

Gegevensverwerking, webhosting, e.d. 4.717 x x x 4.350

Reparatie van computers e.d. 1.846 € 0,2 € 0,1 € 0,1 1.214

Totaal 63.109 x x x 164.860

Bron: SEOEconomischOnderzoeko.b.v.CBS(2016)

*DezegroepslaatnietopallebedrijvenmetSBI-code26,maaromvatalleenbedrijvenmetSBI-code26.1,26.2,

26.3,26.4of26.8.

**Omdetoegevoegdewaardeteschattenisgebruikgemaaktvandeverhoudingtoegevoegdewaardeen

omzetindemetdeSBI-codescorresponderendeSBI-2codes.

In2013zijndeomzet,toegevoegdewaardeenexportvansector‘Gegevensverwerking,webhosting,e.d.’omwillevanvertrouwelijkheidnietbekend.Welisdewerkgelegenheidvandesectorbekend.OmtochtoteentotaaltekomenindeICTsectorvooromzetenexportisaangenomendatdeverhoudingtussendewerkgelegenheidendeomzetenexportindezesectorgelijkisaandeverhoudingenindeICT-sectoralsgeheel.Ditresulteertvoordezesectorineengeschatteomzetvan€1,5miljardeneenexportvan€0,4miljard.Detoegevoegdewaarde(wederomaandehandvanSBI-2codes)komtvoordezesectorvervolgensop€0,8miljard.

Definitief



InTabel18enTabel19isdeinternationalehandelinICT-goedereninrespectievelijk2010en2013weergegeven.Datazijnuitgedraaidvandestatistiekvandeinternationalehandelingoederen(IHG).DepopulatievandeIHGbestaatuitalleondernemingeninNederlanddieeenbtw-nummerhebbenenmethetbuitenlandhandeleningoederen.Bedrijvendievoordeinvoeruit-ofdeuitvoernaar-lidstatenvandeEUeenbedragvan900.000,-europerjaaroverschrijdenzijnverplichtmaandelijkseenstatistiekopgaveaanhetCBSteverstrekken.Dehandelvanbedrijvenmetminderhandelwordtgeschatmethulpinformatie.Bedrijvendiemetniet-EUlandenhandelen,leverenhuninformatiedirectaanhetCBSofindirectviadedouane.DehandelisuitgesplitstnaarSBI-sectorengebaseerdopdeproductlijstzoalsweergegeveninTabel20.DezeproductenzijnzogekozendatdezeovereenkomenmetdeactiviteitenvanbedrijvenmeteenSBI-codebinnendeICT-sector.Eenaantalsectorenbevatgeeninformatieoverdeinvoer,uitvoeren/ofwederuitvoer,omdatdezeeenbedrijfbevattendatmeerdandehelftvandetotaleinvoer/uitvoer/wederuitvoerindesectorvertegenwoordigt.WelzijndetotalenbeschikbaarvoordeheleICT-sector.

Tabel18 InternationalehandelinICT-goederendoorNederlandseondernemingenin2010

SBI-sector Invoer Uitvoer Wederuitvoer Aantal bedrijven

A € 0 € 0 x 132

B x € 1 € 0 287

C € 2.464 € 3.355 € 1.957 37.050

D € 4 x x 134

E x € 6 € 6 152

F € 74 € 28 x 2.399

G € 12.568 € 14.955 € 13.686 106.352

H € 13.718 € 1.915 € 1.752 14.450

I € 1 € 0 € 0 277

J € 1.393 € 825 € 577 14.042

K € 131 € 120 € 112 4.608

L x € 7 € 6 641

M € 1.172 € 1.943 € 1.730 28.349

N € 31 € 5 x 2.054

O € 103 x x 283

P € 6 € 2 x 895

Q € 1 x x 449

R € 4 € 0 € 0 507

S € 63 x x 1.366

T x x x 87

Totaal € 31.879 € 23.400 € 20.100 214.514

Bron:SEOEconomischOnderzoeko.b.v.CBS(2016)

Definitief



Tabel19 InternationalehandelinICT-goederendoorNederlandseondernemingenin2013

SBI-sector Invoer Uitvoer Wederuitvoer Aantal bedrijven

A € 0 € 1 € 0 150

B € 1 € 3 € 0 329

C € 1.431 € 2.273 € 1.209 36.613

D € 12 x x 164

E € 3 € 12 x 124

F € 84 € 36 € 24 3.922

G € 15.708 € 13.876 € 12.706 114.808

H € 6.504 € 1.892 € 1.791 13.279

I € 2 x € 0 277

J € 2.665 € 1.325 € 949 16.423

K € 66 € 82 € 75 4.785

L x € 5 € 5 416

M € 410 € 455 € 282 19.112

N € 28 x € 5 1.684

O € 65 € 0 € 0 686

P € 8 € 3 € 0 1.117

Q € 3 € 0 € 0 601

R € 3 € 1 € 0 873

S x € 28 € 23 1.860

T x x x 13

Totaal € 27.032 € 20.016 € 17.071 217.236

Bron:SEOEconomischOnderzoeko.b.v.CBS(2016)

Definitief



Tabel20 ProductcodesvanICT-goederen,overeenkomstigmetdevoorhetonderzoekgebruikteSBI-codes

vanICT-bedrijven.

Productgroep Productcodes (6-cijferig) 8443 .31 .32 8470 .50 8471 .41 .49 .50 .60 .70 .80 .90 8472 .90 8473 .29 .30 .40 .50 8511 .90 8512 .90 8517 .11 .12 .18 .61 .62 .69 .70 8518 .10 .21 .22 .29 .30 .40 .50 .90 8519 .20 .30 .50 .81 .89 8521 .10 .90 8522 .10 .90 8523 .21 .29 .41 .49 .51 .52 8525 .50 .60 .80 8527 .12 .13 .19 .21 .29 .91 .92 .99 8528 .41 .49 .51 .59 .61 .69 .71 .72 .73 8529 .10 .90 8530 .90 8531 .10 .90 8532 .10 .21 .22 .23 .24 .25 .29 .30 .90 8533 .10 .21 .29 .31 .39 .40 .90 8534 .00 8536 .70 8540 .11 .12 .20 .40 .60 .71 .79 .81 .89 .91 .99

8541 .10 .21 .29 .30 .40 .50 .60 .90 8542 .31 .32 .33 .39 .90 8543 .90 8548 .90 9013 .10 .20 .80 .90 9504 .50

Bron:SEOEconomischOnderzoeko.b.v.Eurostat(2016)

Definitief



C2. Vragenlijst1. Opwelkeactiviteit(en)isuworganisatiegericht?Graagalleactiviteitenaanvinkendieop

uworganisatievantoepassingzijn.a. Vervaardigingvanelektronischecomponenten,printplaten,computersen

randapparatuur,communicatieapparatuur,consumentenelektronicaofinformatiedragers

b. GroothandelinICT-apparatuurc. Uitgevenvansoftwared. Draadgebondentelecommunicatiee. Draadlozetelecommunicatief. Telecommunicatieviasatellietg. Overigetelecommunicatieh. Dienstverlenendeactiviteitenophetgebiedvaninformatietechnologiei. Reparatievancomputersencommunicatieapparatuurj. Overige,namelijk...{openantwoordveld}k. GeenICT-activiteiten

2. Houdtuworganisatiezichbezigmethetleverenvanproductenen/ofdienstengerichtophetverhogenvanhetniveauvancybersecurity?{Ja,Nee,Weetniet}

3. Ugeeftaandatuworganisatiezichbezighoudtmetactiviteitengerichtophetverhogenvancybersecurity.Welkeonderstaandecybersecuritydienstenen-productenlevertuworganisatie?Graagallemogelijkhedenaanvinkendieopuworganisatievantoepassingzijn.

Definitief



Identity, privacy and trust management

Producten en diensten rondom veilige digitale toegang (verlening) tot en uitwisseling van informatie

Certificaten (incl. leveranciers, CA, etc.) Advies (incl. privacy & legal) Elektronische identiteiten Biometrie Secure communication (bv. VPN, Encryptie van communicatie)

Malware and malicious infrastructures

Verzamelen en verspreiden van informatie over dreigingen en kwetsbaarheden, en de organisaties daarachter.

Intelligence Honeypots Media (vakbladen, nieuwsbrieven, etc.) Secure Intelligent Sharing (platformen)


Producten en diensten rondom preventie, detecteren en monitoren van digitale aanvallen.

Detectie- / Monitoringdiensten / SIEM Detectieproducten (virusscanners / IDS) Preventiediensten (PEN-Testen / ethical hacking) Preventieproducten (IPS / Firewalls)


Producten en diensten rondom het vaststellen van sporen van aanvallen en/of fraude. Inclusief (crisis)beheersing en herstel na afloop.

Sporenonderzoek & analyse Fraudeonderzoek Opsporing CERT / Incident & Response Management Recovery


Producten en diensten rondom opslag en gebruik van data (inclusief regels/beleid), zo dat kan worden voldaan aan toepasselijke wet- en regelgeving en risicobeleid (compliance) en de beheersing daarvan.

Cybersecurity binnen hostingdiensten (cloud) Governance, Risk & Compliance diensten Secure Document Management Data-encryptie Juridisch advies rondom data-opslag Authenticatie/ autorisatie-producten (DC-kant) ‘Outsourced’ Security Management (SOC/ Updates & Patching /Professional Services) Awareness / Opleiden, trainen & oefenen

Risk Management, Economics & Regulation

Producten en diensten rondom gebruik van ICT-voorzieningen (inclusief regels/beleid), zo dat kan worden voldaan aan toepasselijke wet- en regelgeving en risicobeleid. Inclusief afhandeling excepties en bedrijfseconomische aspecten (aansprakelijkheid, risico vs. schade).

Certificeringen (ISO, Common Criteria, Privacy) Cyberverzekeringen Legal (aansprakelijkheid, corporate liability) Risk Management & Compliance BCM-/ en weerbaarheidsadvies Mobile Device Management


Producten en diensten rondom het veilig (laten) ontwerpen en bouwen van ICT-voorzieningen (hard- en software).

Secure Software ontwerp en bouw Secure Hardware ontwerp en bouw Secure Operating Systems Beveiliging rondom SCADA/ PCS Internet of Things Security

Offensive Cyber capabilities Producten en diensten rondom het pen-testen en aanvallen van ICT-voorzieningen (hard- en software)

Producten/diensten tbv Defensie-/Politie-/ Inlichtingen- en veiligheidsdiensten Spyshops

Overig Namelijk…..{open antwoordveld}

4. Ugeeftaandatuworganisatiezichbezighoudtmetactiviteitenvoorhetverhogenvan

cybersecuritybijafnemers.Ongeveerwelkegedeelte(inpercentage)vandenettoomzetvanuworganisatiein2014heeftuworganisatieverkregendoordehierbovenaangevinkteactiviteiten?

5. Ongeveerwelkegedeelte(inpercentage)vandenettoomzetvanuworganisatiein2010heeftuworganisatieverkregendoordehierbovenaangevinkteactiviteiten?

Definitief



6. Voorhetonderzoekwillenweeeninzichtkrijgenindeontwikkelingvancybersecurityindekomende3tot5jaar.Methoeveelprocentverwachtudatdenettoomzetvanuworganisatiedooractiviteitenrondomcybersecurityjaarlijkszalveranderen?

7. Bijwelkevanonderstaandecybersecuritydienstenen-productenverwachtudekomende3tot5jaardemeestegroei?Ziedezelfdelijstzoalsbijvraag3.

