Het is even wennen: die cybercriminaliteit

Tien jaar DigiD laat zien dat de internetverbinding met de overheid nog niet veilig is. Maar hoe zit het met uw verbinding of dat van het bedrijf om de hoek? Volgens Michel van Eeten, hoogleraar Bestuurskunde aan de TU Delft, staan we bij de bestrijding van cybercriminaliteit pas aan het begin.

Internetcriminelen berokkenen de Nederlandse samenleving jaarlijks miljarden euro’s schade. Volgens cijfers van het Centraal Bureau voor de Statistiek (CBS) werd in 2013 ruim 12 procent van de Nederlanders slachtoffer van cybercrime. Ruim 3 procent was slachtoffer van koop- en verkoopfraude via internet en 6 procent kreeg te maken met een hack (inbraak) op computer, smartphone, e-mailaccount of website.

Cybercriminaliteit is vanwege zijn karakter moeilijk te bestrijden

Meestal wordt bij cybercrime gedacht aan identiteitsdiefstal of aan fraude met internetbankieren. De omvang daarvan valt echter in het niet vergeleken met de grootschalige fraude met uitkeringen en belastingen. Dat laatste gaat als volgt: mensen vragen via DigiD een uitkering aan, een crimineel neemt dat account over en zorgt ervoor dat de uitkering op zijn rekening wordt gestort. Tegen de tijd dat er contact is tussen het slachtoffer en de uitkeringsinstantie, is de crimineel al lang achter de horizon verdwenen. Op dezelfde wijze worden teruggaven aangevraagd bij de Belastingdienst. Die maakt vaak zonder vragen te stellen duizenden euro’s over. Als dan een jaar later de definitieve aanslag volgt, kan de getroffen burger niet bewijzen dat hij geen aanvraag heeft ingediend.

Cybercriminaliteit is een internationaal fenomeen, overal ter wereld worden op grote schaal computers gehackt. Het betreffen multinationale, virtuele operaties waarin mensen samenwerken, maar elkaar niet in levenden lijve ontmoeten. Door zijn internationale en virtuele karakter is cybercriminaliteit vrijwel onzichtbaar en ongrijpbaar en daardoor kostbaar om te bestrijden.

Er zijn verschillende trends in internetcriminaliteit waarneembaar. De belangrijkste daarvan is de opkomst van ransomware. Daarmee nemen criminelen een computer over en dreigen zij de gebruiker dat er bestanden worden vernietigd als er geen betaling volgt. Een andere ontwikkeling is verplaatsing van criminaliteit naar populaire technologieën. De verwachting is bijvoorbeeld dat er steeds meer kwaadaardige apps zullen komen. Met dergelijke applicaties kunnen criminelen onder meer een telefoon betaalde sms’jes laten versturen.

Bij het midden- en kleinbedrijf is amateurisme troef

Over de ontwikkelingen in de omvang en impact van cybercriminaliteit binnen het bedrijfsleven is nog weinig bekend. We weten wel dat digitale bedrijfsspionage bestaat. In het kort komt deze vorm van spionage erop neer dat bedrijven inbreken bij een concurrent, onderzoek- en ontwikkelingsinformatie weghalen en op basis van deze illegaal verkregen kennis een nieuw product introduceren. Er worden voortdurend hysterische schattingen gemaakt van de schade die dat de economie zou berokkenen. Maar feitelijk hebben we er geen flauw benul van, omdat we de impact niet kunnen inschatten. Zo werd een aantal jaar geleden digitaal ingebroken bij het Amerikaanse wapenbedrijf Lockheed Martin, waarschijnlijk door Chinezen. Er werden toen geheime ontwerpen van een militair vliegtuig gestolen, maar, hoewel er sprake was van een ernstig veiligheidsrisico, waren de economische gevolgen van deze hack lastig vast te stellen. Toont dit voorbeeld aan dat bedrijven nog te weinig aan preventie doen? Nee, dat is te simpel gedacht. Daar komt nog bij dat het bedrijfseconomisch gezien soms verstandig is om bepaalde typen inbraak te tolereren. Voorkomen is namelijk moeilijk en duur. Als bedrijf wil je je eigen ICT bovendien niet aan al te veel beperkingen onderwerpen, omdat het daarmee onbruikbaar wordt.

Als de schade verwijtbaar worden afgewenteld op burgers moéten bedrijven wel extra actie ondernemen. Of het Midden- en Kleinbedrijf (MKB) in Nederland daartoe in staat is, valt echter zeer te betwijfelen. De prestaties van het MKB op het gebied van ICT zijn ronduit amateuristisch. Er zijn ondernemers die zichzelf hebben leren programmeren en dan met een content management systeem de boer opgaan. De aangeboden producten zijn veelal niet gemaakt en ontworpen met de competenties om criminelen buiten de deur te houden, maar de MKB’er die het inkoopt, kan dat in veel gevallen niet beoordelen. En heel vaak komt de schade dan terecht bij derden.

VS en Denemarken kunnen ons veel leren over bestrijding cybercrime

Behalve het bedrijfsleven kan ook de overheid verdere stappen zetten in de aanpak van cybercrime. Níet om de bewustwording bij burgers verder te vergroten. De meesten van ons hebben namelijk al een prima basishygiëne: we installeren recente veiligheidssoftware, draaien updates en weten dat je niet elke e-mail moet openen en aanklikken. De preventiecampagnes van de overheid kunnen zich tot dit soort stelregels beperken. Anders wordt het als je mensen wilt uitleggen, om een metafoor te gebruiken, hoe ze hun water moeten filteren uit een vergiftigde rivier terwijl de fabriek die de vervuiling veroorzaakt daarvoor eigenlijk verantwoordelijk is. Er moeten ergo wettelijke normen komen voor beveiliging van gegevens, inclusief passende sancties voor organisaties die daarbij steken laten vallen.

Cyberaansprakelijkheidsverzekeringen, zoals die in de Verenigde Staten gangbaar zijn, kunnen bijdragen aan preventie net als de Deense aanpak waarbij ondernemers zich, net als burgers, kunnen beschermen tegen schade die ze oplopen bij fraude met internetbankieren. In beide gevallen dienen ondernemers er dan wel voor te zorgen dat hun systemen aan een aantal veiligheidseisen voldoen.

Zover is het in Nederland nog niet. In onze strijd tegen cybercrime is eerst behoefte aan meer kennis over de achtergronden van de problematiek, wat criminelen doen en wie hun slachtoffers zijn. Wat dat betreft, zijn we echt nog aan het wennen aan een nieuwe vorm van criminaliteit.

Michel Eeten is hoogleraar Bestuurskunde aan de Technische Universiteit Delft. Dit (bewerkte) artikel is eerder verschenen in de derde editie van Secondant, het platform en magazine voor maatschappelijke veiligheid, van dit jaar.