8. Inhoeverreverwachtudatdevolgendeontwikkelingeneennegatiefeffectzullenhebbenopdeomzetvanactiviteitenrondomcybersecurity?{‘Helemaalniet’,‘Nauwelijks’,‘Inredelijkemate’,‘Inhogemate’,‘Inzeerhogemate’;en‘weetniet/geenmening’}a. Tekortaangekwalificeerdpersoneelb. Concurrentievanbuitenlandsepartijenc. Afnamegebruikinternetd. Overige{...}

9. Hoeveelpersoneelsleden,uitgedruktinvoltijdbanen(fte),zijnactiefindeNederlandsevestiging(en)vanuworganisatie?

10. Watwasdenettoomzet,uitgedruktinmiljoeneneuro,vandeNederlandsevestiging(en)vanuworganisatiein2014?

11. Watisuwfunctiebinnenuworganisatie?a. Directeurb. Adjunct-directeurc. Hoofdfinanciëlezakend. HoofdICT-afdelinge. Hoofdfacilitairedienstf. Salesmanagerg. Productmanagerh. Overige,namelijk...{openantwoordveld}

Definitief



D Onderzoeksverantwoordingwaardevancybersecurity

Dezebijlagevormtdeachtergrondvoorhoofdstuk4Uitstralingenvestigingsklimaat.

D1. MethodenomdewaardevancybersecurityteschattenEriseenaantalmethodenvoorhetmetenvandewaardevancybersecuritygeformuleerd,zoals(1)debetalingsbereidheidvandeafnemersvancyberproductenen-diensten,eensoortverzekeringspremie,(2)deinvesteringenincybersecurityen(3)hetaantalcyberincidentenen-schade.Eeneerstemethodewaarmeedewaardevancybersecuritykanwordenbepaaldisdebetalingsbereidheid(willingnesstopay,WTP)voormaatregelendiedecybersecurityverhogen(zievooreenoverzichtvanwaarderingsmethodenindecontextvanleveringszekerheidVanderNolletal.,2010).Erzijnverschillendemethodenomdebetalingsbereidheidvooreenhogerniveauvanveiligheidtebepalen.Debetalingsbereidheidkandooreen“uitgesprokenvoorkeur”gemetenworden(Moore&Anderson,2011).TijdenseenenquêtegevenafnemersvanproductenendienstenaanwathunbetalingsbereidheidisvooreenveilignetwerkofveiligereICT-producten.Uitgesprokenvoorkeurenkennenechtermethodologischebezwaren.Daarnaastkanbetalingsbereidheidgezienwordenookalseenvormvanpreventieomcyberschadedoorcyberonveiligheidtevoorkomen.Ditiseensoortverzekeringspremie.Eentweedemethodeisomtekijkennaarinvesteringenincybersecuritydoorhetbedrijfslevenendeoverheid.Dezeinvesteringenzijnookeenproxyvoordewaardevandeverminderingvanhetcyberrisico.Daarnaastsignalerendezeinvesteringendeverantwoordelijkheiddiedeeconomieneemtvoordeverminderingvandekansenopcyberincidenten.Eenderdemethodeisgebaseerdopdaadwerkelijkeincidentenenschadekostendooronvoldoendecybersecurity.13Dezebenaderingdektdewaardevancybersecurityslechtsgedeeltelijk.Maarvoordezestudielijktdezemethodeeenhaalbareproxytegevenvoordewaardevancybersecurity.Indevolgendeparagrafenwordendezemethodennadertoegelicht.

D.1.1 MetenvanbetalingsbereidheiddooruitgesprokenvoorkeurenDemeestvanzelfsprekendemethodezoukunnenzijnalsdeafnemersvancybersecuritydienstenen-productenzoudenkunnenaangevenhoeveelzijnbereidzijnomvooreenhogerniveauvanveiligheidtebetalen.Metanderewoordenalsdeafnemershunvoorkeurzoudenkunnenuitspreken.Erisslechtséénstudiebekenddiedeuitgesprokenvoorkeurenvanafnemersmeet.Roweetal.(2011)laatziendatAmerikaanseconsumentenbereidzijnomvoorinternettoegang

13 Hetisgebruikelijkompreventiekostenenschadekostenalsmaatstaftegebruikenvoorhet

kwantificerenvanuitstralingseffecten.Hetmilieubeleidishiervaneenvoorbeeld.ZiebijvoorbeeldCEDelft

(2010),Handboekschaduwprijzen.

Definitief



meteenhogerniveauvancybersecurityextratebetalen.Viaeenvignettenanalyse14werdenconsumentengevraagdhoeveelzezoudenbetalenvoorverbeteringeninhetISP-veiligheidsbeleid,of,alsalternatief,methoeveelzezoudenmoetenwordengecompenseerdomongunstigewijzigingeninhetISP-beleidteaccepteren.ZoalsTabel21geeft,zijnmensenbereidomtussen2,94en6,51dollarpermaandtebetalen,afhankelijkvandetypeveiligheidsverbetering.

Tabel21 Amerikanenzijnbereidomvoorveiligerinternettoegangtebetalen

Bron:Roweetal.(2011).

Dezeonderzoeksresultatenvormeneentebeperktebasisvoortoepassinginditonderzoek.

D.1.2 Relatietussenschadeenwaarde:eenverzekeringspremieVoorhetmetenvanbetalingsbereidheidkanergekekenwordennaardepreventieveuitgaven.Inwelkgevalzijnhuishoudensofbedrijvenbereidompreventiefgelduittegeven?Zezullenalleenpreventieveuitgavenwillendoenzolanghetverwachtenutvandezeuitgavengroterisdandekosten.Debetalingsbereidheidomdergelijkeuitgaventedoengeeftdaneenindicatievandeminimalekostenvanhetschadelijkeeffectendusvandewaardevandemitigatievanhetschadelijkeeffect.Alseenhuishouden€100perjaaruitgeeftomdecybersecurityteverhogenvanniveau1naarniveau2,danisdewaardevandezeveiligheid€100ofmeer.Dewaardekanookbijvoorbeeld€120zijn(indatgevalbehaalthethuishoudeneensurplus);alsdewaardevandeveiligheid€80zouzijn,zouhethuishoudengeen€100betalen.Watisderelatietussendebetalingsbereidheidomcyberschadetevoorkomenencyberschadediezichdaadwerkelijkheeftvoorgedaan?Voorditvraagstukishetnietmogelijkom,zoalsindemilieukundewelhetgevalis,eenschaduwprijsteberekenen(zieBruynetal.,2010).De

14 Doormiddelvanvignettenanalyse(ookweleenconjointanalysisgenoemd)wordenmensen

ondervraagdoverhunvoorkeuren.Deanalyseisgebaseerdopeenenquête.Vaakkunnendievoorkeurenop

demarktgeobserveerdwordenuitaankoopgedrag.Alsmarktgedragechternietgemetenkanwordenomdat

er(nog)geenmarktis,kaneenvignettenanalyseuitkomstbieden.Tijdenshetonderzoekbestaatdekansop

strategischofsociaalwenselijkantwoordgedrag.Meteenvignettenanalysewordtdiekanssterkverkleind.

27

4.3.3 Willingness to Pay for Improvements in ISP Security Package Features

The first research question we explored in the demand assessment was how much

individuals would pay to achieve improvements in ISP security policy attributes (or

alternatively, how much they would have to be compensated to accept unfavorable changes in

ISP policies). We estimate how much respondents would be willing to pay (on average) for

improvements in attribute levels by dividing the difference between the part-worth utilities

associated with each level by the marginal utility of income.8 For example, the mean

willingness to pay to move from allowing an ISP to entirely cut off one’s Internet access to

never allowing an ISP to restrict one’s access is estimated to be $4.32 per month.

Alternatively, this can be considered as the amount respondents would have to be paid on

average to switch their preference from an ISP security policy in which the ISP is never able to

restrict Internet access to an ISP security policy in which the ISP is able to entirely cut off

access (all else being held constant).

We used the formula described above to convert the preferences parameter estimates in

Table 6 into willingness to pay estimates. Table 7 shows the mean willingness to pay (WTP)

for changes in each ISP security strategy from their least to their most favored level along with

95 percent confidence intervals. In terms of nonmonetary costs associated with ISP security

policies, respondents were only willing to pay $0.73 per month to avoid 1 hour time spent

complying with ISP security requirements. Or, alternatively, respondents would have to be paid

$0.73 per month to accept such requirements (all else being held constant). This would

represent less than a 2 percent decrease in the mean monthly broadband bill.

Table 7. Mean Willingness to Pay for Improvements in ISP Security Package Features

Estimated WTP

($/month)

95% Confidence

Interval

Time Spent Complying with ISP Security Requirements: WTP to avoid 1 hour of time complying with security requirements

0.73 [0.57 to 0.92]

Limiting Internet Access: WTP to move from ISP being able to entirely restrict access to not restrict access at all

4.32 [3.72 to 4.92]

Risk of Computer Shutting Down or Crashing: WTP to move from not reduced to greatly reduced

4.40 [3.83 to 4.97]

Risk of Identity Theft: WTP to go from not reduced to greatly reduced 6.51 [5.86 to 7.16]

Risk to Other Individuals and Businesses: WTP to go from not reduced to greatly reduced

2.94 [2.44 to 3.45]

Note: 95% confidence interval was estimated using Krinsky-Robb parametric bootstrapping technique.

8 The intuition behind this calculation is that the difference between the part-worth utilities of the two levels under

consideration provides you with the number of “utils” gained from making the plan change. These “utils” are

converted to monetary units by dividing by the marginal utility of income.

Definitief



schaduwprijswordtdaarberekendpereenheideffect(bijvoorbeelduitstootvaneenkilogramschadelijkestof).Indecontextvancybersecurityzijnerechternoggeeneenhedenvastgesteldommeeterekenen.Omdevertaalslagtemakenvandeschadedoorincidentennaarbetalingsbereidheidvoorcybersecurity,zijnkansenenrisicovoorkeurennodig.Eenvoorbeeldmaaktdithelder.Steldateenonderneminginjaartisgetroffendooreencyberincidentdat€100.000heeftgekost(directeuitgavenmaarookindirectekosten,bijvoorbeeldreputatieschade).Alsdeondernemingbijaanvangvanhetjaarervolledigzekervanzouzijndathetincidentzouplaatsvinden(enookdekostenervangoedzoukunneninschatten),zoudeondernemingtot€100.000willenbetalenomhetincidenttevoorkomen.Debetalingsbereidheidisindatgevaldus€100.000endewaardevanhetverhogenvandeveiligheid(hetvoorkomenvanhetincident)kanopbasisvandiebetalingsbereidheidvastgesteldworden.Dekansvaneenincidentisechterkleinerdan1endebetalingsbereidheiddusooklagerdan€100.000.Wanneerdekansophetincident0,5zouzijnendeondernemerrisiconeutraal,zoudeverwachtewaardevandeschade€50.000zijn.Deondernemerzouindatgevaltot€50.000willenbetalenomhetrisicowegtenemen.Dewaarschijnlijkheidvanincidentenenrisicovoorkeurenzijnechteronbekend.Wewetenwelwelkpercentagevandebevolkingtemakenheeftgehadmeteenbepaaldtypeincident(zieenkeletabellenindevolgendesectie).Eenrekenvoorbeelduitgaandevanrisiconeutralepreferentieskandangemaaktworden.Neemaandaterperperiodeéénincidentplaatsvindtineenpopulatiemet100huishoudens.Hetvermogenvanhetgetroffenhuishoudendaaltmet€1.000wanneerhetincidentzichvoordoet.Eenverzekeringsproductmeteenpremievan€10perhuishoudendie€1.000uitkeertwanneerhetincidentplaatsvindt,zoudandoorallehuishoudenswordenaangeschaft.Deopgeteldepreventieveuitgavenzijnindatgevaldus€1.000.Dewaardevanhetvoorkomenvanhetincidentisinditrekenvoorbeeldgelijkaandevermogensschadediehetincidentveroorzaakt.Indepraktijkkunnenerechterook2ofmeerincidentenindeperiodevoorkomen.Inditgevalmaaktdeverzekeraarnaarverwachtingverlies.Wanneerdekansverdelingookdemogelijkheidtoestaatdathetincidenthelemaalnietplaatsvindt,danmaaktdeverzekeraarwinst.Dekostenvaneenincidentoverschattenindatgevaldewaardevanveiligheid.Dekostenvaneenincidentdatplaatsvindtinperiodetkunnendusnietzondermeerwordengeïnterpreteerdalsdewaardevanveiligheidinperiodet.Deperiodewaarbinnendeincidentenwordengeregistreerdmoetlanggenoeggekozenwordenzodatdewaargenomenfrequentiedekansverdelingbeterbenadert.Cyberverzekeringbestaatallanger(OECD,2015,Andersonetal.2013,RANDEurope,2015).Eenvormvanverzekeringisdatbedrijvenhetrisico,gekoppeldaantechnologischeontwikkeling,eenonderdeelmakenvanhunrisicomanagementstrategieën.Deverzekeringsmarktontwikkeltzichindezerichting.1516Ditgebeurtookalsresponsopdekostendieeenmeldplichtveroorzaken

15 Bijvoorbeeld:http://www.aon.com/netherlands/cyberrisico/verzekering/#;

http://www.nu.nl/mkb/3800345/mkb-kan-zich-verzekeren-cybercrime.htmlof

Definitief



(bijvoorbeeldomconsumententeinformerenovereenincidentofreputatieschadeenjuridischekostentengevolgvanaansprakelijkheidtevoorkomen).

D.1.3 Investeringenincybersecurity

EenrecentestudievanRANDEurope(2015)kijktnaarinvesteringenincybersecuritydoorhetbedrijfsleven.Privéinvesteringensignalerennamelijkdeverantwoordelijkheiddiedeeconomieneemtvoordeverminderingvandecyberrisico’s.Verantwoordelijkheidbetreftdemoeitediebedrijvennemenomverschillendetypemarktfalen(zoalsinformatieasymmetrieenexternaliteiten;Moore&Anderson,2011,Kox&Straathof,2009)teinternaliseren.DeRAND-studieanalyseertinvesteringsprikkelsendematevaninvesteringenin12vitalesectoren,zoalsenergie,telecommunicatieenICT,drinkwater,voedsel,gezondheid,financieel,kerenenbeherenoppervlakwater,rechtsorde,openbaarbestuur,transportenchemischeennucleaireindustrie.Uitdeinterviewsdieindiestudiezijnuitgevoerd,blijktdatdebelangrijksteredenvoorinvesteringendeangstisvoorreputatieschade.Diewordtmogelijkgroterdoordemeldplichtvanaf2016.Ookzijnbedrijvenbangvoormogelijkerechtszakenvanwegeaansprakelijkheid(NB:ditiseenredenwaaromdeeerdergenoemdeverzekeringeengrotererolzoukunnenspelenbinnenhetrisicomanagementvanorganisaties).Daarnaastinvesterenbedrijvenincybersecurityomdekansopeencyberaanvalenschadedaarvanteverminderen.Hetmetenvandehoogtevandeinvesteringenblijktechtermoeilijkomvierreden.Teneerste,erisgeenultiemedefinitievancybersecurity.Tentweede,erisgeenduidelijkkostenmodel.Tenderde,cybersecurityheeftbetrekkingoppreventie,detectieenherstelendusopeendiversiteitvanorganisatiesmetverschillendeproductenendiensten.Tenvierde,cybersecurityvormteenintegraalonderdeelvandebedrijfsvoering.Daardoorishetmoeilijkomcyberuitgaventeisolerenvanandereprojecten,processenenproducten.OmdezeredenenheeftdeRAND-studiegeenbedragvoorinvesteringenincybersecuritykunnenberekenen.

D.1.4 Cyberincidentenen-schade

DeeconomischeimpactvaneensterkecybersecuritysectoropNederlandsebedrijvenkangemetenwordendoordedaadwerkelijkeincidentenenschadekostendooronvoldoendecybersecurityteberekenen.Ditiseensimpelemethodeomdewaardevancybersecuritytemeten.Denkhierbijaandeschadediesectorenhebbentengevolgevancyberincidentenenanderevormenvandigitaleonveiligheid.Dezekostenzijndeopportuniteitskostenvanonvoldoendeveiligheid(vooreenuitgebreidkaderomcyberkostentemetenzieAndersonetal.,2013;exercitieuitgevoerdvoorEngelandendeVS).Menmoethierbijoplettenmetde

https://www.cyberrisicoverzekering.nl/pdf/Virtuele_risico_echte_schade_over_het_verzekeren_van_cyberris

ico.pdf16 NB:Decybersecuritysectorkanookhetfunctionerenvandeverzekeringsmarktbeïnvloeden,

bijvoorbeeldhoehoogdemargeisindezemarkt.Deanalysevandeverzekeringspremievaltechterbuitende

scopevandezestudie.

Definitief



interpretatievanschade.Schadevoorhetenebedrijfkannamelijkwinstzijnvoorbijvoorbeeldeenconcurrent(denkaanuitvalvaneene-commercewebsite).Daarnaastisdeschadenietdirectvertaalbaarnaardebetalingsbereidheidvanconsumentenenbedrijven(zieeerdereparagraaf).Uiteindelijkisdemetingsterkafhankelijkvandeverschillendedefinitiesenbeschikbareinformatie.MetdezebezwarenmiktdezenotitiedeomvangvanschadevancybercrimeinNederlandinkaarttebrengen.

D2. Cyberincidentenen-schadealsproxy

OminkaarttebrengenhoeveelcyberincidentenhebbenplaatsgevondeninNederlandindeafgelopen5jaarenwatdemogelijkeschadeervanis,wordtgebruikgemaaktvanverschillendebronnen.Teneersteiseenoverzichtvanstudiesgemaaktoverschadetengevolgevancybercriminaliteit.Tentweedezijnstatistiekenovercyberincidentengeanalyseerd.HetCBS,deDNBenECB,consultancy-enICT-bedrijvenhebbenerstatistiekenoverbeschikbaar.Dezestatistiekenzijnechteronvolledig.Namelijkzijnereenverschillendedefinitiesenmethodenbetreffendhetmetenvanincidentenenschade.Dezetekortkomingenstaanapartgenoemdineenparagraaf.UiteindelijkrichtdezestudiezichopNederlandmeteenmediasearch.MeteenmediasearchinLexisNexis,debelangrijkstemediamonitor,iseenlijstvanalleincidenteneneenbeeldvandecyberschadeopgesteld.Aanheteindvandezeparagraaftrekkenweconclusies.

D.2.1 Definitiesencategorisaties

VolgensdedefinitievandeNationaleCybersecurityStrategie(V&J,2013)betreftcybersecurityhetvoorkomenvanincidentendoorverstoring,uitvalofmisbruikvanICT.Incidentenwordenveroorzaaktdoorcybercriminelenmaarookzondereenmoedwilligedader.Indezenotitiewordtvoornamelijknaarincidentenviacybercrimegekeken.Watiscybercrime?Eenaantalstudieswijstuitdathiergeeneenduidigantwoordoptegevenis.Teneersteerisonduidelijkheidoverdeafbakeningvancybercrimeversusnon-cybercrime(Fafinskietal.,2010,RANDEurope,2015,Andersonetal.,2013).Wellichtzijndezevormenvanelkaarafhankelijk.Ookkanereenoverlapontstaan,wattoteenoverschattingleidtvandekostenvancriminaliteit.NeemhierbijalsvoorbeelddedefinitievandeCouncilofEuropeConventiononCybercrime(CECC;Fafinskietal.,2010),waarbijhetstelenvaneencomputeronvermijdelijkénbijnon-cybercrimeénbijcybercrimegeteldkanworden.HetCECCtypeertcybercrimeals:

• overtredingentegendevertrouwelijkheid,integriteitenbeschikbaarheidvancomputerdataensystemen;

• computer-gerelateerdeovertredingen;• content-gerelateerdeovertredingen.

Omeenoverschattingtevoorkomenwaarookveelnormalemisdaadondervalt,kiestdezestudievooreenconservatieveaanpakwatbetreftdeafbakeningvancybercrime.Conservatiefhoudtindatindeafbakeningslechtsdemeestvoorkomendedigitalevormenvancriminaliteitdeladingzullendekken,conformdeaanpakvanhetNCSC(2015).Ditintegenstellingtoteenafbakeningwaarkostewatkostallevormenvancybercrimeinmoetenvallen.

Definitief



Tentweedeerisonduidelijkheidoverdeverschillendecategorieënbinnencybercrime(Fafinskietal.,2010).Erkaneenonderscheidwordengemaakttussenzogenoemdemanifestatiesenmiddelen(NCSC,2015).Manifestatieszijnbijvoorbeeld:verstoringvanICT,digitalespionage,diefstalvaninformatieendiefstalvanfinanciëlemiddelen.Demiddelenzijndemanierenwaaropeenmanifestatieisbereikt,bijvoorbeeldransomware,spam,spyware,defacing,DistributedDenialofService(DDoS),phishing,hackingoffraude(zieTabel26vooreenlong-listvanmiddelen).Hetisnietduidelijkofeenincidentaltijdinéénmanifestatiepastofdooréénmiddelveroorzaaktwordt.Ditiszeerafhankelijkvandespecifiekedefinitiesdiegebruiktworden.Zokanzonderverderespecificatiedigitalespionageookgeldenalsdiefstalvaninformatieenkanransomwareverspreidtwordendoorspam.Indezestudiekiezenwedaaromvooreenaanpakwaarbijwordtgekekenalleennaardefrequentieofomvangvanbepaaldecybercrimemiddelen,zonderietstekunnenzeggenovereentotaalvandecategorieënbijelkaar,conformdeaanpakvanhetCBS(2015c).

Uiteindelijkverschillendecategorisatiesvanbijnaallepublicatiesenstatistiekenomdatzewordengebruiktvoorverschillendedoeleinden.Demeestebronnenfocussenslechtsopéén(eigen)categorisatieopbasisvanmiddelen(zieTabel26vooreenlong-listvandefinitiesenTabel27t/mTabel30voordedefinitiesvanorganisatiesdiedeinformatiebronnenzijnvandezestudie).

D.2.2 InformatiebronnenNaastdedefinitiesverschillenookdeinformatiebronnen.Beschikbaredataoverdecyberschadeisgefragmenteerdenmoeilijktevergelijken.Daarnaastisergeenmanieromdedataoptetellen.DaaromvergelijktdezestudieeenaantalNederlandseeninternationalebronnenzondertestrevennaarvolledigheid.

STUDIESDestudieszijnafkomstigvanstatistischebureaus,bedrijven,overheden,verenigingenenwetenschappelijketijdschriften.

STATISTIEKENDestatistiekenzijnafkomstigvandeBetaalverenigingNederland,deDNBenECB,hetCBSenEurostat,17TNO,hetNCSC,PWC,hetPonemonInstituteeneenaantalICT-bedrijven,zoalsKasperskyLab(2014)18enIntelSecurity(2014).Tussendeverschillendebronneniseenverschilincategorisatieendemethodologievancybercrimediedestatistiekenhanteren.Vooreenaantal

17 DestatistiekenvanEurostatoverhetbedrijfslevenismindervolledigdandievanICT-en

onderzoekbureaus.DaaromstaandeEurostat-cijfersalleenindebijlage.18 KasperskyLabheeftookeenreal-timeaanvallenkaart:https://cybermap.kaspersky.com/.Indeze

kaartwordenaanvallenaangetoonddiegemetenzijndoordetectieproducten,zoalsvirusscanners.Zo'n

metingonthoudtdatnietallegenoemdeaanvallentoteenincidentenschadeleiden.Eenvergelijkbarekaart

isdievanGoogleenArborNetworks:http://www.digitalattackmap.com.

Definitief



bronnenstaatdebeschrijvingvandemethodologieindetekst.Voorderestvandebronnenisdebeschrijvinggeplaatsindebijlage(Tabel27t/mTabel30).

MEDIASEARCHVANNIEUWSARTIKELENNaastdestudiesenstatistiekenwordtgekekennaarhetaantalcyberincidenteninhetnieuws.Denieuwsartikelenzijnafkomstiguit60NederlandsekrantenuitdeLexisNexisacademischebibliotheek.19DezoekwoordenuitTabel31indeBijlagezijngebruiktomartikelentevindenindeperiode1-1-2010tot1-12-2015(zieBijlageCvooreenuitgebreidebeschrijvingvandemediasearch).Insommigegevallenkanhetonduidelijkzijnwiedeeigenaarvandeschade(slachtoffer)is.Deeconomieiszoverwevendatdeschadealtijdzijnwegzalvindennaarzowelconsumenten,bedrijvenendeoverheid.Ookalspuurwordtgekekennaardeeigenaarvandeschadekaneenprobleemontstaan.Bijvoorbeeld,alseenrekeningwordtleeggeroofdkunnenmensenindemeestegevallenhungeldterugkrijgenvandebank.Maarditzouingevallenbuitendebancairesectormeestalnietgebeuren.Bijderesultatenisvoorelktypeincidentkorttoegelichtopwelkedoelgroepdegrootsteimpactvalt.DecategorisatiebinnendemediasearchisgefocustopverschillendemiddelenvancybercrimeenisgrotendeelsovergenomenvandeEuroBarometervanTNO.Dezelijstisuitgebreidtotelfverschillendecategorieënomeenzocompleetmogelijkbeeldtegevenvanverschillendesoortenmiddelen.Dedefinitieszijnaangepastomnaastcybercrimevoorconsumentenookdegevolgenvoorbedrijvenendeoverheidinbeeldtekrijgen.Demeesteincidentenbehorentotééncategorie.Tweecategorieëndievaaksamenvallenzijn'geïnfecteerdapparaat'en'informatiehack'.Eéncategorieisnietindelijstopgenomenomdatdezeeengroteoverlapheeftmetanderecategorieën,enditisIdentiteitsfraude.ZowordtdezecategoriedoorhetCBSgetypeerdalsskimmingenphishing.Erisbeslotenomphishingalsapartecategorietevermelden,enskimmingonderdeeltelatenzijnvanonlinebankier-ofpasfraude,naarhetvoorbeeldvandeEuroBarometer.Viercategorieënzijnwelindelijstopgenomen,maarnietapartvermeldinderesultaten,vanwegeeengebrekaansignificanteinformatieuitdemediasearch.Ditzijn:koop-enverkoopfraude,racistische/extremistische/kinder-pornografischecontent;onlineillegalehandelenillegaaldownloaden;endatalekkendoorwerknemers.

MEETFOUTENErzijnmogelijkemeetfoutendiekunnenontstaantijdenshetmetenvancybercrime,vooralomdatcijfersgebaseerdzijnopmeldingenenenquêtes(zieTabel22).Voordeconclusiesgeldendezebeperkingen.Meetfoutenkunnenwordenonderverdeeldindrieverschillendegroepen,afhankelijkvanofzetotonder-ofover-rapportageleiden,enofzewordenveroorzaaktdoorprikkels,externaliteitenofdooronwetendheid.

19 www.lexisnexis.nl

Definitief



Tabel22 Typemeetfoutenbetreffendmeldingen

Oorzaak\Gevolg Onder-rapportage Over-rapportage

Prikkels Slachtoffers Securitybedrijven

Externaliteiten Iedereen Iedereen

Onwetendheid Iedereen Iedereen

Slachtoffersenandereverantwoordelijkenhebbenprikkelsomminderschadeterapporteren,aangezienhetvoorhunkanleidentotmindervertrouwenenminderproductie(Moore&Anderson,2011).Daarnaasthebbencybersecuritybedrijvenenanderebelanghebbendenprikkelsommeerschadeterapporterenomdathetvoorhunbusinesskanleveren(Moore&Anderson,2011).Eenandereredenvooronjuisterapporteringvanschadeisexternaliteiten.Schadebijéénpartijkanzorgenvoormeerschadebijanderepartijen,vanwegeeenverminderingvanproductieofconsumptie.Ditleidttotminderschaderapporteringdandedaadwerkelijkeschade.Daarnaastkanschadebijéénpartijzorgenvoormeerwinstbijeenanderepartij,vanwegeeenverplaatsingvanproductieofconsumptie.Ditleidttotmeerschaderapporteringdandedaadwerkelijkeschade(Moore&Anderson,2011).Daarnaastwetenslachtoffersvaaknietwatdeschadeis.Bedrijvenzijngeïnformeerddatconsumentenontevredenzijnvanwegeeencyberincidentenmaarhetisingewikkeldomontevredenheidtekwantificeren.Prikkels,externaliteitenenonwetendheidkunnenleidentoteenscheefbeeldvandeechteomvangvanschade.Eenlaatsttypemeetfoutkomtvoordoorbeperkingenvanenquêtes(Florencio&Herley,2011).Hetgrootsteknelpuntbetreftdebeperkingenvaneensteekproef.Schadekannamelijkgeconcentreerdzijn(nietvooriedereengeldenindepopulatie)enkanineensteekproefworden‘gemist’ofnietrepresentatiefwordengemeten.Daarnaastalseenextreemgroteschade-eenoutlier-gerapporteerdwordt,wordtdezeschadeextrapoleerdnaardehelepopulatie.Zo'nextrapolatieleidttoteenoverschattingvandeschade.Uiteindelijkzijnveelmensenzichnietbewustdatdeschadediezeondervindenhetgevolgisvancybercrime.VooreenuitgebreideanalyseovermeetfoutenzieE-CRIME(2015).

D3. Resultaten

Zoalseerderisgenoemdkennenstatistiekenvancyberincidentenmethodologischebeperkingen,namelijkdeafwezigheidvaneeneenduidigedefinitievancybercriminaliteit,deonvolledigheidvandedataenmethodologischebeperkingenbetreffendehetmetenvandeschade.Omdezeredenisdeoptellingvanhetaantalcyberincidentenen-schadenietmogelijk.Wathieronderstaatisdeconclusievanstudies,statistiekenoverenkelemiddelendiegebruiktzijnincyberincidenteneneensamenvattingvanderesultatenvandemediasearch.Waarmogelijkiseeninternationalevergelijkingweergeven.

Definitief



D.3.1 TotaalbeeldIndemeestrecentestudievanPWC(2014)overcriminaliteitinNederlandiscybercriminaliteitvoorheteerstmeegenomenalseenapartevormvancriminaliteit.Tijdenshetonderzoekgeven875respondentenhunmeningovercybercriminaliteitbinnendeBVNederland.VolgensPWCis23procentvanbedrijvendelaatste24maandengeconfronteerdmetcybercrime.Ophetwereldniveauisditpercentage9procent.Dezevormvancriminaliteitvolgtnadiefstalvangeld,goederenenfraude(bij65procentvanbedrijven)endiefstalvaninformatie(27procent)enkomtvakervoordancorruptieenconcurrentievervalsing.14procentvanbedrijvenheeft1à5incidentenervaren,4procent6à10incidentenen5procentmeerdan10incidenten.

D.3.2 Schadepermiddelentypeslachtoffers

Ophetniveauvantypeslachtoffersisdeinformatieovercyberincidentensporadisch.HetNationaalCyberSecurityCentrum(2015)rapporteertdeverdelingvanincidententussenmiddelen.ZoalsdeafbeeldingaantoontisdeNederlandseoverheidvooralgeraaktdoorinformatielekkage(23procent)eninjectie-aanvallen(18procent).

Afbeelding14 Deoverheidisslachtoffervaninformatielekkage,privatepartijenvanphishing

Bron: NCSC(2015).

72 73

Cybersecuritybeeld Nederland 2015 | NCSCNCSC | Bijlagen

72

Figuur 17 toont een uitsplitsing van de afgehandelde incidenten per type. Hieruit blijkt dat responsible-disclosuremeldingen een substantieel aandeel vormen (26 procent). Daarna zijn NTD-meldingen de meest voorkomende incidenten. De meeste NTD-verzoeken zijn verzoeken van Nederlandse financiële instellingen om hulp bij het bestrijden van phishingaanvallen. Deze aanvallen richten zich op deze instellingen. De oorsprong bevindt zich veelal in het buitenland.

Verdeling incidenten tussen overheid en vitale sectorenHet NCSC ondersteunt zowel de Rijksoverheid als de vitale sectoren bij beveiligingsincidenten. Daarnaast treedt het NCSC op als contactpunt voor internationale hulpverzoeken met betrekking tot informatiebeveiliging.

In figuur 18 is te zien wat de opbouw is van het aantal afgehandelde incidenten, uitgesplitst naar type betrokken organisatie. De verdeling tussen private en publieke organisaties varieert niet veel gedurende de rapportageperiode. In totaal was bij 50 procent van de incidenten een publieke organisatie betrokken. Bij 40 procent ging het om een private organisatie. De resterende 10 procent betrof een internationaal hulpverzoek. Het aantal internationale hulpverzoe-ken varieert sterker gedurende de rapportageperiode, van 3 procent in april 2014 tot 16 procent in april 2015.

Figuur 19, figuur 20 en figuur 21 tonen de opbouw van de incidenten waarbij verschillende typen organisaties bij betrokken waren. Het type incidenten waarbij overheidsorganisaties en private partijen

betrokken zijn, loopt niet sterk uiteen. Wel is duidelijk dat private partijen relatief vaak om ondersteuning vragen bij phishinginciden-ten. Dit omvat bijvoorbeeld verzoeken om ondersteuning bij het onbeschikbaar maken van een phishingwebsite voor een bank. Overheden zijn vaker betrokken bij incidenten rond informatielek-ken en injectieaanvallen. Dit betreft bijvoorbeeld RD-meldingen van kwetsbaarheden in websites van overheidsorganisaties.

De internationale hulpverzoeken kennen wel een duidelijk andere opbouw. De helft van de verzoeken betreft phishing, waarbij het vaak gaat om verzoeken om phishingwebsites onbeschikbaar te maken.

Figuur 21 Type incidenten waarvoor het NCSC een internationaal hulpverzoek ontving

Figuur 19 Type incidenten waarbij een overheidspartij betrokken was

Figuur 18 Afgehandelde incidenten per maand per type organisatie

Figuur 20 Type incidenten waarbij een private partij betrokken was

120

100

80

60

40

20

0apr-14 mei-14 jun-14 jul-14 aug-14 sep-14 okt-14 nov-14 dec-14 jan-15 feb-15 mrt-15 apr-15

Publiek Privaat Internationaal

39%

Figuur 16 Afgehandelde incidenten per hulpmiddel

Phishing

Informatielekkage

Injectie-aanvallen

Malicious code


Denial of service

Botnets

Cyberspionage

Datadiefstal

Hacking/Cracking

Overige

25%

17%

13%10%

6%

6%

5%

3%

2%1%

12%

Figuur 17 Afgehandelde incidenten per type

Incidentresponse

RD-melding

NTD-verzoek

NDS-Melding

PKI-meldplicht

Overige

39%

26%

24%

4%5%

2%

Phishing

Informatielekkage

Injectie-aanvallen

Malicious code


Denial of service

Botnets

Cyberspionage

Datadiefstal

Hacking/Cracking

Overige

16%

30%

48%

6%

16%

15%

8%

0%2%2%

3%

0%

15%

8%7%

5%

5%

8%

5%

3%

2% 12%

23%

18%

10%

8%

4%

3%3%

1%2%

12%

Cybersecurityincidenten geregistreerd bij het NCSC

Onder incident verstaat het NCSC hier ‘een ICT-gerelateerd beveiligingsvoorval dat is gemeld of ontdekt waarbij zich een acuut gevaar voor of schade aan ICT-systemen of elektronische informatie voordeed, betrekking hebbend op een of meer specifieke organisaties, waarop NCSC reactief heeft opgetreden richting deze organisaties.’ Volledig geautomatiseerde meldingen vallen buiten deze definitie. Deze afbakening geeft aan dat een incident niet altijd al tot schade heeft geleid, maar ook een gevaar kan zijn zonder dat al schade is veroorzaakt. Incidenten vallen in drie soorten uiteen:

Aanval: er heeft daadwerkelijk een (poging tot een) aanval plaatsgevonden met zo mogelijk een inbreuk op de beveiliging tot gevolg. Hierbij gaat het bijvoorbeeld om hacks, malware-infecties of DDoS-aanvallen.

Dreiging: er bestaat een kwaadaardige intentie bij een actor om een aanval uit te voeren, maar deze is nog niet uitgevoerd.Kwetsbaarheid: een ICT-omgeving is kwetsbaar, als gevolg van bijvoorbeeld een fout in software, hardware of systeemconfigura-tie. Bij een kwetsbaarheid is (nog) geen sprake van een dreiging of aanval, maar er is wel gelegenheid tot misbruik.

Definitief



DoortezoekeninLexisNexisopzoektermeninTabel31indeBijlagekwamenenkeletienduizendennieuwsartikelennaarvoren.Hierzijn269incidentenuitovergeblevendoorteselecterenopuniekecybercrimeincidenten.Exacteconclusieskunnennietwordengetrokkenuitkwantitatieveopsommingen.Enkelenieuwsartikelenbenoemenéénincidentbijéénpersoonterwijlanderenieuwsartikeleneengolfvanincidentenbijmeerderepersonenbenoemen.Dedatakunnendaarentegenweleensamenvattingpercategorieondersteunen(zieAfbeelding15).Indezesamenvattingzijndeaantallenendeslachtoffersvanincidentenopgenomen.Indeafbeeldingzijnalleendetotalenvoordeperiode2010en2015weergegeven.DejaarlijkseuitsplitsingstaatinTabel40t/mBron:SEOEconomischOnderzoek

Tabel46maaropbasiservankanergeenconclusieovereentrendgetrokkenworden.

Afbeelding15 Onlinebank-enpasfraude,informatiehackenphishingzijnvakergerapporteerdinde

media

Bron: SEOEconomischOnderzoekviamediasearchindeperiode01-01-2010en01-12-2015;Aantalincidentenper

middelenentypeslachtoffer

D.3.3 ConsumentenHetCBS,TNOenGfKkijkennaardeconsumentenalsslachtoffers.InTabel23istezienwelkdeelvandeconsumentenjaarlijksinaanrakingkomtmetverschillendevormenvancybercrime(CBS,2015b).VolgenshetCBSneemthetaantalincidentenafwatidentiteitsfraude(skimmingenphishing),koop-enverkoopfraudeenhackenbetreft.

Definitief



Tabel23 MinderNederlandseconsumentenkomeninaanrakingmetcyberincidenten

2012 2013 2014 Identiteitsfraude (skimming en phishing) 1,5 1,3 0,8

Koop- en verkoopfraude 3,0 3,3 3,5 Hacken 6,0 6,2 3,5

Bron: CBS(2015b);Jaarlijkseaangiftevanverschillendetypencybercrimedoorconsumenten,inpercentagevande

bevolkingTNOanalyseertookanderetypecyberincidenten.VolgensdeEurobarometerkomteengroteregedeeltevandeNederlandsepopulatieinaanrakingmetDOS,racistischofextremistischecontentenonlinebankierfraude(zieTabel24).Maarwemoetenoplettenmetdevergelijkingtussenverschillendedatabronnen.Metnamehanterenonderzoeksinstitutenverschillendedefinitiesenmethoden.

Tabel24 MeerNederlandseconsumentenkomeninaanrakingmetcyberaanvallen

2012 2013 2014 Identiteitsdiefstal 7 5 3

Phishing 54 61 59 Koop- of verkoop fraude 9 14 16

Hacken n.a. 16 16 DoS 28 43 43

Racistisch of extremistische content 11 15 20 Online bankier fraude n.a. 7 8 Geïnfecteerd apparaat n.a. n.a. 62

Ransomware n.a. n.a. 10 Kinderporno content n.a. n.a. 6

Bron: TNOEuroBarometer(2012,2013,2015);Jaarlijkseaangiftevanverschillendetypencybercrimedoorconsumenten,inpercentagevandebevolking

GfK(2015)brengtslachtofferschapenhetvoorgenomengedragvanconsumenteninkaartviaeenenquête.OokvolgensGfKzijnongewenstee-mail,phisingenvirussendemeestvoorkomendevormenvancyberincidenten.Identiteitsdiefstalenongeoorloofdeafschrijvingviainternetbankierenkomenbijnanooitvoortussenconsumenten.EenrecentestudievanEurostat(zieEurostat,2016)analyseertinhoeverreinternetgebruikercyberincidentenervaren.In2015heeft25procentvanEuropeseinternetgebruikerproblemenervarendiegerelateerdzijnaancyberincidenten.InNederlandisditaandeelslechts11procent,detweedelaagstebinnendeEU.Demeestvoorkomendeincidentenzijnvirussen,misbruikvanpersoonlijkegegevens,financiëleverliezenenongepastewebsitesvoorkinderen.IndeafgelopenjarenishetaandeelvirussenflinkgedaaldinNederland:van23procentin2010naar6procentin2015.DitpercentageligtonderhetEuropesegemiddelde(respectievelijk31procentin2010en21procentin2015).Maartenminste20procentvandeNederlandseinternetgebruikerdoengeenonlinewinkelen,onlinebankierenofzettenhunmobieletoestellennietopeenwifi-netwerk

Definitief



vanwegebezorgdheidoverdeveiligheid.DitbetekentdatNederlandsemensenvoorzichtigerzijndanhetEuropesegemiddelde.

D.3.4 Bedrijfsleven

RecentelijkheefthetPonemonInstitute(2015)2.128mensenbinnen252bedrijveninzevenlanden20gevraagdoverhetaantalcyberincidentenendeschadedaarvan.Bijnaallegevraagdebedrijvenzijngeraaktdoorvirussenenmalware.Demeestgenoemdemiddelenveroorzakenechternietdegrootsteschadevooreenorganisatie.Eenviruskostte1.900dollareneenmalwarekostte7.400dollarvooreenorganisatie(zieAfbeelding16).Hetduursteincidentiscyberspionagedatbijna145.000dollarschadeheeftveroorzaaktvoororganisaties.Maarcyberspionagekomtsubstantieelmindervaakvoordanvirussenenmalware.

Afbeelding16 Cyberspionageveroorzaaktdegrootsteschademaarhetkomtmindervaakvoordan

andermiddelen

Bron: PonemonInstitute(2015).Schadeindollargewogendooraanvallenfrequentie.Inhaakjeshoeveelpercentagevangevraagdebedrijvenhettypeaanvalhebbenervaren.

InNederlandzijnookphishing,virussenenhackendemeestfrequentvoorkomendevormenvancybercrimebinnenhetbedrijfsleven.ZoalsAfbeelding17aantoontkomenongeveer25procentvanbedrijveninaanrakingmetphishingenvirussenen16procentmethacken.

20 Dezevenlanden:VS,Duitsland,Japan,Engeland,Brazilië,AustraliëenRusland.

Definitief



Afbeelding17 Phishingenvirussenzijndemeestgenoemdevormenvancybercrimetussen

Nederlandsebedrijven

Bron: PWC(2014).Datain%.

Integenstellingtotdeinternationaletrendervarenvoornamelijkhandel,financiëleinstellingenendeICT-sectordemeestincidenteninNederland(zieAfbeelding18).

Afbeelding18 InNederlandraaktcybercrimehandelenfinanciëleinstellingenhetmeest

Bron: PWC(2014).Datain%.

Banksector:onlinebank-enpasfraudeIndetailsisonlinebank-enpasfraudehetmeestgerapporteerd.DitisvanwegedemeldplichtnaardeEuropesecentralebanken.InTabel25istezienhoeveelfinanciëleschadeerdeafgelopenjarenisveroorzaaktdoorverschillendevormenvanonlinebank-ofpasfraude.Phishing,malwareenskimmingzijndemeestvoorkomendevormenvancriminaliteitdietotfraudeleiden.

Definitief



Tabel25 FinanciëleschadedaaltsubstantieelinNederland

2011 2012 2013 2014 Phishing n.a. 11,5 4,7 3,9 Malware n.a. 22,0 4,1 0,4 Overige n.a. 1,3 0,8 0,4

Totaal Internet bankieren 34,9 34,8 9,6 4,7

Skimming 39,0 29,0 6,8 1,3 Bron: Jaarlijksefinanciëleschadedoorphishing,malwareenskimming,inmiljoeneneuro’s;BetaalverenigingNederland(2014),DNB(2014)

Zoalsdetabellaatzienisdeschadeindebanksectorafgenomenindeperiode2011en2014.DitgebeurtdesondanksdetoenemendetendentieinEuropa(Afbeelding19enAfbeelding20).HetaantalincidentenligtinmiddelsonderhetEuropesegemiddeldeenookhetschadebedragligtonderhetEU-gemiddelde.

Afbeelding19 OndanksdestijginginEuropaneemthetaantalfrauduleuzetransactiesafinNederland

Bron: ECB(2013,2014,2015)

Definitief



Afbeelding20 DefinanciëlecyberschadeinNederlanddaaltenkomtdichterbijhetEuropese

gemiddelde

Bron: ECB(2013,2014,2015)

Indecategorieonlinebank-enpasfraudewarenerintotaal88incidenteninhetnieuws.Ditwarengrotendeelskleineincidentenwaarbijindividuengeskimdwerdenvoorhonderdentotduizendeneuro’s.Erwarenenkelemeldingenvangroeperingendievoorhonderdduizendtot2miljoeneurohebbenwetenbuittemakenbijgrotegroepenslachtoffers.Totslotwarenerookincidentenwaarbijdeonlinebankomgevingdirectwerdgemanipuleerd.Bijéénincidentin2011iseropdezewijze45miljoenverduisterdvantweebanken.Doorgebrekaaninformatieindenieuwsartikelenoverdeexacteimpactvanveelskimincidenteniserbeslotenomskimmenteclassificerenalsschadevoorconsumentenénbedrijven.Bankenvergoedenimmersondernormaleomstandighedendeschadealsergeskimdis,enkunnenreputatieschadeoplopen(DNB,2015).HetaantalincidentendatverschijntinnieuwsartikelenisveellagerdanhetaantalgerapporteerddoorDBNenECB.

Definitief



D4. Categorisatieendefinities

Tabel26 Long-listvandefinitiesvanmiddelendiegebruiktisvoordemediasearch

Categorieën Definities

Geïnfecteerdapparaat(Spyware/Sniffing/Datalek/Virus)

Cybercrimedoormiddelvanmalafidesoftware(virussen,etc.)opdecomputer/account/netwerk/website,behalveransomware

Phishing(Pharming/Malvertising/Spoofing)

Cybercrimedoormiddelvanfrauduleuzeberichten,metalsdoelominformatieofgelduiteencomputer/account/netwerk/websiteteverkrijgen

DistributedDenialofService(DDoS) CybercrimedoormiddelvanDDoSaanvallenmetalsdoelomeencomputer/account/netwerk/websitetelatencrashen

Informatiehack Cybercrimedoormiddelvanhacken,metalsdoelominformatieuiteencomputer/account/netwerk/websiteteverkrijgen

Defacementhack Cybercrimedoormiddelvanhackenmetalsdoelomeencomputer/account/netwerk/websitetetransformerenofuitteschakelen

Ransomware Cybercrimedoormiddelvanransomware(eentypemalware),metalsdoelomgeldteverkrijgeninruilvoortoegangtoteencomputer/account/netwerk/website

Onlinebank-ofpasfraude(Skimming) Cybercrimedoormiddelvanbetaalpasofonlinebankfraude

Koop-enverkoopfraude Onlinefraudewaargekochtegoederennietgeleverdofvervalstzijn,invergelijkingmethoezezijnaangeboden

Racistische/extremistische/kinderpornografischecontent

Cybercrimedoorbestaanvanillegaleaanstootgevendecontentopeencomputer/account/netwerk/website

Onlineillegalehandelenillegaaldownloaden Cybercrimedoormiddelvanillegalehandelvangoederenofdigitalepiraterijomauteursrechtelijkeinformatieteverkrijgenviaeencomputer/account/netwerk/website

Datalekdoorwerknemers Cybercrimedoormiddelvanverspreidingvanvertrouwelijkeinformatiedooreenwerknemer

Definitief



Tabel27 Categorisaties,definitiesenmethodologieCBS(2013,2014,2015c)


Identiteitsfraude Zondertoestemmingviainternetgebruikmakenvaniemandspersoonlijkegegevensvoorfinancieelgewin,bijv.voorhetopnemenofovermakenvangeld,hetafsluitenvanleningenofhetopvragenvanofficiëledocumenten.

Koop-enverkoopfraude Oplichtingviainternetbijhetkopenofverkopenvangoederen,bijv.doordatgekochtegoederennietgeleverdwerdenofnietbetaaldwerdvoorgeleverdediensten.

Hacken Bijhackenwordtermetkwadebedoelingeningebrokenofingelogdopeencomputer,emailaccount,websiteofprofielsite(bijvoorbeeldfacebookoftwitter).

Methodologie Jaarlijksesteekproefvandeveiligheidsmonitoronderpersonenvanbovende15jaaroudinNederlandseparticulierehuishoudens.doormiddelvaneenvragenlijst.Deresponswasin2012en2013,ongeveer30.000en60.000personen(CBS,2015a).

Tabel28 Categorisaties,definitiesenmethodologievandeBetaalvereniging(2014)endeDNB(2015)


Onlinebankfraudedoormalware Doormiddelvandezeschadelijkesoftwarewordennormaleonlinebetalingsprocessenbeïnvloedofwordtinformatiegestolen.Ookkomthettegenwoordigvoordatviatrojanseenvervangendepaswordtaangevraagd.

Onlinebankfraudedoorphishing Phishingishetontfutselenvanpersoonlijkeinformatie,waaronderinlogcodes.

Overige noguittevinden

Methodologie noguittevinden

Definitief



Tabel29 Categorisaties,definitiesenmethodologieTNOEuroBarometer(2012,2013,2015)


Geïnfecteerdapparaat Ontdekkingvanmalafidesoftware(virussen,etc.)opeenapparaat

Phishing Frauduleuzee-mailsoftelefoontjesontvangendievragennaartoegangtotdecomputer,loginsofpersoonlijkedetails(inclusiefbankierofbetaalinformatie)

DenialOfService Nietinstaatzijnomtoegangteverkrijgentotonlinediensten(bijvoorbeeldbancaireofpubliekediensten)vanwegecyberaanvallen

Slechtmateriaal Perongelukracistischofextremistischmateriaalonlinetegenkomen

Hacking Socialmediaofemailaccountwordtgehackt

Koop-verkoopfraude Onlinefraudewaargekochtegoederennietgeleverdofvervalstzijn,invergelijkingmethoezezijnaangeboden

Ransomware Gevraagdwordenvooreenbetalinginruilvoordeteruggavevancontrolevanhetapparaat

Onlinebankierfraude Slachtofferzijnvanbetaalpasofonlinebankfraude

Identiteitsfraude Persoonlijkedatatesteleneniemandteimiterendoorbijvoorbeeldtewinkelenonderiemandsnaam

Kinderporno Perongelukkinderpornoonlinetegenkomen

Methodologie JaarlijksesteekproefvandeCyberSecurityEuroBarometeronderpersonenvanbovende15jaaroudinNederlandseparticulierehuishoudens,doormiddelvaneenvragenlijst.Deresponswaselkjaarongeveer1.000personen.

Definitief



Tabel30 Categorisaties,definitiesenmethodologieEurostat(2010)

Geïnfecteerdapparaat(E_SECIANY) ICTrelatedsecurityincidentsexcludingdisclosureofconfidentialdatainelectronicformbyemployees

Phishing(E_SECICNFA) ICTrelatedsecurityincidentsthatresultedindisclosureofconfidentialdataduetointrusion,pharming,phishingattacks

Datalek(E_SECICNFA) ICTrelatedsecurityincidentsresultingindisclosureofconfidentialdatainelectronicformbyemployeeswhetheronintentionorunintentionally

Malware(E_SECIDD) ICTrelatedsecurityincidentsthatresultedindestructionorcorruptionofdataduetoinfectionormalicioussoftwareorunauthorisedaccess

DDoS(E_SECIUSA) ICTrelatedsecurityincidentsthatresultedinunavailabilityofICTservicesduetoattacksfromoutside,e.g.DenialofServiceattack

Methodologie Eenmaligesteekproefin2010van9.871bedrijveninNederland,doormiddelvaneenvragenlijst.Desteekproefisgekozendoormiddelvaneen‘Neyman’allocatie,enbevatbedrijvenmetmeerdantienwerknemers,metNACEcodesC,D,E,F,G,H,I,J,LenN.DesteekproefisuitgevoerddoorhetCBS.

Definitief



Tabel31 ZoekwoordengebruiktinmediasearchviaLexisNexis

*Aanval/dreiging/slachtoffer Hacken/hacking/cyberhack

*Bankfraude Hacktivisten

*Crime Illegale online handel

*Criminaliteit Inbreuk persoonlijke informatie

*Diefstal Internet crime

*Fraude IP/vertrouwelijke gegevens diefstal

*Illegaalbezit Licentie protectie

*Inbraak Malvertising/online advertising fraud

*Misbruik Malware

*Misbruik/criminaliteit Man-in-the-middle-aanval

*Schade Morris-worm/Mydoom

*Verstoring/uitval Netwerk aanval/dreiging/slachtoffer/criminaliteit

Anti-virus Online Kinderporno

Applicatieaanval/dreiging/slachtoffer/criminaliteit Online zwarte markten/Illegaal downloaden

Authenticatieprobleem Open SSL: heartbleed/poodle/freak/bar mitzvah

Bitcoin/digitalemunt/cryptocurrencydiefstal Programmable logic controller/Blastervirus/Dorifel/Sasfis

CAPTCHAsolvingservices Ransomware/cryptoware/gijzelvirussen

Computeraanval/dreiging/slachtoffer/crime/criminaliteit Scriptkiddies

Computernetworksecurity Server aanval/dreiging/slachtoffer/criminaliteit

Computervirus Skimming/skimmen/pasfraude/betalingsfraude

ComputerWorm (Spear-)Phishing/Pharming/social engineering

Criminele*dienst Spoofing/identiteitsvervalsing

Datalek/databreach Spyware/sniffing

DDoS SQL-injectie/Logic bomb

Defacen/defacing/*vandalisme/*beschadigen Trojan/trojaans/banking trojan

Diginotar XSS/Cross Site Scripting

DezelijstvanwoordendiecybercrimekunnenimplicerenistotstandgekomennaevaluatievanonzebronnenendeLexisNexisindextermen.Elkwoordmeteen*isdriemaalopgezocht,metdevolgendevoorvoegsels:cyber,onlineendigitale.OokzijneenaantalwoordeninhetEngelsopgezocht,waargebruikelijkomEngelseverbasteringentegebruiken.

Definitief



Tabel32 Categorieëncybercrimepermiddelenenmanifestatiesperbeschikbaredatabron

NCSC Mediasearch

CBS TNOEuroBarometer

Betaalvereniging/DNB/ECB

PwC Eurostat

Middelen

Geïnfecteerdapparaat(spywareofvirus)

n.a. T n.a. Cn.a.

B C

Phishing T T (alsdeelvan

identiteitsfraude)

Cn.a.

Bn.a.

DenialOfService T T n.a. Cn.a.

n.a. B

Hacking T T(defacement/informatiehack)

C Cn.a.

Bn.a.

Koop-verkoopfraude n.a. n.a. C Cn.a. n.a. C

Ransomware T T n.a. Cn.a. n.a. n.a.

Onlinebankier-ofPasfrauden.a.

T (alsdeelvan

onlinebankierfraude)

C C+Bn.a. C

Identiteitsfrauden.a.

Ziephishing

enskimming

C(phishing

/skimming

)

Cn.a.

BC

Racistisch/ExtremistischeenKinderpornografischecontent n.a. n.a. n.a.

Cn.a.

n.a.C

Illegaaldonwloadenn.a. n.a. n.a. n.a. n.a.

Bn.a.

Datalekdooreigenwerknemers Tn.a. n.a. n.a. n.a.

n.a. B

Bron:SEOEconomischOnderzoek;C:consumenten,B:bedrijfsleven;O:overheid;T:totaleeconomie;n.a.:nietbeschikbaar

Definitief



Tabel33 Informatiebronnenbetreffendcyberstatistieken

Naamorganisatie Typeorganisatie

Accenture Consultancy

AIVD(AlgemeneInlichtingen-enVeiligheidsdienst) Overheid

Akamai/StateoftheInternet ICT

ArborNetworks(DigitalAttackMap) ICT

AV-TestInstitute ICT

Betaalvereniging Vereniging

BREIN ICT

Capgemini Consultancy

CBS(CentralBureauvoorStatistiek) Overheid

Deloitte Consultancy

DNB(DeNederlandscheBank) Overheid

ECB(EuropeanCentralBank) Overheid

Eurostat Overheid

E&Y Consultancy

ElectronicCrimesTaskforce Overheid

EMC2 ICT

ENCS(EuropeanNetworkforCyberSecurity) Vereniging

Fox-IT ICT

Fraudehelpdesk Overheid

F-Secure ICT

Google(DigitalAttackMaP) ICT

IntelSecurity/McAfee ICT

KasperskyLab ICT

KPN ICT

NCSC(NationaalCybersecurityCentrum;MinisterievanV&J;NCTV) Overheid

NederlandICT Vereniging

NVB(NederlandseVerenigingvanBanken) Vereniging

Politie Overheid

PwC Consultancy

SecurityDelta Overheid

SecurityMatters ICT

Thuiswinkel.org Anders

VascoAuthentication ICT

VerenigingAbuseInformationExchange Vereniging

WikiLeaks Anders

Definitief



D5. Uitgebreidedata

Tabel34 Aantalincidenten,schadeenstilstaandedagentussenvormenvancybercrimeindewereld

Incidenten Schade Stilstaandeperiode

% Dollar Dagen

Cyberspionage 35 144.542 54,4

DDoS 51 126.545 19,3

Webgebaseerdaanval 64 96.424 27,7

Phishing&Socialengineering 62 85.959 21,9

Maliciouscodes 59 81.500 47,5

Gestolenapparaat 45 33.565 12,3

Malware 98 7.378 5,8

Virussen 99 1.900 2,4

Botnets 59 1.075 2,2

Bron:PonemonInstitute(2015).n=252bedrijvenin7landen

Tabel35 CybercrimeinNederlandpersector

%

Groot-enretailhandel 39

Financiëleinstellingen 34

ICT 24

Advertising,onderzoekenoverigespecialistischedienstverlening 23

Industrie 22

(Semi-)overheidsinstellingen 20

Onderwijs 16

Gezondheids-enwelzijnszorg 15

Overig 29

Bron:PWC(2014)

Tabel36 VormenvancybercrimeinNederland

%

Phishingenpharming 24,2

Virussen 24,2

Hacken 16

Illegaalonderscheppenvancomputergegevens 8,2

Illegaaldownloaden 8,2

Identiteitsdiefstal 6,7

Intentioneleschadeopcomputersystemenengegevens 6,2

Cyberspionage 1,5

Bron:PWC(2014)

Definitief



Tabel37 Aantalfrauduleuzetransactiesenfinanciëleschadeinmiljoeneneuro’sper1000inwonersinEU-

landen

Aantal frauduleuze transacties per 1000 inwoners

Financiële schade in miljoenen euro’s per 1000 inwoners

2012 2013 2014 2012 2013 2014 GB 40,5 47,4 67,5 6.132 7.506 8.132 LU 36,6 34,1 37,7 7.821 7.602 7.990 IE 22,3 22,2 38,4 5.481 4.896 6.581 DK 20,3 26,7 33,4 3.276 4.830 5.721 FR 39 46,4 52,9 4.525 5.177 5.695 BE 9,9 11,5 16,4 1.780 2.158 2.901 SE 12,5 14,6 15,6 1.900 2.330 2.565 MT 15,8 13,2 13,5 2.750 2.738 2.501 AT 8,8 10 12,8 1.921 2.182 2.306 NL 15,1 14,6 9,8 3.183 3.090 2.046 DE 7,6 8,2 9,7 1.618 1.743 1.813 FI 7,4 8 8,6 1.276 1.538 1.684 IT 4,2 4,2 7 899 898 1.298 CY 10,4 10,3 8 2.213 1.660 1.297 ES 14,2 14,4 14,3 959 1.046 1.004 EE 3,7 4 4,7 653 651 711 PT 3,9 5,1 4,5 714 1.002 682 LV 3,1 3,4 3,6 487 551 512 SI 3,1 2,8 3,1 482 378 404 CZ 1,6 2,2 2,8 491 304 305 GR 3 2,5 2,3 668 362 249 HR 0 0 1,5 185 SK 0,9 1,3 1,6 123 158 161 LT 1 1 1,1 154 165 150 BG 0,7 1 1,2 92 126 144 PL 0,6 0,9 1,1 94 128 125 HU 0,8 0,9 1 120 119 101 RO 0,4 0,5 0,6 48 53 73

SEPA 15,3 17,4 20,3 2.253 2.580 2.599 EU 10,6 11,5 13,4 1.847 1.977 2.077

Bron:ECB(2013,2014,2015)

Tabel38 Aandeelbedrijvendatinaanrakingisgekomenmetbepaaldevormenvancybercrime,in

percentagevandegevraagdebedrijven

2010 DenialofService 7

Allevormen(excl.Lekvanpersoneel) 22 Geenvormen 78

Lekvanpersoneel 4 Bron:Eurostat(2011)

Definitief



D6. DatauitmediasearchDeLexisNexisacademischebibliotheekkannaardezewoordenzoekenineenkrantenartikel,maarookinzogehetenindextermendieelkartikeltyperen.Booleaanseoperatorenzijn,waarnodig,gebruiktomdubbelezoekresultatentevoorkomen.DrieveelgebruikteoperatorenzijnAND,ORenNOT.Doorbijvoorbeeldtezoekenop"cybercrimeANDfraudeNOTskimming"wordenartikelenuitgezochtdiedewoordencybercrimeenfraudeinhetdocumentofdeindextermenbevat,maarniethetwoordskimminginhetdocumentofindeindextermenbevat.Voorelkgeselecteerdnieuwsartikelishetvolgendevastgelegd:Detitel;bron;datum;omvangschade;deeigenaarvandeschade(slachtoffer):consumenten/bedrijven/overheden;decategoriewaartoehetmiddelvoordeschadebehoortuitTabel26indeBijlage.Eenartikelkanmeerdereslachtoffersencategorieënraken.Artikelendiegaanoverhetzelfdeincidentzóndernieuweinformatietebiedenoverdeomvangschade,doelgroepschade,ofdecategorie,zijnnietapartvastgelegd.

Tabel39 Aantalincidentenpermiddelenentypeslachtoffer

Consumenten Bedrijfsleven Overheid

Geïnfecteerde apparaten 19 19 11

Phishing 39 7 3

DDoS 8 26 10

Informatiehack 27 25 8

Defacement hack 1 15 1

Ransomware 11 4 8

Online banken pasfraude 70 44 0

Bron:SEOEconomischOnderzoekviamediasearchindeperiode01-01-2010en01-12-2015

InformatieoveranderemiddelenviamediasearchIndecategoriegeïnfecteerdeapparatenwarener34incidenteninhetnieuws.Deinhetnieuwsbekendevirusinfectieshebbenvoorsysteemuitvallengezorgd,terpreventievaninformatielekken.HierdoorwarenbelangrijkedienstenalsDigiDofCT-scansinziekenhuizennietbeschikbaar.Daarnaastmeldtéénnieuwsberichtdatermetsommigespywarevooréénmiljoeneuroisgestolenvanconsumenten,doormiddelvandiefstalvandefinanciëleinformatie.Erwasééntypespywaredatinhetoogspringt:hetDorifelvirus.In2013werdenmeerdan30groteinstellingengeïnfecteerd,waaronderveelgemeentesenuniversiteiten.Datawerdgestolen,velenetwerkenzijndagenlanguitdeluchtgeweest,enproductiviteitwerdgehinderd.Virusinfectieshebbenalletypenslachtoffersgetroffen.Indecategoriephishingzijner44incidenteninhetnieuwsgemeld.Deincidentenlopenzeeruiteenwatbetreftomvang,vanhelekleinebedragentot70.000euro.Nietalleenbanken,maarookorganisatiesalswebshops,scholen,hetCentraalJustitieelIncassobureauenPostNLzijn

Definitief



gebruiktalsdekmantel.Phishingaanvallenkwamenvooralvoorbijconsumenten.Eriseenstijgendetrendwaarneembaar.IndecategorieDistributedDenialofService(DDoS)warenerintotaal35incidenteninhetnieuws.DDoS-aanvallenhebbenerintenminstedrieincidentenvoorgezorgddatgrotenetwerkenzijnplatgelegdvanInternetServiceProviders(ISPs),waardoorhonderdduizendenmensenbeïnvloedwerden.Inverrewegdemeestincidentenwasersprakevanaanvallenopnetwerkenvanindividuelebedrijvenofoverheidsinstanties.Dezeaanvallenzorgdenervoordatveleonlinedienstennietmeerbeschikbaarwaren,waaronderdievanscholen,banken,nieuwsinstanties,gemeentesentelefonieproviders.AlleendeDDoSincidentendieschoolnetwerkenofISPshebbenplatgelegdzijngeclassificeerdalsdirecteschadevoorconsumenten.Deexacteschadeisonbekend.Betreffendinformatiehackszijner43incidenteninhetnieuwsgemeld.Informatiehackshebbenin27incidentenervoorgezorgddatenkeleindividuelegegevensofnetwerkenzijngekraakt.In16incidentenwaserdaarentegensprakevangrootschaligehacksbijbedrijven,waarbijtussende1.000en1,3miljoenaccountszijnverkregen.Zowelgrotemultinationalsalsindividuelepartijenzijnslachtoffergeworden.Eenaantalgrotehacksisgeclassificeerdalsschadevoorconsumentenénbedrijven,omdatpersoonsgegevenswerdengestolenuitdedatabasesvanbedrijven.Deexacteschadeisonbekend.Indecategoriedefacementhackwarener16incidenteninhetnieuwsintotaal.Wanneerhetnetwerkofeenaantalcomputersvaneenkleineinstellinggeraaktwordenkunnenertienduizendeneuro’sschadeontstaanvanwegeverliesaanproductiviteitenherstelkosten.In2010wasereenmaligeengolfwaarneembaarwaarbijhonderdenwebsiteszijngewistofgewijzigd.Innegenincidentenginghetomeengesubsidieerdeinstellingenofvereniging.19ransomware-incidentenzijninhetnieuwsgemeld.Inalle11incidentenbijconsumentenzijngrotegroepenmensenopgelichtvoorhonderdeneuro’sperkeer.Bijelkaarzijnerveleduizendencomputersbesmet.Wanneerhetnetwerkofeenaantalcomputersvaneenkleineinstellinggeraaktwordenkunnenertienduizendeneuro’sschadeontstaanvanwegeverliesaanproductiviteitenherstelkosten.Demeesteransomwarewasgerichtopconsumenten,maarenkelegrotereinfectiegolvenraaktenalledoelgroepen.

Tabel40 Aantalincidentengeïnfecteerdeapparaten(Spywarevirussen)


2010 2 4 1

2011 5 3 4

2012 3 4 4

2013 4 2 1

2014 3 3 1

2015 2 3 0

Totaal 19 19 11 Bron:SEOEconomischOnderzoek

Definitief



Tabel41 AantalincidentenPhishing


2010 5 0 0

2011 10 1 0

2012 6 1 1

2013 4 3 0

2014 7 1 0

2015 7 1 2


Tabel42 AantalincidentenDistributedDenialofService(DDoS)


2010 0 1 1

2011 0 2 1

2012 1 1 0

2013 1 6 4

2014 1 2 1

2015 5 14 3


Tabel43 AantalincidentenInformatiehack


2010 0 0 0

2011 8 6 4

2012 7 9 2

2013 3 1 0

2014 8 7 0

2015 1 2 2


Definitief



Tabel44 AantalincidentenDefacementhack


2010 0 4 0

2011 0 1 1

2012 0 4 0

2013 0 3 0

2014 1 1 0

2015 0 1 0


Tabel45 AantalincidentenRansomware


2010 0 0 0

2011 1 0 0

2012 1 0 1

2013 3 0 0

2014 5 3 3

2015 1 1 4


Tabel46 AantalincidentenOnlinebank-ofpasfraude


2010 22 24 0

2011 18 18 0

2012 22 22 0

2013 9 7 0

2014 10 5 0

2015 4 3 0

Totaal 70 44 0

Bron:SEOEconomischOnderzoek

Definitief



E Marktfalen

Dezebijlagevormtdeachtergrondbijhetanalysekaderuitparagraaf6.2.Alsmarktentakennietefficiëntkunnenuitvoeren,isersprakevanmarktfalen.Erkunnenviersoortenmarktfalenwordenonderscheidenmetbetrekkingtotcybersecurity-productenen-diensten:21

1. Publiekegoederen2. Positieveexterneeffecten3. Asymmetrievaninformatie4. Marktmacht

Ad1)Publiekegoederenzijnproductenofdienstendieniet-uitsluitbaarenniet-rivaliserendzijn.Ditbetekentdathetproducerenvanpubliekegoederendoordemarktnietmogelijkis,omdatgeenpartijmagwordenuitgeslotenvandevoordelenenhetgebruikvandezegoederen(niet-uitsluitbaarheid)endathetgebruikdooreenconsumentniettenkostemaggaanvanhetgebruikdoorandereconsumenten(niet-rivaliserend).Hierdoorzijnpubliekegoederenvaakgekoppeldaanwillekeuriggedrag:consumentenkunnengebruikmakenvanpubliekegoederenzondereraanbijtedragen(ervoortebetalen).Voorbeeldenvanpubliekegoederenzijndefensieendijken.Dezevoorbeeldengevenaandatcybersecurityookkenmerkenheeftvaneenpubliekgoed.Inalgemeenzinkangeenenkelegebruikervaneenveiliginternetwordenuitgesloten.Daarnaastisveiligheidookniet-rivaliserend:deveiligheidvangebruikerAgaatniettenkostevangebruikerB.Ad2)Positieveexterneeffecten.Hetkangebeurendatdeproductievangoederenendienstengevolgenheeftbuitendedesbetreffendemarkt(bijvoorbeeldopanderemarkten)endatmarktspelersdiegevolgennietmeenemenindekostenenbatenbijhetnemenvanmarktbeslissingen.Dezeeffectenwordenexterneeffectenofexternaliteitengenoemd.Externeeffectenhebbengeenmarktendusookgeenprijs.Demaatschappelijkekostenofbatendierekeninghoudenmetdezeexterneeffectenzijnhogerdan,respectievelijk,departiculierekostenofbaten.Externeeffectenkunnennegatiefofpositiefzijn.Indemarktvancybersecurity-productenen-dienstenisersprakevanpositieveexternaliteiten.Externeeffectenzijnpositiefalsdesocialebatenvaneenactiviteithogerzijndandeparticulierebatenendemarktdezebatennietkaninternaliseren.Indecybersecuritysectorkanersprakezijnvantweesoortpositieveexternaliteiten:kennis-spilloversennetwerkexternaliteiten:

• Kennis-spillovers:22Kennis-spilloversvindenplaatsinhetinnovatieproces.Alskennis-spilloversnietgeïnternaliseerdis,vindterwellichtminderinnovatieplaatsdansociaalwenselijkis.Kennis-spilloversleidentotexternaliteitenalsbedrijvennietallevruchten

21 Vooreenoverzichtvanmarktfalen,ziebijvoorbeeldBaarsma&DeNooij(2006),Saline(2000).22 Bijlsmaetal.(2009).

Definitief



vanhuninvesteringeninkenniseninnovatiekunnenplukkenomdatanderebedrijvendiekennisgebruikenzonderdaarvoorhetvollepondtebetalen.Detekortkomingenvanhetsysteemvanintellectueleeigendomsrechten(IER)zijnhiermedeschuldigaan:hetisnietaltijdmogelijkIERaantevragen.Enalshetwelmogelijkis,kandithogekostenmetzichmeebrengen.OokdeperiodeendeomvangvanideeënwaaroverinnovatorswordenbeschermddoormiddelvanIER,zijnbeperkt.Destimuliomteinnoverennemendusaf.Hierdoorontstaateenlagerdansociaaloptimaalinnovatieniveauenvermindertdewelvaartopdelangetermijn.

• Netwerkexternaliteiten:23Netwerkexternaliteitenvindenplaatsindevraagkantvandemarkt.Netwerkeffectbetekentdatdewaardevaneenproductofdienstvooreenconsumenthogerisalsermeerconsumentenookgebruikmakenvanhetzelfdeproductofdienst.ICT-productenzijntypischgekenmerktmetnetwerkexternaliteiten.HierkanDNSSECalsvoorbeeldgelden.Invoeringvandezestandaardkentaanvankelijkeen‘hobbel’omdatniemandergebruiktvanmaakt,maarnaarmatedestandaardingeburgerdraaktneemtdetoepassingmeerdanproportioneeltoe.

Ad3)Asymmetrievaninformatie:24Alseenpartijindemarktbeschiktovermeerofbetereinformatiedaneenanderepartij,bestaatdekansopeensuboptimaleprijs,hoeveelheidofkwaliteit.Onvolledigeinformatiekanvaninvloedzijnopdeprijzen(ofvraag),kosten,risico'senkwaliteit.Indecybersecurity-sectorkanersprakezijnvanadverseselectie.Datwilzeggendateenbelangrijkkenmerkvaneenproductofhetbedrijfalleenvantevorenbekendisbijhetbedrijf,voordatdeafnemerzeafneemt.Ditkenmerkkanbijvoorbeelddekwaliteitvaneenproductofdienstzijn.Consumentenzijnbereidmeertebetalenvooreenbeterekwaliteit,maarkunnendiekwaliteitnietvantevorencontroleren.Producentenvaneenproductmeteenminderekwaliteitzulleneenlagereprijshanteren.Producentenvaneenproductmeteenhogerekwaliteitzoudengraageenhogereprijsberekenen,maarconsumentenwillengeenmeerprijsbetalenalsdehogerekwaliteitvanhetproductnietkanwordengeverifieerd.Ditprobleemisadverseselectiegenoemd.Metbetrekkingvandecybersecurity-sectorkanersprakezijnvanadverseselectieindekapitaalmarkt.25Meerinnovatievebedrijvenhebbenhierdoormoeitefinancieringtekrijgenenkomenuiteindelijkniettotbloei.Ad.4)Doormarktmachtvermindertdeconcurrentiedruk.26Naarmatedemarktmachttoeneemt,stijgendeprijzen,dalendeproductie-enverkoopcijferseninvesterenbedrijvenminderininnovatie,kwaliteitencapaciteit.Heteindresultaatvanmarktmachtiseenafnameineconomischewelvaart.Ditisdesomvanhetverliesaanconsumentenwelvaartdatontstaattengevolgevanmarktmachtendemogelijkeextrawinstvandeproducentdoormarktmacht

23 Shapiro&Varian(1998),Shy(2001).24 Akerlof(1970).25 Merton(1987).26 ZiebijvoorbeeldMotta(2004).

Definitief



(producentensurplus).Concurrentiewordtminderhevigalsertoetredingsbelemmeringenzijn.Bijtoetredingsbelemmeringenverhogenbedrijvendeprijzentotbovenhetefficiënteniveau.Erzijndiversevormenvantoetredingsbelemmeringendierelevantkunnenzijnvoordecybersecuritymarkt:Schaalvergroting:Schaalvergrotingverwijstnaardeafnamevandekostenpereenheidnaarmatedecapaciteitofdeproductievaneenbedrijftoeneemt.Indezemarktenzijninvesteringenvaakkapitaalintensiefmeteengrotevastcomponent,dienetgevoeligisvoordeomvangvandeproductie.Schaalvergrotingbiedtgrotebedrijvendaneenkostenvoordelenwaardoordemarktgedomineerdzalwordendooreenbeperktaantalbedrijven.Maatschappelijkgezienisditookdewenselijkesituatie.Maaralsschaalvergrotingleidttotmarktmacht,kunnenbedrijveneenhogereprijsberekenendanhetefficiënteniveauofminderinvesterendanmaatschappelijkgezienwenselijkis.Dewelvaartswinstslaatdanalleenbijproducentenneerenkomtniettengoedeaandeconsument.IndeICT-sectorisersprakevanschaaleffecten.Eengeconcentreerdemarktisdandelogischeuitkomstvanhetmarktprocesmetalleproblemenvandienvoordeconcurrentieverhoudingenendeprijsvorming.Fusiesenovernames:Eenovernamevanoffusiemeteenconcurrerendbedrijfofeenanderbedrijfindeverticaleketenkanwinstaanefficiencyopleverenvoordeovernemendeoffuserendebedrijven.Eennegatiefgevolghiervanisechterdatdehorizontalemarktmeergeconcentreerdraaktendeprijzenstijgen.Inplaatsdaarvankunnendezebedrijveneerstookeenlagereprijsberekenen,waarmeezeconcurrerendebedrijvenvandemarktkunnenuitsluiten,waardoordeconcentratienoghogerwordt.Padafhankelijkheid:27Sommigemarktenwordengekenmerktdoorpadafhankelijkheidentechnologischesuperioriteit.TengevolgevaneenhistorischeontwikkelingdieisbeïnvloeddoordeaccumulatievankennisinR&D,verloopttechnologischeontwikkelingvaakvolgenseenbepaaldpatroon.Ditnoemenwepadafhankelijkheid.Voorbeeldenhiervanzijninnovatiesindesoftware-industrie.Demarktzitdaardoorvastaanbestaandetechnologieënofplatformsennieuwe,potentieelbetereproductenoftechnologieënwordennietuitgevonden.Padafhankelijkheidisvaninvloedopkennis-spilloversennetwerkexternaliteiten,maarvooralopmarktmacht:hetbelemmertconcurrerendetechnologieënenleveranciersnamelijktoetetredentotdemarkt.Institutionelebelemmeringen–intellectueeleigendomsrechten:28Hetsysteemvanintellectueeleigendomsrechtenheeftalsdoelinnovatiesvanbedrijventebeschermenenbiedtinnovatorsdemogelijkheidhunkostenvooronderzoekenontwikkelingterugteverdienenvialicentiekosten.Delicentiekostenvormeneenkostenelementvoorvolgendeinnovators.Licentiekostenwerken

27 ZiebijvoorbeeldArthur(1989).28 Bijlsmaetal.(2009).

Definitief



marktmachtindehand,omtweeredenen:dehoogtevanlicentiekostenenvoordeelvandekoploper(‘firstmover’).Onvolledigecontractenenhethold-upprobleem:29Volgensdecontracttheoriekunneninefficiëntiesontstaanvanwegedemoeilijkhedenomvolledigecontractenteschrijven.Eenvandemeestvoorkomendeproblemenishethold-upprobleem.Hethold-upprobleemiseensituatiewaarbeidegecontracteerdepartijeninstaatzijnomzoefficiëntmogelijksamentewerken(bv.eenarbeidscontractteschrijven),maardecontractkanniettotstandkomen:partijAheeftbezorgdheiddatpartijBnietgaatcommitterenaanhunafspraakomdatnahetcontracterenBookeenanderemogelijkheidkrijgtmeteenhogerewaarde(metanderewoordenheeftpartijBonderhandelingsmacht).VanwegedezehogerewaardegaatBdeeerderecontractwaardenietmeeraccepteren('hold-up')eneenhogerecontractwaardevragen.PartijAweetditvantevorenengaathetcontractnietaanbieden.Desamenwerkingkomtdusniettotstand.Hethold-upprobleemkanleidentothogeeconomischekostenenonderinvestering.Bijvoorbeeldkaneencybersecurity-bedrijfeengecombineerdarbeids-enopleidingscontractschrijvenmeteenstudentdathijnadeperiodebijhetbedrijfgaatwerken.Maardoordeopleidingwordtdewaardevandestudenthogerindearbeidsmarktenkanhijwaarschijnlijkmeerverdienenbijeenanderbedrijf.Ditwetendgaatdestudentnadeopleidingeenhogersalarisvragenenomhetverliestevoorkomengaathetbedrijfhetopleidingscontractnietaanbieden.

29 Laingetal.(1995),Acemoglu(1996).

ECONOMISCHE KANSEN NEDERLANDSE CYBERSECURITY-SECTOR · 2020. 10. 12. · sector, is een analyse...

Documents

Transcript of ECONOMISCHE KANSEN NEDERLANDSE CYBERSECURITY-SECTOR · 2020. 10. 12. · sector, is een analyse...